《網(wǎng)絡(luò)安全》第講

第3章密鑰管理技術(shù)3.4公開密鑰基礎(chǔ)設(shè)施（PKI）

公開密鑰基礎(chǔ)設(shè)施（PublicKeyInfrastructure，PKI）是指用公鑰概念和技術(shù)來實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施。也就是說，PKI是支持公開密鑰的管理并提供真實(shí)性、保密性、完整性以及不可否認(rèn)性安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施，能夠?yàn)槊舾型ㄐ藕徒灰滋峁┮惶仔畔踩Ｕ?。PKI技術(shù)是公開密鑰系統(tǒng)信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。3.4公開密鑰基礎(chǔ)設(shè)施（PKI）

PKI概述1.公鑰密碼體制的基本概念1）密鑰對在基于公鑰體系的安全系統(tǒng)中，密鑰是成對生成的，每對密鑰由一個公鑰和一個私鑰組成。在實(shí)際應(yīng)用中，私鑰由擁有者自己保存，而公鑰則需要公布于眾。為了使基于公鑰體系的業(yè)務(wù)（如電子商務(wù)等）能夠廣泛應(yīng)用，一個關(guān)鍵的基礎(chǔ)性問題就是公鑰的分發(fā)與管理。公鑰本身并沒有什么標(biāo)記，僅從公鑰本身不能判別公鑰的主人是誰。3.4公開密鑰基礎(chǔ)設(shè)施（PKI）

PKI概述1.公鑰密碼體制的基本概念2）數(shù)字證書

數(shù)字證書是將公鑰和公鑰的主人名字聯(lián)系在一起，再請一個大家都信得過的有信譽(yù)的公正、權(quán)威機(jī)構(gòu)確認(rèn)，并加上這個權(quán)威機(jī)構(gòu)的簽名，這就形成了證書。由于證書上有權(quán)威機(jī)構(gòu)的簽字，所以大家都認(rèn)為證書上的內(nèi)容是可信任的；又由于證書上有主人的名字等身份信息，別人就很容易地知道公鑰的主人是誰?；ヂ?lián)網(wǎng)絡(luò)的用戶群絕不是幾個人互相信任的小集體，在這個用戶群中，從法律角度講用戶彼此之間都不能輕易信任，所以公鑰加密體系采取數(shù)字證書解決了公鑰的發(fā)布和彼此信任的問題。3.4公開密鑰基礎(chǔ)設(shè)施（PKI）

PKI概述1.公鑰密碼體制的基本概念3）電子認(rèn)證中心

電子認(rèn)證中心（即CA）是負(fù)責(zé)證書認(rèn)證的權(quán)威機(jī)構(gòu)。CA也擁有一個證書（內(nèi)含公鑰），當(dāng)然，它也有自己的私鑰，所以它有簽字的能力。網(wǎng)上的公眾用戶通過驗(yàn)證CA的簽字從而信任CA，任何人都應(yīng)該可以得到CA的證書（含公鑰），用公鑰來驗(yàn)證它所簽發(fā)的證書。如果用戶想得到一份屬于自己的證書，他應(yīng)先向CA提出申請。在CA判明申請者的身份后，便為他分配一個公鑰，并且CA將該公鑰與申請者的身份信息綁在一起，并為之簽字后，便形成證書發(fā)給那個用戶（申請者）。如果一個用戶想鑒別另一個證書的真?zhèn)?，他就用CA的公鑰對那個證書上的簽字進(jìn)行驗(yàn)證（如前所述，CA簽字實(shí)際上是經(jīng)過CA私鑰加密的信息，簽字驗(yàn)證的過程還伴隨使用CA公鑰解密的過程），一旦驗(yàn)證通過，該證書就被認(rèn)為是有效的。CA除了簽發(fā)證書之外，它的另一個重要作用是證書和密鑰的管理。由此可見，證書就是用戶在網(wǎng)上的電子個人身份證，同日常生活中使用的個人身份證作用一樣。CA相當(dāng)于網(wǎng)上公安局，專門發(fā)放、驗(yàn)證身份證。3.4公開密鑰基礎(chǔ)設(shè)施（PKI）

PKI概述2.PKI的組成和基本功能

完整的PKI系統(tǒng)應(yīng)該具有五大系統(tǒng)，包括了認(rèn)證中心CA、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、客戶端應(yīng)用接口系統(tǒng)等基本構(gòu)成部分。每個系統(tǒng)的具體內(nèi)容如下：（1）認(rèn)證中心CA。認(rèn)證中心CA是證書的簽發(fā)機(jī)構(gòu)和權(quán)威認(rèn)證機(jī)構(gòu)，是PKI的核心。認(rèn)證中心是保證電子商務(wù)、電子政務(wù)、網(wǎng)上銀行、網(wǎng)上證券等環(huán)境秩序的第三方機(jī)構(gòu)，具有權(quán)威性、可信任性和公正性的特征。（2）數(shù)字證書庫。數(shù)字證書庫是CA頒發(fā)證書和撤銷證書的集中存儲區(qū)域，用于存放已簽發(fā)過的數(shù)字證書及公鑰，可供用戶進(jìn)行開放式查詢，獲得所需的其他用戶的證書及公鑰。3.4公開密鑰基礎(chǔ)設(shè)施（PKI）

PKI概述2.PKI的組成和基本功能

完整的PKI系統(tǒng)應(yīng)該具有五大系統(tǒng)，包括了認(rèn)證中心CA、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、客戶端應(yīng)用接口系統(tǒng)等基本構(gòu)成部分。每個系統(tǒng)的具體內(nèi)容如下：（3）密鑰備份及恢復(fù)系統(tǒng)。PKI提供了密鑰備份和恢復(fù)解密密鑰機(jī)制，密鑰的備份與恢復(fù)必須由可信的機(jī)構(gòu)來完成。密鑰備份與恢復(fù)只能針對解密密鑰，簽名私鑰為確保其惟一性不能夠作備份。該機(jī)制是針對用戶如果丟失了用于解密數(shù)據(jù)的密鑰，加密數(shù)據(jù)將無法被解密而造成合法數(shù)據(jù)的丟失。為避免這種情況，PKI提供了備份與恢復(fù)密鑰的機(jī)制。3.4公開密鑰基礎(chǔ)設(shè)施（PKI）

PKI概述2.PKI的組成和基本功能

完整的PKI系統(tǒng)應(yīng)該具有五大系統(tǒng)，包括了認(rèn)證中心CA、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、客戶端應(yīng)用接口系統(tǒng)等基本構(gòu)成部分。每個系統(tǒng)的具體內(nèi)容如下：（4）證書作廢處理系統(tǒng)。任何證書都有一定的有效期，PKI系統(tǒng)必須定期自動更換證書和密鑰，超過有效期限的證書就要進(jìn)行作廢處理，因此證書作廢處理系統(tǒng)是PKI的一個必備組件。證書作廢的原因也可能是密鑰介質(zhì)丟失或用戶身份變更等。

3.4公開密鑰基礎(chǔ)設(shè)施（PKI）

PKI概述2.PKI的組成和基本功能

完整的PKI系統(tǒng)應(yīng)該具有五大系統(tǒng)，包括了認(rèn)證中心CA、數(shù)字證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)、客戶端應(yīng)用接口系統(tǒng)等基本構(gòu)成部分。每個系統(tǒng)的具體內(nèi)容如下：（5）客戶端應(yīng)用接口系統(tǒng)。用戶使用PKI系統(tǒng)需要在客戶端裝有軟件，或者使用應(yīng)用接口系統(tǒng)。這些應(yīng)用接口系統(tǒng)使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，申請人可以通過瀏覽器申請、下載證書，并可以查詢證書的各種信息，對特定的文檔提供時(shí)間戳請求等。PKI應(yīng)用接口系統(tǒng)使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與PKI交互，確保安全網(wǎng)絡(luò)環(huán)境的完整性和易用性。3.4公開密鑰基礎(chǔ)設(shè)施（PKI）

PKI概述2.PKI的組成和基本功能構(gòu)建PKI也圍繞著這五大系統(tǒng)來進(jìn)行，實(shí)用的PKI體系必須具有安全性、易用性、靈活性和經(jīng)濟(jì)性，還必須充分考慮互操作性和可擴(kuò)展性。PKI的基礎(chǔ)技術(shù)包括加密、數(shù)字簽名、數(shù)據(jù)完整性機(jī)制、數(shù)字信封、雙重?cái)?shù)字簽名等。一個典型、完整、有效的PKI應(yīng)用系統(tǒng)的基本功能包括：公鑰密碼證書管理、黑名單的發(fā)布和管理、密鑰的備份和恢復(fù)、自動更新密鑰、自動管理歷史密鑰和支持交叉認(rèn)證。為了保證系統(tǒng)的可用性，對PKI的結(jié)構(gòu)進(jìn)行了層次劃分，便于系統(tǒng)構(gòu)建。PKI主要由三個層次構(gòu)成，如圖3.4所示。3.正4公開剃密鑰矛基礎(chǔ)榜設(shè)施嫌（PK喂I）PK準(zhǔn)I概述2.峰PK匯I的組右成和裝基本也功能為了疊保證碎系統(tǒng)繁的可用顏性，船對PK債I的結(jié)構(gòu)進(jìn)剩行了溝層次鹿劃分剝，便于翅系統(tǒng)愿構(gòu)建環(huán)。PK奸I主要舌由三泊個層擺次構(gòu)成傅，怪如圖3.查4所示吩。圖3.秒4PK訓(xùn)I系統(tǒng)框應(yīng)用蜜框架抖層次秧圖3.拜4公開掌密鑰它基礎(chǔ)廚設(shè)施儉（PK蛾I）3.趟4.朗2公鑰箏密碼搭體制碼的原繼理與透算法詳見姻“2.卻4公鑰距（非望對稱導(dǎo)）密碼鉆體制”相教關(guān)內(nèi)猾容1.公鑰龍密碼煤體制壘的原主理公鑰姑密碼些體制航基本桑通信誓模型2.單向御函數(shù)1)豬可屆逆函央數(shù)2)慚單危向函孤數(shù)3．?dāng)D用于竄構(gòu)造殊公鑰伶密碼歡常用以的單燈向函伴數(shù)1)油多潛項(xiàng)式堤求根2)洋離啊散對恰數(shù)3)大整仔數(shù)分寶解……3.方4公開控密鑰證基礎(chǔ)咐設(shè)施素（PK恥I）公鑰癥證書1.證書弓的結(jié)滾構(gòu)和農(nóng)格式目前夠使用正較多柴的證旁書是密按照國際載電信壓聯(lián)盟IT預(yù)U么X.陵50栽9協(xié)議墾定義略的，盡管X.墓50閣9已經(jīng)狡定義拜了證只書的娛標(biāo)準(zhǔn)歐字段曲和擴(kuò)話展字滿段的除具體敗要求皂，桂但仍許有很屆多的勒證書寨在頒厚發(fā)時(shí)酒需要仍一個蟲專門求的協(xié)聯(lián)議子旁集來柱進(jìn)一萄步定爽義說填明。In瓶te牢rn睬et工程巷任務(wù)政組（IE烘TF）PK碎I什X裝.5盡09工作版組就被制定綢了這撥樣一悲個協(xié)傳議子忌集，綢即RF框C2券45腎9（PK危IX的第扯一部潤分）寒，RF裂C2希45怖9是專喝門為In輕te闖rn聯(lián)et的應(yīng)潮用環(huán)喘境而疊制定約的。一份X.擾50虎9證書營是一悟些標(biāo)竿準(zhǔn)字算段的托集合,這些嫩字段貓包含捆有關(guān)溜用戶迎或設(shè)救備及攝其相燃應(yīng)公水鑰的梯信息箱的通聰用證殿書格怠式，脊所有瞞的證收書都勿符合X.釣50莖9標(biāo)準(zhǔn)惱。表3.距1給出陪了X.演50謀9洽V3的證銹書結(jié)化構(gòu)。3.狠4公開亂密鑰叨基礎(chǔ)朝設(shè)施獵（PK塊I）公鑰伶證書1.證書圓的結(jié)岡構(gòu)和辭格式表3.演1X.轉(zhuǎn)50榮9平V3證書足結(jié)構(gòu)Au財(cái)th師or見it他y密鑰背標(biāo)識斥符(A侍ut階ho陪ri悲ty黨K懂ey慚I嶄de蹤蝶nt姨if湯ie蘆r)：用敘來驗(yàn)事證證磨書密且鑰的墨惟一博標(biāo)識慌符，衫用來質(zhì)區(qū)分棍同一析個證緞書頒丙發(fā)者被的多孟對密新鑰。主體項(xiàng)密鑰批標(biāo)識子符(S講ub澡je削ct憤K滾ey耀I(xiàn)難de乘nt奇if疊ie絲式r)：證敵書所畏含密帆鑰的失惟一懲標(biāo)識嘩符，租用來織區(qū)分游同一疫個證透書擁紋有者擾的多映對密胳鑰。密鑰存使用(K界ey圾u劑sa慶ge敢)：一應(yīng)個比殲特串我，指想明(限定)利用拒證書胡中的奶公鑰刮可完谷成的畫各項(xiàng)顆功能從或服慢務(wù)，爽如數(shù)物字簽本名、華不可鏟否認(rèn)滾性。擴(kuò)展樸密鑰目使用慨：由射一個洪或多冬個對朗象標(biāo)舌識符(O民ID惡s)組成獻(xiàn)，用片以說罰明證崖書中伴密鑰至的特扶別用課途。CR飛L分布頃點(diǎn)：松指明各證書陜撤消河列表(C系RL，Ce噸rt剖if尋ic結(jié)at魚io丘n觸Re赤vo幣ke匠L英is有t)分段句的地些點(diǎn)。私鑰菜使用尖期：竟指明謠與證膛書中注公鑰味相聯(lián)拿系的拋私鑰蒙的使?jié)撚闷跔肯?，憂用于黎數(shù)字建簽名噸證書姓。證書拜策略掛：說住明一字系列談的與竄證書返頒發(fā)妥和使竄用有在關(guān)的鞭策略室對象漁標(biāo)識忠符和程可選城的限詢定符肯。策略源映射屢：表得明在刻兩個CA域之鹽間的勁一個考或多賓個策桑略對擊象標(biāo)拉識符訴的等予價(jià)映稻射關(guān)貴系。主體已別名(S傘ub悔je東ct孩A外lt債er凱na音ti遷ve粘N碌am觸e)：指煤出證尾書擁毛有者已的別累名(例如夾，電饑子郵炎件地剝址、IP地址掉、UR該I等等)。14證書向?qū)嵗篧i閉nd啞ow益s靠20舊00中Ad圾mi景ni兇st霧ra壤to窩r用戶旱頒發(fā)不的用損于文鈔件故眼障恢男復(fù)的怖自簽?zāi)好?S僻el豆f-蘋si朱gn尊ed南)證書襯中前7項(xiàng)內(nèi)認(rèn)容。版本伐號序列各號簽名頒發(fā)敞者有效員期主體主體左公鑰喬信息3.持4公開補(bǔ)密鑰悟基礎(chǔ)瘡設(shè)施漠（PK牛I）公鑰減證書1.證書矩的結(jié)些構(gòu)和屢格式除了X.循50孫9證書班外，衣在各昂種不帶同的徹應(yīng)用妙場合怕還有閃其他鳥證書勤。1）改簡單李公開眾密鑰蓮基礎(chǔ)銹設(shè)施蜓（SP觸KI）簡單栗公開岔密鑰效基礎(chǔ)夜設(shè)施黑（SP皮KI）是場一個濱獨(dú)立毀的IE圈TF工作環(huán)組的它工作沃成果辟，該聰工作姜組致雷力于虎為In潑te移rn包et提供跨一個匠簡單委的公建開密碧鑰基孝礎(chǔ)設(shè)醉施。嶺該IE烤TF工作肝組的茅目標(biāo)亡是發(fā)互展支春持IE改TF公鑰剝證書彎格式冬、簽綿名和仇其他克格式絮以及戰(zhàn)密鑰牙獲取盤協(xié)議廉的In繳te演rn扮et標(biāo)準(zhǔn)耳。SP冰KI密鑰中證書并格式懷以及極相關(guān)各協(xié)議剩應(yīng)該旱是簡常單易莖懂、樓易于逆實(shí)現(xiàn)等和使蝦用的牛。SP居KI的工扇作重杰點(diǎn)在意于授偶權(quán)而以不是胸身份史認(rèn)證未，因賀此SP會KI證書洞也叫樹授權(quán)阿證書但。SP讓KI授權(quán)裹證書效的主愿要目饑的就椅是傳節(jié)遞許梨可權(quán)猜，當(dāng)才然也救有授艙予許座可權(quán)護(hù)的能律力。3.級4公開糧密鑰恐基礎(chǔ)覺設(shè)施搏（PK蔥I）公鑰致證書1.證書披的結(jié)倉構(gòu)和彈格式除了X.夸50傳9證書鈔外，佳在各五種不窮同的圈應(yīng)用丑場合蝕還有幫其他丸證書掉。2）PG怕P密鑰耍格式籍證書PG堵P密鑰最格式磁證書爽應(yīng)用泉于PG尋P（Pr肅et調(diào)ty陵G暑oo墊d俱Pr爸iv渴ac勞y）體號系中偶，PG組P是一輸種對愁電子枕郵件魂和文靠件進(jìn)硬行加省密與揪數(shù)字聯(lián)簽名蘆的方?jīng)_法。百最凳新的PG鳴P版本Op盈en紛PG痛P，佛以IE共TF的標(biāo)楚準(zhǔn)“Op雹en輛PG化P報(bào)文短格式箭”的謝形式減頒布舉。朋該標(biāo)唐準(zhǔn)規(guī)般范了雄在兩場個實(shí)守體間脹傳遞緩信息復(fù)和文幼件時(shí)穩(wěn)的PG壓P報(bào)文排格式抹，許以及襖在兩擁個實(shí)溫體間秒傳遞PG吵P密鑰瘦（或松稱為PG惡P證書脊）的旬報(bào)文惹格式挪。PG狹P標(biāo)準(zhǔn)豆在In尋te瞧rn仆et上得戚到了單應(yīng)用胳，PG街P密鑰環(huán)格式意的證功書也冊發(fā)揮捐了重隨要作挎用，也但萬它所逃有的臺信任君決策柏主要自是基值于個或人，襲而臥不是艦針對喚組織授和機(jī)跌構(gòu)。PG牢P方案您對企款業(yè)內(nèi)疑部網(wǎng)德來說假，條不是賊最好業(yè)的解撇決方圣案。3.匠4公開懇密鑰想基礎(chǔ)豈設(shè)施釀（PK聲I）公鑰誦證書1.證書膏的結(jié)謀構(gòu)和肢格式除了X.博50莫9證書宿外，魚在各貓種不插同的山應(yīng)用依場合猛還有史其他殊證書鐵。3）翻安全門電子俗交易正（SE跳T）標(biāo)透準(zhǔn)安全忍電子究交易因（SE茂T）標(biāo)穗準(zhǔn)定備義了腐在分含布式哲網(wǎng)絡(luò)變（如償因特奔網(wǎng)）男上進(jìn)溝行信詠用卡址支付擠交易漁所需垮的標(biāo)棒準(zhǔn)。SE長T定義駁了一駝種標(biāo)貫準(zhǔn)的灣支付腰協(xié)議泥，也并且眉規(guī)范儲了協(xié)紛議中尼采用PK仁I所需撞的條收件。SE豆T采用變了X.轎50致9援V3版本象公鑰擋證書野的格似式，假但喇是采縮慧用了派標(biāo)準(zhǔn)退擴(kuò)展奏的一奔些屬焦性要擠求，游制疼定了撲自己擁私有黎的擴(kuò)名展。雖然SE記T證書挺的格企式兼落容于X.雕50乎9戰(zhàn)V3版本區(qū)格式然，棋但非SE讀T應(yīng)用圾無法情識別SE酬T定義師的私震有擴(kuò)碼展，孩所淺以非SE口T應(yīng)用眾（如S/冶MI僅ME格式逐）的主電子薄郵件胃就無鴨法接算收SE弟T證書日。3.剛4公開端密鑰豈基礎(chǔ)怠設(shè)施僵（PK怖I）公鑰革證書1.證書匪的結(jié)灑構(gòu)和市格式除了X.腎50零9證書列外，庭在各泥種不肚同的亡應(yīng)用薄場合殲還有安其他姥證書仇。4）構(gòu)屬性睛證書屬性柴證書宏不是姓公鑰杰證書瓣，脖盡管啟在X.谷50茂9建議鹿中定版義了解屬性感證書姐的基即本AS讓N.兆1結(jié)構(gòu)咽。害屬性栽證書葡用來脊傳遞坦一個染給定驕主體勇的屬姓性，舊以濱便實(shí)位現(xiàn)靈錢活、負(fù)可否擴(kuò)展慘的特毛權(quán)管響理。炊屬混性證泥書的閘主體儲可以垃結(jié)合顧相應(yīng)獅公鑰己證書志通過材“指內(nèi)針”俊來確更定。3.森4公開個密鑰趟基礎(chǔ)思設(shè)施康（PK教I）公鑰劈燕證書2.證書莊的使巖用①公鑰拒證書弟通常符用來笑為實(shí)晶現(xiàn)安爭全的楊信息許交換雙建立刪身份四并創(chuàng)蛙建信餡任，檢所以冶證書揀頒發(fā)構(gòu)機(jī)構(gòu)(C打A)可以雜把證巷書頒遍發(fā)給略人員程、猶設(shè)備責(zé)和計(jì)聰算機(jī)孕上運(yùn)劑行的躺服務(wù)匆。某些潤情況訊下，男計(jì)持算機(jī)鈴必須叛能夠擺在高欲度信乘任涉草及交察易的篇其他得設(shè)備核、貴服務(wù)陪或個雞人身比份的透情況建下進(jìn)填行信下息交紀(jì)換。谷某埋些情怨況下顆，脖人們默需要尼在高跨度信徒任涉炕及交椅易的肝其他辭設(shè)備吐、田服務(wù)鏈或個酬人身駝份的級情況碎下進(jìn)哀行信盯息交紗換。映運(yùn)阻行在甘計(jì)算請機(jī)上測的應(yīng)進(jìn)用程伏序和塵服務(wù)柱也頻涉繁地灘需要凝確認(rèn)酬它們冊正在哨訪問權(quán)的信慚息來鬼自可都信任押的信繪息源漆。當(dāng)兩堪個實(shí)找體（秩例如涉設(shè)備忘、游個人已、挺應(yīng)用氣程序術(shù)或服薦務(wù)）裳試圖泛建立酬身份塔和信譯任時(shí)點(diǎn)，蠅如果是兩個乘實(shí)體梁都信臨任相粥同的嘆證書嬌頒發(fā)齒機(jī)構(gòu)弟，作就能浮夠在孝它們晴之間論實(shí)現(xiàn)樂身份晌和信裙任的喬結(jié)合郊。3.捷4公開裂密鑰雷基礎(chǔ)綠設(shè)施角（PK跑I）公鑰秩證書2.證書廁的使談用一旦奮證書晚主題亭已呈奏現(xiàn)由扒受信嗎任的CA所頒模發(fā)的蓄證書倆，型那么購?fù)ㄟ^伙將證籮書存對儲在殘它自格己的懇證書觀存儲它區(qū)中艦，卸并且挪（如鑄果適滾用）寧使用讓包含絲式在證隔書中丙的公栽鑰來稱加密沙會話蒙密鑰步以及刪所有奮與證痕書主以題隨章后進(jìn)隱行的裂通信潤都是漆安全胸的，森試蜜圖建忙立信出任的易實(shí)體飼就可佳以繼趕續(xù)進(jìn)勤行信心息交戴換。②公鑰豬證書葛使得涉保密貸通信經(jīng)系統(tǒng)危中的癥主機(jī)笨不必惜相互叛之間訂分別召維護(hù)顏一套促密碼。寇主機(jī)冶只需尤在證六書頒團(tuán)發(fā)者正中通冊過身緊份驗(yàn)然證建勺立信獲任，柿就尼可以州進(jìn)行轎相互責(zé)之間撲可信獎的保柿密通偏信了拘。3.驢4公開青密鑰杏基礎(chǔ)廊設(shè)施很（PK雀I）公鑰臺證書2.證書鐵的使蝕用大型煎組織瀉中使牢用證貴書時(shí)我，寺很多鐮組織洞安裝肉有自傍己的海證書嚼頒發(fā)咬機(jī)構(gòu)漫，趁并將擴(kuò)證書亮頒發(fā)連給內(nèi)書部的議設(shè)備厘、蠢服務(wù)溉和雇逗員，城以嶺創(chuàng)建另更安鞭全的若計(jì)算冊環(huán)境挖。習(xí)③大型序組織雷還可煙能有吧多個囑證書越頒發(fā)今機(jī)構(gòu)，珍它們奔被設(shè)蔑置在眉指向羨某個冬根證世書頒畫發(fā)機(jī)壩構(gòu)的炊分層拆結(jié)構(gòu)柴中。炸這尊樣，享雇記員的幼證書躺存儲拋區(qū)中及就可模能有箏多個明由各始種內(nèi)頃部證插書頒襖發(fā)機(jī)化構(gòu)所放頒發(fā)墓的證捏書，而所眉有這田些證什書頒混發(fā)機(jī)踐構(gòu)均蟲通過扒到根吉證書卸頒發(fā)藏機(jī)構(gòu)搶的證賊書路根徑共岡享一屯個信政任連灘接。貨當(dāng)雇萍員利榨用虛身擬專餓用網(wǎng)博絡(luò)(V蕉PN屑)從家嫁里登蛇錄到滑組織隔的網(wǎng)慮絡(luò)時(shí)置，VP舊N服務(wù)蒙器可咬以提催供服遣務(wù)器斷證書翼以建芹立起窄自己位的身共份。蒸因多為公棒司的劉根證鍬書頒晚發(fā)機(jī)錘構(gòu)被餃信任蘭，歐而公蠻司根巖證書故頒發(fā)卡機(jī)構(gòu)遣頒發(fā)講了VP等N服務(wù)側(cè)器的哪證書布，殲所以論，鵝客戶笨端計(jì)鉗算機(jī)欠可以定使用愛該連勤接，寬并號且雇畫員知勸道其貴計(jì)算儀機(jī)實(shí)連際上沸連接懶到組勉織的VP漫N服務(wù)派器。3.誼4公開盈密鑰天基礎(chǔ)規(guī)設(shè)施端（PK弓I）公鑰服證書艦的管軋理1.公鑰撐證書稈的生幅成終端即實(shí)體院在使核用PK囑I之前飾，需豎要先房誠完成貴證書抹的生窮成，喚包括終端聽實(shí)體拘注冊父登記柏、證書詞創(chuàng)建遙、密使鑰備仔份(可選)。具暑體注匪冊申普請過肝程如碎圖所篇示。3.稀4公開匯密鑰?；A(chǔ)侮設(shè)施聰（PK葬I）公鑰梢證書霸的管邁理2.公鑰綱證書鋼的分蕩發(fā)拾公鑰事證書榨的分估發(fā)這現(xiàn)個階訪段包災(zāi)括證書情檢索驢、證優(yōu)書驗(yàn)刷證、柴密鑰滔恢復(fù)興、密意鑰更江新等幾張個密鋤鑰管浪理的寧環(huán)節(jié)珍。幾軋個環(huán)捉節(jié)主盒要依愉賴于怪證書寫目錄巡壽服務(wù)普器和汽證書榜鏈實(shí)抵現(xiàn)證暢書的機(jī)分發(fā)詞與維訓(xùn)護(hù)。證書穴檢索霉完成姓遠(yuǎn)程撿資料倦庫的襪證書森檢索擊；證辰書驗(yàn)何證負(fù)蓄責(zé)確丈定一學(xué)個證被書的另有效參性（阿包括爸證書綁路徑的的驗(yàn)昨證）重；密擴(kuò)鑰恢崖復(fù)是行當(dāng)不攤能正妖常訪頁問密綠鑰資打料時(shí)盲，從CA或信末任第姐三方泊處恢笛復(fù)用幼戶證腹書及泥密鑰半；密印鑰更慌新是戚在一趟個合句法的唯密鑰硬對將堪過期須時(shí)，舒進(jìn)行鎮(zhèn)新的銀公/私鑰風(fēng)的自潑動產(chǎn)茅生和汽相應(yīng)戀證書胞的頒浸發(fā)。這幾員個環(huán)牧節(jié)體訓(xùn)現(xiàn)在過公鑰志證書恐分發(fā)躬的每份一步御，具鋒體分測發(fā)內(nèi)右容涉母及到李六個軌方面采。3.盒4公開炊密鑰咳基礎(chǔ)深設(shè)施暈（PK招I）公鑰拳證書愛的管稈理2.公鑰今證書釘?shù)姆仲惏l(fā)1）證系書的法頒發(fā)在頒紙發(fā)認(rèn)生證證飼書之掏前，銳認(rèn)證債機(jī)構(gòu)結(jié)應(yīng)當(dāng)障確定帶證書肢申請?zhí)K人、汁設(shè)施澇或?qū)嵟矿w的跨身份屈。一廣般說肝來，石認(rèn)證陵機(jī)構(gòu)伴必須冒對申唐請人省、設(shè)觀施或欄實(shí)體俘的身樂份特拆征進(jìn)懷行辨重認(rèn)識律別。型認(rèn)證方機(jī)構(gòu)減只有發(fā)在認(rèn)遮定申鹽請人近符合CA中心呢的規(guī)韻定時(shí)祥，才夕可向失申請誓人頒析發(fā)證兄書。2）證釋書的株接受接受戴證書種是指失證書夏申請件人獲時(shí)得認(rèn)矛證機(jī)垃構(gòu)的蠻證書亞，了紋解證傷書的油內(nèi)容晚后，窩同意下使用全證書埋作為搶自己裕數(shù)字線身份寒代表扁的行盛為。僅當(dāng)證秤書用璃戶接門受證畝書后偉，認(rèn)們證機(jī)虧構(gòu)應(yīng)洗及時(shí)年將此紀(jì)信息茅公布愿，通茂過公羊布認(rèn)跨證證場書的州方式爆表明柱用戶傅已經(jīng)揭同意道接受此證書釘這一畏法律字事實(shí)疤。3.畝4公開往密鑰良基礎(chǔ)趴設(shè)施趙（PK質(zhì)I）公鑰霞證書絹的管腥理2.公鑰艷證書姑的分抬發(fā)3）證況書的蘭保存認(rèn)證憶機(jī)構(gòu)差必須管有證瞎據(jù)證性明自療己根庭據(jù)認(rèn)叉證規(guī)莖定，婆按申拜請者場要求騎完成帽了證霧書發(fā)賤放的遣業(yè)務(wù)齡過程厚，并矩且所膀發(fā)放凍的證惹書能箭在事濫后對垂依據(jù)論其證蘿書所條從事鉆的交盡易，桂提供吩不可誼抵賴仿的驗(yàn)乳證支植持。究因此榆，認(rèn)釋證機(jī)詢構(gòu)應(yīng)爬當(dāng)?？舜嬉褤瓢l(fā)放撿的用嶼戶證縱書。4）構(gòu)蠢建證感書目餡錄服洲務(wù)器認(rèn)證雖中心CA頒發(fā)恰完成充的證膚書，涉只是閃綁定旱了證膏書持童有人丸的身枕份和攏公鑰昂，還肌需要俊進(jìn)一恐步提欣供該鼻證書朝的尋體找方儀法。憂目錄尾服務(wù)疤器（Di伙re屯ct氏or嫩y連Se家rv項(xiàng)ic耐e績Se斧rv奶er）可碼以為土認(rèn)證現(xiàn)中心競的大歌量證掘書提際供穩(wěn)帆定可籍靠、稻規(guī)模冤可擴(kuò)昏充的擺在線習(xí)數(shù)據(jù)劣庫存螺儲系皂統(tǒng)。忍用以描存放練認(rèn)證孕中心攏簽發(fā)溉的所戰(zhàn)有證賣書，遍當(dāng)終憲端用蜘戶需西要確衫認(rèn)證貨書信尸息時(shí)普，可間向目冊錄服厘務(wù)器按查詢旋證書尋的當(dāng)臂前狀價(jià)況。3.曉4公開喘密鑰束基礎(chǔ)管設(shè)施留（PK犁I）公鑰壤證書屬的管鋼理2.公鑰蹦證書驗(yàn)的分杰發(fā)5）證蜻書鏈CR懲L的構(gòu)甩造大型CA本身畏具有曠層次缸結(jié)構(gòu)屠，通逝常把弊大量法證書朗映射宴為證彎書鏈軟進(jìn)行者維護(hù)飄，一羞條證漫書鏈級是后鋸續(xù)CA發(fā)行羊的證喘書序功列。塘證書繞鏈的究每個長證書列由發(fā)濕行者雹使用峽自己案的根康證書朵對應(yīng)卸私鑰助進(jìn)行肉簽名史，該蟻簽名元可用憂發(fā)行蝴者的毛證書慘公鑰不進(jìn)行賴驗(yàn)證關(guān)。在陳證書擇鏈中味，每脆個證翅書的越下一冬級證列書是鴉發(fā)行坐者的境證書繩，每廉個證晃書都們包含架了證怕書發(fā)第行者暴的可喪識別緞名稱乎（DN），鴨該名顆稱同懲證書師鏈中這的下頸一級殺證書握的主送體名孕字相慶同。3.看4公開弱密鑰擁基礎(chǔ)溪設(shè)施么（PK漿I）公鑰堂證書上的管鈴理2.公鑰笨證書燃的分匯發(fā)6）證腔書應(yīng)尸用與菊數(shù)字脾認(rèn)證證書結(jié)在使貫用時(shí)舅需要漸數(shù)字住認(rèn)證廈進(jìn)行屯檢驗(yàn)佛。檢宵查一孝份給陪定的烈證書陰是否昂可用偽的過券程，刑就是巾數(shù)字輔認(rèn)證懷，也庫稱為最證書測驗(yàn)證己。數(shù)代字認(rèn)蜻證引億入了拆一種囑機(jī)制寶來核昌查證炊書的辰完整工性和督證書嚴(yán)頒發(fā)半者的恨可信耕賴性芹。數(shù)字芽認(rèn)證按包括橡驗(yàn)證每證書轟上是藏否包墻括了蠶一個利可信唱的CA簽名爬、通鈴過Ha聾sh計(jì)算遣驗(yàn)證包證書摟是否耀有良點(diǎn)好的誘完整出性、字證書飾是否詠處在品有效啟期內(nèi)表、證影書是胸否沒贏有被亡撤銷春、證直書的脖使用芳方式判與使字用策墾略（存使用某限制堂）相哀一致考。在PK磨I框架字中，妨認(rèn)證楚是一叢種將踩實(shí)體瓦及其慕屬性斬和公裳鑰綁菠定的范一種蹈手段濱。認(rèn)剩證中帽心CA對它潔所頒五發(fā)的遭證書緒使用驚私鑰饒進(jìn)行撥了數(shù)洲字簽壯名，湯因而扒保護(hù)您了證曬書的輪完整淡性和包有效名性。3.變4公開天密鑰掘基礎(chǔ)盛設(shè)施軍（PK蠶I）公鑰農(nóng)證書秋的管財(cái)理3.公鑰逃證書紙的終策止與狂撤銷PK熊I系統(tǒng)卷的密鄙鑰/證書東的管互理以過取消拆階段濟(jì)來結(jié)伯束。此劇階段鑒包括證書悔過期議、證顏書撤杯銷、奸證書伏終止氧、密喬鑰歷零史記曬錄、謎密鑰沿存檔幾個紐奉部分前。證書過期是指嫌依據(jù)均有效廉期證粥書生湊命周強(qiáng)期的包自然怠結(jié)束石；證菠書終止是指攔使一胸證書齊在某泥段時(shí)興間內(nèi)糖臨時(shí)粉喪失辱有效個性。撓證書撤銷是宣忘布一錦個合勺法證喜書（季及其強(qiáng)相關(guān)襯私有唯密鑰朽）不心再有鵝效；財(cái)密鑰歷史劑記錄是維芒持一堅(jiān)個有出關(guān)密剩鑰資恨料的拍記錄屠，以液便密倆鑰過在期后損，使尖用該絲式密鑰攪加密堆的資誤料能察夠解歡密；貢密鑰存檔是為鏟了應(yīng)輩對密孕鑰歷雨史恢松復(fù)、綁審計(jì)氧和解固決爭脹議等境問題瓜，所誦進(jìn)行喚的密區(qū)鑰資車料的斷第三刷方安神全儲漫存。3.塑4公開稿密鑰煎基礎(chǔ)杜設(shè)施川（PK議I）公鑰叉證書常的管語理3.公鑰染證書溜的終綱止與她撤銷1）證省書的百終止終止母證書店，并態(tài)非永竭久性鋤地撤娛銷該賀證書震，而霞只是借使之埋在某流段時(shí)促間內(nèi)逃臨時(shí)說喪失戴有效圈性。顏由于唐認(rèn)證嚷證書朽暫停駝生效亦，會翻對任折何信浴賴證真書內(nèi)變?nèi)莸拇ㄏ嚓P(guān)誰交易予方產(chǎn)押生不赤利影丸響。她因此護(hù)，它姓只是盜在特扛殊情慈形下枝使用南的緊哪急措將施。2）證皆書的譯撤銷一般弟說來享，當(dāng)探證書蔽簽發(fā)揉后，文會在絲式整個辨有效殖期內(nèi)抵都有嘩效。墨但是錦，在熄有些秋情況后下，椒用戶常必須在有貿(mào)效期桑屆滿贈之前嶄，停蘋止對說證書玻的信鹿賴。這附些情億況包鄙括用盲戶要撥求終夜止服視務(wù)、籠用戶態(tài)的身派份變親化、烘用戶都的私屑鑰泄諸露、修用戶昆的密椅鑰遭帽到破飽壞或忠非法勺使用普等，桌這時(shí)甘認(rèn)證團(tuán)機(jī)構(gòu)孫就應(yīng)挨撤銷攜原有如的證革書?；橛捎谧屪C書尾存在違撤銷冤的可半能，青因此下證書丟的應(yīng)叉用期王限通拘常比襯預(yù)計(jì)直的有物效期境限短俯。3.芹4公開么密鑰胳基礎(chǔ)蕉設(shè)施艦（PK鹽I）PK臉I(yè)信任篇模型1.嚴(yán)格密層次典化信麥任模養(yǎng)型嚴(yán)格倆層次眠結(jié)構(gòu)蝕可以擴(kuò)描繪圣為一野棵倒標(biāo)立的折樹，根捐代表珍一個綿對整飼個PK你I域內(nèi)講的所曠有實(shí)找體都管有特榮別意醫(yī)義的CA，稱橫為根CA。根CA作為爪整個銀域的征信任囑的根喪或“信任奇錨”。在緞根CA下面隔是零蠶層或手多層卻中間CA，這欲個稱渴為中攔介CA或子CA。這孫些CA由中意間節(jié)吊點(diǎn)代享表，淡從中胳間節(jié)掛點(diǎn)再苦伸出解分支兔。與工非CA的PK波I實(shí)體懼相對盡應(yīng)的歡樹葉士通常撞稱作鋸終端眾實(shí)體存或簡鈔稱為襪終端談用戶瞎，如異圖3-催7所示砌。圖3.撈7認(rèn)證辜中心街的嚴(yán)左格層逗次化增信任圖模型3.威4公開鑄密鑰揉基礎(chǔ)惠設(shè)施都（PK憑I）PK風(fēng)I信任吧模型1.嚴(yán)格滔層次走化信攔任模隨型嚴(yán)格巧層次堪結(jié)構(gòu)乞的CA之間同存在乖著嚴(yán)醬格的掉上下塘級關(guān)則系，蒼下級糞完全怎聽從眨并執(zhí)再行上姐級的磁規(guī)定。這莫種情答況尤在其存慣在于際一個渠公司售內(nèi)部竹、政摘府機(jī)恨關(guān)等莊場合礙。在膠這種辦模型潤中，史所有剛用戶幕都信怎任根CA，也峽就是深說，旦所有縫用戶蓬都從射根CA開始證證書健路徑拒的處襪理。蜜通常箏，根CA并不親頒發(fā)踏證書鏈給終縫端用程戶，鮮只頒猾發(fā)給墊下一劍級的CA。而帥其他CA則可般以同昨時(shí)頒瞇發(fā)證令書給叉下一倘級CA和終物端用菌戶。猛而且兼，在這桑種結(jié)乎構(gòu)中發(fā)，信采任關(guān)皇系是夫單向婚的。只允撤許上茄一級CA向下提一級CA或終蠅端用銹戶頒督發(fā)證邀書。特點(diǎn)3.偷4公開訂密鑰點(diǎn)基礎(chǔ)運(yùn)設(shè)施鉤（PK診I）PK工I信任別模型1.嚴(yán)格廟層次敢化信化任模里型(1瓜)等級濱模型具有監(jiān)良好幕的可爺擴(kuò)展窗性。PK憑I的擴(kuò)揮展只馳需要CA向待快擴(kuò)展撇的CA簽發(fā)孔證書議即可盟。(2邊)很容申易尋叔找證崇書路悠徑。因找為信攏任關(guān)渣系是蝴單向狂的，轎且所哈有用臺戶都蒜信任供根CA。(3膨)證書津路徑清處理訓(xùn)相對談較短。最奇長的悅證書若路徑兆等于層結(jié)構(gòu)這樹的蹦深度懂加一作。(4獅)根據(jù)CA的位暗置，塑隱性抓地知垂道證萌書的亭使用獸限制部，因尼此，證書磁比較爽簡單。優(yōu)點(diǎn)3.批4公開就密鑰合基礎(chǔ)汗設(shè)施葉（PK翠I）PK黎I信任犬模型2.分布陰式信么任模對型分布凱式信錢任模嘆型也糕叫網(wǎng)估狀信厚任模繳型，這種瀉模型惹中沒債有所漲有實(shí)佩體都協(xié)信任疾的根CA，終端撲用戶趴通常同選擇患給自籃己頒受發(fā)證火書的CA為根CA，各但根CA之間外通過娃交叉滋認(rèn)證猛的方殼式互屠相頒說發(fā)證寫書。引如果揚(yáng)任何靜兩個CA間都經(jīng)存在棉著交嶼叉認(rèn)競證，茄則這耍種模抖型就雹稱為齡嚴(yán)格頑網(wǎng)狀泰信任奪模型困。分擊布式偉信任恥模型南結(jié)構(gòu)醬如圖3.址8所示藏。圖3.語8分布靜式信碼任模網(wǎng)型3.考4公開括密鑰施基礎(chǔ)因設(shè)施建（PK粥I）PK塘I信任黎模型2.分布仙式信半任模喚型分布渠式信吹任結(jié)購構(gòu)模萄型中各個性根CA的地胖位是修平等長的，它鴿們之泥間通流過相麻互信放任、曉相互嫩頒發(fā)翅證書(交叉票證書)而建語立交蛇互模即型。蘆在這寶種結(jié)統(tǒng)構(gòu)中慈，用戶赤只信此任頒嶄發(fā)給滔自己息證書漆的根CA。根一向級CA之間完相互鼓頒發(fā)挎證書茂，其駐信任臥關(guān)系對是雙扶向的。由闖于各底根一介級CA地位批平等娃，因扁此它敢們不標(biāo)能強(qiáng)待制性椅地約繭束其填他根姿一級CA頒發(fā)殃的證脅書。盡而且嚴(yán)，根研一級CA之間推的信筐任關(guān)鎖系并廁不是騙無條畢件的棋，根炕一級CA可以剝在簽脆發(fā)證群書給闖另一對根一錦級CA時(shí)附禾加相宴關(guān)限治制。特點(diǎn)3.尸4公開滿密鑰吵基礎(chǔ)耳設(shè)施宮（PK昌I）PK豪I信任偶模型2.分布逆式信擴(kuò)任模搖型分布征式信耳任結(jié)慮構(gòu)模殊型的茅優(yōu)點(diǎn)跟是很容謎易擴(kuò)娘展，不音需要CA更改差信任票點(diǎn)；槽由于惠不存浸在單管一的蛾信任霞點(diǎn)，果因此可以帝避免“單點(diǎn)”失效。在棵分布衫式信窄任結(jié)昏構(gòu)中靠即使棕發(fā)生雨私鑰細(xì)泄密局或遺輩失的抄情況叉，也召只影因響部魂分用脊戶。當(dāng)然延這種鍛結(jié)構(gòu)句也有尺一些鋤缺陷士。由看于根蒸一級CA間是飄雙向概關(guān)系借，因裙此證錯書路鏟徑的雅尋找潤比較麥復(fù)雜唉?？砷l能有飾多種肚證書挽路徑快，其籮中一慮些合芬法，屋而另行一些拿導(dǎo)致膀死結(jié)忌，甚傳至導(dǎo)獸致路支徑的趴死循珍環(huán)。撒證書再路徑求的最供大長誘度等駐于此PK魚I的根慢一級CA數(shù)。優(yōu)點(diǎn)3.慕4公開剖密鑰舌基礎(chǔ)侵設(shè)施喚（PK桃I）PK巨I信任乎模型3.徒We巧b信任刃模型We硬b信任面模型鉗是面凡向ww巖w應(yīng)用喇，構(gòu)溜建在爛瀏覽返器基范礎(chǔ)之闖上的犁信任毯模型盒。瀏迷覽器距廠商暈在瀏涼覽器薄中被預(yù)纖裝了多銹個根CA證書同，每祝個根CA相互福間是項(xiàng)平行迫的，香瀏覽賽器用逃戶信卸任多餡個根CA。用鍵戶在危驗(yàn)證叉證書栗時(shí)，喬從被貪驗(yàn)證碧的證蕉書開袖始向棉上查汁找，腥直到罩找到著一個各自簽學(xué)名的庫根證程書，任即可餡完成牛驗(yàn)證熄過程蘭，其榴模型記結(jié)構(gòu)誤如圖3.蘭9所示蛙。圖3.進(jìn)9We秤b信任視模型3.啄4公開度密鑰睜基礎(chǔ)扎設(shè)施相（PK塞I）PK悠I信任飾模型3.渠We焦b信任搖模型We曉b模型許雖然績結(jié)構(gòu)摔簡單環(huán)，操作驗(yàn)方便，對鑒終端伍用戶躲的要求遠(yuǎn)較低，用庫戶可肚以簡文單地膨信任棵嵌入滋的各域個根CA，但石模型安全茅性較顆差，因所