【正文】 ? 證書認證：在多ＣＡ系統(tǒng)中，提供對其它ＣＡ發(fā)布的證書的安全認證。 ? 證書和 CRL的公布：ＣＡ通過ＬＤＡＰ服務器維護用戶證書和黑名單（ＣＲＬ）。 ? 證書頒發(fā)：申請者在 CA的注冊機構(gòu)（ RA）進行注冊，申請證書。但是它不要求一個機構(gòu)在與另一個機構(gòu)發(fā)生信任關(guān)系時必須遵循所確定的這種映射關(guān)系，而是可以采用它認為合適的映射關(guān)系確定彼此之間的信任。 ? 根私鑰的維護更加困難。 ? 證書頒發(fā)和撤銷難于直接控制。 ? B將收到的信息摘要和新產(chǎn)生的信息摘要進行比較，如果一致，說明收到的信息沒有被修改過。 ? B用 A的公鑰（來自證書）對 A的數(shù)字簽名進行解密，得到信息摘要。 ? B然后用 DES密鑰對收到的密文進行解密，得到明文的數(shù)字信息，然后將 DES密鑰拋棄（即 DES密鑰作廢）。 ? A用 B的公鑰（來自證書）對剛才隨機產(chǎn)生的加密密鑰進行加密，將加密后的 DES密鑰連同密文一起傳送給 B。 ? A隨機產(chǎn)生一個加密密鑰（ DES密鑰），并用此密鑰對要發(fā)送的信息進行加密，形成密文。 ? A對數(shù)字信息進行哈希（ hash）運算，得到一個信息摘要。 PKI的運行舉例 ? 1）終端用戶向證明機構(gòu)（ CA）提出數(shù)字證書申請； ? 2） CA驗明終端用戶身份，并簽發(fā)數(shù)字證書； ? 3） CA將證書公布到證書庫中； ? 4）終端用戶對電子信件數(shù)字簽名作為發(fā)送認證，確保信件完整性，不可否認性，并發(fā)送給接受方。 ? 在線證書狀態(tài)協(xié)議 OCSP（ Online Certificate Status Protocol），其目的為了克服基于 CRL的撤銷方案的局限性，為證書狀態(tài)查詢提供即時的最新響應。 ? 在證書撤銷列表（ CRL）中查詢確認該證書是否被 CA撤銷。 ? 檢查證書的有效期，確保該證書是否有效。 ? 下載并安裝證書 ? 證書發(fā)布 終端 實體 RA CA 9.證書發(fā)布 證書庫 證書的更新 ? 最終實體證書更新 ? 證書過期 ? 一些屬性的改變 ? 發(fā)放新證書 ? CA證書更新 證書存放 ? 使用 IC卡存放 ? 直接存放在磁盤或自己的終端上 ? USB Key ? 證書庫 證書撤銷 ? 當條件（雇傭關(guān)系結(jié)束、證書中信息修改等）要求證書的有效期在證書結(jié)束日期之前終止，或者要求用戶與私鑰分離時（私鑰可能以某種方式泄露），證書被撤銷。 ? RA對證書請求進行審核。 ? 包含私鑰的物理設備的分發(fā)。 ? 私鑰歸檔。 ? 產(chǎn)生公私鑰對。 ? 為識別身份的目的分配名字。 ? 對被請求證書屬性確定主體的權(quán)利。 RA的功能 ? 主體注冊證書的個人認證。 ? 一般而言，注冊中心控制注冊、證書傳遞、其他密鑰和證書生命周期管理過程中主體和 PKI間的交換。本質(zhì)上是 CA的功能組件。 注冊中心（ RA） ? 注冊中心是數(shù)字證書注冊審批機構(gòu)。 ? 密鑰歸檔。 ? 產(chǎn)生和發(fā)布證書注銷列表（ CRL）。 ? 接受、處理最終用戶的數(shù)字證書更新請求（證書更新）。 ? 確定是否接受最終用戶數(shù)字證書的申請（證書審批）。 ? Web服務器 ? 用于證書發(fā)布和有關(guān)數(shù)據(jù)認證系統(tǒng)政策的發(fā)布。 ? 證書發(fā)布和 CRL發(fā)布服務器 ? 用于將證書信息按一定時間間隔對外發(fā)布，為客戶提供證書下載和 CRL下載等服務。 ? 密鑰管理服務器 ? 與簽名加密服務器連接，按配置生成密鑰、撤銷密鑰、恢復密鑰和查詢密鑰。 ? 美聯(lián)邦政府定義：被一個或多個用戶所信任發(fā)放和管理 。 CA全面負責證書發(fā)行和管理。 ? 互聯(lián)網(wǎng)定義：一個可信實體，發(fā)放和作廢公鑰證書，并對各作廢證書列表簽名。它負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的個體所需的數(shù)字證書，因此是安全電子交易的核心環(huán)節(jié)。核心功能就是發(fā)放和管理數(shù)字證書 ? CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書 的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。 ? 最終用戶（ End User）：也稱最終實體（ EndEntity） ,可以是人，也可以是機器，如路由器，或計算機中運行的進程，如應用系統(tǒng)。 ? 操作協(xié)議：允許用戶方便地通過證書庫檢索和驗證證書和 CRL。 PKI主要組件的簡介（續(xù)） ? 管理協(xié)議：用于管理證書的注冊、生效、發(fā)布和撤銷。本質(zhì)上， RA 是 CA系統(tǒng)的一個 功能組件 ，可設計成 CA的代理處，分擔 CA的一定功能以增強可擴展性。 ? 根 CA：一個單獨的、可信任的根 CA是 PKI的基礎，生成一個自簽名證書，亦稱 CA證書或根證書。 PKI主要組件 PKI主要組件的簡介 ? 公鑰證書：由可信實體簽名的電子記錄，記錄將 公鑰 和密鑰（公私鑰對） 所有者 的身份捆綁在一起。 ? 證書撤銷處理系統(tǒng) ? 證書由于某種原因需要作廢，終止使用，將通過證書撤銷列表 CRL來實現(xiàn)。 ? 證書庫 ? 證書的集中存放地，提供公眾查詢。 PKI的主要組件 ? 證書授權(quán)中心 ? 證書簽發(fā)機構(gòu)，是 PKI的核心，使 PKI 應用中權(quán)威的、可信任的、公正的第三方機構(gòu)。 ? 除了 CA以外，任何人都無法偽造、修改證書。 數(shù)字證書的安全性 ? 證書是公開的，可復制的。 ? 擴展：說明該證書的附加信息。 ? 證書有效期：證書開始有效期和證書失效期。 ? 主體標識：證書持有者的名稱。 數(shù)字證書的格式 ? 遵循 ITUT ? 版本號：用來區(qū)分 本 ? 序列號：每一個證書都有惟一的數(shù)字型編號。最簡單的證書包含一個公開密鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。 PKI的優(yōu)勢 ? 節(jié)省費用 ? 透明性和易用性 ? 互操作性 ? 可擴展性 ? 多用性 ? 支持多平臺 數(shù)字證書的概念 ? 數(shù)字證書就是互聯(lián)網(wǎng)通訊中 標識通訊各方身份信息 的一系列數(shù)據(jù)，提供了一種在 Inter上驗證身份的方式，其作用類似于 駕駛執(zhí)照或身份證 。 ? 我國的 PKI行業(yè)起步較晚， PKI行業(yè)的建立還只有不到五年的時間，但其發(fā)展還是十分迅速的。 ? PKI技術(shù)經(jīng)過近十年的發(fā)展已日趨成熟，許多新技術(shù)還在不斷涌現(xiàn)， CA之間的信任模型、使用的加解密算法、密鑰管理的方案等也在不斷變化中。 ? 似乎可以解決絕大多數(shù)網(wǎng)絡安全問題，并初步形成了一套完整的解決方案。 ? CA認證、數(shù)字證書、目錄服務以及相關(guān)安全應用組件 模塊的集合 。 ? 一個被廣泛認識并且被普遍接受的 相當標準化 的結(jié)構(gòu)。 ? PKI是目前為止既能實現(xiàn)用戶 身份認證 ，又能保證互聯(lián)網(wǎng)上所傳輸 數(shù)據(jù)安全 的惟一技術(shù)。 PKI的內(nèi)容和目標 ? PKI技術(shù)以 公鑰技術(shù) 為基礎，以 數(shù)字證書 為媒介，結(jié)合對稱加密和非對稱加密技術(shù)，將個人、組織、設備的 標識信息 與各自的 公鑰 捆綁在一起。 ? PKI公鑰基礎設施的主要任務是在開放環(huán)境中為開放性業(yè)務提供 公鑰加密 和 數(shù)字簽名服務 。 Alice可以檢驗時戳實現(xiàn)對 Bob的認證。 Bob解密認證值并驗證時戳，以確認和它通信的實體確實知道 KAB，從而實現(xiàn)了對 Alice工作站的認證。 用戶和遠程節(jié)點的通信 工作站 解密門票得到 KAB 解密認證值 檢驗時戳 Ticket=KB{“ Alice” , KAB} Authen