在公钥密码体制中,如果每个用户都具有其他用户的公钥,就可实现安全通信。看来A1101R04C-EZ4E好像可以随意公布用户的公钥。其实不然。设想用户A要欺骗用户B。A可以向B发送一份伪造是C发送的报文。A用自己的秘密密钥进行数字签名,并附上A自己的公钥,谎称这公钥是C的。B如何知道这个公钥不是C的呢?显然,这需要有一值得信赖的机构来将公钥与其对应的实体(人或机器)进行绑定lbinding)。这样的机构就叫作认证中心CA(CC⒒i丘c犹ion Author灯),它一般由政府出资建立。每个实体都有CA发来的证书(ce⒒i丘G狨e),里面有公钥及其拥有者的标识信息(人名或IP地址)。此证书被CA进行了数

字签名。任何用户都可从可信的地方(如代表政府的报纸)获得认证中心CA的公钥,此公钥用来验证某个公钥是否为某个实体所拥有(通过向CA查询)。有的大公司(如 Nctscape),也提供认证中心服务。

在IE浏览器中,选择“工具汀ntemct选项/内容/讧E书”就可以查看有关证书发行机构的信息。用户可以从证书颁发机构获得自己的安全证书。

   为了使CA具有统一的格式,ITU-T制定了X。509协议标准,用来描述证书的结构。在X,509中规定要使用AsN,1。ⅢTF接受了X.509(仅有少量的改动),并在RFC32⒛中给出了因特网X。509公钥基础结构PⅫ tPubIiG Key h佥astnlctLlrΘ。