【正文】 驗(yàn)證。證書簽發(fā)后并非永久有效，而是有一定的使用期限，期限一到，使用者必須更換密鑰對(duì)，以提高安全性。 ? 在 PKI的管理上，除了滿足易用性以外， CA必須依據(jù) PKI的簽發(fā)原則，對(duì)使用者驗(yàn)明正身，確保證書與該使用者的關(guān)連。另外，證書注銷清冊(cè) (Certificate Revocation List， CRL)也一并放在目錄服務(wù)器上。此外， CA必須將證書以及相關(guān)數(shù)據(jù)加以備份，包括已經(jīng)注銷的證書更換，以備日后驗(yàn)證證書時(shí)使用。該數(shù)字證書具有唯一性。每一份數(shù)字證書都與上一級(jí)的數(shù)字簽名證書相關(guān)聯(lián)，最終通過(guò)安全鏈追溯到一個(gè)已知的并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機(jī)構(gòu) 根認(rèn)證中心（根 CA）。 CA的核心功能就是發(fā)放和管理數(shù)字證書，具體描述為： ? （ 1）接收驗(yàn)證最終用戶數(shù)字證書的申請(qǐng)。 ? （ 5）接收最終用戶數(shù)字證書的查詢、撤銷。 ? （ 9）歷史數(shù)據(jù)歸檔。它負(fù)責(zé)證書申請(qǐng)者的信息錄入、審核以及證書發(fā)放等工作；同時(shí)，對(duì)發(fā)放的證書完成相應(yīng)的管理功能。 1. 階層式架構(gòu)模型 ? 在階層式的模型中有不同層級(jí)的 CA，每個(gè)從屬于上層的 CA，例如在 PKI模型中「 Root」代表第一層或最上層。結(jié)構(gòu)如圖 43所示。 ? 而階層式架構(gòu)的缺點(diǎn)為： 1. 所有 CA共享一個(gè)Root CA，實(shí)際上這是不可行的。 網(wǎng)絡(luò)式架構(gòu)模型 ? 網(wǎng)絡(luò)式架構(gòu)是由許多獨(dú)立的 CA互相簽發(fā)證書而形成的一種網(wǎng)狀式架構(gòu)。 15243C e r t if ic at ion A ut hor it yC e r ti fi c ate U s e rI s s u e C e r ti fi c ateAB? 網(wǎng)絡(luò)式架構(gòu)的優(yōu)點(diǎn)為： 1. 彈性大，較適合地位對(duì)等的商業(yè)性應(yīng)用。 ? 而網(wǎng)絡(luò)式架構(gòu)的缺點(diǎn)為： 1. 驗(yàn)證路徑的搜尋比階層式架構(gòu)要復(fù)雜許多。一張證書有一個(gè)到期日，由 CA來(lái)決定，所以證書并不是永久有效的。組成如圖 46所示。 CA還負(fù)責(zé)為操作員、安全服務(wù)器以及登記中心服務(wù)器生成數(shù)字證書。 ? 3. 操作員 ? 登記中心操作員使用瀏覽器訪問(wèn)登記中心服務(wù)器，服務(wù)器需要對(duì)操作員進(jìn)行身份認(rèn)證，操作員向服務(wù)器出示 CA頒發(fā)的證書，服務(wù)器根據(jù)配置文件檢查操作員的數(shù)字證書，如果證書合法，則與對(duì)方建立 SSL通信。 認(rèn)證中心密鑰管理 ? 認(rèn)證中心應(yīng)在私鑰和公鑰的整個(gè)生命期間內(nèi)對(duì)它們進(jìn)行安全性和高可靠性的管理。應(yīng)該在雙重控制下產(chǎn)生密鑰對(duì)和對(duì)稱密鑰。 ? 當(dāng)密鑰采用知識(shí)分割法貯存時(shí)，每一分割信息塊應(yīng)由授權(quán)人員獨(dú)立貯存。裝載過(guò)程應(yīng)在雙重控制下完成。 ? 4. 密鑰備份 ? CA產(chǎn)生的私鑰和對(duì)稱密鑰應(yīng)該備份以防止這些密鑰被意外刪除而造成認(rèn)證中心操作中斷。認(rèn)證中心的公鑰必須在有效期過(guò)后依然可以獲得。 ? 7. 密鑰例行更新 ? 認(rèn)證中心必須事先指定其密鑰的有效期并定期更新。在私鑰失密的情況下，認(rèn)證中心應(yīng)撤銷任何使用該私鑰的屬主證書并通知已撤消文件的屬主。 ? 更新認(rèn)證中心的密鑰和證書。 9. 認(rèn)證中心公鑰管理 ? 當(dāng)有上級(jí)認(rèn)證中心對(duì)產(chǎn)生的公鑰進(jìn)行認(rèn)證時(shí)，證書將從上級(jí)認(rèn)證中心獲得。（當(dāng)然，對(duì)于最終用戶來(lái)說(shuō)，這應(yīng)該是一個(gè)透明過(guò)程。如果確定信息有效，則 CA創(chuàng)建該證書。這個(gè)階段還包括對(duì)影響證書使用的策略的設(shè)置。證書可能會(huì)因各種原因而被撤銷，包括證書接收方被泄露，或者 CA 本身被 “ 黑 ” 掉。這主要涉及跟蹤證書的創(chuàng)建和到期（以及可能的撤銷），但在某些情況下還可以記錄證書的每次成功使用。 ? 2. 登記中心同意申請(qǐng) ? 用戶與登記中心人員聯(lián)系，證明自己的真實(shí)身份，或者請(qǐng)求代理人與登記中心聯(lián)系。如果 CA操作員發(fā)現(xiàn)簽名不正確，則拒絕證書申請(qǐng)， ? 4. 登記中心轉(zhuǎn)發(fā)證書 ? 登記中心操作員從 CA處得到新的證書，首先將證書輸出到 LDAP服務(wù)器以提供目錄瀏覽服務(wù)，最后操作員向用戶發(fā)送一封電子郵件，通知用戶證書已經(jīng)發(fā)行成功，并且把用戶的證書序列號(hào)告訴用戶到指定的網(wǎng)址去下載自己的數(shù)字證書。 12證書的撤消過(guò)程 ? 證書的撤銷包括 5個(gè)步驟； ? 由用戶提出申請(qǐng)：用戶向登記中心操作員 CRLManager發(fā)送一封簽名加密的郵件，聲明自己自愿撤消證書。 ? 其他用戶得到 CRL：用戶瀏覽安全服務(wù)器，下載或?yàn)g覽 CRL。在某些情況下，該倉(cāng)庫(kù)由認(rèn)證中心控制，在另一些情況下由認(rèn)證中心以外的第三方控制。 ? (3) 政策建立 /批準(zhǔn)：各種政策必須為認(rèn)證運(yùn)行的實(shí)現(xiàn)作系統(tǒng)的表達(dá)。基本格式如表41所示。 16證書的使用和分類 ? 盡管證書可以廣泛地用于各種目的，但其應(yīng)用可大致分為以下兩種類型： ? (1) 標(biāo)識(shí) /鑒別。認(rèn)可是證實(shí)屬主對(duì)特定應(yīng)用具有特權(quán)的行為。 ? 認(rèn)可與應(yīng)用直接相關(guān)，比如說(shuō)，它通常用作提供信用卡和銀行服務(wù)的手段，相反，標(biāo)識(shí) /鑒別不是針對(duì)具體的應(yīng)用，可用于多種一般目的。 ? （ 2） 甲對(duì)數(shù)字信息進(jìn)行哈希（ hash）運(yùn)算，得到一個(gè)信息摘要。 ? （ 6） 乙收到甲傳送過(guò)來(lái)的密文和加過(guò)密的 DES密鑰，先用自己的私鑰（ SK）對(duì)加密的 DES密鑰進(jìn)行解密，得到 DES密鑰。 ? （ 10） 乙將收到的信息摘要和新產(chǎn)生的信息摘要進(jìn)行比較，如果一致，說(shuō)明收到的信息沒(méi)有被修改過(guò)。聯(lián)邦 PKI支持在開放的網(wǎng)絡(luò)如 Inter上安全交易，用于保障電子政務(wù)、電子采購(gòu)的信息安全和實(shí)現(xiàn)對(duì)關(guān)鍵網(wǎng)絡(luò)設(shè)備的保護(hù)。其體系結(jié)構(gòu)圖 47所示。 ? 在進(jìn)行網(wǎng)上交易時(shí)，當(dāng)接收者接收到發(fā)送者數(shù)字簽名的電子文件時(shí)，為了驗(yàn)證簽名的有效性，接收者的應(yīng)用軟件必須作三件事： ? 首先接收者的軟件必須確定發(fā)送者的信任域和接收者的信任域之間是否存在信任關(guān)系，這可以通過(guò)建立兩個(gè)信任域之間的證書 “ 信任路徑 ” 來(lái)實(shí)現(xiàn)； ? 接收者必須確定發(fā)送者證書中所描述的政策即證書包含的擔(dān)保級(jí)別滿足本次交易的需要； ? 確定在這個(gè)信任路徑中，所有的證書都必須是有效的，即他們既沒(méi)有超過(guò)有效期，也沒(méi)有被注銷。 兩種體系的比較 ? 美國(guó)聯(lián)邦 PKI體系和加拿大政府 PKI體系都是政府行為的 PKI體系，是在政府的倡導(dǎo)和主持下研究開發(fā)的，其目的都是為了本國(guó)的各級(jí)政府部門和政府機(jī)構(gòu)高效、低成本、安全地從事電子政務(wù)、電子采購(gòu)活動(dòng)，其成員主要是各級(jí)政府，不同的政府機(jī)構(gòu)，在兩種體系中均有一個(gè)交叉認(rèn)證中心（ FPKI體系中是聯(lián)邦的橋 CA,加拿大政府 PKI體系中的中央認(rèn)證機(jī)構(gòu)） ,由它來(lái)溝通不同信任域之間的信任關(guān)系，同時(shí)也是與其他政府 PKI/CA建立信任關(guān)系的接口，是該體系與外界建立信任關(guān)系的唯一通道，當(dāng)然它必須接受政府在政策上的支持和監(jiān)督，在技術(shù)上都集成了如智能卡技術(shù)等其他技術(shù)。我國(guó)的PKI 體系結(jié)構(gòu)如圖 410所示。 ? 截止 2022 年底，目前國(guó)內(nèi)的 CA機(jī)構(gòu)已有區(qū)域型、行業(yè)型、商業(yè)型和企業(yè)型四類，前三種 CA機(jī)構(gòu)已有 60 余家，58%的省市建立了區(qū)域 CA，部分部委建立了行業(yè) CA，數(shù)字證書在電子政務(wù)、網(wǎng)絡(luò)銀行、網(wǎng)上證券、 B2B 交易、網(wǎng)上稅務(wù)申報(bào)、資金結(jié)算、財(cái)政預(yù)算單位資金劃撥、工商網(wǎng)上申報(bào)和網(wǎng)上年檢等眾多領(lǐng)域行業(yè)得到應(yīng)用。 ? 上海市 CA中心從 1998 年底給江總書記頒發(fā)第一張 CA 證書起，已經(jīng)有超過(guò) 35 萬(wàn)的各類企業(yè)、政府機(jī)構(gòu)和個(gè)人成為了上海市 CA中心數(shù)字證書的用戶，應(yīng)用領(lǐng)域遍及電子政務(wù)、網(wǎng)絡(luò)銀行、網(wǎng)上證券、 B2B 交易、網(wǎng)上稅務(wù)申報(bào)等等眾多領(lǐng)域；和上海熱線聯(lián)合推出安全電子郵件服務(wù)，用數(shù)字證書對(duì)郵件加密和數(shù)字簽名，確保郵件內(nèi)容的安全和防止他人冒名發(fā)信與發(fā)件人否認(rèn)已發(fā)郵件。 ? 在國(guó)家推行電子政務(wù)和電子商務(wù)過(guò)程中，電子簽章是被呼吁最多也是必不可少的環(huán)節(jié)。 ? PKI地方法規(guī)建設(shè)也取得了一定的成績(jī)。 小結(jié) ? 本章主要介紹了 3個(gè)方面的內(nèi)容，首先介紹了 PKI/CA的模型，然后介紹了 PKI的一些策略，最后介紹了國(guó)內(nèi)外 PKI的規(guī)劃與建設(shè)情況。