锐度镣铐美女视频,鞠婧祎接吻视频,免费下载美女视频

前言

全球經(jīng)濟發(fā)展正在進入信息經(jīng)濟時代，知識經(jīng)濟初見端倪。作為二十一世紀的主要經(jīng)濟增長方式--電子商務(wù)，將給各國和世界經(jīng)濟帶來巨大的變革，產(chǎn)生深遠的影響。電子商務(wù)通過大幅度降低交易成本，增加貿(mào)易機會，簡化貿(mào)易流程，提高貿(mào)易效率；電子商務(wù)提高生產(chǎn)力，改善物流系統(tǒng)，并推動企業(yè)和國民經(jīng)濟結(jié)構(gòu)的改革。對電子商務(wù)的關(guān)注和投入可以發(fā)展新興產(chǎn)業(yè)，創(chuàng)造就業(yè)機會，推動國家和全球經(jīng)濟的發(fā)展。電子商務(wù)是一個新興市場，而且是一種替代傳統(tǒng)商務(wù)活動的新形式。它有可能徹底改變貿(mào)易活動的本質(zhì)，形成一套全新的貿(mào)易活動框架。但如何保證Internet網(wǎng)上信息傳輸?shù)陌踩前l(fā)展電子商務(wù)的重要環(huán)節(jié)。

為解決Internet的安全問題，世界各國對其進行了多年的研究，初步形成了一套完整的Internet安全解決方案，即目前被廣泛采用的PKI技術(shù)(Public Key Infrastructure-公鑰基礎(chǔ)設(shè)施)，PKI（公鑰基礎(chǔ)設(shè)施）技術(shù)采用證書管理公鑰，通過第三方的可信任機構(gòu)--認證中心CA(Certificate Authority)，把用戶的公鑰和用戶的其他標識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet網(wǎng)上驗證用戶的身份。目前，通用的辦法是采用建立在PKI基礎(chǔ)之上的數(shù)字證書，通過把要傳輸?shù)臄?shù)字信息進行加密和簽名，保證信息傳輸?shù)臋C密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。

單鑰密碼算法（加密）

PKI基礎(chǔ)設(shè)施采用證書管理公鑰，通過第三方的可信任機構(gòu)--認證中心，把用戶的公鑰和用戶的其他標識信息捆綁在一起，在Internet網(wǎng)上驗證用戶的身份。PKI基礎(chǔ)設(shè)施把公鑰密碼和對稱密碼結(jié)合起來，在Internet網(wǎng)上實現(xiàn)密鑰的自動管理，保證網(wǎng)上數(shù)據(jù)的安全傳輸。

從廣義上講，所有提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，都可叫做PKI系統(tǒng)，PKI的主要目的是通過自動管理密鑰和證書，可以為用戶建立起一個安全的網(wǎng)絡(luò)運行環(huán)境，使用戶可以在多種應(yīng)用環(huán)境下方便的使用加密和數(shù)字簽名技術(shù)，從而保證網(wǎng)上數(shù)據(jù)的機密性、完整性、有效性，數(shù)據(jù)的機密性是指數(shù)據(jù)在傳輸過程中，不能被非授權(quán)者偷看；數(shù)據(jù)的完整性是指數(shù)據(jù)在傳輸過程中不能被非法篡改；數(shù)據(jù)的有效性是指數(shù)據(jù)不能被否認。一個有效的PKI系統(tǒng)必須是安全的和透明的，用戶在獲得加密和數(shù)字簽名服務(wù)時，不需要詳細地了解PKI是怎樣管理證書和密鑰的，一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分：

公鑰密碼證書管理。

黑名單的發(fā)布和管理。

密鑰的備份和恢復(fù)。

自動更新密鑰。

自動管理歷史密鑰。

支持交叉認證。

由于PKI基礎(chǔ)設(shè)施是目前比較成熟、完善的Internet網(wǎng)絡(luò)安全解決方案，國外的一些大的網(wǎng)絡(luò)安全公司紛紛推出一系列的基于PKI的網(wǎng)絡(luò)安全產(chǎn)品，如美國的Verisign, IBM ,加拿大的Entrust、SUN等安全產(chǎn)品供應(yīng)商為用戶提供了一系列的客戶端和服務(wù)器端的安全產(chǎn)品，為電子商務(wù)的發(fā)展以及政府辦公網(wǎng)、EDI等提供了安全保證。簡言之，PKI(Public Key Infrastructure)公鑰基礎(chǔ)設(shè)施就是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)，目的是為了管理密鑰和證書，保證網(wǎng)上數(shù)字信息傳輸?shù)臋C密性、真實性、完整性和不可否認性。

1．單鑰密碼算法（加密）

單鑰密碼算法，又稱對稱密碼算法：是指加密密鑰和解密密鑰為同一密鑰的密碼算法。因此，信息的發(fā)送者和信息的接收者在進行信息的傳輸與處理時，必須共同持有該密碼（稱為對稱密碼）。在對稱密鑰密碼算法中,加密運算與解密運算使用同樣的密鑰。通常,使用的加密算法比較簡便高效,密鑰簡短,破譯極其困難；由于系統(tǒng)的保密性主要取決于密鑰的安全性,所以，在公開的計算機網(wǎng)絡(luò)上安全地傳送和保管密鑰是一個嚴峻的問題。最典型的是DES（Data Encryption Standard)算法。

DES（Data Encryption Standard，數(shù)據(jù)加密標準）算法，它是一個分組加密算法，它以64 bit位（8 byte）為分組對數(shù)據(jù)加密，其中有8 bit奇偶校驗，有效密鑰長度為56 bit。64位一組的明文從算法的一端輸入，64位的密文從另一端輸出。DES是一個對稱算法，加密和解密用的是同一算法。DES的安全性依賴于所用的密鑰。

密鑰的長度為56位。（密鑰通常表示為64位的數(shù)，但每個第8位都用作奇偶校驗，可以忽略。）密鑰可以是任意的56位的數(shù)，且可以在任意的時候改變。其中極少量的數(shù)被認為是弱密鑰，但能容易地避開它們。所有的保密性依賴于密鑰。簡單地說，算法只不過是加密的兩個基本技術(shù)--混亂和擴散的組合。DES基本組建分組是這些技術(shù)的一個組合（先代替后置換），它基于密鑰作用于明文，這是眾所周知的輪（round）。DES有16輪，這意味著要在明文分組上16次實施相同的組合技術(shù)。此算法只使用了標準的算術(shù)和邏輯運算，而其作用的數(shù)也最多只有64位。

DES對64位的明文分組進行操作，通過一個初始置換，將明文分組分成左半部分和右半部分，各32位長。然后進行16輪完全相同的運算，這些運算被稱為函數(shù)f，在運算過程中數(shù)據(jù)與密鑰結(jié)合。經(jīng)過16輪后，左、右半部分合在一起經(jīng)過一個末置換（初始置換的逆置換），這樣該算法就完成了。在每一輪中，密鑰位移位，然后再叢密鑰的56位中選出48位。通過一個擴展置換將數(shù)據(jù)的右半部分擴展成48位，并通過一個異或操作與48位密鑰結(jié)合，通過8個s盒將這48位替代成新的32位數(shù)據(jù)，再將其置換一次。這四步運算構(gòu)成了函數(shù)f。然后，通過另一個異或運算，函數(shù)f輸出與左半部分結(jié)合，其結(jié)果即成為新的右半部分，原來的右半部分成為新的左半部分。將該操作重復(fù)16次，便實現(xiàn)了DES的16輪運算。

2．雙鑰密碼算法（加密、簽名）

雙鑰密碼算法，又稱公鑰密碼算法：是指加密密鑰和解密密鑰為兩個不同密鑰的密碼算法。公鑰密碼算法不同于單鑰密碼算法，它使用了一對密鑰：一個用于加密信息，另一個則用于解密信息，通信雙方無需事先交換密鑰就可進行保密通信。其中加密密鑰不同于解密密鑰,加密密鑰公之于眾,誰都可以用；解密密鑰只有解密人自己知道。這兩個密鑰之間存在著相互依存關(guān)系：即用其中任一個密鑰加密的信息只能用另一個密鑰進行解密。若以公鑰作為加密密鑰，以用戶專用密鑰（私鑰）作為解密密鑰，則可實現(xiàn)多個用戶加密的信息只能由一個用戶解讀；反之，以用戶私鑰作為加密密鑰而以公鑰作為解密密鑰，則可實現(xiàn)由一個用戶加密的信息而多個用戶解讀。前者可用于數(shù)字加密，后者可用于數(shù)字簽名。

在通過網(wǎng)絡(luò)傳輸信息時，公鑰密碼算法體現(xiàn)出了單密鑰加密算法不可替代的優(yōu)越性。對于參加電子交易的商戶來說，希望通過公開網(wǎng)絡(luò)與成千上萬的客戶進行交易。若使用對稱密碼，則每個客戶都需要由商戶直接分配一個密碼，并且密碼的傳輸必須通過一個單獨的安全通道。相反，在公鑰密碼算法中，同一個商戶只需自己產(chǎn)生一對密鑰，并且將公開鑰對外公開?？蛻糁恍栌蒙虘舻墓_鑰加密信息，就可以保證將信息安全地傳送給商戶。

公鑰密碼算法中的密鑰依據(jù)性質(zhì)劃分，可分為公鑰和私鑰兩種。用戶產(chǎn)生一對密鑰，將其中的一個向外界公開，稱為公鑰；另一個則自己保留，稱為私鑰。凡是獲悉用戶公鑰的任何人若想向用戶傳送信息，只需用用戶的公鑰對信息加密，將信息密文傳送給用戶便可。因為公鑰與私鑰之間存在的依存關(guān)系，在用戶安全保存私鑰的前提下，只有用戶本身才能解密該信息，任何未受用戶授權(quán)的人包括信息的發(fā)送者都無法將此信息解密。

RSA公鑰密碼算法是一種公認十分安全的公鑰密碼算法。它的命名取自三個創(chuàng)始人：Rivest、Shamir和Adelman。RSA公鑰密碼算法是目前網(wǎng)絡(luò)上進行保密通信和數(shù)字簽名的最有效的安全算法。RSA算法的安全性基于數(shù)論中大素數(shù)分解的困難性，所以，RSA需采用足夠大的整數(shù)。因子分解越困難，密碼就越難以破譯，加密強度就越高。

RSA既能用于加密又能用于數(shù)字簽名，在已提出的公開密鑰算法中，RSA最容易理解和實現(xiàn)的，這個算法也是最流行的。RSA的安全基于大素數(shù)分解的難度。其公開密鑰和私人密鑰是一對大素數(shù)（100到200個十進制數(shù)或更大）的函數(shù)。從一個公開密鑰和密文中恢復(fù)出明文的難度等價于分解兩個大素數(shù)之積。

3．公開密鑰數(shù)字簽名算法（簽名）

DSA（Digital Signature Algorithm，數(shù)字簽名算法，用作數(shù)字簽名標準的一部分），它是另一種公開密鑰算法，它不能用作加密，只用作數(shù)字簽名。DSA使用公開密鑰，為接受者驗證數(shù)據(jù)的完整性和數(shù)據(jù)發(fā)送者的身份。它也可用于由第三方去確定簽名和所簽數(shù)據(jù)的真實性。DSA算法的安全性基于解離散對數(shù)的困難性，這類簽字標準具有較大的兼容性和適用性，成為網(wǎng)絡(luò)安全體系的基本構(gòu)件之一。

4．數(shù)字簽名與數(shù)字信封

公鑰密碼體制在實際應(yīng)用中包含數(shù)字簽名和數(shù)字信封兩種方式。

數(shù)字簽名是指用戶用自己的私鑰對原始數(shù)據(jù)的哈希摘要進行加密所得的數(shù)據(jù)。信息接收者使用信息發(fā)送者的公鑰對附在原始信息后的數(shù)字簽名進行解密后獲得哈希摘要，并通過與自己用收到的原始數(shù)據(jù)產(chǎn)生的哈希哈希摘要對照，便可確信原始信息是否被篡改。這樣就保證了數(shù)據(jù)傳輸?shù)牟豢煞裾J性。

哈希算法是一類符合特殊要求的散列函數(shù)(Hash)函數(shù)，這些特殊要求是:

接受的輸入報文數(shù)據(jù)沒有長度限制;

對任何輸入報文數(shù)據(jù)生成固定長度的摘要("數(shù)字指紋")輸出;

由報文能方便地算出摘要;

難以對指定的摘要生成一個報文,由該報文可以得出指定的摘要;

難以生成兩個不同的報文具有相同的摘要。

數(shù)字信封的功能類似于普通信封。普通信封在法律的約束下保證只有收信人才能閱讀信的內(nèi)容；數(shù)字信封則采用密碼技術(shù)保證了只有規(guī)定的接收人才能閱讀信息的內(nèi)容。

數(shù)字信封中采用了單鑰密碼體制和公鑰密碼體制。信息發(fā)送者首先利用隨機產(chǎn)生的對稱密碼加密信息，再利用接收方的公鑰加密對稱密碼，被公鑰加密后的對稱密碼被稱之為數(shù)字信封。在傳遞信息時，信息接收方要解密信息時，必須先用自己的私鑰解密數(shù)字信封，得到對稱密碼，才能利用對稱密碼解密所得到的信息。這樣就保證了數(shù)據(jù)傳輸?shù)恼鎸嵭院屯暾浴?div style="height:15px;">

5．數(shù)字證書

數(shù)字證書是各類實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進行信息交流及商務(wù)活動的身份證明，在電子交易的各個環(huán)節(jié)，交易的各方都需驗證對方證書的有效性，從而解決相互間的信任問題。證書是一個經(jīng)證書認證中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。

從證書的用途來看，數(shù)字證書可分為簽名證書和加密證書。簽名證書主要用于對用戶信息進行簽名，以保證信息的不可否認性；加密證書主要用于對用戶傳送信息進行加密，以保證信息的真實性和完整性。

簡單的說，數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機構(gòu)數(shù)字簽名的數(shù)據(jù)。身份驗證機構(gòu)的數(shù)字簽名可以確保證書信息的真實性。證書格式及證書內(nèi)容遵循X.509標準。

6．數(shù)字證書的應(yīng)用

現(xiàn)有持證人甲向持證人乙傳送數(shù)字信息，為了保證信息傳送的真實性、完整性和不可否認性，需要對要傳送的信息進行數(shù)字加密和數(shù)字簽名，其傳送過程如下：

（1）甲準備好要傳送的數(shù)字信息（明文）。

（2）甲對數(shù)字信息進行哈希（hash）運算，得到一個信息摘要。

（3）甲用自己的私鑰（SK）對信息摘要進行加密得到甲的數(shù)字簽名，并將其附在數(shù)字信息上。

（4）甲隨機產(chǎn)生一個加密密鑰（DES密鑰），并用此密鑰對要發(fā)送的信息進行加密，形成密文。

（5）甲用乙的公鑰（PK）對剛才隨機產(chǎn)生的加密密鑰進行加密，將加密后的DES密鑰連同密文一起傳送給乙。

（6）乙收到甲傳送過來的密文和加過密的DES密鑰，先用自己的私鑰（SK）對加密的DES密鑰進行解密，得到DES密鑰。

（7）乙然后用DES密鑰對收到的密文進行解密，得到明文的數(shù)字信息，然后將DES密鑰拋棄（即DES密鑰作廢）。

（8）乙用甲的公鑰（PK）對甲的數(shù)字簽名進行解密，得到信息摘要。

（9）乙用相同的hash算法對收到的明文再進行一次hash運算，得到一個新的信息摘要。

（10）乙將收到的信息摘要和新產(chǎn)生的信息摘要進行比較，如果一致，說明收到的信息沒有被修改過。

三、PKI組成

PKI是一種新的安全技術(shù)，它由公開密鑰密碼技術(shù)、數(shù)字證書、證書發(fā)放機構(gòu)（CA）和關(guān)于公開密鑰的安全策略等基本成分共同組成的。PKI是利用公鑰技術(shù)實現(xiàn)電子商務(wù)安全的一種體系，是一種基礎(chǔ)設(shè)施，網(wǎng)絡(luò)通訊、網(wǎng)上交易是利用它來保證安全的。從某種意義上講，PKI包含了安全認證系統(tǒng)，即安全認證系統(tǒng)-CA/RA系統(tǒng)是PKI不可缺的組成部分。

PKI（Public Key Infrastructure）公鑰基礎(chǔ)設(shè)施是提供公鑰加密和數(shù)字簽名服務(wù)的系統(tǒng)或平臺，目的是為了管理密鑰和證書。一個機構(gòu)通過采用PKI框架管理密鑰和證書可以建立一個安全的網(wǎng)絡(luò)環(huán)境。PKI主要包括四個部分：X.509格式的證書（X.509 V3）和證書廢止列表CRL（X.509 V2）；CA/RA操作協(xié)議；CA管理協(xié)議；CA政策制定。一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下部分；

. 認證中心CA CA是PKI的核心，CA負責管理PKI結(jié)構(gòu)下的所有用戶（包括各種應(yīng)用程序）的證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網(wǎng)上驗證用戶的身份，CA還要負責用戶證書的黑名單登記和黑名單發(fā)布，后面有CA的詳細描述。

. X.500目錄服務(wù)器 X.500目錄服務(wù)器用于發(fā)布用戶的證書和黑名單信息，用戶可通過標準的LDAP協(xié)議查詢自己或其他人的證書和下載黑名單信息。

. 具有高強度密碼算法(SSL)的安全WWW服務(wù)器出口到中國的WWW服務(wù)器，如微軟的IIS 5.0，受出口限制，其RSA算法的模長最高為512位，對稱算法為40位，不能滿足對安全性要求很高的場合，為解決這一問題，采用了山東大學網(wǎng)絡(luò)信息安全研究所開發(fā)的具有自主版權(quán)的SSL安全模塊，在SSL安全模塊中使用了自主開發(fā)的SJY系列密碼設(shè)備，并且把SSL模塊集成在Apache WWW服務(wù)器中，Apache WWW服務(wù)器在WWW服務(wù)器市場中占有百分之50以上的份額，其可移植性和穩(wěn)定性很高。

. Web（安全通信平臺） Web有Web Client端和Web Server端兩部分，分別安裝在客戶端和服務(wù)器端，通過具有高強度密碼算法的SSL協(xié)議保證客戶端和服務(wù)器端數(shù)據(jù)的機密性、完整性、身份驗證。

. 自開發(fā)安全應(yīng)用系統(tǒng) 自開發(fā)安全應(yīng)用系統(tǒng)是指各行業(yè)自開發(fā)的各種具體應(yīng)用系統(tǒng)，例如銀行、證券的應(yīng)用系統(tǒng)等。

完整的PKI包括認證政策的制定（包括遵循的技術(shù)標準、各CA之間的上下級或同級關(guān)系、安全策略、安全程度、服務(wù)對象、管理原則和框架等）、認證規(guī)則、運作制度的制定、所涉及的各方法律關(guān)系內(nèi)容以及技術(shù)的實現(xiàn)。

四、認證中心（CA）簡介

為保證網(wǎng)上數(shù)字信息的傳輸安全，除了在通信傳輸中采用更強的加密算法等措施之外，必須建立一種信任及信任驗證機制，即參加電子商務(wù)的各方必須有一個可以被驗證的標識，這就是數(shù)字證書。數(shù)字證書是各實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上信息交流及商務(wù)交易活動中的身份證明。該數(shù)字證書具有唯一性。它將實體的公開密鑰同實體本身聯(lián)系在一起，為實現(xiàn)這一目的，必須使數(shù)字證書符合X.509國際標準，同時數(shù)字證書的來源必須是可靠的。這就意味著應(yīng)有一個網(wǎng)上各方都信任的機構(gòu)，專門負責數(shù)字證書的發(fā)放和管理，確保網(wǎng)上信息的安全，這個機構(gòu)就是CA認證機構(gòu)。各級CA認證機構(gòu)的存在組成了整個電子商務(wù)的信任鏈。如果CA機構(gòu)不安全或發(fā)放的數(shù)字證書不具有權(quán)威性、公正性和可信賴性，電子商務(wù)就根本無從談起。

數(shù)字證書認證中心（Certficate Authority,CA）是整個網(wǎng)上電子交易安全的關(guān)鍵環(huán)節(jié)。它主要負責產(chǎn)生、分配并管理所有參與網(wǎng)上交易的實體所需的身份認證數(shù)字證書。每一份數(shù)字證書都與上一級的數(shù)字簽名證書相關(guān)聯(lián)，最終通過安全鏈追溯到一個已知的并被廣泛認為是安全、權(quán)威、足以信賴的機構(gòu)-根認證中心（根CA）。

電子交易的各方都必須擁有合法的身份，即由數(shù)字證書認證中心機構(gòu)（CA）簽發(fā)的數(shù)字證書，在交易的各個環(huán)節(jié)，交易的各方都需檢驗對方數(shù)字證書的有效性，從而解決了用戶信任問題。CA涉及到電子交易中各交易方的身份信息、嚴格的加密技術(shù)和認證程序。基于其牢固的安全機制，CA應(yīng)用可擴大到一切有安全要求的網(wǎng)上數(shù)據(jù)傳輸服務(wù)。

數(shù)字證書認證解決了網(wǎng)上交易和結(jié)算中的安全問題，其中包括建立電子商務(wù)各主體之間的信任關(guān)系，即建立安全認證體系（CA）；選擇安全標準（如SET、SSL）；采用高強度的加、解密技術(shù)。其中安全認證體系的建立是關(guān)鍵，它決定了網(wǎng)上交易和結(jié)算能否安全進行，因此，數(shù)字證書認證中心機構(gòu)的建立對電子商務(wù)的開展具有非常重要的意義。

認證中心（CA），是電子商務(wù)體系中的核心環(huán)節(jié)，是電子交易中信賴的基礎(chǔ)。它通過自身的注冊審核體系，檢查核實進行證書申請的用戶身份和各項相關(guān)信息，使網(wǎng)上交易的用戶屬性客觀真實性與證書的真實性一致。認證中心作為權(quán)威的、可信賴的、公正的第三方機構(gòu)，專門負責發(fā)放并管理所有參與網(wǎng)上交易的實體所需的數(shù)字證書。

CA/RA簡介

開放網(wǎng)絡(luò)上的電子商務(wù)要求為信息安全提供有效的、可靠的保護機制。這些機制必須提供機密性、身份驗證特性(使交易的每一方都可以確認其它各方的身份)、不可否認性(交易的各方不可否認它們的參與)。這就需要依靠一個可靠的第三方機構(gòu)驗證，而認證中心（CA：Certification Authority）專門提供這種服務(wù)。

證書機制是目前被廣泛采用的一種安全機制，使用證書機制的前提是建立CA（Certification Authority --認證中心）以及配套的RA（Registration Authority --注冊審批機構(gòu)）系統(tǒng)。

CA中心，又稱為數(shù)字證書認證中心，作為電子商務(wù)交易中受信任的第三方，專門解決公鑰體系中公鑰的合法性問題。CA中心為每個使用公開密鑰的用戶發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶名稱與證書中列出的公開密鑰相對應(yīng)。CA中心的數(shù)字簽名使得攻擊者不能偽造和篡改數(shù)字證書。

在數(shù)字證書認證的過程中，證書認證中心（CA）作為權(quán)威的、公正的、可信賴的第三方，其作用是至關(guān)重要的。認證中心就是一個負責發(fā)放和管理數(shù)字證書的權(quán)威機構(gòu)。同樣CA允許管理員撤銷發(fā)放的數(shù)字證書，在證書廢止列表(CRL)中添加新項并周期性地發(fā)布這一數(shù)字簽名的CRL。

RA（Registration Authority），數(shù)字證書注冊審批機構(gòu)。RA系統(tǒng)是CA的證書發(fā)放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發(fā)放等工作；同時，對發(fā)放的證書完成相應(yīng)的管理功能。發(fā)放的數(shù)字證書可以存放于IC卡、硬盤或軟盤等介質(zhì)中。RA系統(tǒng)是整個CA中心得以正常運營不可缺少的一部分。

概括地說，認證中心（CA）的功能有：證書發(fā)放、證書更新、證書撤銷和證書驗證。CA的核心功能就是發(fā)放和管理數(shù)字證書，具體描述如下：

（1）接收驗證最終用戶數(shù)字證書的申請。

（2）確定是否接受最終用戶數(shù)字證書的申請-證書的審批。

（3）向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書-證書的發(fā)放。

（4）接收、處理最終用戶的數(shù)字證書更新請求-證書的更新。

（5）接收最終用戶數(shù)字證書的查詢、撤銷。

（6）產(chǎn)生和發(fā)布證書廢止列表（CRL）。

（7）數(shù)字證書的歸檔。

（8）密鑰歸檔。

（9）歷史數(shù)據(jù)歸檔。

認證中心為了實現(xiàn)其功能，主要由以下三部分組成：

注冊服務(wù)器：通過 Web Server 建立的站點，可為客戶提供每日24小時的服務(wù)。因此客戶可在自己方便的時候在網(wǎng)上提出證書申請和填寫相應(yīng)的證書申請表，免去了排隊等候等煩惱。

證書申請受理和審核機構(gòu)：負責證書的申請和審核。它的主要功能是接受客戶證書申請并進行審核。

認證中心服務(wù)器：是數(shù)字證書生成、發(fā)放的運行實體，同時提供發(fā)放證書的管理、證書廢止列表（CRL）的生成和處理等服務(wù)。

從技術(shù)角度上說，PMI(Privilege Management Infrastructure，授權(quán)管理基礎(chǔ)設(shè)施)與PKI/CA的結(jié)合是發(fā)展的趨勢。X.509公鑰證書的原始含義很簡單，目標就是提供不可更改的證據(jù)。但是現(xiàn)在人們發(fā)現(xiàn)，在許多應(yīng)用領(lǐng)域，需要的信息遠不止是身份信息，證書持有者的權(quán)限或者屬性信息比身份信息更重要。為了使附加信息能夠保存在證書中，X.509 v4.0中引入了公鑰證書擴展項，這種證書擴展項可以保存任何類型的附加數(shù)據(jù)，以滿足應(yīng)用的需求。

證書應(yīng)用的普及也帶動了證書便攜性的需要，目前只有智能卡能提供證書和其對應(yīng)私鑰的移動性要求。該技術(shù)將公鑰和對應(yīng)的私鑰存放在智能卡中，但這種方法存在著易丟失、易損壞的缺陷，并且依賴讀卡器。最新的方法是使用漫游證書，它通過第三方軟件實現(xiàn)。它的原理是將用戶的證書和私鑰放在一個安全的服務(wù)器上，當用戶登錄到一個本地系統(tǒng)時，從服務(wù)器安全地檢索出公鑰和私鑰，并將其放在本地系統(tǒng)的內(nèi)存中，當用戶注銷后，該軟件自動刪除存放在本地系統(tǒng)中的用戶證書和私鑰。此外，隨著無線通信技術(shù)的廣泛應(yīng)用，WPKI技術(shù)的研究與應(yīng)用正處于探索之中，這也是未來PKI發(fā)展的一個趨勢。

我們有理由相信隨著國內(nèi)電子簽名法的頒布，PKI/CA會在各行各業(yè)、各個領(lǐng)域中得到廣泛應(yīng)用，PKI/CA技術(shù)不僅規(guī)范了網(wǎng)絡(luò)的信任和秩序，還會更多地滲入到人們的日常生活中來。

中文字幕理论片,69视频免费在线观看,亚洲成人app,国产1级毛片,刘涛最大尺度戏视频,欧美亚洲美女视频,2021韩国美女仙女屋vip视频