第8数字证书与CA系统架构

呢顾熟议欢岩让雹韶管松钟邮揽抽立唁办彻茅精歪弛箱馋墟炼鲸蠕贫酪艘第8数字证书与CA系统架构第8数字证书与CA系统架构第8章 数字证书与CA系统架构项条径漳朝贺嘶良枢罕肘琴均仿坦祟赖雍贼攫质珊珠苛缓棋恍篇躬徘弊孙第8数字证书与CA系统架构第8数字证书与CA系统架构8.1 CA是什么lCA是证书的签发机构，它是是证书的签发机构，它是PKI的的核心核心，，是是PKI应用中权威的、可信任的、公正的第应用中权威的、可信任的、公正的第三方机构它主要的功能有证书发放、证三方机构它主要的功能有证书发放、证书更新、证书撤销和证书验证书更新、证书撤销和证书验证檬锻堪块记秆本勺骑成塌坯呻膘晋吓雾涎撒脂与莉沪谗曼掖母狄痈奄底谅第8数字证书与CA系统架构第8数字证书与CA系统架构lCA的核心功能就是发放和管理数字证书，的核心功能就是发放和管理数字证书，具体描述如下具体描述如下:¡为个人用户、为个人用户、web服务器或网上各种资源设备发服务器或网上各种资源设备发放不同用途、不同安全级别的证书放不同用途、不同安全级别的证书¡提供证书的创建、撤销、查询等提供证书的创建、撤销、查询等¡支持支持Netscape和和IE等浏览器等浏览器¡支持认证中心的分级管理机制，对操作员权限进支持认证中心的分级管理机制，对操作员权限进行控制行控制¡记录系统的详细日志，实行系统监控记录系统的详细日志，实行系统监控阮畏努州愈捧培茸瞳矫池友使让猜准睛禾柬坷按荚谈状雀尧恭海辗枪馁且第8数字证书与CA系统架构第8数字证书与CA系统架构证书的创建、撤销、查询证书的创建、撤销、查询¡接收接收验证最终用户数字验证最终用户数字证书的申请证书的申请;¡确确定定是是否否接接受受最最终终用用户户数数字字证证书书的的申申请请—证证书书的的审批审批;¡向向申申请请者者颁颁发发或或拒拒绝绝颁颁发发数数字字证证书书—证证书书的的发发放放;¡接接受受、、处处理理最最终终用用户户的的数数字字证证书书更更新新请请求求—证证书书的更新的更新;¡接受最终用户数字接受最终用户数字证书的查询、撤销证书的查询、撤销;¡产生和发布证书注销列表产生和发布证书注销列表(CRL)址磐蜡瑚烃倔嚎腥浩晚命布隙魔弓哑呻翘萄贤佐几棠污蜡撰诣炳犯顺沙俗第8数字证书与CA系统架构第8数字证书与CA系统架构什么是数字证书l数字证书(Digital ID)又叫“网络身份证”、“数字身份证”；l由认证中心发放并经认证中心数字签名的；l包含公开密钥拥有者以及公开密钥相关信息的一种电子文件；l可以用来证明数字证书持有者的真实身份。

l是PKI体系中最基本的元素；l证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性痞胡斋祥服误痈葱以彭伍钾子揖轰今谐贞取囚谍辣收陨澎刺桌朱瓦置固耐第8数字证书与CA系统架构第8数字证书与CA系统架构数字信封l信息发送方首先利用随机产生的对对称称密密钥钥加密信息l数字信封就是信息发送端用接收端的公钥，将一个通通信信密密钥钥(即即对对称称密密钥钥)给予加密，生成一个数字信封l然后接收端用自己的私钥打开数字信封，获取该对称密钥SK，用它来解读收到的信息耳固吐嚏呛言薯乔迈狮点朋钨惶奄殃哄宠到缨练呢韵寄驶玩炮撂滥坍掣政第8数字证书与CA系统架构第8数字证书与CA系统架构双重数字签名l发送者寄出两个相关信息给接收者，对这两组相关信息，接收者只能解读其中一组，另一组只能转送给第三方接收者，不能打开看其内容这时发送者就需分别加密两组密文，做两组数字签名，故称双重数字签名l应用场合 ：电子商务购物、付款是SET和non-SET中常用隶基皖函柏甚幅止乎显药馆慧借清撞佳扼纺绅柏铁籽和浪冶履盗修诗醚萍第8数字证书与CA系统架构第8数字证书与CA系统架构交叉认证l同一个认证中心（CA）签发的证书能自动进行认证，不同CA的不能自动认证，交叉认证技术可以使不同CA签发的数字证书相互认证。

l交叉认证就是两个CA相互为对方的根CA签发一张证书，从而使两个CA体系中的证书可以相互验证壬轻熄掺葫藕炕舒掘疆翼矽卷灿鸵鞠叭驹肿肆魁孕羊忠昨钨渡岭溯键耙跺第8数字证书与CA系统架构第8数字证书与CA系统架构目录服务l目的是建立全局/局部统一的命令方案，它从技术的角度定义了人的身份和网络对象的关系；l目录服务是规范网络行为和管理网络的一种重要手段；lX.500时一套已经被国际标准化组织（ISO）接受的目录服务系统标准；lLDAP（轻量级目录访问协议）最早被看作是X.500目录访问协议中的那些易描述、易执行的功能子集述测祭羽洲岁疆允适贤求彝宫柄倍蔬鸣蔫么创怨睦时仑脱屉摔谊必鲁基袖第8数字证书与CA系统架构第8数字证书与CA系统架构证书验证单向验证tA产生一个随机数Ra；tA构造一条消息，M=(Ta,Ra,Ib,d),基中Ta是A的时间标记，Ib是B的身份证明，d为任意的一条数据信息；数据可用B的公钥Eb加密；tA将(Ca,Da(M))发送给B，其中Ca为A的证书，Da为A的私钥;tB确认Ca并得到A的公钥；tB用Ea去解密Da(M)，既证明了A的签名又证明了所签发信息的完整性；tB检查M中的Ib，这是为了准确起见；tB检查M中Ta以证实消息是刚发来的；tB对照旧数据库检查M中的Ra以确保不是消息重放。

可选项)住磺券账阶评疽夕仕敢尿咨叉迢枉渣码竭鹰重歉陋糜姥锨棚突翻梆紧粒糖第8数字证书与CA系统架构第8数字证书与CA系统架构证书验证双向验证：lB产生另一个随机数，Rb;lB 构造一条消息，Mm=(Tb,Rb,Ia,Ra,d),基中Ta是B的时间标记，Ia是A的身份证明，d为任意的一条数据信息；Ra是A在第一步产生的随机数，数据可用A的公钥Eb加密；lB将Db(Mm)发送给A；lA用Ea解密Db(Mm),以确认B的签名和消息的完整性；lA检查Mm中的Ia;tA检查Mm中Tb以证实消息是刚发来的；tA检查M中的Rb以确保不是消息重放可选项)首幼翻汾蜜蘸矿仔即道卡贡堑桑台墩纽刘署睫滚精进彤异贫幽白解做卯忧第8数字证书与CA系统架构第8数字证书与CA系统架构X.509数字证书l由证书权威机构(CA)创建；l存放于X.500的目录中；l有不同版本，每一版本必须包含：①版本号；②序列号；③签名算法标识符；④认证机构；⑤有效期限：证书开始生效期和证书失效日期⑥主题信息；⑦认证机构的数字签名；⑧公钥信息；屡屠哩彝彝次汰堰孟恩镊拾豺汽夷定苞声菲屉摘救阂掖铱摸作杂椭恢孽认第8数字证书与CA系统架构第8数字证书与CA系统架构X.509数字证书分类从证书的基本用途来看：¡签名证书　签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；¡加密证书　加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。

迹麻悯篓厦啄贫右傲匆影偿豹港喘海皿捶波旺仪港淄孜髓票烯券杖湍损诌第8数字证书与CA系统架构第8数字证书与CA系统架构X.509数字证书分类从证书的应用来看，数字证书可分为：¡个人证书¡服务器证书¡网关证书¡VPN证书¡WAP证书¡代葬缔瞒劝释滞苍粹章譬古葫嫁玖骸劣膜墙浚驾期垃诽静湖再场逃辣届坪第8数字证书与CA系统架构第8数字证书与CA系统架构证书的生命周期CARA终端终端用户用户目录目录服务服务申请与审核申请与审核证书归档证书归档证书终止证书终止证书注销证书注销证书发布证书发布证书生成证书生成赃比症诸槛谗跑之宛槐彻答列饯映诵郴绥酬牧甘数票篓坪廖呐忿撇炙锁宅第8数字证书与CA系统架构第8数字证书与CA系统架构典型CA系统体系结构Ø多层次结构，优点多层次结构，优点ü管理层次分明，便于集中管理、政策制订和实施管理层次分明，便于集中管理、政策制订和实施ü提高提高CACA中心的总体性能、减少瓶颈中心的总体性能、减少瓶颈ü有充分的灵活性和可扩展性有充分的灵活性和可扩展性ü有利于保证有利于保证CACA中心的证书验证效率中心的证书验证效率乖迅沾秉晋洲乾换备纶纬邹偿扶啸苫脑汀降得柑嫡劣采逾朗驴兢女遏爱都第8数字证书与CA系统架构第8数字证书与CA系统架构CA信任关系当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？¡信任难以度量，总是与风险联系在一起可信CA¡如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA信任模型¡基于层次结构的信任模型¡交叉认证¡以用户为中心的信任模型监钉炕枕椽拷彩赫卒艾纱胁枫虏补建拣鸿浚糙挖矫驭转淤怨丹施尹堰需宛第8数字证书与CA系统架构第8数字证书与CA系统架构CA层次结构的建立l根CA具有一个自签名的证书l根CA依次对它下面的CA进行签名l层次结构中叶子节点上的CA用于对安全个体进行签名l对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的l在CA的机构中，要维护这棵树ü在每个节点CA上，需要保存两种cert(1) Forward Certificates: 其他CA发给它的certs(2) Reverse Certificates: 它发给其他CA的certs慰壮废耳唐荆沂涵吐惶僵展钒尤放晓蚁荣查耘利棋瘦谷蹄胀录眠惧保辱尉第8数字证书与CA系统架构第8数字证书与CA系统架构层次结构CA中证书的验证l假设个体A看到B的一个证书lB的证书中含有签发该证书的CA的信息l沿着层次树往上找，可以构成一条证书链，直到根证书l验证过程：¡沿相反的方向，从根证书开始，依次往下验证每一个证书中的签名。

其中，根证书是自签名的，用它自己的公钥进行验证¡一直到验证B的证书中的签名¡如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥l问题：证书链如何获得？饶睹艳锄刘迸哦窃仗涛辆胖柞估王线父醇埋钎升闭公诞滴钞不医沿矿伶赣第8数字证书与CA系统架构第8数字证书与CA系统架构证书链的验证示例疵坊醇钵肄烟稽俭楔泛休洒快麦娩若舷馏震憋愧浩疗绑合擦霹屯魏跃巡钳第8数字证书与CA系统架构第8数字证书与CA系统架构交叉认证两个不同的CA层次结构之间可以建立信任关系¡单向交叉认证一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书¡双向交叉认证交叉认证可以分为¡域内交叉认证(同一个层次结构内部)¡域间交叉认证(不同的层次结构之间)交叉认证的约束¡名字约束¡路径长度约束¡策略约束丙穗氖贮猜译镜谬现三屎斤吸崔浙状连就潭绢农徊躇秤哮藕琴描瑞霸技绷第8数字证书与CA系统架构第8数字证书与CA系统架构证书中心架构分类CA的架构模型一般可分成：ü层次式(Hierarchical)ü网络式(Mesh) ü混合式(Hybrid)据竟尧赫戈轮桩晤幼英跺深荣殷疙姆铲咽起髓庶搽恩翁吵舒愧奋霸晒赌厩第8数字证书与CA系统架构第8数字证书与CA系统架构用户用户X X用户用户Y Y证书（从颁发者到持有者）证书（从颁发者到持有者）交叉证书交叉证书认证结构（认证结构（CACA））证书用户证书用户层次型结构层次型结构－－ 用户用户X X的证书认证路径为的证书认证路径为CA4CA4CA2 CA2 CA1CA1（（ROOTROOT））－－ 优点：优点：•类似政府之类的组织其管理结构大部分都是层次型的，类似政府之类的组织其管理结构大部分都是层次型的，而而信任关系也经常符合组织结构，因此，层次型认证结构就信任关系也经常符合组织结构，因此，层次型认证结构就成为一种常规体系结构。

成为一种常规体系结构•分级方法可基于层次目录名分级方法可基于层次目录名•认证路径搜索策略为认证路径搜索策略为“前向直通前向直通”•每个用户都有返回到根的认证路径根为所有用户熟知每个用户都有返回到根的认证路径根为所有用户熟知并并信任，因此，任一用户可向对方提供认证路径，而验证方信任，因此，任一用户可向对方提供认证路径，而验证方也能核实该路径也能核实该路径－－ 缺点缺点•世界范围内不可能只有单个根世界范围内不可能只有单个根CACA•商业和贸易等信任关系不必要采用层次型结构商业和贸易等信任关系不必要采用层次型结构•根根CACA私钥的泄露的后果非常严重，恢复也十分困难私钥的泄露的后果非常严重，恢复也十分困难国家级国家级CACA地区级地区级CACA地区级地区级CACA组织级组织级CACA组织级组织级CACA证书中心架构分类淮磨骄氦荧匠署殊雅稀佃啸尾粒溉腔容涅冷店哲呀庶织银陵橇阂客画叶盐第8数字证书与CA系统架构第8数字证书与CA系统架构证书（从颁发者到持有者）证书（从颁发者到持有者）交叉证书交叉证书认证结构（认证结构（CACA））证书用户证书用户－－ 用户用户X X到用户到用户Y Y的认证路径有多条，最短路径的认证路径有多条，最短路径是是CA4CA4CA5 CA5  CA3 CA3用户用户X X用户用户Y Y－－ 优点：优点：• 很灵活，便于建立特殊信任关系，也符合商贸中的很灵活，便于建立特殊信任关系，也符合商贸中的双边信任关系双边信任关系•任何任何PKIPKI中，用户至少要信任其证书颁发中，用户至少要信任其证书颁发CACA，所以，，所以，建立这种信任网也很合理建立这种信任网也很合理•允许用户频繁通信的允许用户频繁通信的CACA之间直接交叉认证，以降之间直接交叉认证，以降低认证路径处理量低认证路径处理量•CACA私钥泄露引起的恢复仅仅涉及到该私钥泄露引起的恢复仅仅涉及到该CACA的证书用户的证书用户－－ 缺点：缺点：•认证路径搜索策略可能很复杂认证路径搜索策略可能很复杂•用户仅提供单个认证路径不能保证用户仅提供单个认证路径不能保证PKIPKI的所有用户能的所有用户能验证他的签名验证他的签名网络型结构网络型结构证书中心架构分类摩疲藉华埂残匝筷富逗钻撕傀迄痢凿忻腺砾旬衫抛婚闰承宰苍免窘衫读史第8数字证书与CA系统架构第8数字证书与CA系统架构证书（从颁发者到持有者）证书（从颁发者到持有者）交叉证书交叉证书认证结构（认证结构（CA））证书用户证书用户用户用户X用户用户Y－－ eCommCA 采用混合结构：采用混合结构：•层次型层次型•网络型网络型－－ 根根CACA的主要职责是的主要职责是•认证下级认证下级CACA而不是为端用户颁发证书而不是为端用户颁发证书•可能会和其他政府根可能会和其他政府根CACA或非政府或非政府CACA之间进行交叉之间进行交叉认证认证－－ 每个非根每个非根CACA都有源于根都有源于根CACA的层次认证路径，所以，的层次认证路径，所以，每个端实体都有一个证书其认证路径源于根每个端实体都有一个证书其认证路径源于根CACA－－ 除了根除了根CACA外，每个外，每个CACA都有单个父都有单个父CACA，在，在CACA的目的目录属性中，属性证书存放父录属性中，属性证书存放父CACA发行的层次型证书，发行的层次型证书，而其他属性交叉证书则提供网络型的认证路径而其他属性交叉证书则提供网络型的认证路径混合型结构混合型结构国家级国家级CACA地区级地区级CACA地区级地区级CACA组织级组织级CACA组织级组织级CACA证书中心架构分类沉嗽烷炕垄赊猾鬃库痒忱晒要躬幌旨始鸣拨悼帝郸燥拦激胀溺甸耸塑藕柞第8数字证书与CA系统架构第8数字证书与CA系统架构CA的网络结构崩住圈爬埔贤肛饯她细葡霄典管鞠像杀柏哑筛内札粥篇摧照面吭农姻婿枝第8数字证书与CA系统架构第8数字证书与CA系统架构CA的模块结构网眩晴讣皆旺琼痔董佩品眶咸辩佩霖神梗岩怕凛给兹皱灯袜慷南迄韩趟乌第8数字证书与CA系统架构第8数字证书与CA系统架构CA的数据流疮煎气熔缺击八涌木拳卒溉剧迈蝗绳迂佯捣洞犀泊肇陋摈绕眼闪蒸卷落境第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议Ø基础标准基础标准/ /协议协议Ø证书和证书和CRLCRL标准标准Ø操作标准操作标准/ /协议协议Ø管理标准管理标准/ /协议协议Ø应用标准应用标准/ /协议协议沤鄙圈饭登掘恕描荒衣懈豆治愿衣桅误溯匹谬吐喝洪束磊浓隐炕甸颅而侩第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议基础标准/协议摘要算法üMD2：：RFC 1319üMD4：：RFC 1320üMD5：：RFC 1321üSHA1：：FIPS PUB 180-1üHMAC：：RFC 2104 HMAC:Keyed-Hashing for Message Authentication始稠斤付域人租撞腰迅羞烽闷藐抢鸯痔吸损戎澜贰盔磺虾急抄座晨鉴缴收第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议基础标准/协议对称算法üDESüRC2üRC5ü3DESüIDEAüAES膘糜症宁竞倚贸空穿谆鞭填瞄衣泥果邵肿羚灵尉蓄惶孽砧懈谅哪尺膊蛋骡第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议基础标准/协议非对称算法üRSAüDSA：只用于签名üDH：只用于密钥交换濒荫疙疵啥佩阳泞狐黎引募迟瞄烁蓉熏吓容爽墒鹊徐懦丹员豌笑局污嚼逝第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议基础标准/协议üASN.1(Abstract Syntax Notation One)抽象语法描述，是描述在网络上传输信息格式的标准方法。

BER(基本编码规则)CER(正规编码规则)DER(可辨别编码规则)鳃渝串累患瓷窘媒不蛇绞循诲堡应暇蔚锐造除燃铀桥甩程皮刷帛磋聊茨投第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议基础标准/协议PKCS系列标准üPKCS#1 üPKCS#3 üPKCS#5 üPKCS#6üPKCS#7üPKCS#8üPKCS#9üPKCS#10üPKCS#11üPKCS#12üPKCS#13üPKCS#14üPKCS#15渺十僳亢愤堡婆碰丙杖蔫如端童夸腋妻朱逃就布窑注蠕寡蒋量湾辐锥曳油第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议基础标准/协议加密标准üGSS-API v2.0üGCS-APIüCDSAüRSA PKCS#11 Cryptographic Token Interface Standard v2.01üRSA BSAFE APIüMS CryptoAPI v2.0üCTCA CTCA 证书存储介质接口规范证书存储介质接口规范v1.0v1.0想悯厘沸翘敬宰委遥择裤卸远入骗蕊磕钩拟幌柬泣盅奄俄筐迹波追撞辞胀第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议证书和CRL标准/协议üRFC 2459 Internet X.509 Public Key Infrastructure Certificate and CRL Profile描述X.509 V3公钥证书和X.509 V2 CRL格式üRFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile 对RFC2459的更新，增加或细化了证书路径验证算法、利用CRL确定证书状态的算法、增量CRL、扩展项方面的描述üRFC2528 Internet X.509 Public Key Infrastructure Representation of Key Exchange Algorithm (KEA)Keys in Internet X.509 Public Key Infrastructrue Certificates定义了一些对象标志，并描述了密钥交换算法。

已幸阶莎蜕抛讹浩馈社丸琶集负酞况舀此碳贺范呆孟寨自汐铣瞳兹覆久鳞第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议操作标准/协议üLDAP：RFC 1777，Lightweight Directory Access ProtocalüRFC 2587 Internet X.509 PKI LDAPv2 üHTTP：2616 Hypertext Transfer Protocol -- HTTP/1.1 üFTP：üOCSP：RFC 2560,X.509 Internet PKI Online Certificate Status Protocol üRFC 2559 Internet X.509 PKI Operational Protocols - LDAPv2 üRFC 2585 Internet X.509 PKI Operational Protocols: FTP and HTTP 臂台挽双庭菩奢翼功划己掂峻鹿厂疙形羊橡敛亦炬傻铝乔志郴缄茫湾绞编第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议管理标准/协议üCRMF ：FRC 2511，Internet X.509 Certificate Request Message FormatüCMP：RFC 2510，Internet X.509 PKI Certificate Management ProtocolsüIKE：RFC 2409 The Internet Key ExchangeüCP：RFC 2527，Internet X.509 PKI Certificate Policy and Certification Practices Frameworkü3029 Internet X.509 PKI Data Validation and Certification Server Protocols ü3039 Internet X.509 PKI Qualified Certificates Profile ü3161 Internet X.509 PKI Time-Stamp Protocol (TSP) 宴贪小澳嫂狠悠杯努诉傣脱乏捐粹焉赦泽慕胖孔塔斑萤字返蚊器安卒筛壶第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议管理标准/协议lRFC 2528 Representation of Key Exchange Algorithm (KEA) keys in Internet X.509 Public Key Infrastructure CertificateslRFC 2538 Storing Certificates in the Domain Name System (DNS)吼壮冒确谦挥规难逗弦能驶叠铱缄窄兼桶枢软做赊常嘶送锹骆鳞蜂蚕技造第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议应用标准/协议üSSL/TLS：RFC 2246 The TLS Protocol Version 1.0üSET：Security Electronic TransactionüS/MIME：RFC 2312 S/MIME Version 2 Certificate HandlingüIPSec：üPGP：üWAP：翻肝卓严庶旁阿帆甲娠钢首极柞全尼鳖满谐涣嫂讼肤劝批蜂狮勤萝扼紧诱第8数字证书与CA系统架构第8数字证书与CA系统架构应用标准：SSL/TLSü是Netscape公司设计用于Web安全传输协议;üIETF将其标准化，成为RFC2246;ü分为两部分：Handshake Protocal和Record Protocalü握手协议负责协商密钥，协调客户和服务器使用的安全级别并进行身份认证。

ü记录协议定义了传输的格式和加解密应用程序协议的字节流ü使用第三方证书机构提供的证书是SSL安全功能的基础PKI/CA标准与协议买谋欧吉患斧硬咳妙肋躁柄柜帽鼻足脯笨克燃扫谅游突圭恳碌舌颜蔗铜丑第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议应用标准：SETüVisa, Master信用卡公司发起制定在Internet网上实现安全电子商务交易系统的协议和标准ü规定了交易各方使用证书方式进行安全交易的具体流程以及Internet 上用于信用和支付的证书的发放和处理协议ü主要采用的技术：对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等ü由两部分组成：证书管理和支付系统惶早锭饱腑帮具叉荡院巴箕昧妙涅判霸踩屈挡塘祭疙急么圃胳翌扶红堑殴第8数字证书与CA系统架构第8数字证书与CA系统架构SSL和SET的比较SSL协议SET协议工作层次工作层次传输层与应用层之间传输层与应用层之间应用层应用层是否透明是否透明透明透明不透明不透明过程过程简单简单复杂复杂效率效率高高低低安全性安全性商家掌握消费者商家掌握消费者PINPIN个人标识号个人标识号 (PIN=personal identification number )，， 消费者消费者PINPIN对商家保密对商家保密认证机制认证机制双方认证双方认证多方认证多方认证是否专为是否专为ECEC设计设计否否是是茄鸯绒懂虫漆儿线熬郊傀淮朔惯炭认夕歪紫祁睬峦贡史蒂虾腋迂港疵牢凌第8数字证书与CA系统架构第8数字证书与CA系统架构PKI/CA标准与协议应用标准：Open PGP 和S/MIMEüPGP(Pretty Good Privacy)是属于网络联盟(Network Association)的受专利保护的协议。

ü1997，IETF建立了一个工作小组，在PGP基础上定义了一个名为OpenPGP的标准(RFC2440)üS/MIME(Security/Mutiple Internet Mail Extension)是RSA数据安全公司于1995年向IETF工作组提交的规范üRFC 2630-RFC2634 描述了S/MIME V3的相关内容胆营釜诵脱裹蓬盅掐弄爬仍懂旅来勒帚蒋徽保曰怕磅财寿仙樟胳吕咋删匆第8数字证书与CA系统架构第8数字证书与CA系统架构国外PKI/CA现状和展望l美国联邦PKI体系机构脆邦庙耿盅饭泻藕厂天傈熔靡铁升抠服箍臃燥娟蒙尔妆限终燃串才近春葵第8数字证书与CA系统架构第8数字证书与CA系统架构加拿大政府PKI体系结构粗稠钡筐扼凛貌卵叛饵帮棒萤合曾泰垦钾硬吨滑垮彝鼠枕霖辞占瞥赠拄斩第8数字证书与CA系统架构第8数字证书与CA系统架构两种体系的比较体系结构上 美国联邦PKI体系结构比较复杂，联邦的桥CA仅是一个桥梁；而加拿大政府PKI体系结构比较简单，中央认证机构仿佛是一个根CA在信任关系的建立上 美国联邦PKI体系结构中的联邦的桥CA是各信任域建立信任关系的桥梁；在加拿大政府PKI体系中，各信任域之间建立信任关系必须经过中央认证机构。

采用的技术上 美国联邦PKI体系中的成员采用多种不同的PKI产品和技术；而加拿大政府PKI体系中强调使用Entrust公司的技术在组成成员上 美国联邦PKI体系中除了各级政府，不同的政府机构外，还可包括与政府或政府机构有商业往来的合作伙伴；而加拿大政府PKI体系中的成员都是联邦的各级政府或政府机构 读裹域衫矩缩粱鼻僚譬铆座脾贬捍扰栋菩贯拽藩寡踏壹缎闹捡停靖莉样帛第8数字证书与CA系统架构第8数字证书与CA系统架构国外PKI/CA现状和展望VeriSignVeriSignü9595年年5 5月成立，从月成立，从RSA Data Security RSA Data Security 公司独立出来公司独立出来ü已签发超过已签发超过390390万张个人数字证书，超过万张个人数字证书，超过2121万张服务器证书万张服务器证书ü《财富》杂志上的《财富》杂志上的500500家有网站的企业都使用了它的数字证书家有网站的企业都使用了它的数字证书服务ü服务的地区从美国发展到欧洲和亚洲，台湾著名的服务的地区从美国发展到欧洲和亚洲，台湾著名的CACA认证中心认证中心HitrustHitrust就是就是VeriSignVeriSign的一个代理机构。

的一个代理机构ü20002000年第二季度财务报告中表明，该季度售出的数字证书超过年第二季度财务报告中表明，该季度售出的数字证书超过了了6400064000张纸秃桃风课耘犹灰舵溺胎簿涝迭画狗报牌甲禽借凤致歹烛酞揽瞒谷野敬鹿第8数字证书与CA系统架构第8数字证书与CA系统架构国外PKI相关法律l1996年3月由联合国国际贸易法委员会通过的《电子商务示范法》l1999年6月29日联合国第35次会议上提出的《电子签章统一规则草案》的最新版本l美国众议院法制委员会于1999年10月13日通过了《全球及全国电子商务电子签章法案》l欧盟于1997年4月15日发布了“欧洲电子商务倡议书”l日本于2001年4月1日正式实施的《电子签名和认证业务法》惯绢泽缸扼六叶晶栏扒镰袖熔遏颓含击羌敖蜘尸沼有并碴同乏勋演方汤益第8数字证书与CA系统架构第8数字证书与CA系统架构国内PKI相关法规建设l《中华人民共和国电子签章条例（草案）》 l《上海市数位认证管理办法》 l《关于同意制定本市电子商务数字证书价格的通知》 l《广东省电子交易条例》 染竖搔铂击谓坊鞋漂轩石远澄谅脆靠撼宰血俊疼鸦家哉楔驼镊蔡可爷茹摆第8数字证书与CA系统架构第8数字证书与CA系统架构国内PKI相关标准建设2002 年4 月新立的全国信息安全标准化技术委员会非常重PKI 标准化工作，7 月份在北京成立了PKI/PMI（WG4）工作组。

2002 年底，X.509C 证书格式规范国家标准送审稿和信息安全专用术语通过全国信息安全标准化技术委员会组织的评审，X.509C 证书格式规范国家标准送审稿已向国家标准化管理委员会申报为国家标准另外WG4工作组还承担了公安部下达的《PKI系统安全保护等级评估准则》和《PKI系统安全保护等级技术要求》两个行业标准的制订工作，并将由工作组组织修改完善后向全国信息安全标准化技术委员会申报为国家标准 攀炳痉禾雾弗架哉启泞枕新刺非苟竣榷万闽缸泻镶耍剁木清二叔舍吁柴乖第8数字证书与CA系统架构第8数字证书与CA系统架构国内PKI建设的基本情况行业性CA¡金融CA体系、电信CA体系、邮政CA体系、外经贸部CA、中国海关CA、中国银行CA、中国工商银行CA、中国建设银行CA、招商银行CA、国家计委电子政务CA、南海自然人CA（NPCA）区域性CA¡协卡认证体系（上海CA、北京CA、天津CA）¡网证通体系（广东CA、海南CA、湖北CA、重庆CA）独立的CA认证中心¡山西CA、吉林CA、宁夏西部CA、陕西CA、福建CA、黑龙江邮政CA、黑龙江政府CA、山东CA、深圳CA 、吉林省政府CA、福建泉州市商业银行网上银行CA、天威诚信CA脸哩应厕他高艾施际憎蛇亿脾鬼苯批备合千宜锅背稀绦标勤志澡斤聂懈扰第8数字证书与CA系统架构第8数字证书与CA系统架构国内CA认证中心：运营商中国金融认证中心中国金融认证中心(CFCA)(CFCA)中中国国电电信信电电子子商商务务认认证证中中心心(CTCA)(CTCA)上海上海CACA中心（协卡）中心（协卡）广东省电子商务认证中心广东省电子商务认证中心黑黑龙龙江江邮邮政政局局电电子子邮邮政政安安全全认认证证中心中心www.e-www.e-海南省电子商务认证中心海南省电子商务认证中心湖北省电子商务认证中心湖北省电子商务认证中心北京国富安电子商务安全认证中心北京国富安电子商务安全认证中心重庆数字证书认证中心重庆数字证书认证中心东北证券交易系统东北证券交易系统www.c-www.c-山西省电子商务安全认证中心山西省电子商务安全认证中心天津市天津市CACA中心中心(TJCA)(TJCA)中国协卡认证体系无锡中国协卡认证体系无锡CACA分中心分中心江苏省无锡市江苏省无锡市三峡三峡CACA认证中心认证中心SS福建福建CACA认证中心认证中心凉砷爷姆撬输冗姓煎瞎迢揍叫惰泣绳嫁我绝黍宦毖刹掂胞签侣室忽亮租速第8数字证书与CA系统架构第8数字证书与CA系统架构国内CA认证中心：集成商l吉大正元（)l天威诚信（)（主要是运营商）l德达创新（）l信安世纪（）l国富安（）l其它厂商：¡总参56所、上海格尔、深圳维豪、上海CA、诺方、海南格方、杭州核心、广州网证通、中邮科技、航天长峰国政、联想、山东三联、济南德安¡Entrust、Verisign、Baltimore朽利约访出桌油朝疚巫吭批状核媒矣噬他习武洗罢烤孰押孜砖负邓邹卞议第8数字证书与CA系统架构第8数字证书与CA系统架构。