【正文】 次信任模型 – 交叉認(rèn)證信任模型（網(wǎng)狀認(rèn)證） CA層次結(jié)構(gòu) ? 對于一個運行 CA的大型權(quán)威機(jī)構(gòu)而言，簽發(fā)證書的工作不能僅僅由一個 CA來完成。 聯(lián)邦政府定義： 被一個或多個用戶所信任發(fā)放和管理 鑰證書和作廢證書的機(jī)構(gòu) 。 ? 使用像 RSA這樣的非對稱加密算法來分發(fā)密鑰是不錯的選擇。 3)、證書作廢列表（ CRL）： 作廢證書列單，通常由同一個發(fā)證實體簽名。是一個機(jī)構(gòu)頒發(fā)給一個個體的證明，所以證書的權(quán)威性取決于該機(jī)構(gòu)的權(quán)威性。 ? 最常用的證書格式為 v3。 4)、策略管理機(jī)構(gòu)（ PMA）： 監(jiān)督證書策略的產(chǎn)生和更新，管理 PKI證書策略。 ? 永久密鑰：用于分發(fā)會話密鑰的密鑰。 CA全面負(fù)責(zé)證書發(fā)行和管理 （ 即 ， 注冊進(jìn)程控制 ， 身份標(biāo)識和認(rèn)證進(jìn)程 ， 證書制造進(jìn)程 ， 證書公布和作廢及密鑰的更換 ） 。 PKI的運行 1）署名用戶向證明機(jī)構(gòu)（ CA）提出數(shù)字證書申請； 2） CA驗明署名用戶身份，并簽發(fā)數(shù)字證書； 3） CA將證書公布到證書庫中； 4）署名用戶對電子信件數(shù)字簽名作為發(fā)送認(rèn)證，確保信件完整性，不可否認(rèn)性，并發(fā)送給依賴方。 ? 證書 (certificate)，有時候簡稱為 cert。 PKI提供的基本服務(wù) ? 認(rèn)證 ?采用數(shù)字簽名技術(shù)，簽名作用于相應(yīng)的數(shù)據(jù)之上 ? 數(shù)據(jù)源認(rèn)證服務(wù) ? 身份認(rèn)證服務(wù) ? 完整性 ? 保密性 ?用公鑰分發(fā)隨機(jī)密鑰，然后用隨機(jī)密鑰對數(shù)據(jù)加密 ? 不可否認(rèn) ?發(fā)送方和接受方的不可否認(rèn) PKI之動機(jī)