體系結(jié)構(gòu)學(xué)習(xí)樣本

PKI體系構(gòu)造學(xué)習(xí)筆記一PKI基本基本概念PKI（publickeyinfrastructure）即公鑰基本構(gòu)造PKI由公鑰加密技術(shù)，數(shù)字證書，證書頒發(fā)機(jī)構(gòu)（CA），注冊(cè)機(jī)構(gòu)（RA）等構(gòu)成數(shù)字證書用于顧客身份驗(yàn)證，CA是一種可信任實(shí)體，負(fù)責(zé)發(fā)布，更新及吊銷證書，RA接受顧客祈求功能數(shù)據(jù)加密是發(fā)送方使用接受方公鑰進(jìn)行數(shù)據(jù)加密，接受方使用自己私鑰解密這些數(shù)據(jù)，數(shù)據(jù)加密能保證所發(fā)送數(shù)據(jù)機(jī)密性。數(shù)據(jù)簽名是發(fā)送方使用自己私鑰加密，接受方使用發(fā)送方公鑰解密，數(shù)據(jù)簽名能保證數(shù)據(jù)完整性，操作不可否認(rèn)性兩個(gè)密鑰是成對(duì)生成，不能由一種推算出另一種，公鑰加密數(shù)據(jù)由私鑰解密，私鑰加密數(shù)據(jù)由公鑰進(jìn)行加密CA(Certificate

Authority)是數(shù)字證書認(rèn)證中心簡(jiǎn)稱，是指發(fā)放、管理、廢除數(shù)字證書機(jī)構(gòu)。CA作用是檢查證書持有者身份合法性，并簽發(fā)證書（在證書上簽字），以防證書被偽造或篡改，以及對(duì)證書和密鑰進(jìn)行管理。CA核心功能就是發(fā)放和管理數(shù)字證書，詳細(xì)功能描述如下:（1）接受驗(yàn)證顧客數(shù)字證書申請(qǐng)。

（2）擬定與否接受顧客數(shù)字證書申請(qǐng)，即證書審批。

（3）向申請(qǐng)者頒發(fā)（或回絕頒發(fā)）數(shù)字證書。

（4）接受、解決顧客數(shù)字證書更新祈求。

（5）接受顧客數(shù)字證書查詢、撤銷。

（6）產(chǎn)生和發(fā)布證書吊銷列表（CRL）。

（7）數(shù)字證書歸檔。

（8）密鑰歸檔。

（9）歷史數(shù)據(jù)歸檔。數(shù)字安全證書就是標(biāo)志網(wǎng)絡(luò)顧客身份信息一系列數(shù)據(jù)，用來(lái)在網(wǎng)絡(luò)通訊中辨認(rèn)通訊各方身份，即要在Internet上解決"我是誰(shuí)"問(wèn)題，就猶如現(xiàn)實(shí)中咱們每一種人都要擁有一張證明個(gè)人身份身份證或駕駛執(zhí)照同樣，以表白咱們身份或某種資格。數(shù)字證書是一種經(jīng)證書授權(quán)中心數(shù)字簽名包括公開(kāi)密鑰擁有者信息以及公開(kāi)密鑰文獻(xiàn)。數(shù)字證書存儲(chǔ)介質(zhì)重要有：軟盤，硬盤，IC卡，Usb

Key數(shù)字證書原理：運(yùn)用一對(duì)互相匹配密鑰進(jìn)行加密、解密。顧客自己設(shè)定一把特定僅為本人所知私有密鑰（私鑰），用它進(jìn)行解密和簽名；同步設(shè)定一把公共密鑰（公鑰）并由本人公開(kāi)，為一組顧客共享，用于加密和驗(yàn)證簽名。證書主體：顧客，計(jì)算機(jī)，服務(wù)等證書可以用于諸多方面：web顧客身份驗(yàn)證，web服務(wù)器身份驗(yàn)證，安全電子郵件，internet合同安全（IPSec）證書發(fā)放過(guò)程：證書申請(qǐng)顧客依照個(gè)人信息填好申請(qǐng)證書信息并提交證書申請(qǐng)信息RA確認(rèn)顧客在公司內(nèi)部網(wǎng)中，普通使用手工驗(yàn)證方式，這樣更能保證顧客信息安全性和真實(shí)性證書方略解決如果驗(yàn)證祈求成功，那么，系統(tǒng)指定方略就被運(yùn)營(yíng)到這個(gè)祈求上，例如名稱約束，密鑰長(zhǎng)度約束等RA提交顧客申請(qǐng)信息到CARA用自己私鑰對(duì)顧客申請(qǐng)信息簽名，保證顧客申請(qǐng)信息是RA提交給CACA為顧客生成密鑰對(duì)，并用CA簽名密鑰對(duì)顧客公鑰和顧客信息ID進(jìn)行簽名，生成電子證書這樣，CA就將顧客信息和公鑰捆綁在一起了，然后,CA將顧客數(shù)字證書和顧客公用密鑰發(fā)布到目錄中。CA將電子證書傳送給批準(zhǔn)該顧客RA.RA將電子證書傳送給顧客（或者顧客積極取回）顧客驗(yàn)證CA頒發(fā)證書保證自己信息在簽名過(guò)程中沒(méi)有被篡改，并且通過(guò)CA公鑰驗(yàn)證這個(gè)證書的確由所信任CA機(jī)構(gòu)頒發(fā)。證書包括信息：證書＝個(gè)人信息＋公鑰信息＋CA簽名信息證書使用者公鑰值使用者標(biāo)記信息證書有效期頒發(fā)者標(biāo)記頒發(fā)者數(shù)字簽名公鑰密碼思想PKI所依賴核心思想是公鑰密碼。公鑰算法是基于數(shù)學(xué)函數(shù)而不是基于替代和置換，此外，與只使用一種密鑰對(duì)稱老式密碼不同，公鑰密碼學(xué)是非對(duì)稱，它依賴于一種公開(kāi)密鑰和一種與之在數(shù)學(xué)上有關(guān)但不相似私鑰，且僅依照密碼算法和公開(kāi)密鑰來(lái)擬定私鑰在計(jì)算上是不可行。公開(kāi)密鑰用于加密和簽名認(rèn)證，私鑰則相應(yīng)用于解密和簽名。公鑰密碼可以解決老式密碼中最困難兩個(gè)問(wèn)題：密鑰分派問(wèn)題和數(shù)字簽名問(wèn)題。一是密鑰分派問(wèn)題，用老式密碼進(jìn)行密鑰分派規(guī)定通信雙方或者已經(jīng)共享一種密鑰，而該密鑰已通過(guò)某種辦法分派給通信雙方；或者運(yùn)用密鑰分派中心。公鑰密碼創(chuàng)造人之一WhitfieldDiffie以為，第二個(gè)規(guī)定有悖于密碼學(xué)精髓，即應(yīng)在通信過(guò)程中完全保持秘密性?！叭绻匾?guī)定顧客域KDC共享她們密鑰，這些密鑰也許由于盜竊或索取而被泄密，那么設(shè)計(jì)不可破密碼體制究竟尚有什么意義呢？”第二個(gè)問(wèn)題是數(shù)字簽名問(wèn)題，即將密碼學(xué)用于電子消息和文獻(xiàn)簽名，并能保證數(shù)字簽名是出自某人，并且各方對(duì)次均無(wú)異議。公鑰加密算法1976年，Diffie和Hellman針對(duì)上述兩個(gè)問(wèn)題公開(kāi)提出公鑰密碼算法。公鑰密碼算法依賴于一種加密密鑰和一種與之有關(guān)但不同解密密鑰，這些算法具備這樣特點(diǎn)，即僅依照密碼算法和加密密鑰來(lái)擬定解密密鑰在計(jì)算上是不可行。公鑰加密重要環(huán)節(jié)如下：網(wǎng)絡(luò)中每個(gè)終端系統(tǒng)生成一對(duì)密鑰，用來(lái)加密和解密消息。每個(gè)終端系統(tǒng)通過(guò)將其加密密鑰存于公開(kāi)寄存器或文獻(xiàn)中，發(fā)布其加密密鑰，這個(gè)密鑰稱為公鑰，而其解密密鑰是秘密。若A要發(fā)送消息給B，則A用B公鑰對(duì)消息加密。B收到消息后，用其私鑰對(duì)消息解密。由于只有B懂得其私鑰，因此其她接受者均不能解出消息。到當(dāng)前為止，被廣泛接受公鑰密碼系統(tǒng)重要是大整數(shù)因子分解IFP困難性RSA系統(tǒng)和基于橢圓曲線離散對(duì)數(shù)ECDLP計(jì)算困難性ECC系統(tǒng)。數(shù)字簽名技術(shù)數(shù)字簽名是運(yùn)用一套規(guī)則和一種參數(shù)集對(duì)數(shù)據(jù)計(jì)算所得成果，用此成果可以確認(rèn)簽名者身份和數(shù)據(jù)完整性，這里數(shù)據(jù)計(jì)算普通是密碼變換。簡(jiǎn)樸說(shuō)，數(shù)字簽名就是附加在數(shù)據(jù)單元上某些數(shù)據(jù)，或是對(duì)數(shù)據(jù)單元所作密碼變換。這種數(shù)據(jù)或變換容許數(shù)據(jù)單元接受者用以確認(rèn)數(shù)據(jù)單元來(lái)源和數(shù)據(jù)單元完整性并保護(hù)數(shù)據(jù)，防止被她人進(jìn)行偽造?；诠€密碼體制和私鑰密碼體制都可以獲得數(shù)字簽名，當(dāng)前重要是基于公鑰密碼體制數(shù)字簽名，涉及普通數(shù)字簽名和特殊數(shù)字簽名。數(shù)字簽名技術(shù)是不對(duì)稱加密算法典型應(yīng)用。它將摘要信息用發(fā)送者私鑰加密，與原文一起傳送給接受者。接受者只有用發(fā)送公鑰才干解密被加密摘要信息，然后用HASH函數(shù)對(duì)收到原文產(chǎn)生一種摘要信息，與解密摘要信息對(duì)比。如果相似，則闡明收到信息是完整，在傳播過(guò)程中沒(méi)有被修改，否則闡明信息被修改過(guò)，因而數(shù)字簽名可以驗(yàn)證信息完整性。1.5為什么需要PKI隨著網(wǎng)絡(luò)技術(shù)發(fā)展，特別是Internet全球化，各種基于互聯(lián)網(wǎng)技術(shù)網(wǎng)上應(yīng)用，如電子政務(wù)、電子商務(wù)等得到了迅猛發(fā)展。網(wǎng)絡(luò)正逐漸成為人們工作、生活中不可分割一某些。由于互聯(lián)網(wǎng)開(kāi)放性和通用性，網(wǎng)上所有信息對(duì)所有人都是公開(kāi)，因而應(yīng)用系統(tǒng)對(duì)信息安全性提出了更高規(guī)定。（1）對(duì)身份合法性驗(yàn)證規(guī)定以明文方式存儲(chǔ)、傳送顧客名和口令存在著被截獲、破譯等諸多安全隱患。同步，尚有維護(hù)不便缺陷。因而，需要一套安全、可靠并易于維護(hù)顧客身份管理和合法性驗(yàn)證機(jī)制來(lái)保證應(yīng)用系統(tǒng)安全性。（2）對(duì)數(shù)據(jù)保密性和完整性規(guī)定（2）對(duì)數(shù)據(jù)保密性和完整性規(guī)定公司應(yīng)用系統(tǒng)中數(shù)據(jù)普通都是明文，在基于網(wǎng)絡(luò)技術(shù)系統(tǒng)中，這種明文數(shù)據(jù)很容易泄密或被篡改，必要采用有效辦法保證數(shù)據(jù)保密性和完整性。（3）傳播安全性規(guī)定以明文方式在網(wǎng)上傳播數(shù)據(jù)，很容易被截獲以至泄密，必要對(duì)通信通道進(jìn)行加密保護(hù)。運(yùn)用通信專線老式方式已經(jīng)遠(yuǎn)遠(yuǎn)不能滿足當(dāng)代網(wǎng)絡(luò)應(yīng)用發(fā)展需求，必要謀求一種新辦法來(lái)保證基于互聯(lián)網(wǎng)技術(shù)傳播安全需求。（4）對(duì)數(shù)字簽名和不可否認(rèn)規(guī)定不可抵賴性為了防止事件發(fā)起者事后抵賴，對(duì)于規(guī)范業(yè)務(wù)，避免法律糾紛起著很大作用。老式不可抵賴性是通過(guò)手工簽名完畢，在網(wǎng)絡(luò)應(yīng)用中，需要一種具備同樣功能機(jī)制來(lái)保證不可抵賴性，那就是數(shù)字簽名技術(shù)。PKI基于非對(duì)稱公鑰體制，采用數(shù)字證書管理機(jī)制，可覺(jué)得透明地為網(wǎng)上應(yīng)用提供上述各種安全服務(wù)，極大地保證了網(wǎng)上應(yīng)用安全性。二PKI構(gòu)成PKI作為一組在分布式計(jì)算系統(tǒng)中運(yùn)用公鑰技術(shù)和X.509證書所提供安全服務(wù)，公司或組織可運(yùn)用有關(guān)產(chǎn)品建立安全域，并在其中發(fā)布密鑰和證書。在安全域內(nèi)，PKI管理加密密鑰和證書發(fā)布，并提供諸如密鑰管理（涉及密鑰更新，密鑰恢復(fù)和密鑰委托等）、證書管理（涉及證書產(chǎn)生和撤銷等）和方略管理等。PKI產(chǎn)品也容許一種組織通過(guò)證書級(jí)別或直接交叉認(rèn)證等方式來(lái)同其她安全域建立信任關(guān)系。這些服務(wù)和信任關(guān)系不能局限于獨(dú)立網(wǎng)絡(luò)之內(nèi)，而應(yīng)建立在網(wǎng)絡(luò)之間和Internet之上，為電子商務(wù)和網(wǎng)絡(luò)通信提供安全保障，因此具備互操作性構(gòu)造化和原則化技術(shù)成為PKI核心。PKI在實(shí)際應(yīng)用上是一套軟硬件系統(tǒng)和安全方略集合，它提供了一整套安全機(jī)制，使顧客在不懂得對(duì)方身份或分布地很廣狀況下，以證書為基本，通過(guò)一系列信任關(guān)系進(jìn)行通訊和電子商務(wù)交易。一種典型PKI系統(tǒng)如圖1所示，其中涉及PKI方略、軟硬件系統(tǒng)、證書機(jī)構(gòu)CA、注冊(cè)機(jī)構(gòu)RA、證書發(fā)布系統(tǒng)和PKI應(yīng)用等。PKI安全方略建立和定義了一種組織信息安全面指引方針，同步也定義了密碼系統(tǒng)使用解決辦法和原則。它涉及一種組織如何解決密鑰和有價(jià)值信息，依照風(fēng)險(xiǎn)級(jí)別定義安全控制級(jí)別。普通狀況下，在PKI中有兩種類型方略：一是證書方略，用于管理證書使用，例如，可以確認(rèn)某一CA是在Internet上公有CA，還是某一公司內(nèi)部私有CA；此外一種就是CPS（CertificatePracticeStatement）。某些由商業(yè)證書發(fā)放機(jī)構(gòu)（CCA）或者可信第三方操作PKI系統(tǒng)需要CPS。這是一種包括如何在實(shí)踐中增強(qiáng)和支持安全方略某些操作過(guò)程詳細(xì)文檔。它涉及CA是如何建立和運(yùn)作，證書是如何發(fā)行、接受和廢除，密鑰是如何產(chǎn)生、注冊(cè)，以及密鑰是如何存儲(chǔ)，顧客是如何得到它等等。證書機(jī)構(gòu)CA是PKI信任基本，它管理公鑰整個(gè)生命周期，其作用涉及：發(fā)放證書、規(guī)定證書有效期和通過(guò)發(fā)布證書廢除列表（CRL）保證必要時(shí)可以廢除證書。背面將會(huì)在CA進(jìn)行詳細(xì)簡(jiǎn)介。注冊(cè)機(jī)構(gòu)RA提供顧客和CA之間一種接口，它獲取并認(rèn)證顧客身份，向CA提出證書祈求。它重要完畢收集顧客信息和確認(rèn)顧客身份功能。這里指顧客，是指將要向認(rèn)證中心（即CA）申請(qǐng)數(shù)字證書客戶，可以是個(gè)人，也可以是集團(tuán)或團(tuán)隊(duì)、某政府機(jī)構(gòu)等。注冊(cè)管理普通由一種獨(dú)立注冊(cè)機(jī)構(gòu)（即RA）來(lái)承擔(dān)。它接受顧客注冊(cè)申請(qǐng)，審查顧客申請(qǐng)資格，并決定與否批準(zhǔn)CA給其簽發(fā)數(shù)字證書。注冊(cè)機(jī)構(gòu)并不給顧客簽發(fā)證書，而只是對(duì)顧客進(jìn)行資格審查。因而，RA可以設(shè)立在直接面對(duì)客戶業(yè)務(wù)部門，如銀行營(yíng)業(yè)部、機(jī)構(gòu)結(jié)識(shí)部門等。固然，對(duì)于一種規(guī)模較小PKI應(yīng)用系統(tǒng)來(lái)說(shuō)，可把注冊(cè)管理職能由認(rèn)證中心CA來(lái)完畢，而不設(shè)立獨(dú)立運(yùn)營(yíng)RA。但這并不是取消了PKI注冊(cè)功能，而只是將其作為CA一項(xiàng)功能而已。PKI國(guó)際原則推薦由一種獨(dú)立RA來(lái)完畢注冊(cè)管理任務(wù)，可以增強(qiáng)應(yīng)用系統(tǒng)安全。證書發(fā)布系統(tǒng)負(fù)責(zé)證書發(fā)放，如可以通過(guò)顧客自己，或是通過(guò)目錄服務(wù)。目錄服務(wù)器可以是一種組織中現(xiàn)存，也可以是PKI方案中提供。PKI應(yīng)用非常廣泛，涉及在web服務(wù)器和瀏覽器之間通訊、電子郵件、電子數(shù)據(jù)互換（EDI）、在Internet上信用卡交易和虛擬私有網(wǎng)（VPN）等。

圖1PKI構(gòu)成框圖一種簡(jiǎn)樸PKI系統(tǒng)涉及證書機(jī)構(gòu)CA、注冊(cè)機(jī)構(gòu)RA和相應(yīng)PKI存儲(chǔ)庫(kù)。CA用于簽發(fā)并管理證書；RA可作為CA一某些，也可以獨(dú)立，其功能涉及個(gè)人身份審核、CRL管理、密鑰產(chǎn)生和密鑰對(duì)備份等；PKI存儲(chǔ)庫(kù)涉及LDAP目錄服務(wù)器和普通數(shù)據(jù)庫(kù)，用于對(duì)顧客申請(qǐng)、證書、密鑰、CRL和日記等信息進(jìn)行存儲(chǔ)和管理，并提供一定查詢功能。三證書認(rèn)證機(jī)構(gòu)CA3.1數(shù)字證書基本數(shù)字證書是一種數(shù)字標(biāo)記，可以說(shuō)是Internet上安全護(hù)照或身份證明。當(dāng)人們到其她國(guó)家旅行時(shí)，顧客護(hù)照可以證明其身份，并被獲準(zhǔn)進(jìn)入這個(gè)國(guó)家。數(shù)字證書提供是網(wǎng)絡(luò)上身份證明。數(shù)字證書是一種經(jīng)證書授權(quán)中心數(shù)字簽名包括公開(kāi)密鑰擁有者信息和公開(kāi)密鑰文獻(xiàn)。最簡(jiǎn)樸證書包括一種公開(kāi)密鑰、名稱以及證書授權(quán)中心數(shù)字簽名。普通狀況下證書中還涉及密鑰有效時(shí)間，發(fā)證機(jī)關(guān)（證書授權(quán)中心）名稱，該證書序列號(hào)等信息，證書格式遵循ITUTX.509國(guó)際原則。3.1.1證書格式在Internet網(wǎng)絡(luò)中，應(yīng)用程序使用證書都來(lái)自不同廠商或組織，為了實(shí)現(xiàn)可交互性，規(guī)定證書可以被不同系統(tǒng)辨認(rèn)，符合一定格式，并實(shí)現(xiàn)原則化。X.509為證書及其CRL格式提供了一種原則。但X.509自身不是Internet原則，而是國(guó)際電聯(lián)ITU原則，它定義了一種開(kāi)放框架，并在一定范疇內(nèi)可以進(jìn)行擴(kuò)展。為了適應(yīng)PKI技術(shù)發(fā)展，IETF也必要制定在Internet上使用X.509和CRL原則。PKIX工作組就提供了一種Internet草案"PartI：X.509CertificateandCRLProfile"（詳細(xì)內(nèi)容可見(jiàn)：/internet-drafts/draft-ietf-pkix-ipki-part1-11.txt），用于定義在InternetPKI中使用X.509和CRL辦法和規(guī)范。該草案把X.509作為原則，并對(duì)各原則項(xiàng)和擴(kuò)展做了闡明，基本接受了X.509作為Internet中證書原則，但也定義了被PKI應(yīng)用X.509V3和CRLV2原則格式設(shè)立，這些設(shè)立包括了PKIX工作組對(duì)X.509所做某些新擴(kuò)展。X.509當(dāng)前有三個(gè)版本：V1、V2和V3，其中V3是在V2基本上加上擴(kuò)展項(xiàng)后版本，這些擴(kuò)展涉及由ISO文檔（X.509-AM）定義原則擴(kuò)展，也涉及由其她組織或團(tuán)隊(duì)定義或注冊(cè)擴(kuò)展項(xiàng)。X.509由ITU-TX.509（前身為CCITTX.509）或ISO/IEC9594-8定義，最早以X.500目錄建議一某些刊登于1988年，并作為V1版本證書格式。X.500于1993年進(jìn)行了修改，并在V1基本上增長(zhǎng)了兩個(gè)額外域，用于支持目錄存取控制，從而產(chǎn)生了V2版本。為了適應(yīng)新需求ISO/IEC和ANSIX9發(fā)展了X.509V3版本證書格式，該版本證書通過(guò)增長(zhǎng)原則擴(kuò)展項(xiàng)對(duì)V1和V2證書進(jìn)行了擴(kuò)展。此外，依照實(shí)際需要，各個(gè)組織或團(tuán)隊(duì)也可以增長(zhǎng)自己私有擴(kuò)展。X.509V1和V2證書所包括重要內(nèi)容如下：證書版本號(hào)（Version）：版本號(hào)指明X.509證書格式版本，當(dāng)前值可覺(jué)得0、1、2，也為將來(lái)版本進(jìn)行了預(yù)定義。證書序列號(hào)（SerialNumber）：序列號(hào)指定由CA分派給證書唯一數(shù)字型標(biāo)記符。當(dāng)證書被取消時(shí)，事實(shí)上是將此證書序列號(hào)放入由CA簽發(fā)CRL中，這也是序列號(hào)唯一因素。簽名算法標(biāo)記符（Signature）：簽名算法標(biāo)記用來(lái)指定由CA簽發(fā)證書時(shí)所使用簽名算法。算法標(biāo)記符用來(lái)指定CA簽發(fā)證書時(shí)所使用公開(kāi)密鑰算法和hash算法，須向國(guó)際知名原則組織（如ISO）注冊(cè)。簽發(fā)機(jī)構(gòu)名（Issuer）：此域用來(lái)標(biāo)記簽發(fā)證書CAX.500DN名字。涉及國(guó)家、省市、地區(qū)、組織機(jī)構(gòu)、單位部門和通用名。有效期（Validity）：指定證書有效期，涉及證書開(kāi)始生效日期和時(shí)間以及失效日期和時(shí)間。每次使用證書時(shí)，需要檢查證書與否在有效期內(nèi)。證書顧客名（Subject）：指定證書持有者X.500唯一名字。涉及國(guó)家、省市、地區(qū)、組織機(jī)構(gòu)、單位部門和通用名，還可包括email地址等個(gè)人信息等證書持有者公開(kāi)密鑰信息（subjectPublicKeyInfo）：證書持有者公開(kāi)密鑰信息域包括兩個(gè)重要信息：證書持有者公開(kāi)密鑰值；公開(kāi)密鑰使用算法標(biāo)記符。此標(biāo)記符包括公開(kāi)密鑰算法和hash算法。簽發(fā)者唯一標(biāo)記符（IssuerUniqueIdentifier）：簽發(fā)者唯一標(biāo)記符在第2版加入證書定義中。此域用在當(dāng)同一種X.500名字用于各種認(rèn)證機(jī)構(gòu)時(shí)，用一比特字符串來(lái)唯一標(biāo)記簽發(fā)者X.500名字?？蛇x。證書持有者唯一標(biāo)記符（SubjectUniqueIdentifier）：持有證書者唯一標(biāo)記符在第2版原則中加入X.509證書定義。此域用在當(dāng)同一種X.500名字用于各種證書持有者時(shí)，用一比特字符串來(lái)唯一標(biāo)記證書持有者X.500名字?？蛇x。簽名值（Issuer'sSignature）：證書簽發(fā)機(jī)構(gòu)對(duì)證書上述內(nèi)容簽名值。X.509V3證書是在v2基本上一原則形式或普通形式增長(zhǎng)了擴(kuò)展項(xiàng)，以使證書可以附帶額外信息。原則擴(kuò)展是指由X.509V3版本定義對(duì)V2版本增長(zhǎng)具備廣泛應(yīng)用前景擴(kuò)展項(xiàng)，任何人都可以向某些權(quán)威機(jī)構(gòu)，如ISO，來(lái)注冊(cè)某些其她擴(kuò)展，如果這些擴(kuò)展項(xiàng)應(yīng)用廣泛，也許后來(lái)會(huì)成為原則擴(kuò)展項(xiàng)。3.1.2CRL格式證書廢除列表CRL（Certificaterevocationlists，又稱證書黑名單）為應(yīng)用程序和其他系統(tǒng)提供了一種檢查證書有效性方式。任何一種證書廢除后來(lái)，證書機(jī)構(gòu)CA會(huì)通過(guò)發(fā)布CRL方式來(lái)告知各個(gè)有關(guān)方。當(dāng)前，同X.509V3證書對(duì)相應(yīng)CRL為X.509v2CRL，其所包括內(nèi)容格式如下：CRL版本號(hào)：0表達(dá)X.509V1原則；1表達(dá)X.509V2原則；當(dāng)前慣用是同X.509V3證書相應(yīng)CRLV2版本。簽名算法：包括算法標(biāo)記和算法參數(shù)，用于指定證書簽發(fā)機(jī)構(gòu)用來(lái)對(duì)CRL內(nèi)容進(jìn)行簽名算法。證書簽發(fā)機(jī)構(gòu)名：簽發(fā)機(jī)構(gòu)DN名，由國(guó)家、省市、地區(qū)、組織機(jī)構(gòu)、單位部門和通用名等構(gòu)成。本次簽發(fā)時(shí)間：本次CRL簽發(fā)時(shí)間，遵循ITU-TX.509V2原則CA在2049年之前把這個(gè)域編碼為UTCTime類型，在2050或2050年之后年之前把這個(gè)域編碼為GeneralizedTime類型。下次簽發(fā)時(shí)間：下次CRL簽發(fā)時(shí)間，遵循ITU-TX.509V2原則CA在2049年之前把這個(gè)域編碼為UTCTime類型，在2050或2050年之后年之前把這個(gè)域編碼為GeneralizedTime類型。顧客公鑰信息，其中涉及廢除證書序列號(hào)和證書廢除時(shí)間。廢除證書序列號(hào)是指要廢除由同一種CA簽發(fā)證書一種唯一標(biāo)記號(hào)，同一機(jī)構(gòu)簽發(fā)證書不會(huì)有相似序列號(hào)。簽名算法：對(duì)CRL內(nèi)容進(jìn)行簽名簽名算法。簽名值：證書簽發(fā)機(jī)構(gòu)對(duì)CRL內(nèi)容簽名值。此外，CRL中還包括擴(kuò)展域和條目擴(kuò)展域。CRL擴(kuò)展域用于提供與CRL關(guān)于額外信息部份，容許團(tuán)隊(duì)和組織定義私有CRL擴(kuò)展域來(lái)傳送她們獨(dú)有信息；CRL條目擴(kuò)展域則提供與CRL條目關(guān)于額外信息部份，容許團(tuán)隊(duì)和組織定義私有CRL條目擴(kuò)展域來(lái)傳送她們獨(dú)有信息。3.1.3證書存儲(chǔ)數(shù)字證書作為一種電子數(shù)據(jù)格式，可以直接從網(wǎng)上下載，也可以通過(guò)其她方式。使用IC卡存儲(chǔ)顧客證書。即把顧客數(shù)字證書寫到IC卡中，供顧客隨身攜帶。這樣顧客在所有可以讀IC卡證書電子商務(wù)終端上都可以享有安全電子商務(wù)服務(wù)。顧客證書直接存儲(chǔ)在磁盤或自己終端上。戶將從CA申請(qǐng)來(lái)證書下載或復(fù)制到磁盤或自己PC機(jī)或智能終端上，當(dāng)顧客使用自己終端享有電子商務(wù)服務(wù)時(shí)，直接從終端讀入即可。此外，CRL普通通過(guò)網(wǎng)上下載方式存儲(chǔ)在顧客端。3.2CA框架模型證書機(jī)構(gòu)CA用于創(chuàng)立和發(fā)布證書，它普通為一種稱為安全域（securitydomain）有限群體發(fā)放證書。創(chuàng)立證書時(shí)候，CA系統(tǒng)一方面獲取顧客祈求信息，其中涉及顧客公鑰（公鑰普通由顧客端產(chǎn)生，如電子郵件程序或?yàn)g覽器等），CA將依照顧客祈求信息產(chǎn)生證書，并用自己私鑰對(duì)證書進(jìn)行簽名。其她顧客、應(yīng)用程序或?qū)嶓w將使用CA公鑰對(duì)證書進(jìn)行驗(yàn)證。如果一種CA系統(tǒng)是可信，則驗(yàn)證證書顧客可以確信，她所驗(yàn)證證書中公鑰屬于證書所代表那個(gè)實(shí)體。CA還負(fù)責(zé)維護(hù)和發(fā)布證書廢除列表CRL（certificaterevocationlists，又稱為證書黑名單）。當(dāng)一種證書，特別是其中公鑰由于其她因素?zé)o效時(shí)（不是由于到期），CRL提供了一種告知顧客和其她應(yīng)用中心管理方式。CA系統(tǒng)生成CRL后來(lái)，要么是放到LDAP服務(wù)器中供顧客查詢或下載，要么是放置在Web服務(wù)器適當(dāng)位置，以頁(yè)面超級(jí)連接方式供顧客直接查詢或下載。一種典型CA系統(tǒng)涉及安全服務(wù)器、注冊(cè)機(jī)構(gòu)RA、CA服務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。如圖2所示。

圖2典型CA框架模型安全服務(wù)器：安全服務(wù)器面向普通顧客，用于提供證書申請(qǐng)、瀏覽、證書撤除列表以及證書下載等安全服務(wù)。安全服務(wù)器與顧客通信采用安全信道方式（如SSL方式，不需要對(duì)顧客進(jìn)行身份認(rèn)證）。顧客一方面得到安全服務(wù)器證書（該證書由CA頒發(fā)），然后顧客與服務(wù)器之間所有通信，涉及顧客填寫申請(qǐng)信息以及瀏覽器生成公鑰均以安全服務(wù)器密鑰進(jìn)行加密傳播，只有安全服務(wù)器運(yùn)用自己私鑰解密才干得到明文，這樣可以防止其她人通過(guò)竊聽(tīng)得到明文。從而保證了證書申請(qǐng)和傳播過(guò)程中信息安全性。CA服務(wù)器：CA服務(wù)器使整個(gè)證書機(jī)構(gòu)核心，負(fù)責(zé)證書簽發(fā)。CA一方面產(chǎn)生自身私鑰和公鑰（密鑰長(zhǎng)度至少為1024位），然后生成數(shù)字證書，并且將數(shù)字證書傳播給安全服務(wù)器。CA還負(fù)責(zé)為操作員、安全服務(wù)器以及注冊(cè)機(jī)構(gòu)服務(wù)器生成數(shù)字證書。安全服務(wù)器數(shù)字證書和私鑰也需要傳播給安全服務(wù)器。CA服務(wù)器是整個(gè)構(gòu)造中最為重要某些，存有CA私鑰以及發(fā)行證書腳本文獻(xiàn)，出于安全考慮，應(yīng)將CA服務(wù)器與其她服務(wù)器隔離，任何通信采用人工干預(yù)方式，保證認(rèn)證中心安全。注冊(cè)機(jī)構(gòu)RA：登記中心服務(wù)器面向登記中心操作員，在CA體系構(gòu)造中起承上啟下作用，一方面向CA轉(zhuǎn)發(fā)安全服務(wù)器傳播過(guò)來(lái)證書申請(qǐng)祈求，另一方面向LDAP服務(wù)器和安全服務(wù)器轉(zhuǎn)發(fā)CA頒發(fā)數(shù)字證書和證書撤除列表。LDAP服務(wù)器：LDAP服務(wù)器提供目錄瀏覽服務(wù)，負(fù)責(zé)將注冊(cè)機(jī)構(gòu)服務(wù)器傳播過(guò)來(lái)顧客信息以及數(shù)字證書加入到服務(wù)器上。這樣其她顧客通過(guò)訪問(wèn)LDAP服務(wù)器就可以得到其她顧客數(shù)字證書。數(shù)據(jù)庫(kù)服務(wù)器：數(shù)據(jù)庫(kù)服務(wù)器是認(rèn)證機(jī)構(gòu)中核心某些，用于認(rèn)證機(jī)構(gòu)中數(shù)據(jù)（如密鑰和顧客信息等）、日記合記錄信息存儲(chǔ)和管理。實(shí)際數(shù)據(jù)庫(kù)系統(tǒng)應(yīng)采用各種辦法，如磁盤陣列、雙機(jī)備份和多解決器等方式，以維護(hù)數(shù)據(jù)庫(kù)系統(tǒng)安全性、穩(wěn)定性、可伸縮性和高性能。3.3證書申請(qǐng)和撤銷證書申請(qǐng)有兩種方式，一是在線申請(qǐng)，此外一種就是離線申請(qǐng)。在線申請(qǐng)就是通過(guò)瀏覽器或其她應(yīng)用系統(tǒng)通過(guò)在線方式來(lái)申請(qǐng)證書，這種方式普通用于申請(qǐng)普通顧客證書或測(cè)試證書。離線方式普通通過(guò)人工方式直接到證書機(jī)構(gòu)證書受理點(diǎn)去辦理證書申請(qǐng)手續(xù)，通過(guò)審核后獲取證書，這種方式普通用于比較重要場(chǎng)合，如服務(wù)器證書和商家證書等。下面討論重要是在線申請(qǐng)方式。當(dāng)證書申請(qǐng)時(shí)，顧客使用瀏覽器通過(guò)Internet訪問(wèn)安全服務(wù)器，下載CA數(shù)字證書（又叫做根證書），然后注冊(cè)機(jī)構(gòu)服務(wù)器對(duì)顧客進(jìn)行身份審核，承認(rèn)后便批準(zhǔn)顧客證書申請(qǐng)，然后操作員對(duì)證書申請(qǐng)表進(jìn)行數(shù)字簽名，并將申請(qǐng)及其簽名一起提交給CA服務(wù)器。CA操作員獲得注冊(cè)機(jī)構(gòu)服務(wù)器操作員簽發(fā)證書申請(qǐng)，發(fā)行證書或者回絕發(fā)行證書，然后將證書通過(guò)硬拷貝方式傳播給注冊(cè)機(jī)構(gòu)服務(wù)器。注冊(cè)機(jī)構(gòu)服務(wù)器得到顧客證書后來(lái)將顧客某些公開(kāi)信息和證書放到LDAP服務(wù)器上提供目錄瀏覽服務(wù)，并且通過(guò)電子郵件方式告知顧客從安全服務(wù)器上下載證書。顧客依照郵件提示到指定網(wǎng)址下載自己數(shù)字證書，而其她顧客可以通過(guò)LDAP服務(wù)器獲得她公鑰數(shù)字證書。證書申請(qǐng)環(huán)節(jié)如下：顧客申請(qǐng)

顧客一方面下載CA證書，又叫根證書，然后在證書申請(qǐng)過(guò)程中使用SSL安全方式與服務(wù)器建立連接，顧客填寫個(gè)人信息，瀏覽器生成私鑰和公鑰對(duì)，將私鑰保存客戶端特定文獻(xiàn)中，并且規(guī)定用口令保護(hù)私鑰，同步將公鑰和個(gè)人信息提交給安全服務(wù)器。安全服務(wù)器將顧客申請(qǐng)信息傳送給注冊(cè)機(jī)構(gòu)服務(wù)器。注冊(cè)機(jī)構(gòu)審核

顧客與注冊(cè)機(jī)構(gòu)人員聯(lián)系，證明自己真實(shí)身份，或者祈求代理人與注冊(cè)機(jī)構(gòu)聯(lián)系。注冊(cè)機(jī)構(gòu)操作員運(yùn)用自己瀏覽器與注冊(cè)機(jī)構(gòu)服務(wù)器建立SSL安全通信，該服務(wù)器需要對(duì)操作員進(jìn)行嚴(yán)格身份認(rèn)證，涉及操作員數(shù)字證書、IP地址，為了進(jìn)一步保證安全性，可以設(shè)立固定訪問(wèn)時(shí)間。操作員一方面查看當(dāng)前系統(tǒng)中申請(qǐng)人員，從列表中找出相應(yīng)顧客，點(diǎn)擊顧客名，核對(duì)顧客信息，并且可以進(jìn)行恰當(dāng)修改，如果操作員批準(zhǔn)顧客申請(qǐng)證書祈求，必要對(duì)證書申請(qǐng)信息進(jìn)行數(shù)字簽名。操作員也有權(quán)利回絕顧客申請(qǐng)。操作員與服務(wù)器之間所有通信都采用加密和簽名，具備安全性、抗否認(rèn)性，保證了系統(tǒng)安全性和有效性。CA發(fā)行證書

注冊(cè)機(jī)構(gòu)RA通過(guò)硬拷貝方式向CA傳播顧客證書申請(qǐng)與操作員數(shù)字簽名，CA操作員查看顧客詳細(xì)信息，并且驗(yàn)證操作員數(shù)字簽名，如果簽名驗(yàn)證通過(guò)，則批準(zhǔn)顧客證書祈求，頒發(fā)證書。然后CA將證書輸出。如果CA操作員發(fā)現(xiàn)簽名不對(duì)的，則回絕證書申請(qǐng)，CA頒發(fā)數(shù)字證書中包括關(guān)于顧客及CA自身各種信息，如：能唯一標(biāo)記顧客姓名及其她標(biāo)記信息，如個(gè)人email地址；證書持有者公鑰。公鑰用于為證書持有者加密敏感信息、簽發(fā)個(gè)人證書認(rèn)證機(jī)構(gòu)名稱、個(gè)人證書序列號(hào)和個(gè)人證書有效期（證書有效起止日期）等注冊(cè)機(jī)構(gòu)證書轉(zhuǎn)發(fā)

注冊(cè)機(jī)構(gòu)RA操作員從CA處得到新證書，一方面將證書輸出到LDAP目錄服務(wù)器以提供目錄瀏覽服務(wù)，最后操作員向顧客發(fā)送一封電子郵件，告知顧客證書已經(jīng)發(fā)行成功，并且把顧客證書序列號(hào)告訴顧客到指定網(wǎng)址去下載自己數(shù)字證書。并且告訴顧客如何使用安全服務(wù)器上LDAP配備，讓顧客修改瀏覽器客戶端配備文獻(xiàn)以便訪問(wèn)LDAP服務(wù)器，獲得她人數(shù)字證書。顧客證書獲取

顧客使用證書申請(qǐng)時(shí)瀏覽器到指定網(wǎng)址，鍵入自己證書序列號(hào)，服務(wù)器規(guī)定顧客必要使用申請(qǐng)證書時(shí)瀏覽器，由于瀏覽器需要用該證書相應(yīng)私鑰去驗(yàn)證數(shù)字證書。只有保存了相應(yīng)私鑰瀏覽器才干成功下載顧客數(shù)字證書。這時(shí)顧客打開(kāi)瀏覽器安全屬性，就可以發(fā)現(xiàn)自己已經(jīng)擁有了CA頒發(fā)數(shù)字證書，可以運(yùn)用該數(shù)字證書與其她人以及web服務(wù)器（擁有相似CA頒發(fā)證書）使用加密、數(shù)字簽名進(jìn)行安全通信。認(rèn)證中心還涉及到CRL管理。顧客向特定操作員（僅負(fù)責(zé)CRL管理）發(fā)一份加密簽名郵件，聲明自己但愿撤除證書。操作員打開(kāi)郵件，填寫CRL注冊(cè)表，并且進(jìn)行數(shù)字簽名，提交給CA，CA操作員驗(yàn)證注冊(cè)機(jī)構(gòu)操作員數(shù)字簽名，批準(zhǔn)顧客撤除證書，并且更新CRL，然后CA將不同格式CRL輸出給注冊(cè)機(jī)構(gòu)，發(fā)布到安全服務(wù)器上，這樣其她人可以通過(guò)訪問(wèn)服務(wù)器得到CRL。證書撤銷流程環(huán)節(jié)如下：顧客向注冊(cè)機(jī)構(gòu)操作員CRLManager發(fā)送一封簽名加密郵件，聲明自己自愿撤除證書。這冊(cè)機(jī)構(gòu)批準(zhǔn)證書撤除，操作員鍵入顧客序列號(hào)，對(duì)祈求進(jìn)行數(shù)字簽名。CA查詢證書撤除祈求列表，選出其中一種，驗(yàn)證操作員數(shù)字簽名，如果對(duì)的話，則批準(zhǔn)顧客證書撤除申請(qǐng)，同步更新CRL列表，然后將CRL以各種格式輸出。注冊(cè)機(jī)構(gòu)轉(zhuǎn)發(fā)證書撤除列表。操作員導(dǎo)入CRL，以各種不同格式將CRL發(fā)布于眾。顧客瀏覽安全服務(wù)器，下載或?yàn)g覽CRL。在一種PKI，特別是CA中，信息存儲(chǔ)是一種非常核心問(wèn)題，它涉及兩個(gè)方面：一是CA服務(wù)器運(yùn)用數(shù)據(jù)庫(kù)來(lái)備份當(dāng)前密鑰和歸檔過(guò)期密鑰，該數(shù)據(jù)庫(kù)需高度安全和機(jī)密，其安全級(jí)別同CA自身相似；此外一種就是目錄服務(wù)器，用于分發(fā)證書和CRL，普通采用LDAP目錄服務(wù)器。3.4密鑰管理密鑰管理也是PKI（重要指CA）中一種核心問(wèn)題，重要是指密鑰對(duì)安全管理，涉及密鑰產(chǎn)生、密鑰備份、密鑰恢復(fù)和密鑰更新等。1.密鑰產(chǎn)生

密鑰對(duì)產(chǎn)生是證書申請(qǐng)過(guò)程中重要一步，其中產(chǎn)生私鑰由顧客保存，公鑰和其她信息則交于CA中心進(jìn)行簽名，從而產(chǎn)生證書。依照證書類型和應(yīng)用不同，密鑰對(duì)產(chǎn)生也有不同形式和辦法。對(duì)普通證書和測(cè)試證書，普通由瀏覽器或固定終端應(yīng)用來(lái)產(chǎn)生，這樣產(chǎn)生密鑰強(qiáng)度較小，不適合應(yīng)用于比較重要安全網(wǎng)絡(luò)交易。而對(duì)于比較重要證書，如商家證書和服務(wù)器證書等，密鑰對(duì)普通由專用應(yīng)用程序或CA中心直接產(chǎn)生，這樣產(chǎn)生密鑰強(qiáng)度大，適合于重要應(yīng)用場(chǎng)合。

此外，依照密鑰應(yīng)用不同，也也許會(huì)有不同產(chǎn)生方式。例如簽名密鑰也許在客戶端或RA中心產(chǎn)生，而加密密鑰則需要在CA中心直接產(chǎn)生。2.密鑰備份和恢復(fù)

在一種PKI系統(tǒng)中，維護(hù)密鑰對(duì)備份至關(guān)重要，如果沒(méi)有這種辦法，當(dāng)密鑰丟失后，將意味著加密數(shù)據(jù)完全丟失，對(duì)于某些重要數(shù)據(jù)，這將是劫難性。因此，密鑰備份和恢復(fù)也是PKI密鑰管理中重要一環(huán)。

使用PKI公司和組織必要恩可以得到確認(rèn)：雖然密鑰丟失，受密要加密保護(hù)重要信息也必要可以恢復(fù)，并且不能讓一種獨(dú)立個(gè)人完全控制最重要主密鑰，否則將引起嚴(yán)重后果。

公司級(jí)PKI產(chǎn)品至少應(yīng)當(dāng)支持用于加密安全密鑰存儲(chǔ)、備份和恢復(fù)。密鑰普通用口令進(jìn)行保護(hù)，而口令丟失則是管理員最常用安全疏漏之一。因此，PKI產(chǎn)品應(yīng)當(dāng)可以備份密鑰，雖然口令丟失，它也可以讓顧客在一定條件下恢復(fù)該密鑰，并設(shè)立新口令。

例如，在某些狀況下顧客也許有多對(duì)密鑰，至少應(yīng)當(dāng)有兩個(gè)密鑰：一種用于加密，一種用于簽名。簽名密要不需要備份，由于用于驗(yàn)證簽名公鑰（或公鑰證書）廣泛發(fā)布，雖然簽名私鑰丟失，任何用于相應(yīng)公要人都可以對(duì)已簽名文檔進(jìn)行驗(yàn)證。但PKI系統(tǒng)必要備份用于加密密鑰對(duì)，并容許顧客進(jìn)行恢復(fù)，否則，用于解密私鑰丟失將意味著加密數(shù)據(jù)完全不可恢復(fù)。

此外，使用PKI公司也應(yīng)當(dāng)考慮所使用密鑰生命周期，它涉及密鑰和證書有效時(shí)間，以及已撤銷密鑰和證書維護(hù)時(shí)間等。3.密鑰更新

對(duì)每一種由CA頒發(fā)證書都會(huì)有有效期，密鑰對(duì)生命周期長(zhǎng)短由簽發(fā)證書CA中心來(lái)擬定，各CA系統(tǒng)證書有效期限有所不同，普通大概為2-3年。

當(dāng)顧客私鑰被泄漏或證書有效期快屆時(shí)，顧客應(yīng)當(dāng)更新私鑰。這時(shí)顧客可以廢除證書，產(chǎn)生新密鑰對(duì)，申請(qǐng)新證書。3.5證書使用在實(shí)際應(yīng)用中，為了驗(yàn)證信息數(shù)字簽名，顧客一方面必要獲取信息發(fā)送者公鑰證書，以及某些額外需要證書（如CA證書等，用于驗(yàn)證發(fā)送者證書有效性）。證書獲取可以有各種方式，如發(fā)送者發(fā)送簽名信息時(shí)附加發(fā)送自己證書，或以此外單獨(dú)信息發(fā)送證書，或者可以通過(guò)訪問(wèn)證書發(fā)布目錄服務(wù)器來(lái)獲得，或者直接從證書有關(guān)實(shí)體處獲得。在一種PKI體系中，可以采用某種或某幾種上述方式獲得證書。在電子商務(wù)系統(tǒng)中，證書持有者可以是個(gè)人顧客、企事業(yè)單位、商家、銀行等。無(wú)論是電子商務(wù)中哪一方，在使用證書驗(yàn)證數(shù)據(jù)時(shí)，都遵循同樣驗(yàn)證流程。一種完整驗(yàn)證過(guò)程有如下幾步：將客戶端發(fā)來(lái)數(shù)據(jù)解密(如解開(kāi)數(shù)字信封)。將解密后數(shù)據(jù)分解成原始數(shù)據(jù)，簽名數(shù)據(jù)和客戶證書三某些。用CA根證書驗(yàn)證客戶證書簽名完整性。檢查客戶證書與否有效(當(dāng)前時(shí)間在證書構(gòu)造中所定義有效期內(nèi))。檢查客戶證書與否作廢(OCSP方式或CRL方式)。驗(yàn)證客戶證書構(gòu)造中證書用途。客戶證書驗(yàn)證原始數(shù)據(jù)簽名完整性。如果以上各項(xiàng)均驗(yàn)證通過(guò)，則接受該數(shù)據(jù)。四PKI原則隨著PKI發(fā)展和應(yīng)用不斷普及，PKI產(chǎn)品也越來(lái)越多，為了保持個(gè)產(chǎn)品之間兼容性，原則化成了PKI不可避免發(fā)展趨勢(shì)。PKI原則可分為兩個(gè)某些：一類用于定義PKI，而另一類用于PKI應(yīng)用。4.1定義PKI原則PKI發(fā)展一種重要方面就是原則化問(wèn)題，它也是建立互操作性基本。當(dāng)前，PKI原則化重要有兩個(gè)方面：一是RSA公司公鑰加密原則PKCS（PublicKeyCryptographyStandards）,它定義了許多基本PKI部件，涉及數(shù)字簽名和證書祈求格式等；二是由Internet工程任務(wù)組IETF（InternetEngineerTaskForce）和PKI工作組PKIX（PublicKeyInfrastructureWorkingGroup）所定義一組具備互操作性公鑰基本設(shè)施合同。在此后很長(zhǎng)一段時(shí)間內(nèi)，PKCS和PKIX將會(huì)并存，大某些PKI產(chǎn)品為保持兼容性，也將會(huì)對(duì)這兩種原則進(jìn)行支持。PKCS是由美國(guó)RSA數(shù)據(jù)安全公司及其合伙伙伴制定一組公鑰密碼學(xué)原則，其中涉及證書申請(qǐng)、證書更新、證書作廢表發(fā)布、擴(kuò)展證書內(nèi)容以及數(shù)字簽名、數(shù)字信封格式等方面一系列有關(guān)合同。到1999年終，PKCS已經(jīng)發(fā)布了如下原則：PKCS#1：定義RSA公開(kāi)密鑰算法加密和簽名機(jī)制，重要用于組織PKCS#7中所描述數(shù)字簽名和數(shù)字信封。PKCS#3：定義Diffie-Hellman密鑰互換合同。PKCS#5：描述一種運(yùn)用從口令派生出來(lái)安全密鑰加密字符串辦法。使用MD2或MD5從口令中派生密鑰，并采用DES-CBC模式加密。重要用于加密從一種計(jì)算機(jī)傳送到另一種計(jì)算機(jī)私人密鑰，不能用于加密消息。PKCS#6：描述了公鑰證書原則語(yǔ)法，重要描述X.509證書擴(kuò)展格式。PKCS#7：定義一種通用消息語(yǔ)法，涉及數(shù)字簽名和加密等用于增強(qiáng)加密機(jī)制，PKCS#7與PEM兼容，因此不需其她密碼操作，就可以將加密消息轉(zhuǎn)換成PEM消息。PKCS#8：描述私有密鑰信息格式，該信息涉及公開(kāi)密鑰算法私有密鑰以及可選屬性集等。PKCS#9：定義某些用于PKCS#6證書擴(kuò)展、PKCS#7數(shù)字簽名和PKCS#8私鑰加密信息屬性類型。PKCS#10：描述證書祈求語(yǔ)法。PKCS#11：稱為Cyptoki，定義了一套獨(dú)立于技術(shù)程序設(shè)計(jì)接口，用于智能卡和PCMCIA卡之類加密設(shè)備。PKCS#12：描述個(gè)人信息互換語(yǔ)法原則。描述了將顧客公鑰、私鑰、證書和其她有關(guān)信息打包語(yǔ)法。PKCS#13：橢圓曲線密碼體制原則。PKCS#14：偽隨機(jī)數(shù)生成原則。PKCS#15：密碼令牌信息格式原則。此外，PKCS#2和PKCS#4已經(jīng)合并到PKCS#1之中。PKIX是由IETF組織中PKI工作小組制定系列國(guó)際原則。此類原則重要定義基于X.509和PKCSPKI模型框架。PKIX中定義四個(gè)重要模型為顧客、認(rèn)證中心CA、注冊(cè)中心RA和證書存取庫(kù)。4.2PKI應(yīng)用原則當(dāng)前世界上已經(jīng)浮現(xiàn)了許多依賴于PKI安全原則，即PKI應(yīng)用原則，如安全套接層合同SSL、傳播層安全合同TLS、安全多用途互連網(wǎng)郵件擴(kuò)展合同S/MIME和IP安全合同IPSEC等。其中最知名、應(yīng)用最為廣泛是SSL和SET合同.此外，隨著PKI進(jìn)一步發(fā)展，新原則也在不斷增長(zhǎng)和更新。S/MIME是一種用于發(fā)送安全報(bào)文IETF原則。它采用了PKI數(shù)字簽名技術(shù)并支持消息和附件加密，不必收發(fā)雙方共享相似密鑰。S/MIME委員會(huì)采用PKI技術(shù)原則來(lái)實(shí)現(xiàn)S/MIME，并恰當(dāng)擴(kuò)展了PKI功能。當(dāng)前該原則涉及密碼報(bào)文語(yǔ)法、報(bào)文規(guī)范、證書解決以及證書申請(qǐng)語(yǔ)法等方面內(nèi)容。SSL/TLS是互連網(wǎng)中訪問(wèn)WEB服務(wù)器最重要安全合同。固然，她們也可以應(yīng)用于基于客戶機(jī)/服務(wù)器模型非WEB類型應(yīng)用系統(tǒng)。SSL/TLS都運(yùn)用PKI數(shù)字證書來(lái)認(rèn)證客戶和服務(wù)器身份。IPSEC是IETF制定IP層加密合同，PKI技術(shù)為其提供了加密和認(rèn)證過(guò)程密鑰管理功能。IPSEC重要用于開(kāi)發(fā)新一代VPN。4.3PKI廠商PKI發(fā)展非?？欤呀?jīng)從幾年前理論階段過(guò)渡到當(dāng)前產(chǎn)品階段，并且浮現(xiàn)了大量成熟技術(shù)、產(chǎn)品和解決方案，正逐漸走向成熟。PKI發(fā)展受應(yīng)用驅(qū)動(dòng)影響，例如，初期Internet商務(wù)和Web安全規(guī)定重要依賴于SSL，并規(guī)定應(yīng)用一方面對(duì)證書進(jìn)行解決，因此，在諸多公司消息和群組產(chǎn)品中都提供了公鑰和證書系統(tǒng)，如Exchange和Notes等。此外，基于原則基本設(shè)施和應(yīng)用也同樣增進(jìn)了PKI發(fā)展，它可以保證基于Internet安全消息傳送可交互性，如S/MIME等。當(dāng)前，PKI產(chǎn)品生產(chǎn)廠家諸多，比較有代表性重要有VeriSign和Entrust。VeriSign作為RSA控股公司，借助RSA成熟安全技術(shù)，提供了PKI產(chǎn)品，為顧客之間內(nèi)部信息交互提供安全保障。此外，VeriSign也提供對(duì)外CA服務(wù)，涉及證書發(fā)布和管理等功能，并且同某些大生產(chǎn)商，如Microsoft、Netscape和JavaSoft等，保持了伙伴關(guān)系，以在Internet上提供代碼簽名服務(wù)。Entrust作為北方電訊（NorthernTelecom）控股公司，從事PKI研究與產(chǎn)品開(kāi)發(fā)已有諸近年歷史了，并始終在業(yè)界保持領(lǐng)先地位，擁有許多成熟PKI及配套產(chǎn)品，并提供了有效密鑰管理功能。此外，某些大廠商，如Microsoft、Netscape和Novell等，都開(kāi)始在自己網(wǎng)絡(luò)基本設(shè)施產(chǎn)品中增長(zhǎng)PKI功能。Netscape已經(jīng)開(kāi)始把證書服務(wù)器作為了SuiteSpot一某些，雖然其證書服務(wù)器沒(méi)有Entrust產(chǎn)品功能全面和完善，但提供了基本證書生成和管理功能。雖然沒(méi)有密鑰管理功能，但由于Netscape把證書服務(wù)器同SuiteSpot服務(wù)器和Communicator客戶端產(chǎn)品集成，依托廣泛市場(chǎng)基本，也獲得越來(lái)越多市場(chǎng)份額。由SUN和Netscape聯(lián)盟構(gòu)成iplanet公司（Sun|NetscapeAlliance）也在PKI方面做了很大努力，憑借其在網(wǎng)絡(luò)和電子商務(wù)方面優(yōu)勢(shì)，發(fā)展了諸多性能優(yōu)越PKI產(chǎn)品，如LDAP目錄服務(wù)器和證書管理系統(tǒng)等。五PKI應(yīng)用模式上述PKI提供安全服務(wù)正好能滿足電子商務(wù)、電子政務(wù)、網(wǎng)上銀行、網(wǎng)上證券等金融業(yè)交易安