【正文】 驗證。證書簽發(fā)后并非永久有效，而是有一定的使用期限，期限一到，使用者必須更換密鑰對，以提高安全性。 ? 在 PKI的管理上，除了滿足易用性以外， CA必須依據(jù) PKI的簽發(fā)原則，對使用者驗明正身，確保證書與該使用者的關(guān)連。另外，證書注銷清冊 (Certificate Revocation List， CRL)也一并放在目錄服務(wù)器上。此外， CA必須將證書以及相關(guān)數(shù)據(jù)加以備份，包括已經(jīng)注銷的證書更換，以備日后驗證證書時使用。該數(shù)字證書具有唯一性。每一份數(shù)字證書都與上一級的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個已知的并被廣泛認(rèn)為是安全、權(quán)威、足以信賴的機構(gòu) 根認(rèn)證中心（根 CA）。 CA的核心功能就是發(fā)放和管理數(shù)字證書，具體描述為： ? （ 1）接收驗證最終用戶數(shù)字證書的申請。 ? （ 5）接收最終用戶數(shù)字證書的查詢、撤銷。 ? （ 9）歷史數(shù)據(jù)歸檔。它負(fù)責(zé)證書申請者的信息錄入、審核以及證書發(fā)放等工作；同時，對發(fā)放的證書完成相應(yīng)的管理功能。 1. 階層式架構(gòu)模型 ? 在階層式的模型中有不同層級的 CA，每個從屬于上層的 CA，例如在 PKI模型中「 Root」代表第一層或最上層。結(jié)構(gòu)如圖 43所示。 ? 而階層式架構(gòu)的缺點為： 1. 所有 CA共享一個Root CA，實際上這是不可行的。 網(wǎng)絡(luò)式架構(gòu)模型 ? 網(wǎng)絡(luò)式架構(gòu)是由許多獨立的 CA互相簽發(fā)證書而形成的一種網(wǎng)狀式架構(gòu)。 15243C e r t if ic at ion A ut hor it yC e r ti fi c ate U s e rI s s u e C e r ti fi c ateAB? 網(wǎng)絡(luò)式架構(gòu)的優(yōu)點為： 1. 彈性大，較適合地位對等的商業(yè)性應(yīng)用。 ? 而網(wǎng)絡(luò)式架構(gòu)的缺點為： 1. 驗證路徑的搜尋比階層式架構(gòu)要復(fù)雜許多。一張證書有一個到期日，由 CA來決定，所以證書并不是永久有效的。組成如圖 46所示。 CA還負(fù)責(zé)為操作員、安全服務(wù)器以及登記中心服務(wù)器生成數(shù)字證書。 ? 3. 操作員 ? 登記中心操作員使用瀏覽器訪問登記中心服務(wù)器，服務(wù)器需要對操作員進行身份認(rèn)證，操作員向服務(wù)器出示 CA頒發(fā)的證書，服務(wù)器根據(jù)配置文件檢查操作員的數(shù)字證書，如果證書合法，則與對方建立 SSL通信。 認(rèn)證中心密鑰管理 ? 認(rèn)證中心應(yīng)在私鑰和公鑰的整個生命期間內(nèi)對它們進行安全性和高可靠性的管理。應(yīng)該在雙重控制下產(chǎn)生密鑰對和對稱密鑰。 ? 當(dāng)密鑰采用知識分割法貯存時，每一分割信息塊應(yīng)由授權(quán)人員獨立貯存。裝載過程應(yīng)在雙重控制下完成。 ? 4. 密鑰備份 ? CA產(chǎn)生的私鑰和對稱密鑰應(yīng)該備份以防止這些密鑰被意外刪除而造成認(rèn)證中心操作中斷。認(rèn)證中心的公鑰必須在有效期過后依然可以獲得。 ? 7. 密鑰例行更新 ? 認(rèn)證中心必須事先指定其密鑰的有效期并定期更新。在私鑰失密的情況下，認(rèn)證中心應(yīng)撤銷任何使用該私鑰的屬主證書并通知已撤消文件的屬主。 ? 更新認(rèn)證中心的密鑰和證書。 9. 認(rèn)證中心公鑰管理 ? 當(dāng)有上級認(rèn)證中心對產(chǎn)生的公鑰進行認(rèn)證時，證書將從上級認(rèn)證中心獲得。（當(dāng)然，對于最終用戶來說，這應(yīng)該是一個透明過程。如果確定信息有效，則 CA創(chuàng)建該證書。這個階段還包括對影響證書使用的策略的設(shè)置。證書可能會因各種原因而被撤銷，包括證書接收方被泄露，或者 CA 本身被 “ 黑 ” 掉。這主要涉及跟蹤證書的創(chuàng)建和到期（以及可能的撤銷），但在某些情況下還可以記錄證書的每次成功使用。 ? 2. 登記中心同意申請 ? 用戶與登記中心人員聯(lián)系，證明自己的真實身份，或者請求代理人與登記中心聯(lián)系。如果 CA操作員發(fā)現(xiàn)簽名不正確，則拒絕證書申請， ? 4. 登記中心轉(zhuǎn)發(fā)證書 ? 登記中心操作員從 CA處得到新的證書，首先將證書輸出到 LDAP服務(wù)器以提供目錄瀏覽服務(wù)，最后操作員向用戶發(fā)送一封電子郵件，通知用戶證書已經(jīng)發(fā)行成功，并且把用戶的證書序列號告訴用戶到指定的網(wǎng)址去下載自己的數(shù)字證書。 12證書的撤消過程 ? 證書的撤銷包括 5個步驟； ? 由用戶提出申請：用戶向登記中心操作員 CRLManager發(fā)送一封簽名加密的郵件，聲明自己自愿撤消證書。 ? 其他用戶得到 CRL：用戶瀏覽安全服務(wù)器，下載或瀏覽 CRL。在某些情況下，該倉庫由認(rèn)證中心控制，在另一些情況下由認(rèn)證中心以外的第三方控制。 ? (3) 政策建立 /批準(zhǔn)：各種政策必須為認(rèn)證運行的實現(xiàn)作系統(tǒng)的表達(dá)。基本格式如表41所示。 16證書的使用和分類 ? 盡管證書可以廣泛地用于各種目的，但其應(yīng)用可大致分為以下兩種類型： ? (1) 標(biāo)識 /鑒別。認(rèn)可是證實屬主對特定應(yīng)用具有特權(quán)的行為。 ? 認(rèn)可與應(yīng)用直接相關(guān)，比如說，它通常用作提供信用卡和銀行服務(wù)的手段，相反，標(biāo)識 /鑒別不是針對具體的應(yīng)用，可用于多種一般目的。 ? （ 2） 甲對數(shù)字信息進行哈希（ hash）運算，得到一個信息摘要。 ? （ 6） 乙收到甲傳送過來的密文和加過密的 DES密鑰，先用自己的私鑰（ SK）對加密的 DES密鑰進行解密，得到 DES密鑰。 ? （ 10） 乙將收到的信息摘要和新產(chǎn)生的信息摘要進行比較，如果一致，說明收到的信息沒有被修改過。聯(lián)邦 PKI支持在開放的網(wǎng)絡(luò)如 Inter上安全交易，用于保障電子政務(wù)、電子采購的信息安全和實現(xiàn)對關(guān)鍵網(wǎng)絡(luò)設(shè)備的保護。其體系結(jié)構(gòu)圖 47所示。 ? 在進行網(wǎng)上交易時，當(dāng)接收者接收到發(fā)送者數(shù)字簽名的電子文件時，為了驗證簽名的有效性，接收者的應(yīng)用軟件必須作三件事： ? 首先接收者的軟件必須確定發(fā)送者的信任域和接收者的信任域之間是否存在信任關(guān)系，這可以通過建立兩個信任域之間的證書 “ 信任路徑 ” 來實現(xiàn)； ? 接收者必須確定發(fā)送者證書中所描述的政策即證書包含的擔(dān)保級別滿足本次交易的需要； ? 確定在這個信任路徑中，所有的證書都必須是有效的，即他們既沒有超過有效期，也沒有被注銷。 兩種體系的比較 ? 美國聯(lián)邦 PKI體系和加拿大政府 PKI體系都是政府行為的 PKI體系，是在政府的倡導(dǎo)和主持下研究開發(fā)的，其目的都是為了本國的各級政府部門和政府機構(gòu)高效、低成本、安全地從事電子政務(wù)、電子采購活動，其成員主要是各級政府，不同的政府機構(gòu)，在兩種體系中均有一個交叉認(rèn)證中心（ FPKI體系中是聯(lián)邦的橋 CA,加拿大政府 PKI體系中的中央認(rèn)證機構(gòu)） ,由它來溝通不同信任域之間的信任關(guān)系，同時也是與其他政府 PKI/CA建立信任關(guān)系的接口，是該體系與外界建立信任關(guān)系的唯一通道，當(dāng)然它必須接受政府在政策上的支持和監(jiān)督，在技術(shù)上都集成了如智能卡技術(shù)等其他技術(shù)。我國的PKI 體系結(jié)構(gòu)如圖 410所示。 ? 截止 2022 年底，目前國內(nèi)的 CA機構(gòu)已有區(qū)域型、行業(yè)型、商業(yè)型和企業(yè)型四類，前三種 CA機構(gòu)已有 60 余家，58%的省市建立了區(qū)域 CA，部分部委建立了行業(yè) CA，數(shù)字證書在電子政務(wù)、網(wǎng)絡(luò)銀行、網(wǎng)上證券、 B2B 交易、網(wǎng)上稅務(wù)申報、資金結(jié)算、財政預(yù)算單位資金劃撥、工商網(wǎng)上申報和網(wǎng)上年檢等眾多領(lǐng)域行業(yè)得到應(yīng)用。 ? 上海市 CA中心從 1998 年底給江總書記頒發(fā)第一張 CA 證書起，已經(jīng)有超過 35 萬的各類企業(yè)、政府機構(gòu)和個人成為了上海市 CA中心數(shù)字證書的用戶，應(yīng)用領(lǐng)域遍及電子政務(wù)、網(wǎng)絡(luò)銀行、網(wǎng)上證券、 B2B 交易、網(wǎng)上稅務(wù)申報等等眾多領(lǐng)域；和上海熱線聯(lián)合推出安全電子郵件服務(wù)，用數(shù)字證書對郵件加密和數(shù)字簽名，確保郵件內(nèi)容的安全和防止他人冒名發(fā)信與發(fā)件人否認(rèn)已發(fā)郵件。 ? 在國家推行電子政務(wù)和電子商務(wù)過程中，電子簽章是被呼吁最多也是必不可少的環(huán)節(jié)。 ? PKI地方法規(guī)建設(shè)也取得了一定的成績。 小結(jié) ? 本章主要介紹了 3個方面的內(nèi)容，首先介紹了 PKI/CA的模型，然后介紹了 PKI的一些策略，最后介紹了國內(nèi)外 PKI的規(guī)劃與建設(shè)情況。