計算機安全保密XXXXKI

1/10/20231第六章

公開密鑰基礎(chǔ)設(shè)施PKI6.1需要解決的問題6.2信任模型與PKI體系6.3證書1/10/202326.1需要解決的問題通過網(wǎng)絡(luò)進行交流和商業(yè)活動，面臨的最大問題是如何建立相互之間的信任關(guān)系以及如何保證信息的真實性、完整性、機密性和不可否認性。PKI是解決這一系列問題的技術(shù)基礎(chǔ)。PKI建立安全證書體系結(jié)構(gòu)，提供在網(wǎng)上驗證身份的方式。PKI，PublicKeyInfrastructure，公共密鑰基礎(chǔ)設(shè)施。1/10/202336.1需要解決的問題PKI采用公開密鑰體制，也包括對稱密鑰加密、數(shù)字簽名、數(shù)字信封等技術(shù)。PKI是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。1/10/202346.1需要解決的問題中國電信CA安全認證系統(tǒng)(簡稱CTCA)中國電信自1996年開始進行電子商務(wù)安全認證的研究、試驗工作；1997年底開始進行電子商務(wù)試點工作；1999年8月3日，中國電信CTCA安全認證系統(tǒng)通過國家密碼委員會和信息產(chǎn)業(yè)部的聯(lián)合鑒定，并獲得國家信息產(chǎn)品安全認證中心頒發(fā)的認證證書，成為首家允許在公網(wǎng)上運營的CA安全認證系統(tǒng)。CTCA向社會免費公布CTCA安全認證系統(tǒng)的接口標(biāo)準(zhǔn)。1/10/202356.1需要解決的問題CTCA系統(tǒng)具有國內(nèi)自主的知識產(chǎn)權(quán)。CTCA系統(tǒng)采用通過國家密碼管理委員會辦公室鑒定的加密設(shè)備和加密算法，并且所有加解密運算均可由硬件實現(xiàn)。CTCA系統(tǒng)遵循國際系統(tǒng)標(biāo)準(zhǔn)，按照ITU-TX.509國際標(biāo)準(zhǔn)實現(xiàn)，簽發(fā)的證書遵循X.509V3標(biāo)準(zhǔn)。系統(tǒng)還可簽發(fā)標(biāo)準(zhǔn)的SSL證書，S/MIME證書，與標(biāo)準(zhǔn)的瀏覽器、WEB服務(wù)器實現(xiàn)互通。1/10/202366.1需要解決的問題系統(tǒng)可以在X.509標(biāo)準(zhǔn)基礎(chǔ)上進行證書屬性的擴展，以適應(yīng)不同業(yè)務(wù)系統(tǒng)的需求；根據(jù)應(yīng)用系統(tǒng)對安全強度的不同要求，系統(tǒng)支持512Bit和1024Bit公鑰證書的簽發(fā)；系統(tǒng)可以為應(yīng)用系統(tǒng)提供兩種黑名單查詢方式。系統(tǒng)采用了分級結(jié)構(gòu)。1/10/202376.1需要解決的問題中國電信組織制定了《中國電信電子商務(wù)總體技術(shù)規(guī)范》、《中國電信CTCA接口標(biāo)準(zhǔn)》、《網(wǎng)上支付系統(tǒng)的接口標(biāo)準(zhǔn)》、《中國電信電子商務(wù)業(yè)務(wù)管理辦法》等，中國電信向社會免費公布CTCA系統(tǒng)接口標(biāo)準(zhǔn)和API軟件包。1/10/202386.2信任模型與PKI體系1.直接信任與第三方信任ITU-T推薦標(biāo)準(zhǔn)X.509規(guī)范中給出的定義：當(dāng)實體A假定實體B嚴格地按A所期望的那樣行動，則A信任B。在PKI中可把這個定義具體化為：如果一個用戶假定CA可以把任一公鑰綁定到某個實體上，則他信任該CA。1/10/202396.2信任模型與PKI體系信任具有不同的類別；信任具有時間差；信任具有不確定性；信任與風(fēng)險是相聯(lián)系的；信任是動態(tài)和非單調(diào)的：信任隨著實體的行為結(jié)果將動態(tài)變化；信任者依據(jù)對決策之后行動結(jié)果的信任評價，不斷修正對實體的信任程度。1/10/2023106.2信信任模模型與PKI體體系信任具有有不同的的類別：：按照涉及及到的事事件、情情況的分分類，信信任可以以表現(xiàn)為為三種期期待：對對自然與與社會的的秩序性性的期待待，對合合作伙伴伴承擔(dān)的的義務(wù)的的期待，，對某角角色的技技術(shù)能力力的期待待。在電子商商務(wù)中交交易者信信任交易易系統(tǒng)對對每個用用戶是公公平的、、對用戶戶的私有有信息是是嚴加保保密的、、交易系系統(tǒng)是穩(wěn)穩(wěn)定的并并且能夠夠完成交交易的全全過程而而且保證證交易的的正確性性等。12/29/2022116.2信信任模模型與PKI體體系信任具有有時間差差。信任任者的期期待在前前，被信信任者的的行為在在后，信信任者與與被信任任者之間間存在著著時間上上的某種種不對稱稱性。信任具有不確確定性。依據(jù)據(jù)信任而做出出的決策，產(chǎn)產(chǎn)生的行為結(jié)結(jié)果是不確定定的，即結(jié)果果可能與期望望相符也可能能與期望不符符。信任是實實體決策時的的一個主觀概概念，是一種種非理性的行行為，它處在在全知與無知知之間，是一一種依據(jù)過去去形成的信任任關(guān)系對未來來的期望。12/29/2022126.2信任任模型與PKI體系信任與風(fēng)險是是相聯(lián)系的。。信任是在對對未來事件的的不可預(yù)料中中才會有的，，行為結(jié)果的的不確定性使使信任者的決決策具有風(fēng)險險，即便決策策依據(jù)完全信信任。信任是動態(tài)和和非單調(diào)的。。信任關(guān)系的的建立有自覺覺的、強制的的、道德約束束的或法律制制約的、利益益驅(qū)動的等很很多種。信任任隨著實體的的行為結(jié)果將將動態(tài)變化。。對一個實體體得出的信任任或不信任評評價依賴于被被信任者的交交易歷史，良良好的交易評評價將得到較較高程度的信信任，信任者者依據(jù)對決策策之后行動結(jié)結(jié)果的信任評評價，不斷修修正對實體的的信任程度。。12/29/2022136.2信信任模型與與PKI體體系信任是決策策的重要因因素，但不不是唯一因因素。如實體A信信任實體B，而同時時實體B不不信任實體體A，但實實體B可能能為獲得較較大的收益益而不顧風(fēng)風(fēng)險與實體體A與進行行一次交易易。12/29/2022146.2信信任任模模型型與與PKI體體系系信任任者者與與被被信信任任者者建建立立信信任任關(guān)關(guān)系系分分為為四四個個階階段段：：1.信信任任者者對對被被信信任任者者的的行行為為進進行行信信任任評評價價，，得得到到預(yù)預(yù)測測結(jié)結(jié)果果；；2.依依據(jù)據(jù)預(yù)預(yù)測測結(jié)結(jié)果果及及其其他他參參考考因因素素，，進進行行綜綜合合決決策策，，決決定定被被信信任任者者的的行行為為是是否否發(fā)發(fā)生生；；3.若若被被信信任任者者的的行行為為發(fā)發(fā)生生，，將將產(chǎn)產(chǎn)生生實實際際結(jié)結(jié)果果；；4.對對被被信信任任者者的的行行為為結(jié)結(jié)果果進進行行信信任任評評價價，，即即比比較較預(yù)預(yù)測測結(jié)結(jié)果果與與實實際際結(jié)結(jié)果果，，根根據(jù)據(jù)信信任任評評價價修修正正信信任任關(guān)關(guān)系系。。12/29/2022156.2信信任模模型與PKI體體系(1)第第三方信信任按照有無無第三方方可信機機構(gòu)參與與，信任任可劃分分為直接接信任和和第三方方的推薦薦信任。。第三方信信任是指指兩個實實體以前前沒有建建立起信信任關(guān)系系，但雙雙方與共共同的第第三方有有信任關(guān)關(guān)系，第第三方為為兩者的的可信任任性進行行了擔(dān)保保，由此此建立起起來的信信任關(guān)系系。第三方信信任的實實質(zhì)是第第三方的的推薦信信任，是是目前網(wǎng)網(wǎng)絡(luò)安全全中普遍遍采用的的信任模模式。12/29/2022166.2信信任模模型與PKI體體系

信任

信任

信任

第三方

AliceBob第三方信任

12/29/2022176.2信信任模模型與與PKI體體系第三方方認證證的代代理機機構(gòu)為為認證證中心心CA。CA是是一個個確保保信任任度的的權(quán)威威實體體；CA的的主要要職責(zé)責(zé)是驗驗證用用戶身身份的的真實實性和和頒發(fā)發(fā)數(shù)字字證書書。。12/29/2022186.2信信任模型與與PKI體體系數(shù)字證書是是由CA簽簽發(fā)的用戶戶電子身份份證明。按照第三方方信任原則則，任何相相信該CA的人，也也應(yīng)相信持持有其證明明的用戶身身份。CA需要采采取一系列列相應(yīng)的措措施來防止止數(shù)字證書書被偽造或或篡改。數(shù)字證書由由用戶公鑰鑰和相關(guān)信信息構(gòu)成，，CA用自自己的私鑰鑰對數(shù)字證證書其簽名名。12/29/2022196.2信信任模模型與PKI體體系(2)直接信任任直接信任任是最簡簡單的信信任形式式，兩個個實體間間無須第第三方介介紹而直直接建立立信任關(guān)關(guān)系。兩個不同同CA的的實體進進行安全全通信，，而這兩兩個CA之間不不能交叉叉認證時時也需要要直接信信任。12/29/2022206.2信信任模模型與PKI體體系交叉認證證，擴展展的第三三方信任任模型。。

信任

CAAliceCABillAnneBobCA域XCA域Y第三方信任

12/29/2022216.2信任任模型與PKI體系2.PKI的體系結(jié)結(jié)構(gòu)PKI是經(jīng)過過多年研究形形成的完整的的Internet安全全解決方案。。PKI技術(shù)和和規(guī)范提供用用于安全服務(wù)務(wù)的具有普適適性的基礎(chǔ)設(shè)設(shè)施。用戶可利用PKI提供的的服務(wù)進行安安全通信。12/29/2022226.2信任任模型與PKI體系PKI系統(tǒng)由由五個部分組組成：注冊機構(gòu)(RA);策略管理;密鑰與證書管管理;密鑰備份與恢恢復(fù);撤銷系統(tǒng)等。。它們應(yīng)該有機機地結(jié)合在一一起。12/29/2022236.2信信任模模型與與PKI體體系(1)單個個CA結(jié)構(gòu)構(gòu)最簡單單的CA結(jié)結(jié)構(gòu)，，所有有用戶戶信任任該單單一的的信任任點。。12/29/2022246.2信信任任模模型型與與PKI體體系系(2)分分級級(層層次次)結(jié)結(jié)構(gòu)構(gòu)CA的的嚴嚴格格層層次次結(jié)結(jié)構(gòu)構(gòu)可可以以被被描描繪繪為為樹樹結(jié)結(jié)構(gòu)構(gòu)。。樹根根代代表表一一個個對對整整個個PKI系系統(tǒng)統(tǒng)的的所所有有實實體體都都有有特特別別意意義義的的CA，，即即根根CA。。它它充充當(dāng)當(dāng)信信任任的的根根或或““信信任任錨錨””，，也也就就是是認認證證的的起起點點或或終終點點。。在根根CA的的下下面面是是零零層層或或多多層層子子CA，，它它們們從從屬屬于于根根CA。。子CA用用中中間間節(jié)節(jié)點點表表示示，，從從中中間間節(jié)節(jié)點點再再伸伸出出分分支支。。與非非CA的的PKI實實體體相相對對應(yīng)應(yīng)的的樹樹葉葉通通常常被被稱稱作作終終端端實實體體或或被被稱稱作作終終端端用用戶戶。。12/29/2022256.2信信任模模型與PKI體體系12/29/2022266.2信信任模模型與PKI體體系該模型層層次結(jié)構(gòu)構(gòu)中的所所有實體體都信任任唯一的的根CA。層次結(jié)構(gòu)構(gòu)按如下下規(guī)則建建立：(1)根根CA認認證(更更準(zhǔn)確地地說是創(chuàng)創(chuàng)立和簽簽署證書書)直接接連接在在它下面面的CA。(2)每每個CA都認證證零個或或多個直直接連接接在它下下面的CA。(3)倒倒數(shù)第二二層的CA認證證終端實實體。12/29/2022276.2信信任模模型與PKI體體系在認證機機構(gòu)的嚴嚴格層次次結(jié)構(gòu)中中，每個個實體(包括中中介CA和終端端實體)都必須須擁有根根CA的的公鑰，，該公鑰鑰的安裝裝是在這這個模型型中為隨隨后進行行的所有有通信進進行證書書處理的的基礎(chǔ)。。在多層次次的嚴格格結(jié)構(gòu)中中，終端端實體直直接被其其上層的的CA認認證(也也就是頒頒發(fā)證書書)，但但是它們們的信任任錨是根根CA。。12/29/2022286.2信信任模型與與PKI體體系(3)網(wǎng)狀狀結(jié)構(gòu)(分分布式信任任結(jié)構(gòu))以對等CA關(guān)系建立立的交叉認認證擴展了了CA域之之間的對等等關(guān)系，這這樣的PKI系統(tǒng)成成為網(wǎng)狀結(jié)結(jié)構(gòu)。把信任分散散在兩個或或多個CA上。12/29/2022296.2信信任模型與與PKI體體系交叉認證使使多個PKI域之間間實現(xiàn)互操操作。交叉認證實實現(xiàn)的方法法有多種：：橋接CA，，即用一個個第三方CA作為橋橋，將多個個CA連接接起來，成成為一個可可信任的統(tǒng)統(tǒng)一體；多個CA的的根CA(RCA)互相簽發(fā)發(fā)根證書，，這樣當(dāng)不不同PKI域中的終終端用戶沿沿著不同的的認證鏈檢檢驗認證到到根時，就就能達到互互相信任的的目的。12/29/2022306.2信信任模型與與PKI體體系12/29/2022316.2信信任模型與與PKI體體系(4)以用戶為中中心的信任任模型：每個用戶自己己決定信任那那些證書。PGP中一個個用戶通過擔(dān)擔(dān)當(dāng)CA，并并使其公鑰被被其他人所認認證來建立信信任關(guān)系。因為要依賴于于用戶自身的的行為和決策策能力，所以以，以用戶為為中心的模型型在技術(shù)水平平較高和利害害關(guān)系高度一一致的群體中中是可行的，，在一般性大大群體中不可可行。12/29/2022326.2信任任模型與PKI體系(5)web模型：：許多CA的公公鑰被預(yù)裝在在標(biāo)準(zhǔn)的瀏覽覽器上。這些些公鑰確定了了一組瀏覽器器用戶最初信信任的CA。。盡管這組根密密鑰可以被用用戶修改，但但普通用戶不不精通PKI，難以修改改。此時，瀏覽器器廠商充當(dāng)根根CA，而與與被嵌入的密密鑰相對應(yīng)的的CA就是它它所認證的CA。這種認證并不不是通過頒發(fā)發(fā)證書實現(xiàn)的的，而是物理理地把CA的的密鑰嵌入瀏瀏覽器。12/29/2022336.2信任任模型與PKI體系12/29/2022346.2信任任模型與PKI體系Web模型在在方便性和簡簡單互操作性性方面有明顯顯的優(yōu)勢，但但存在安全隱隱患。瀏覽器用戶自自動地信任預(yù)預(yù)安裝的所有有公鑰，如果果這些根CA中有“壞壞的”，安全全性將被完全全破壞。另一個潛在的的安全隱患是是沒有實用的的機制來撤銷銷嵌入到瀏覽覽器中的根密密鑰。該模型還缺少少有效的方法法在CA和用用戶之間建立立合法協(xié)議，，致使所有的的責(zé)任最終由由用戶承擔(dān)。。12/29/2022356.2信任任模型與PKI體系12/29/202236與PKI相相關(guān)關(guān)的的標(biāo)標(biāo)準(zhǔn)準(zhǔn)1.X.209(1988)ASN.1基基本本編編碼碼規(guī)規(guī)則則的的規(guī)規(guī)范范ASN.1是是描描述述在在網(wǎng)網(wǎng)絡(luò)絡(luò)上上傳傳輸輸信信息息格格式式的的標(biāo)標(biāo)準(zhǔn)準(zhǔn)方方法法。。2.X.500(1993)信信息息技技術(shù)術(shù)之之開開放放系系統(tǒng)統(tǒng)互互聯(lián)聯(lián)：：概概念念、、模模型型及及服服務(wù)務(wù)簡簡述述它定定義義了了一一個個機機構(gòu)構(gòu)如如何何在在全全局局范范圍圍內(nèi)內(nèi)共共享享其其名名字字和和與與之之相相關(guān)關(guān)的的對對象象。。(目目錄錄服服務(wù)務(wù))12/29/202237與PKI相相關(guān)關(guān)的的標(biāo)標(biāo)準(zhǔn)準(zhǔn)3．．X.509(1993)信信息息技技術(shù)術(shù)之之開開放放系系統(tǒng)統(tǒng)互互聯(lián)聯(lián)：：鑒鑒別別框框架架4．．PKCS系系列列標(biāo)標(biāo)準(zhǔn)準(zhǔn)由RSA實實驗驗室室制制訂訂的的PKCS系系列列標(biāo)標(biāo)準(zhǔn)準(zhǔn)，，是是一一套套針針對對PKI體體系系的的加加解解密密、、簽簽名名、、密密鑰鑰交交換換、、分分發(fā)發(fā)格格式式及及行行為為標(biāo)標(biāo)準(zhǔn)準(zhǔn)，，該該標(biāo)標(biāo)準(zhǔn)準(zhǔn)目目前前已已經(jīng)經(jīng)成成為為PKI體體系系中中不不可可缺缺少少的的一一部部分分。。12/29/202238與PKI相關(guān)的的標(biāo)準(zhǔn)5．OCSP在在線證書書狀態(tài)協(xié)協(xié)議OCSP是IETF頒頒布的用用于檢查查數(shù)字證證書在某某一交易易時刻是是否仍然然有效的的標(biāo)準(zhǔn)。。6．LDAP輕輕量級級目錄訪訪問協(xié)議議LDAP規(guī)范(RFC1487)簡簡化了笨笨重的X.500目錄錄訪問協(xié)協(xié)議，在在功能性性、數(shù)據(jù)據(jù)表示、、編碼和和傳輸方方面都進進行了相相應(yīng)的修修改。1997年LDAP第第3版本本成為互互聯(lián)網(wǎng)標(biāo)標(biāo)準(zhǔn)。12/29/202239與PKI相相關(guān)的的標(biāo)準(zhǔn)準(zhǔn)SET協(xié)議議SSL協(xié)議議12/29/20224012/29/2022416.3證書1.證書的的概念數(shù)字證書是是網(wǎng)絡(luò)通信信中標(biāo)志通通信各方身身份信息的的一系列數(shù)數(shù)據(jù)，其作作用類似于于現(xiàn)實生活活中的身份份證。數(shù)字證書由由權(quán)威機構(gòu)構(gòu)發(fā)行，人人們交往中中它來識別別對方的身身份。12/29/2022426.3證書書數(shù)字字證證書書的的作作用用：：訪問問需需要要客客戶戶進進行行身身份份驗驗證證的的安安全全的的INTERNET站站點點時時使使用用證證書書。。(雙雙向向)使用用對對方方的的數(shù)數(shù)字字證證書書(所所攜攜帶帶的的公公鑰鑰)向向?qū)Ψ椒桨l(fā)發(fā)送送加加密密的的郵郵件件時時使使用用證證書書。。給對對方方發(fā)發(fā)送送帶帶自自己己的的數(shù)數(shù)字字簽簽名名的的郵郵件件時時使使用用證證書書。。12/29/2022436.3證書書系統(tǒng)統(tǒng)證證書書：：CA系系統(tǒng)統(tǒng)自自身身的的證證書書；；用戶戶證證書書：：個個人人用用戶戶證證書書，，企企業(yè)業(yè)用用戶戶證證書書，，服服務(wù)務(wù)器器用用戶戶證證書書。。用于數(shù)字簽名名的證書：保保證信息的不不可否認性；；用于加密的證證書：保證信信息的真實性性和完整性。。12/29/2022446.3證書12/29/2022456.3證書一級證證書：：由CA中中心受受理、、審核核、發(fā)發(fā)放。。二級證證書：：由業(yè)業(yè)務(wù)受受理點點受理理、審審核、、發(fā)放放。三級證證書：：由業(yè)業(yè)務(wù)受受理點點或網(wǎng)網(wǎng)絡(luò)安安全地地受理理、審審核、、發(fā)放放。12/29/2022466.3證書2.證證書格格式：：證書的的格式式由ITU-T標(biāo)準(zhǔn)準(zhǔn)X.509V3來來定義義。該標(biāo)準(zhǔn)準(zhǔn)中證證書包包括申申請證證書個個體的的信息息和發(fā)發(fā)行證證書CA的的信息息。12/29/202247ITU-TX．．509標(biāo)標(biāo)準(zhǔn)準(zhǔn)X.509方方案案默默認認公公鑰鑰密密碼碼體體制制；；X.509標(biāo)標(biāo)準(zhǔn)準(zhǔn)提提供供一一種種標(biāo)標(biāo)準(zhǔn)準(zhǔn)證證書書格格式式CRL；；X.509有有不不同同的的版版本本：：X.509V2和和x.509v3，，都都是是X.509V1基基礎(chǔ)礎(chǔ)上上進進行行功功能能的的擴擴充充，，其其中中每每一一版版本本必必須須包包含含下下列列信信息息：：(1)版版本本號號(2)序序列列號號(3)簽簽名名算算法法標(biāo)標(biāo)識識符符(4)認認證證機機構(gòu)構(gòu)(5)有有效效期期限限(6)主主題題信信息息(7)認認證證機機構(gòu)構(gòu)的的數(shù)數(shù)字字簽簽名名(8)公公鑰鑰信信息息12/29/202248ITU-TX．509標(biāo)準(zhǔn)準(zhǔn)序列號是是由CA給予每每一個證證書分配配的唯一一數(shù)字型型編號。。當(dāng)證書書被取消消時，將將該證書書的序列列號放入入由CA簽發(fā)的的CRL中；序序列號是是唯一；；簽名算法法標(biāo)識符符是用來來指定用用CA簽簽發(fā)證書書時所使使用的簽簽名算法法和HASH算算法。算算法須向向國際指指明標(biāo)準(zhǔn)準(zhǔn)組織注注冊；認證機構(gòu)構(gòu)是頒發(fā)發(fā)該證書書的、唯唯一的CA機構(gòu)構(gòu)的x.500名字；；12/29/202249ITU-TX．509標(biāo)準(zhǔn)準(zhǔn)有效期限限包括證證書開始始生效期期和證書書失效的的日期時時間；主題信息息是證書書持有人人的姓名名、服務(wù)務(wù)處所等等信息；；公鑰信息息包括被被證明有有效的公公鑰值和和加上使使用這個個公鑰的的方法名名稱。12/29/202250ITU-TX．509標(biāo)準(zhǔn)X.509的的擴展(V3)允許通通過標(biāo)準(zhǔn)化和和類的方式將將證書進行擴擴展，從而適適應(yīng)下面的一一些要求一個證書主體體可以有多個個證書；證書主體可以以被多個組織織或社團的其其他用戶識別別；可按特定的應(yīng)應(yīng)用名(不是是X.500名)識別用用戶，如將公公鑰同EMAIL地址聯(lián)聯(lián)系起來；在不同證書政政策和不同應(yīng)應(yīng)用方式下會會發(fā)放不同的的證書；12/29/202251ITU-TX．509標(biāo)準(zhǔn)準(zhǔn)任何人可以以向適當(dāng)?shù)牡臋?quán)利機構(gòu)構(gòu)注冊一種種擴展。將將來會有更更多的適于于應(yīng)用的擴擴展列入標(biāo)標(biāo)準(zhǔn)擴展集集中。擴展機制應(yīng)應(yīng)該是可以以繼承的。。每一種擴展展包括三個個域：類型型、可否缺缺省、值。。12/29/202252ITU-TX．509標(biāo)準(zhǔn)準(zhǔn)公開密鑰證證書的標(biāo)準(zhǔn)準(zhǔn)擴展可以以分為密鑰鑰和政策信信息，主體體和發(fā)證人人屬性，證證書通路約約束，與CRL有關(guān)關(guān)的補充；；12/29/2022536.3證書(1)證證書數(shù)據(jù)版本信息，，用來與X.509的將來版版本兼容；；證書序列號號，每一個個由CA發(fā)發(fā)行的證書書必須有一一個唯一的的序列號；；CA所使用用的簽名算算法；發(fā)行證書CA的名稱稱；12/29/2022546.3證書書證書書的的有有效效期期限限；；證書書主主題題名名稱稱；；被證證明明的的公公鑰鑰信信息息：：公公鑰鑰算算法法、、公公鑰鑰；；包含含額額外外信信息息的的特特別別擴擴展展。。12/29/2022556.3證書書(2)發(fā)發(fā)行行證證書書的的CA簽簽名名證書書第第二二部部分分包包括括發(fā)發(fā)行行證證書書的的CA簽簽名名和和用用來來生生成成數(shù)數(shù)字字簽簽名名的的簽簽名名算算法法。。任何人人收到到證書書后都都能使使用簽簽名算算法來來驗證證證書書是由由CA的簽簽名密密鑰簽簽發(fā)的的。12/29/2022566.3證書12/29/2022576.3證書12/29/2022586.3證書3.證證書認認證系系統(tǒng)用戶注注冊：：在線線申請請，直直接申申請。。用戶資資料審審核產(chǎn)生、、驗證證和分分發(fā)密密鑰(1)用戶戶產(chǎn)生生密鑰鑰對，，將公公鑰送送CA；(2)CA產(chǎn)生生密鑰鑰對，，將密密鑰送送用戶戶。12/29/2022596.3證書證書頒頒發(fā)：：對于申申請者者：在在線下下載，，制作作成存存放介介質(zhì)。。對證書書申請請者：：IC卡，，在線線傳送送。證書查查詢：：X.509建建議CA提提供基基于LDAP的的查詢詢服務(wù)務(wù)。12/29/2022606.3證書證書作廢廢①作廢1個或多多個整體體證書；；②作廢由由某一密密鑰簽發(fā)發(fā)的證書書；③作廢由由某CA簽發(fā)的的證書。。作廢證書書信息寫寫入作廢廢證書表表(CRL)。。黑名單。。證書狀態(tài)態(tài)在線查查詢12/29/2022616.3證書密鑰備份份和恢復(fù)復(fù)僅支持脫脫密密鑰鑰不備份數(shù)數(shù)字簽名名密鑰匙匙密鑰更新新與歸檔檔12/29/2022626.3證書證書獲?。海韩@得他人人的證書，，或?qū)⒆C書書送給他人人。數(shù)字簽名中中附帶證書書；單獨發(fā)送證證書；從證書相關(guān)關(guān)實體獲得得證書。證書驗證12/29/2022636.3證書12/29/2022646.3證書書12/29/2022656.3證書書12/29/2022666.3證書12/29/202267PKI服務(wù)務(wù)1．認認證證甲乙雙雙方認認證：：甲首首先要要驗證證乙的的證書書的真真?zhèn)危?，?dāng)乙乙在網(wǎng)網(wǎng)上將將證書書傳送送給甲甲時，，甲首首先要要用CA的的公鑰鑰解開開證書書上CA的的數(shù)字字簽名名，如如果簽簽名通通過驗驗證，，則證證明乙乙持有有的證證書是是真的的；接接著甲甲還要要驗證證乙身身份的的真?zhèn)蝹?，乙乙可以以將自自己的的口令令用自自己的的私鑰鑰進行行數(shù)字字簽名名傳送送給甲甲，甲甲已經(jīng)經(jīng)從乙乙的證證書中中或從從證書書庫中中查得得了乙乙的公公鑰，，甲就就可以以用乙乙的公公鑰來來驗證證乙的的數(shù)字字簽名名。如如果該該簽名名通過過驗證證，乙乙在網(wǎng)網(wǎng)上的的身份份就確確鑿無無疑。。12/29/202268PKI服務(wù)務(wù)2．?dāng)?shù)數(shù)據(jù)完完整性性服務(wù)務(wù)實現(xiàn)該該服務(wù)務(wù)主要要借助助數(shù)字字簽名名。3．?dāng)?shù)數(shù)據(jù)保保密性性服務(wù)務(wù)PKI的保保密性性服務(wù)務(wù)采用用了““數(shù)字字信封封”機機制。。4．不不可否否認性性服務(wù)務(wù)5．公公證服服務(wù)PKI的公公證服服務(wù)指指“數(shù)數(shù)據(jù)認認證””，公公證人人要證證明的的是數(shù)數(shù)據(jù)的的有效效性和和正確確性，，這種種公證證取決決于數(shù)數(shù)據(jù)驗驗證的的方式式。12/29/202269PKI應(yīng)用用模式式1：電電子商商務(wù)應(yīng)應(yīng)用2：電電子政政務(wù)主要內(nèi)內(nèi)容：：網(wǎng)上上信息息發(fā)布布、辦辦公自自動化化、網(wǎng)網(wǎng)上辦辦公、、信息息資源源共享享等。。按應(yīng)用用模式式也可可分為為G2C、、G2B、、G2G。。3：網(wǎng)網(wǎng)上銀銀行提供信信息查查詢、、對賬賬、網(wǎng)網(wǎng)上支支付、、資金金劃轉(zhuǎn)轉(zhuǎn)、信信貸業(yè)業(yè)務(wù)、、投資資理財財?shù)冉鸾鹑诜?wù)。。網(wǎng)上銀銀行的的應(yīng)用用模式式有B2C個人人業(yè)務(wù)務(wù)和B2B對公公業(yè)務(wù)務(wù)兩種種。12/29/202270PKI應(yīng)用用模式4：網(wǎng)上證證券網(wǎng)上證券廣廣義地講是是證券業(yè)的的電子商務(wù)務(wù)，包括網(wǎng)網(wǎng)上證券信信息服務(wù)、、網(wǎng)上股票票交易和網(wǎng)網(wǎng)上銀證轉(zhuǎn)轉(zhuǎn)賬等。12/29/2022719、靜夜四無鄰鄰，荒居舊業(yè)業(yè)貧。。12月-2212月-22Thursday,December29,202210、雨中黃葉葉樹，燈下下白頭人。。。20:48:5520:48:5520:4812/29/20228:48:55PM11、以我我獨沈沈久，，愧君君相見見頻。。。12月月-2220:48:5520:48Dec-2229-Dec-2212、故人江海海別，幾度度隔山川。。。20:48:5520:48:5520:48Thursday,December29,202213、乍乍見見翻翻疑疑夢夢，，相相悲悲各各問問年年。。。。12月月-2212月月-2220:48:5520:48:55December29,202214、他鄉(xiāng)鄉(xiāng)生白白發(fā)，，舊國國見青青山。。。29十十二二月20228:48:55下下午20:48:5512月月-2215、比不了得就就不比，得不不到的就不要要。。。十二月228:48下下午12月-2220:48December29,202216、行動出成果果，工作出財財富。。2022/12/2920:48:5520:48:5529December202217、做前，，能夠環(huán)環(huán)視四周周；做時時，你只只能或者者最好沿沿著以腳腳為起點點的射線線向前。。。8:48:55下午午8:48下午午20:48:5512月-229、沒有失敗敗，只有暫暫時停止成成功！。12月-2212月-22Thursday,December29,202210、很多事事情努力力了未必必有結(jié)果果，但是是不努力力卻什么么