在公鑰密碼體制中,如果每個(gè)用戶都具有其他用戶的公鑰,就可實(shí)現(xiàn)安全通信�？磥�A1101R04C-EZ4E好像可以隨意公布用戶的公鑰。其實(shí)不然。設(shè)想用戶A要欺騙用戶B。A可以向B發(fā)送一份偽造是C發(fā)送的報(bào)文。A用自己的秘密密鑰進(jìn)行數(shù)字簽名,并附上A自己的公鑰,謊稱這公鑰是C的。B如何知道這個(gè)公鑰不是C的呢?顯然,這需要有一值得信賴的機(jī)構(gòu)來將公鑰與其對應(yīng)的實(shí)體(人或機(jī)器)進(jìn)行綁定lbinding)。這樣的機(jī)構(gòu)就叫作認(rèn)證中心CA(CC⒒i丘c猶ion Author燈),它一般由政府出資建立。每個(gè)實(shí)體都有CA發(fā)來的證書(ce⒒i丘G狨e),里面有公鑰及其擁有者的標(biāo)識信息(人名或IP地址)。此證書被CA進(jìn)行了數(shù)

字簽名。任何用戶都可從可信的地方(如代表政府的報(bào)紙)獲得認(rèn)證中心CA的公鑰,此公鑰用來驗(yàn)證某個(gè)公鑰是否為某個(gè)實(shí)體所擁有(通過向CA查詢)。有的大公司(如 Nctscape),也提供認(rèn)證中心服務(wù)。

在IE瀏覽器中,選擇“工具汀ntemct選項(xiàng)/內(nèi)容/訌E書”就可以查看有關(guān)證書發(fā)行機(jī)構(gòu)的信息。用戶可以從證書頒發(fā)機(jī)構(gòu)獲得自己的安全證書。

   為了使CA具有統(tǒng)一的格式,ITU-T制定了X。509協(xié)議標(biāo)準(zhǔn),用來描述證書的結(jié)構(gòu)。在X,509中規(guī)定要使用AsN,1。ⅢTF接受了X.509(僅有少量的改動(dòng)),并在RFC32⒛中給出了因特網(wǎng)X。509公鑰基礎(chǔ)結(jié)構(gòu)PⅫ tPubIiG Key h僉astnlctLlrΘ。