第五章-公鑰基礎設施(PKI)

第五章

公鑰基礎設施(PKI)目錄5.1PKI概述5.2數(shù)字證書5.3PKI證書管理體系5.4PKI提供的服務5.5PKI的應用5.1PKI概述什么是PKIPKI是publickeyinfrastracture縮寫即公鑰基礎設施,是一種運用公鑰的概念與技術來實施并提供安全服務的具體普遍適用性的網(wǎng)絡安全基礎設施。5.1PKI概述PKI/CA發(fā)展歷程1976年，提出RSA算法20世紀80年代，美國學者提出了PKI的概念為了推進PKI在聯(lián)邦政府范圍內(nèi)的應用，1996年就成立了聯(lián)邦PKI指導委員會1996年，以Visa、MastCard、IBM、Netscape、MS、數(shù)家銀行推出SET協(xié)議，推出CA和證書概念1999年，PKI論壇成立，并制定了X.500系列標準2000年4月，美國國防部宣布要采用PKI安全倡議方案。2001年6月13日，在亞洲和大洋洲推動PKI進程的國際組織宣告成立，該國際組織的名稱為“亞洲PKI論壇”，其宗旨是在亞洲地區(qū)推動PKI標準化，為實現(xiàn)全球范圍的電子商務奠定基礎

5.1PKI概述PKI/CA發(fā)展歷程論壇呼吁加強亞洲國家和地區(qū)與美國PKI論壇、歐洲EESSI等PKI組織的聯(lián)系，促進國際間PKI互操作體系的建設與發(fā)展。論壇下設四個專項工作組，分別是技術兼容組、商務應用組、立法組和國際合作組。（網(wǎng)址：）亞洲PKI論壇成立于2001年6月13日，包括日本、韓國、新加坡、中國、中國香港、中國臺北和馬來西亞。5.1PKI概述PKI/CA發(fā)展歷程1996-1998年，國內(nèi)開始電子商務認證方面的研究，尤其中國電信派專家專門去美國學習SET認證安全體系1997年1月，科技部下達任務，中國國際電子商務中心（外經(jīng)貿(mào)委）開始對認證系統(tǒng)進行研究開發(fā)1998年11月，湖南CA中心開始試運行1998年10月，國富安認證中心開始試運行1999年第一季，上海CA中心開始試運行1999年8月，湖南CA通過國密辦鑒定，測評中心認證1999年10月7日，《商用密碼管理條例》頒布1999年-2001年，中國電子口岸執(zhí)法系統(tǒng)完成1999年8月-2000年，CFCA開始招標并完成5.1PKI概述為什么需要PKI-互聯(lián)網(wǎng)困境5.1PKI概述假冒假冒Alice假冒：指非法用戶假冒合法用戶身份獲取敏感信息BobIam“Alice”5.1PKI概述截取AliceBob截?。褐阜欠ㄓ脩艚孬@通信網(wǎng)絡的數(shù)據(jù)截取5.1PKI概述篡改AliceBob篡改：指非法用戶改動所截獲的信息和數(shù)據(jù)篡改5.1PKI概述我沒有發(fā)送過”ABCDEF”!!!!ABCDEF否認：通信的單方或多方事后否認曾經(jīng)參與某次活動否認5.1PKI概述-PKI實現(xiàn)的安全功能1.1你是誰?RickMaryInternet/Intranet應用系統(tǒng)1.2怎么確認你就是你?認證1.1我是Rick.1.2口令是1234.授權保密性完整性防抵賴2.我能干什么?2.你能干這個,不能干那個.3.如何讓別人無法偷聽?3.使用xxx密碼。5.我偷了機密文件,我不承認.5.我有你的罪證.4.如何保證不能被篡改?4.別怕,我有數(shù)字簽名.認證我不認識你!--你是誰？我怎么相信你就是你?--要是別人冒充你怎么辦?授權我能干什么?--我有什么權利?你能干這個,不能干那個.保密性我與你說話時,別人能不能偷聽?完整性收到的傳真不太清楚?傳送過程過程中別人篡改過沒有?防抵賴我收到貨后,不想付款,想抵賴,怎么樣?我將錢寄給你后,你不給發(fā)貨,想抵賴,如何?PKI實現(xiàn)的安全功能5.1PKI概述三種認證類型你有什么憑證認物不認人如：身份證、聽課證、護照、彩票、電影票你知道什么認信息不認人如：口令、用戶名、暗號、密鑰你有什么生物特征只認人如：長相、聲音、指紋、虹膜5.1PKI概述兩類認證模式兩方認證預先注冊，比較確認如：電話購票、彩票中獎三方認證第三方確認如：機場安檢、支票購物5.1PKI概述網(wǎng)絡認證方式基于口令基于對稱密鑰基于非對稱密鑰基于人體特征(指紋，掌紋，DNA，虹膜等，成本很高、精度不夠）5.1PKI概述公鑰技術如何提供數(shù)字簽名功能如何實現(xiàn)抗抵賴服務公鑰和身份如何建立聯(lián)系為什么要相信這是某個人的公鑰公鑰如何管理方案：引入證書(certificate)通過證書把公鑰和身份關聯(lián)起來5.1PKI概述用于加密的密鑰對用公鑰加密用私鑰解密用私鑰簽名用公鑰驗證用于簽名的密鑰對5.1PKI概述密鑰產(chǎn)生證書簽發(fā)Bob密鑰使用Bob證書檢驗密鑰過期密鑰更新密鑰生命周期5.1PKI概述一個完整的PKI應該包括認證機構(gòu)(CA)證書庫證書注銷密鑰備份和恢復自動密鑰更新密鑰歷史檔案交叉認證支持抗抵賴性時間戳客戶端軟件5.2數(shù)字證書證書(certificate)，有時候簡稱為certPKI適用于異構(gòu)環(huán)境中，所以證書的格式在所使用的范圍內(nèi)必須統(tǒng)一證書是一個機構(gòu)頒發(fā)給一個安全個體的證明，所以證書的權威性取決于該機構(gòu)的權威性一個證書中，最重要的信息是個體名字、個體的公鑰、機構(gòu)的簽名、算法和用途簽名證書和加密證書分開最常用的證書格式為X.509v35.2數(shù)字證書X.509數(shù)字證書X.509,ITU-TRecommendation:InformationTechnology–OpenSystemInterconnection–TheDirectory:AuthenticationFrameworkX.509是X.500標準系列的一部分，在PKI的發(fā)展中，X.509起到了非常重要的作用.X.509定義并標準化了一個通用的、靈活的證書格式.X.509的實用性來源于它為X.509v3和X.509v2CRL定義的強有力的擴展機制.5.2數(shù)字證書X.509證書格式版本1、2、3序列號在CA內(nèi)部唯一簽名算法標識符指該證書中的簽名算法簽發(fā)人名字CA的名字有效時間起始和終止時間個體名字5.2數(shù)字證書個體的公鑰信息算法參數(shù)密鑰簽發(fā)人唯一標識符個體唯一標識符擴展域簽名5.2數(shù)字證書5.2數(shù)字證書5.3PKI證書管理體系PKI基本組件RA(RegistrationAuthority)把用戶的身份和它的密鑰綁定起來——建立信任關系CA(CertificateAuthority)發(fā)證證書庫/目錄保存證書，供公開訪問安全政策CP,CPS5.3PKI證書管理體系CARA終端用戶目錄服務申請與審核證書歸檔證書終止證書注銷證書發(fā)布證書生成5.3PKI證書管理體系CA(CertificateAuthority)職責接受用戶的請求(由RA負責對用戶的身份信息進行驗證)用自己的私鑰簽發(fā)證書提供證書查詢接受證書注銷請求提供證書注銷表5.3PKI證書管理體系各個組件和功能示意圖健壯的數(shù)據(jù)

庫系統(tǒng)無縫的目錄接口CA硬件管理和運

行平臺安全的審計密鑰PKI5.3PKI證書管理體系CA信任關系當一個安全個體看到另一個安全個體出示的證書時，他是否信任此證書？信任難以度量，總是與風險聯(lián)系在一起可信CA如果一個個體假設CA能夠建立并維持一個準確的“個體-公鑰屬性”之間的綁定，則他可以信任該CA，該CA為可信CA信任模型基于層次結(jié)構(gòu)的信任模型交叉認證以用戶為中心的信任模型5.3PKI證書管理體系CA層次結(jié)構(gòu)對于一個運行CA的大型權威機構(gòu)而言，簽發(fā)證書的工作不能僅僅由一個CA來完成它可以建立一個CA層次結(jié)構(gòu)5.3PKI證書管理體系根CA中間CA5.3PKI證書管理體系證書鏈的驗證示例5.3PKI證書管理體系PKI操作行為1、產(chǎn)生和分發(fā)密鑰由實際的PCA(支付網(wǎng)關認證中心)政策決定自己產(chǎn)生代理方產(chǎn)生－密鑰管理中心混合方式：雙密鑰方式CA-PAA/PCA/CA:自己產(chǎn)生密鑰對ORA(注冊機構(gòu)):自己產(chǎn)生或代理方產(chǎn)生5.3PKI證書管理體系2、簽名和驗證在PKI體系中，對信息或文件的簽名，以及相應的對數(shù)字簽名的驗證屬于使用非常普遍的操作多種算法算法完成：硬件、軟件、固件密鑰存放：內(nèi)存、IC卡、軟盤、KEY5.3PKI證書管理體系3、證書的獲取在驗證信息的數(shù)字簽名時，用戶必須獲取信息的發(fā)送者的公鑰證書，以及一些需要附加獲得的證書（如CA證書等，用于驗證發(fā)送者證書的有效性）附近發(fā)送單獨發(fā)送從證書發(fā)布的目錄服務器獲得直接從證書相關的實體獲得5.3PKI證書管理體系4、證書的驗證簽名驗證的過程包括迭代的決定證書鏈中的下一個證書和它相應的上級CA證書。在使用每一個證書前必須檢查相應的CRL(證書注銷列表)驗證證書鏈中的每一個CA證書上級CA簽名的有效性證書有效期是否作廢：CRL、OCSP(OnlineCertificateStatusProtocol)5.3PKI證書管理體系5、證書的保存保存證書是指PKI實體在本地存儲證書以減少在PKI體系中獲取證書的時間并提高簽名驗證的效率。在儲存每個證書之前，應該驗證證書的有效性。PKI實體可以選擇儲存所有從其他實體接收到的證書鏈上的所有證書也可以只儲存簽名數(shù)據(jù)發(fā)送者的證書等。證書存儲區(qū)應定時管理維護清除已作廢或已過期的證書和一定時間內(nèi)未使用過的證書同最新發(fā)布的CRL文件比較刪除CRL文件中發(fā)布的證書證書存儲區(qū)存滿后，一般采取刪除最少使用（LeastRecentlyUsed）證書的方式維護5.3PKI證書管理體系6、本地保存證書的獲取用戶收到簽名數(shù)據(jù)后，將檢查證書存儲區(qū)判斷是否保存了信息發(fā)送者的證書，如果保存了，用戶則從本地儲存區(qū)中取得該證書，用其中包含的公鑰驗證簽名用戶可以選擇每次使用前檢查最新發(fā)布的CRL以確保發(fā)送者的證書未被作廢也可以選擇定期證實本定證書存儲區(qū)中證書的有效性如果用戶的本地存儲區(qū)中未保存發(fā)送者的證書，用戶則應按照上面描述的獲取證書的方法來取得所需的證書5.3PKI證書管理體系7、密鑰泄漏或證書中證明的某種關系中止的報告當PKI中某實體的私鑰被泄漏時，泄密私鑰證書應被作廢如果證書中包含的證書持有者和某組織的關系已經(jīng)中止，相應的公鑰證書也應該被作廢應盡快以帶外（電話或書面）方式通知相應證書的簽發(fā)CA在密鑰泄漏的情況下，應由泄密私鑰的持有者通知CA在關系中止的情況下，由原關系中組織方或相應的安全機構(gòu)通知相應的ORA或CA如果ORA得到通知，ORA應通知相應的CA一旦請求得到認證，CA在數(shù)據(jù)庫中將該證書標記未已作廢，并在下次發(fā)布CRL時加入該證書序列號及其作廢時間5.3PKI證書管理體系8、密鑰泄漏的恢復在密鑰泄漏/證書作廢后，為了恢復PKI中實體的業(yè)務處理，泄密實體將獲得一對新的密鑰，并要求CA產(chǎn)生新的證書。在泄密實體是CA的情況下，它需要重新簽發(fā)以前用泄密密鑰簽發(fā)的證書，每一個下屬實體將產(chǎn)生新的密鑰對，獲得用CA新私鑰簽發(fā)的新的證書。而用泄密密鑰簽發(fā)的舊證書將作廢，并被放置入CRL。為了減少重新產(chǎn)生密鑰對和重新簽發(fā)證書的巨大工作量，可以采取雙CA的方式來進行泄密后的恢復。即每一個PKI實體的公鑰都由兩個CA簽發(fā)證書，當一個CA密鑰泄密后，得到通知的用戶轉(zhuǎn)向另一個證書鏈，可以通過另一個CA簽發(fā)的證書來驗證簽名。而泄密CA的恢復和它對下屬實體證書的重新發(fā)放可以稍慢進行，系統(tǒng)的功能不受太大影響。5.3PKI證書管理體系9、CRL的獲取每一CA均可以產(chǎn)生CRL。CRL可以定期產(chǎn)生，或在每次由證書作廢請求后產(chǎn)生。CA應將它產(chǎn)生的CRL發(fā)布到目錄服務器上自動發(fā)送到下屬各實體各PKI實體從目錄服務器獲得相應的CRL5.3PKI證書管理體系10、密鑰更新在密鑰泄漏的情況下，將產(chǎn)生新的密鑰和新的證書。在并未泄漏的情況下，密鑰也應該定時更換。如果CA和其下屬的密鑰同時到達有效期截止日前，則CA和其下屬同時更換密鑰，CA用自己的新私鑰為下屬成員的新公鑰簽發(fā)證書。如果CA和其下屬的密鑰不是同時到達有效期截止日期，當用戶的密鑰到期后，CA將用它當前的私鑰為用戶的新公鑰簽發(fā)證書，而到達CA彌月的截止日期時，CA用新私鑰為所有用戶的當前公鑰重新簽發(fā)證書。不管哪一種更換方式，PKI中的實體都應該在舊密鑰截止之前取得新密鑰對和新證書。在截止日期到達后，PKI中的實體開始使用新私鑰來簽名數(shù)據(jù)，同時應該將舊密鑰對和證書歸檔保存。5.3PKI證書管理體系11、審計PKI體系中的任何實體都可以進行審計操作，但一般而言是由CA執(zhí)行。CA保存所有與安全有關的審計信息，如：產(chǎn)生密鑰對和證書的請求；密鑰泄漏報告；證書中包括的某種關系的中止等安全審計要求獨立性安全性強制性及時性5.3PKI證書管理體系12、存檔出于政府和法律的要求以及系統(tǒng)恢復的需要，CA產(chǎn)生的證書和CRL應被歸檔保存。另外的文件或?qū)徲嬓畔⒊鲇谡{(diào)整或法規(guī)的需要也應被歸檔保存加密密鑰存檔關鍵加密文件存檔5.4PKI提供的服務認證采用數(shù)字簽名技術，簽名作用于相應的數(shù)據(jù)之上被認證的數(shù)據(jù)——數(shù)據(jù)源認證服務用戶發(fā)送的遠程請求——身份認證服務遠程設備生成的challenge信息——身份認證完整性PKI采用了兩種技術數(shù)字簽名：既可以是實體認證，也可以是數(shù)據(jù)完整性MAC(消息認證碼)：如DES-CBC-MAC或者HMAC-MD5保密性用公鑰分發(fā)隨機密鑰，然后用隨機密鑰對數(shù)據(jù)加密抗抵賴發(fā)送方抗抵賴——數(shù)字簽名接受方抗抵賴——收條+數(shù)字簽名5.4PKI提供的服務在提供前面四項服務的同時，還必須考慮性能盡量少用公鑰加解密操作，在實用中，往往結(jié)合對稱密碼技術，避免對大量數(shù)據(jù)作加解密操作除非需要數(shù)據(jù)來源認證才使用簽名技術，否則就使用MAC或者HMAC實現(xiàn)數(shù)據(jù)完整性檢驗在線和離線模型簽名的驗證可以在離線情況下完成用公鑰實現(xiàn)保密性也可以在離線情況下完成離線模式的問題：無法獲得最新的證書注銷信息證書中所支持算法的通用性在提供實際的服務之前，必須協(xié)商到一致的算法個體命名如何命名一個安全個體，取決于CA的命名登記管理工作5.5PKI/CA標準與協(xié)議基礎標準/協(xié)議證書和CRL標準操作標準/協(xié)議管理標準/協(xié)議應用標準/協(xié)議PKI/CA標準與協(xié)議基礎標準/協(xié)議摘要算法MD2：RFC1319MD4：RFC1320MD5：RFC1321SHA1：FIPSPUB180-1HMAC：RFC2104HMAC:Keyed-HashingforMessageAuthenticationPKI/CA標準與協(xié)議基礎標準/協(xié)議對稱算法DESRC2RC53DESIDEAAESPKI/CA標準與協(xié)議基礎標準/協(xié)議非對稱算法RSADSA：只用于簽名DH：只用于密鑰交換PKI/CA標準與協(xié)議基礎標準/協(xié)議ASN.1(AbstractSyntaxNotationOne)抽象語法描述，是描述在網(wǎng)絡上傳輸信息格式的標準方法。BER(基本編碼規(guī)則)CER(正規(guī)編碼規(guī)則)DER(可辨別編碼規(guī)則)PKI/CA標準與協(xié)議基礎標準/協(xié)議PKCS系列標準PKCS#1PKCS#3PKCS#5PKCS#6PKCS#7PKCS#8PKCS#9PKCS#10PKCS#11PKCS#12PKCS#13PKCS#14PKCS#15PKI/CA標準與協(xié)議基礎標準/協(xié)議加密標準GSS-APIv2.0GCS-APICDSARSAPKCS#11CryptographicTokenInterfaceStandardv2.01RSABSAFEAPIMSCryptoAPIv2.0CTCA證書存儲介質(zhì)接口規(guī)范v1.0PKI/CA標準與協(xié)議證書和CRL標準/協(xié)議RFC2459InternetX.509PublicKeyInfrastructureCertificateandCRLProfile描述X.509V3公鑰證書和X.509V2CRL格式RFC3280InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocationList(CRL)Profile對RFC2459的更新，增加或細化了證書路徑驗證算法、利用CRL確定證書狀態(tài)的算法、增量CRL、擴展項方面的描述RFC2528InternetX.509PublicKeyInfrastructureRepresentationofKeyExchangeAlgorithm(KEA)KeysinInternetX.509PublicKeyInfrastructrueCertificates定義了一些對象標志，并描述了密鑰交換算法。。。。。。。PKI/CA標準與協(xié)議操作標準/協(xié)議LDAP：RFC1777，LightweightDirectoryAccessProtocalRFC2587InternetX.509PKILDAPv2HTTP：2616HypertextTransferProtocol--HTTP/1.1FTP：OCSP：RFC2560,X.509InternetPKIOnlineCertificateStatusProtocolRFC2559InternetX.509PKIOperationalProtocols-LDAPv2RFC2585InternetX.509PKIOperationalProtocols:FTPandHTTPPKI/CA標準與協(xié)議管理標準/協(xié)議CRMF：FRC2511，InternetX.509CertificateRequestMessageFormatCMP：RFC2510，InternetX.509PKICertificateManagementProtocolsIKE：RFC2409TheInternetKeyExchangeCP：RFC2527，InternetX.509PKICertificatePolicyandCertificationPracticesFramework3029InternetX.509PKIDataValidationandCertificationServerProtocols3039InternetX.509PKIQualifiedCertificatesProfile3161InternetX.509PKITime-StampProtocol(TSP)

PKI/CA標準與協(xié)議管理標準/協(xié)議RFC2528RepresentationofKeyExchangeAlgorithm(KEA)keysinInternetX.509PublicKeyInfrastructureCertificatesRFC2538StoringCertificatesintheDomainNameSystem(DNS)PKI/CA標準與協(xié)議應用標準/協(xié)議SSL/TLS：RFC2246TheTLSProtocolVersion1.0SET：SecurityElectronicTransactionS/MIME：RFC2312S/MIMEVersion2CertificateHandlingIPSec：PGP：WAP：應用標準：SSL/TLS是netscape公司設計用于Web安全傳輸協(xié)議;IETF將其標準化，成為RFC2246;分為兩部分：HandshakeProtocal和RecordProtocal握手協(xié)議負責協(xié)商密鑰，協(xié)調(diào)客戶和服務器使用的安全級別并進行身份認證。記錄協(xié)議定義了傳輸?shù)母袷胶图咏饷軕贸绦騾f(xié)議的字節(jié)流。使用第三方證書機構(gòu)提供的證書是SSL安全功能的基礎。PKI/CA標準與協(xié)議PKI/CA標準與協(xié)議應用標準：SETVisa,Master信用卡公司發(fā)起制定在Internet網(wǎng)上實現(xiàn)安全電子商務交易系統(tǒng)的協(xié)議和標準。規(guī)定了交易各方使用證書方式進行安全交易的具體流程以及Internet上用于信用和支付的證書的發(fā)放和處理協(xié)議。主要采用的技術：對稱密鑰加密、公共密鑰加密、哈希算法、數(shù)字簽名技術以及公共密鑰授權機制等。由兩部分組成：證書管理和支付系統(tǒng)。PKI/CA標準與協(xié)議應用標準：OpenPGP和S/MIMEPGP(PrettyGoodPrivacy)是屬于網(wǎng)絡聯(lián)盟(NetworkAssociation)的受專利保護的協(xié)議。1997，IETF建立了一個工作小組，在PGP基礎上定義了一個名為OpenPGP的標準(RFC2440)。S/MIME(Security/MutipleInternetMailExtension)是RSA數(shù)據(jù)安全公司于1995年向IETF工作組提交的規(guī)范。RFC2630-RFC2634描述了S/MIMEV3的相關內(nèi)容。國外PKI/CA現(xiàn)狀和展望美國聯(lián)邦PKI體系機構(gòu)加拿大政府PKI體系結(jié)構(gòu)兩種體系的比較體系結(jié)構(gòu)上美國聯(lián)邦PKI體系結(jié)構(gòu)比較復雜，聯(lián)邦的橋CA僅是一個橋梁；而加拿大政府PKI體系結(jié)構(gòu)比較簡單，中央認證機構(gòu)仿佛是一個根CA。在信任關系的建立上美國聯(lián)邦PKI體系結(jié)構(gòu)中的聯(lián)邦的橋CA是各信任域建立信任關系的橋梁；在加拿大政府PKI體系中，各信任域之間建立信任關系必須經(jīng)過中央認證機構(gòu)。采用的技術上美國聯(lián)邦PKI體系中的成員采用多種不同的PKI產(chǎn)品和技術；而加拿大政府PKI體系中強調(diào)使用Entrust公司的技術。在組成成員上美國聯(lián)邦PKI體系中除了各級政府，不同的政府機構(gòu)外，還可包括與政府或政府機構(gòu)有商業(yè)往來的合作伙伴；而加拿大政府PKI體系中的成員都是聯(lián)邦的各級政府或政府機構(gòu)國外PKI/CA現(xiàn)狀和展望VeriSign95年5月成立，從RSADataSecurity公司獨立出來。已簽發(fā)超過390萬張個人數(shù)字證書，超過21萬張服務器證書《財富》雜志上的500家有網(wǎng)站的企業(yè)都使用了它的數(shù)字證書服務。服務的地區(qū)從美國發(fā)展到歐洲和亞洲，臺灣著名的CA認證中心Hitrust就是VeriSign的一個代理機構(gòu)。2000年第二季度財務報告中表明，該季度售出的數(shù)字證書超過了64000張。國外PKI相關法律1996年3月由聯(lián)合國國際貿(mào)易法委員會通過的《電子商務示范法》。1999年6月29日聯(lián)合國第35次會議上提出的《電子簽章統(tǒng)一規(guī)則草案》的最新版本。美國眾議院法制委員會于1999年10月13日通過了《全球及全國電子商務電子簽章法案》。歐盟于1997年4月15日發(fā)布了“歐洲電子商務倡議書”。日本于2001年4月1日正式實施的《電子簽名和認證業(yè)務法》。國內(nèi)PKI相關法規(guī)建設《中華人民共和國電子簽章條例（草案）》《上海市數(shù)位認證管理辦法》《關于同意制定本市電子商務數(shù)字證書價格的通知》《廣東省電子交易條例》國內(nèi)PKI相關標準建設2002年4月新立的全國信息安全標準化技術委員會非常重PKI標準化工作，7月份在北京成立了PKI/PMI（WG4）工作組。2002年底，X.509C證書格式規(guī)范國家標準送審稿和信息安全專用術語通過全國信息安全標準化技術委員會組織的評審，X.509C證書格式規(guī)范國家標準送審稿已向國家標準化管理委員會申報為國家標準。另外WG4工作組還承擔了公安部下達的