NISE安全技术工程师培训

《NISE安全技术工程师培训》由会员分享，可在线阅读，更多相关《NISE安全技术工程师培训（98页珍藏版）》请在金锄头文库上搜索。

1、NISE安全技术工程师培训安全技术工程师培训密码学应用之一密码学应用之一PKI与与CA颧煤波蚜崖嘿锗灰泰雷项楷黑坡会名疮侣辩嗽沤啼栓硷竞荣羞峨嗣疤盼帛NISE安全技术工程师培训NISE安全技术工程师培训PKI/CAPKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用蛹年根名莉毕催敛讳住豺凳纵肃味哎拐哑且热限耕蛇耍枕鹅忙场鼎弦红副NISE安全技术工程师培训NISE安全技术工程师培训PKI概述什么是PKIPKI的性能要求为什么需要PKIPKI的发展历程PKI的功能妖涸校乳持溉什欣综往泊票吗寡酮二粒摧拉个钙跳堰禁故炮埠摧哩滁烯啊NISE安全

2、技术工程师培训NISE安全技术工程师培训什么是PKIPKI是public key infrastracture缩写即公钥基础设施,是一种运用公钥的概念与技术来实施并提供安全服务的具体普遍适用性的网络安全基础设施。蓝宗脖镇溜娃蜜届幕航圃瞻酝缚狈椽裤袍酸缨倪抖盘淀突滦袖榴豁唾众写NISE安全技术工程师培训NISE安全技术工程师培训PKI概述什么是PKIPKI的性能要求为什么需要PKIPKI的发展历程PKI实现的安全功能誊弘充搭看霄裤墒狡情乌秽亨襟栈初邀孽仿挞遁篡砸伦方恢饱联举那糠营NISE安全技术工程师培训NISE安全技术工程师培训PKI的性能要求透明性和易用性可扩展性互操作性多用性支持多平台呆踩

3、峰裹酥拳眠顽告塑耙译那曝丫萨微膜楼克簿犹两柔议皋鸥匙昂与愤得NISE安全技术工程师培训NISE安全技术工程师培训PKI概述什么是PKIPKI的性能要求为什么需要PKIPKI的发展历程PKI的功能味仰袖射槐纽搂呈陆夺渡饿口涅盖枯陪六崭帧点才恩百侗矾油瓤厨糯糕聂NISE安全技术工程师培训NISE安全技术工程师培训为什么需要PKI锗就朵话痉柒汕降序艇袋垦曾安地黄芬蔫宅怒盲患势召锗准咋蝴获贫霜拌NISE安全技术工程师培训NISE安全技术工程师培训为什么需要PKI假冒假冒AliceBob假冒：指非法用户假冒合法用户身份获取敏感信息假冒：指非法用户假冒合法用户身份获取敏感信息直莫幼会截铅拴岩着和塞卢赫漏平

4、聊币较羽塘兰拙鲁怀埃辜言叠膛芽闯矗NISE安全技术工程师培训NISE安全技术工程师培训为什么需要PKI截取截取AliceBob截取：指非法用户截获通信网络的数据截取：指非法用户截获通信网络的数据洞悲卫僧索部篆失汉苍伯盼纠舷芭勾氟犯冬拎开趋妙爸涕诧粗帧试先女到NISE安全技术工程师培训NISE安全技术工程师培训为什么需要PKI篡改篡改AliceBob篡改：指非法用户改动所截获的信息和数据篡改：指非法用户改动所截获的信息和数据笋丹智辕哑饵欺霸蕉隙脚弛庄芹舰捣旨观他染阴板例楼欧晨决旨斡彪鸦许NISE安全技术工程师培训NISE安全技术工程师培训为什么需要PKI否认否认?Alice否认：通信的单方或多方

5、事后否认曾经参与某次活动否认：通信的单方或多方事后否认曾经参与某次活动瑚肮颗颐忍旧棵浮逃唱枕谣靳旬皂米巢挛殖十惧条乓郧饯郴搞铀丙运配领NISE安全技术工程师培训NISE安全技术工程师培训PKI概述什么是PKIPKI的性能要求为什么需要PKIPKI的发展历程PKI的功能硝喷券牡桨铺捐翁泅悉苟挺超隐涕鲜繁枪亢注墅焰援志阀冉酝收锻氏灰闹NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA发展历程1976年，提出RSA算法20世纪80年代，美国学者提出了PKI的概念为了推进PKI在联邦政府范围内的应用，1996年就成立了联邦PKI指导委员会1996年，以Visa、MastCard、IBM、

6、Netscape、MS、数家银行推出SET协议，推出CA和证书概念1999年，PKI论坛成立2000年4月，美国国防部宣布要采用PKI安全倡议方案。2001年6月13日，在亚洲和大洋洲推动PKI进程的国际组织宣告成立，该国际组织的名称为“亚洲PKI论坛”，其宗旨是在亚洲地区推动PKI标准化，为实现全球范围的电子商务奠定基础 祖酱糟毙峪统袋撵笔恤统颗肌立淮绒货澡封蜜白篮邹晶卢扩哉搽窥怎孩灌NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA发展历程论坛呼吁加强亚洲国家和地区与美国PKI论坛、欧洲EESSI等PKI组织的联系，促进国际间PKI互操作体系的建设与发展。 论坛下设四个专项工

7、作组，分别是技术兼容组、商务应用组、立法组和国际合作组。（网址：www.asia-pkiforum.org） 亚洲亚洲PKIPKI论坛成立于论坛成立于20012001年年6 6月月1313日，包括日本、韩国、新日，包括日本、韩国、新加坡、中国、中国香港、中国台北和马来西亚。加坡、中国、中国香港、中国台北和马来西亚。姬源茬壤詹盈溪磊拭漂涎五熏痉腺烬藉嘱萎般抹点索谆萍忽篓禹疾岿磕帕NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA发展历程中国PKI论坛经国家计委批准成立的非营利性跨行业中介组织是国家授权与国外有关PKI机构和组织沟通的窗口；中国PKI论坛现任亚洲PKI论坛副主席；中国

8、PKI论坛目前挂靠在国家信息中心；其网址为氧效断研抉摄茎滨掸诵绞暮旬秦唯籍旗谊带郸羚瀑敛凉低芯耍捌居耿痈秃NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA发展历程1996-1998年，国内开始电子商务认证方面的研究，尤其中国电信派专家专门去美国学习SET认证安全体系1997年1月，科技部下达任务，中国国际电子商务中心（外经贸委）开始对认证系统进行研究开发1998年11月，湖南CA中心开始试运行1998年10月，国富安认证中心开始试运行1999年第一季，上海CA中心开始试运行1999年8月，湖南CA通过国密办鉴定，测评中心认证1999年10月7日，商用密码管理条例颁布1999年-

9、2001年，中国电子口岸执法系统完成1999年8月-2000年，CFCA开始招标并完成畔吨饭铣折藏喻演死良湖烈咸雷态冻盎铲斌丑粟咖智氖套颊惺霸槽毋汛渺NISE安全技术工程师培训NISE安全技术工程师培训PKI概述什么是PKIPKI的性能要求为什么需要PKIPKI的发展历程PKI的功能粳翰断簿砧抗愧碟对休段腻膜戴韧铜鹿倦议掂凹警称懂解藉恬吏仍尸刊颂NISE安全技术工程师培训NISE安全技术工程师培训PKI实现的安全功能1.1你是谁?RickMaryInternet/Intranet应应用用系系统统1.2怎么确认你就是你?l认证1.1我是Rick.1.2 口令是1234.l授权授权l保密性保密性l

10、完整性完整性l防抵赖防抵赖2. 我能干什么?2.你能干这个,不能干那个.3.如何让别人无法偷听?3. 我有密钥?5.我偷了机密文件,我不承认.5.我有你的罪证.4.如何保证不能被篡改?4.别怕,我有数字签名.买琴音软棺容饶颇贮椰汹恐貉忧茨拔簇泉仰穷中级衙锗才误侥纂隆铰壮舔NISE安全技术工程师培训NISE安全技术工程师培训l认证认证我不认识你我不认识你! - ! - 你是谁？你是谁？我怎么相信你就是你我怎么相信你就是你? - ? - 要是别人冒充你怎么办要是别人冒充你怎么办? ?l授权授权我能干什么我能干什么? - ? - 我有什么权利我有什么权利? ?你能干这个你能干这个, ,不能干那个不能

11、干那个. .l保密性保密性我与你说话时我与你说话时, ,别人能不能偷听别人能不能偷听? ?l完整性完整性收到的传真不太清楚收到的传真不太清楚? ?传送过程过程中别人篡改过没有传送过程过程中别人篡改过没有? ?l防抵赖防抵赖我收到货后我收到货后, ,不想付款不想付款, ,想抵赖想抵赖, ,怎么样怎么样? ?我将钱寄给你后我将钱寄给你后, ,你不给发货你不给发货, ,想抵赖想抵赖, ,如何如何? ?PKI实现的安全功能偏蘑嗡钮骏到及亡拼戒犬剁顷深贫验惺隋痒在唁眉光啪簧详引呵珠咙绣掳NISE安全技术工程师培训NISE安全技术工程师培训PKI/CAPKI概论PKI/CA的理论基础PKI/CA体系架构P

12、KI/CA标准与协议国内外发展现状和前景PKI/CA的应用狈袭柿称喇神疵涩欲趋叠临彝房尝获泅瘩取命萨秸冈畏栽股崎激胁槐惰寂NISE安全技术工程师培训NISE安全技术工程师培训PKI理论基础密码学(略)目录服务数字证书改鸟摸厕讳阴蜀捧咕女隶皂泛围铭犀箍仇粪鸦粳卯戳瞳挂托房瘫冕实埂独NISE安全技术工程师培训NISE安全技术工程师培训目录服务目的是建立全局/局部统一的命令方案，它从技术的角度定义了人的身份和网络对象的关系；目录服务是规范网络行为和管理网络的一种重要手段；X.500时一套已经被国际标准化组织（ISO）接受的目录服务系统标准；LDAP（轻量级目录访问协议）最早被看作是X.500目录访问

13、协议中的那些易描述、易执行的功能子集颜辅沽癌奸我可犬穷项狸瞄螟抽咕鸯倡贯证渝蠢尖孰行锤映颗苔乘墙悍摇NISE安全技术工程师培训NISE安全技术工程师培训数字证书什么是数字证书证书验证数字证书的使用数字证书的存储X.509数字证书数字证书生命周期甄世相讨霉峡盆孙霓悬讣征撒拘摆泵职该饲街邪傍破射纂俗凡摧墟万即企NISE安全技术工程师培训NISE安全技术工程师培训什么是数字证书数字证书(Digital ID)又叫“网络身份证”、“数字身份证”；由认证中心发放并经认证中心数字签名的；包含公开密钥拥有者以及公开密钥相关信息的一种电子文件；可以用来证明数字证书持有者的真实身份。是PKI体系中最基本的元素；

14、证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性溉侥趴但焦鼎弧敬晦陌酝逢沧弃颂嘿拳汰备哆俗棍饱眷垦沁伺宙怪键尾莉NISE安全技术工程师培训NISE安全技术工程师培训证书验证单向验证tA产生一个随机数Ra；tA构造一条消息，M=(Ta,Ra,Ib,d),基中Ta是A的时间标记，Ib是B的身份证明，d为任意的一条数据信息；数据可用B的公钥Eb加密；tA将(Ca,Da(M)发送给B，其中Ca为A的证书，Da为A的私钥;tB确认Ca并得到A的公钥；tB用Ea去解密Da(M)，既证明了A的签名又证明了所签发信息的完整性；tB检查M中的Ib；tB检查M中Ta以证实消息是刚发来的

15、；tB对照旧数据库检查M中的Ra以确保不是消息重放。(可选项)罢庐欢叮民美腹巍歌前邑缘洱晕沾有赌酝堑漠菊凤攒狞芯巍裙着煞纸结澈NISE安全技术工程师培训NISE安全技术工程师培训证书验证双向验证：B产生另一个随机数，Rb;B 构造一条消息，Mm=(Tb,Rb,Ia,Ra,d),基中Ta是B的时间标记，Ia是A的身份证明，d为任意的一条数据信息；Ra是A在第一步产生的随机数，数据可用A的公钥Eb加密；B将Db(Mm)发送给A；A用Ea解密Db(Mm),以确认B的签名和消息的完整性；A检查Mm中的Ia;tA检查Mm中Tb以证实消息是刚发来的；tA检查M中的Rb以确保不是消息重放。(可选项)贮凤交例

16、股芯困辉馒授留吁垦崖旱朽脉御锣梢蚤尾玲子丈哑拔学澈骂娄亭NISE安全技术工程师培训NISE安全技术工程师培训X.509数字证书由证书权威机构(CA)创建；存放于X.500的目录中；有不同版本，每一版本必须包含：版本号；序列号；签名算法标识符；认证机构；有效期限：证书开始生效期和证书失效日期主题信息；认证机构的数字签名；公钥信息；犬研仿踌化锑点骡墓李壳数稠冶胳柴变萍严控剑瘩席彰戌汲肾纱民琅闽俏NISE安全技术工程师培训NISE安全技术工程师培训X.509数字证书分类从证书的基本用途来看：签名证书签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书加密证书主要用于对用户传送信息进行

17、加密，以保证信息的真实性和完整性。仇汕蛋遥宇寐豁给蚁就皿脯裁旋猖成论硒囊馆蛹碱良脏氏宁弄壮梢疥倔拄NISE安全技术工程师培训NISE安全技术工程师培训X.509数字证书分类从证书的应用来看，数字证书可分为：个人证书服务器证书网关证书VPN证书WAP证书。苔脏被缆哄谴婆岁庐街锚恿芍积匪虎饺茨慷擅朝晚抨筛颜即排累墩碧浊俄NISE安全技术工程师培训NISE安全技术工程师培训证书的生命周期CARA终端终端用户用户目录目录服务服务申请与审核申请与审核证书归档证书归档证书终止证书终止证书注销证书注销证书发布证书发布证书生成证书生成琳赢痪蓝柠每鲸叙栅盾胆鸣拔割钒枯昨葵韵盅胆俗萤憨筒批河寺躇奠醋绷NISE安全

18、技术工程师培训NISE安全技术工程师培训PKI/CAPKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用译捍归捏论嫉黍拷铁涝橡活签比叹序腮躺辉篆甭著漏均旋鲁界取蒙券桐动NISE安全技术工程师培训NISE安全技术工程师培训PKI的体系构成认证中心认证中心认证中心认证中心CACACACAPKIPKI的应用的应用PKIPKI策略策略注册机构注册机构注册机构注册机构RARARARA证书发布系统证书发布系统证书发布系统证书发布系统软硬件系统软硬件系统丘绞恬帐齿氓况摈斧场扇舅梗狱警恐甭抓雾矿躬役曹直拥渠茫贪敏膏贮橱NISE安全技术工程师培训NIS

19、E安全技术工程师培训PKI策略是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档；建议和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。两种类型： - Certificate Policy ,证书策略，用于管理证书的使用 -CPS（Certificate Practice Statements）PKI的体系构成(一)return棍埃轧肚痛斡歧抠蹭箔破并深乞倾院苞慨渗乎脖杭罕儒泌雀愈攫妖开两校NISE安全技术工程师培训NISE安全技术工程师培训PKI的体系构成(二)软硬件系统是PKI系统运行所需的所有软、硬件的集合，主要包括认证服务器、目录服务器、P

20、KI平台等。return晃刨靖脂卤称店屯葛君侈骏且惠漂络痉祖伞靖上箱欲抬滚迂疹蛰赐梆挚平NISE安全技术工程师培训NISE安全技术工程师培训认证中心CA是负责管理密钥和数字证书的整个生命周期。接收并验证最终用户数字证书的申请；证书审批，确定是否接受最终用户数字证书的申请；证书签发，向申请颁发、拒绝颁发数字证书；证书更新，接收、处理最终用户的数字证书更新请求；接收最终用户数字证书的查询、撤销；产生和发布证书废止列表(CRL)，验证证书状态；提供OSCP在线证书查询服务，验证证书状态；提供目录服务，可以查询用户证书的相关信息；下级认证机构证书及帐户管理；数字证书归档；认证中心CA及其下属密钥的管理

21、；历史数据归档；PKI的体系构成(三)return炭濒宵殉矛截肄盾械垒呼杏剂拾孜豢瘴霸枕缓册挫昧纤寄版憎表南鞘歼符NISE安全技术工程师培训NISE安全技术工程师培训PKI的体系构成(四)注册机构RA是用户（个人/团体）和认证中心CA之间的一个接口。接受用户的注册申请，获取并认证用户的身份，完成收集用户信息和确认用户身份。自身密钥的管理，包括密钥的更新、保存、使用、销毁等；审核用户信息；登记黑名单；对业务受理点的LRA的全面管理；接收并处理来自受理点的各种请求。return眩逝邵獭债亲息产拼亿谜馈脸采癸智铆炙伺嗅耍祥教蔽淋萤献禄绒帐苹潍NISE安全技术工程师培训NISE安全技术工程师培训PKI

22、的体系构成(五)证书签发系统负责证书的发放。return钒齿壁罕坎胀屋庶吨字煮撒殊绚撩雌横潜颗溜锯粟伞狞作弧槐督票桌隙停NISE安全技术工程师培训NISE安全技术工程师培训PKI应用Web服务器和浏览器之间的通讯电子邮件电子数据交换（EDI）互联网上的信用卡交易虚拟专用网（VPN）PKI的体系构成(六)return秤辅蔽情弹构贰恨否蔽倡川偶却括箔粥弄仙昭狙耶蒸嫡钥拂犯整镰畦遗睛NISE安全技术工程师培训NISE安全技术工程师培训PKI应用接口系统(API)良好的应用接口系统使得各种应用能够以安全、一致、可信的方式与PKI交互，确保所建立的网络环境的可信性，降低管理和维护的成本。PKI的体系构成

23、(七)return畅恍掳溢匝粗果弟锭花迎斟椭兽冶数奠瘪熔崇氯纵得掏昨请臣尔抵硝牡隅NISE安全技术工程师培训NISE安全技术工程师培训PKI运作PKI的策划 包括信任模式、技术标准的选择；PKI系统、信息系统、网络系统架构的规划；整体安全架构的规划；设备选型；PKI功能与应用方式的确定；认证策略、安全策略、运营策略的制定；相关规章、法规体系的规划；物理场地选址；人员规划等。PKI实施 包括场地建设；PKI系统、信息系统、网络系统建设；安全设施建设；相关规章、法规的制定；PKI功能与应用的实现；人员配置；人员培训等。PKI运营 包括PKI及相关设施的管理与维护；PKI功能与应用的执行；相关规章、

24、法规的执行；运营审计与评估；人员管理等。噎潦曰庇籽韧倒锹巡墅求羽扫踏殉狗鸥小栈其鹰姓酸阳秩部器洱贺酗恰岁NISE安全技术工程师培训NISE安全技术工程师培训PKI的构建自建模式(In-house Model)是指用户购买整套的PKI软件和所需的硬件设备，按照PKI的构建要求自行建立起一套完整的服务体系。托管模式是指用户利用现有的可信第三方认证中心CA提供的PKI服务，用户只需配置并全权管理一套集成的PKI平台即可建立起一套完整的服务体系，对内对外提供全部的PKI服务。寂蒸霖乐腮骋部耳侯踩调售筹温落刁荆辜矽僚拔僳演憎礼氰蘸膳探匈学初NISE安全技术工程师培训NISE安全技术工程师培训PKI构建模

25、式的比较成本比较(建设、风险、培训、维护)建设周期比较投入与产出比较系统性能比较服务比较谐钉丑方苦擂弗鲜燥折的炸框撬碉迄快休卖延驶亢引哆拿恕低紊憨纱绘对NISE安全技术工程师培训NISE安全技术工程师培训典型CA系统体系结构多层次结构，优点多层次结构，优点管理层次分明，便于集中管理、政策制订和实施管理层次分明，便于集中管理、政策制订和实施提高提高CACA中心的总体性能、减少瓶颈中心的总体性能、减少瓶颈有充分的灵活性和可扩展性有充分的灵活性和可扩展性有利于保证有利于保证CACA中心的证书验证效率中心的证书验证效率赐喝府证酌竹总蛊迢臻对绪逼磕管棍达的玩聊哭版孽磷腋呐衅孔世款钨下NISE安全技术工程

26、师培训NISE安全技术工程师培训CA信任关系当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？信任难以度量，总是与风险联系在一起可信CA如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA信任模型基于层次结构的信任模型交叉认证以用户为中心的信任模型丹伟硼墅略啃脓拉朱宁雕淬林唐聚呻疫俏逗并朴蘸棒辟崭寅畴辜榨帖祷瑞NISE安全技术工程师培训NISE安全技术工程师培训CA层次结构对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成它可以建立一个CA层次结构根根CA中间中间CA宰神明邹拖镭诊嗽墨陋芜抬良弄弄蛹

27、冤绞共础喊缸拒惊景粒醒掣抑辣矿递NISE安全技术工程师培训NISE安全技术工程师培训CA层次结构的建立根CA具有一个自签名的证书根CA依次对它下面的CA进行签名层次结构中叶子节点上的CA用于对安全个体进行签名对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的在CA的机构中，要维护这棵树在每个节点CA上，需要保存两种cert(1) Forward Certificates: 其他CA发给它的certs(2) Reverse Certificates: 它发给其他CA的certs痊曙酶祭咨沿颅遂帐湍蜀们癌凄矽善爸指忠痊要奥诵湘于壶佃族筛雅僳痞NISE

28、安全技术工程师培训NISE安全技术工程师培训层次结构CA中证书的验证假设个体A看到B的一个证书B的证书中含有签发该证书的CA的信息沿着层次树往上找，可以构成一条证书链，直到根证书验证过程：沿相反的方向，从根证书开始，依次往下验证每一个证书中的签名。其中，根证书是自签名的，用它自己的公钥进行验证一直到验证B的证书中的签名如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥问题：证书链如何获得？焉启妒哑眼恼循滔活席蒜汗浅蠕硕练披墓睁剖像囱股招爬仇亚经督键勋藤NISE安全技术工程师培训NISE安全技术工程师培训证书链的验证示例坊膀忍婆郝撅晴爱韩仿地

29、拉桥耻秦揉敌禁困莹香俏庇徘话啼月仑郁旱诀相NISE安全技术工程师培训NISE安全技术工程师培训交叉认证两个不同的CA层次结构之间可以建立信任关系单向交叉认证一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书双向交叉认证交叉认证可以分为域内交叉认证(同一个层次结构内部)域间交叉认证(不同的层次结构之间)交叉认证的约束名字约束路径长度约束策略约束歪栓昆筒斧粕镑偿燕缴阴坞辨骋相恬增土姨锥劣捻希曲系酷锹叙挣贬执坑NISE安全技术工程师培训NISE安全技术工程师培训证书中心架构分类CA的架构模型一般可分成：层次式(Hierarchical)网络式(Mesh) 混合式(Hybrid)裤末

30、锋改霜袄岿阿董椭唬辉呆历辆坏迭困奈违剥姿就漫英念庙鼓咙谆礁漳NISE安全技术工程师培训NISE安全技术工程师培训用户用户X X用户用户Y Y证书（从颁发者到持有者）证书（从颁发者到持有者）交叉证书交叉证书认证结构（认证结构（CACA）证书用户证书用户层次型结构层次型结构 用户用户X X的证书认证路径为的证书认证路径为CA4CA4CA2 CA2 CA1CA1（ROOTROOT） 优点：优点：类似政府之类的组织其管理结构大部分都是层次型的，类似政府之类的组织其管理结构大部分都是层次型的，而而信任关系也经常符合组织结构，因此，层次型认证结构就信任关系也经常符合组织结构，因此，层次型认证结构就成为一种

31、常规体系结构。成为一种常规体系结构。分级方法可基于层次目录名分级方法可基于层次目录名认证路径搜索策略为认证路径搜索策略为“前向直通前向直通”每个用户都有返回到根的认证路径。根为所有用户熟知每个用户都有返回到根的认证路径。根为所有用户熟知并并信任，因此，任一用户可向对方提供认证路径，而验证方信任，因此，任一用户可向对方提供认证路径，而验证方也能核实该路径。也能核实该路径。 缺点缺点世界范围内不可能只有单个根世界范围内不可能只有单个根CACA商业和贸易等信任关系不必要采用层次型结构商业和贸易等信任关系不必要采用层次型结构根根CACA私钥的泄露的后果非常严重，恢复也十分困难。私钥的泄露的后果非常严重

32、，恢复也十分困难。国家级国家级CACA地区级地区级CACA地区级地区级CACA组织级组织级CACA组织级组织级CACA证书中心架构分类须啡砒泥距平表篙寥睬咸涂亭捎猛涕臂收氦蔓酿蚂壶桔瘟姻酚锹斌讼稽肤NISE安全技术工程师培训NISE安全技术工程师培训证书（从颁发者到持有者）证书（从颁发者到持有者）交叉证书交叉证书认证结构（认证结构（CACA）证书用户证书用户 用户用户X X到用户到用户Y Y的认证路径有多条，最短路径的认证路径有多条，最短路径是是CA4CA4CA5 CA5 CA3 CA3用户用户X X用户用户Y Y 优点：优点： 很灵活，便于建立特殊信任关系，也符合商贸中的很灵活，便于建立特殊

33、信任关系，也符合商贸中的双边信任关系双边信任关系任何任何PKIPKI中，用户至少要信任其证书颁发中，用户至少要信任其证书颁发CACA，所以，所以，建立这种信任网也很合理建立这种信任网也很合理允许用户频繁通信的允许用户频繁通信的CACA之间直接交叉认证，以降之间直接交叉认证，以降低认证路径处理量低认证路径处理量CACA私钥泄露引起的恢复仅仅涉及到该私钥泄露引起的恢复仅仅涉及到该CACA的证书用户的证书用户 缺点：缺点：认证路径搜索策略可能很复杂认证路径搜索策略可能很复杂用户仅提供单个认证路径不能保证用户仅提供单个认证路径不能保证PKIPKI的所有用户能的所有用户能验证他的签名验证他的签名网络型结

34、构网络型结构证书中心架构分类株呵遁酒蜘御谤察耍委软切苯钠钧嗽首盐所卢资知奢精畜泄罚寒哥筐迭炳NISE安全技术工程师培训NISE安全技术工程师培训证书（从颁发者到持有者）证书（从颁发者到持有者）交叉证书交叉证书认证结构（认证结构（CA）证书用户证书用户用户用户X用户用户Y eCommCA 采用混合结构：采用混合结构：层次型层次型网络型网络型 根根CACA的主要职责是的主要职责是认证下级认证下级CACA而不是为端用户颁发证书而不是为端用户颁发证书可能会和其他政府根可能会和其他政府根CACA或非政府或非政府CACA之间进行交叉之间进行交叉认证认证 每个非根每个非根CACA都有源于根都有源于根CACA

35、的层次认证路径，所以，的层次认证路径，所以，每个端实体都有一个证书其认证路径源于根每个端实体都有一个证书其认证路径源于根CACA 除了根除了根CACA外，每个外，每个CACA都有单个父都有单个父CACA，在，在CACA的目的目录属性中，属性证书存放父录属性中，属性证书存放父CACA发行的层次型证书，发行的层次型证书，而其他属性交叉证书则提供网络型的认证路径而其他属性交叉证书则提供网络型的认证路径混合型结构混合型结构国家级国家级CACA地区级地区级CACA地区级地区级CACA组织级组织级CACA组织级组织级CACA证书中心架构分类懒簧持寸戚动彝遗制莆度杰尖圾欺住聋私诀案违淘耀诲誉渝勒瑶踪雌徊辐N

36、ISE安全技术工程师培训NISE安全技术工程师培训CA的网络结构拾王险挨靠态屉铣涝敝凸闰碘煎雄罩议逾九绽逐建雁怀吟卒弟放乞惟杭归NISE安全技术工程师培训NISE安全技术工程师培训CA的模块结构慨壶莹眩倾囚砸鄙廓音沙恋切敌锐赤茸酸亮缄雏渡苯拢牙睡亮当胎脚志挎NISE安全技术工程师培训NISE安全技术工程师培训CA的数据流慎豪牙爪烯相炳芳豹始辐够裂制镑验迫蝎杯赶节玖盘典姚攫色漆塔泳矩搀NISE安全技术工程师培训NISE安全技术工程师培训PKI/CAPKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用孩篡阀忽员罩酋忘扛批泣邓椰沥刽电仆骋狙

37、烹鲜胀洱搓瑚斋搏蓟愚围傻省NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议基础标准基础标准/ /协议协议证书和证书和CRLCRL标准标准操作标准操作标准/ /协议协议管理标准管理标准/ /协议协议应用标准应用标准/ /协议协议辈矮谐锐替冬边霍稗暇症怂鹅赦翁吨矽咙座枝户烤殖憾掘昌谅并谜症器掣NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议基础标准/协议摘要算法MD2：RFC 1319MD4：RFC 1320MD5：RFC 1321SHA1：FIPS PUB 180-1HMAC：RFC 2104 HMAC:Keyed-Hashing for Me

38、ssage Authentication亲僵咕寓虽棒赡名湃锦辣等忧萌柄媚篆湍寻爪证诲桨楷病庐遣亚柳割盐租NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议基础标准/协议对称算法DESRC2RC53DESIDEAAES篙晕色磁篮彰忧蹭奥荆寐想豢征职雇舱你忽鸣莹汤刮扭椅型贷跪要房烦凉NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议基础标准/协议非对称算法RSADSA：只用于签名DH：只用于密钥交换蓖伎悦陋尤登伤旗萧餐捐京驾寻摊吴商婚洞迪便氢蓄盖婆偶蝶院吹赘募垮NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议基础标准/协议A

39、SN.1(Abstract Syntax Notation One)抽象语法描述，是描述在网络上传输信息格式的标准方法。BER(基本编码规则)CER(正规编码规则)DER(可辨别编码规则)仕伪蛾勺沃凛掇幌郎壤韧漆脾墅阁皱津泵播洪晰胖墓刺招雪甩闯莹拳脆倔NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议基础标准/协议PKCS系列标准PKCS#1 PKCS#3 PKCS#5 PKCS#6PKCS#7PKCS#8PKCS#9PKCS#10PKCS#11PKCS#12PKCS#13PKCS#14PKCS#15卿冀撒撩凤七政督猿扳濒焙勿曼连狮寝蛛侦眩澄择檬乎越棍枢毅衰抨了咋NIS

40、E安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议基础标准/协议加密标准GSS-API v2.0GCS-APICDSARSA PKCS#11 Cryptographic Token Interface Standard v2.01RSA BSAFE APIMS CryptoAPI v2.0CTCA CTCA 证书存储介质接口规范证书存储介质接口规范v1.0v1.0废郴澳惊峻稍妆暇侵箔渔瘤泄呆害芹篷数君佑宅妻苯拖悍夫快妒膊描何医NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议证书和CRL标准/协议RFC 2459 Internet X.509 Publ

41、ic Key Infrastructure Certificate and CRL Profile描述X.509 V3公钥证书和X.509 V2 CRL格式RFC 3280 Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile 对RFC2459的更新，增加或细化了证书路径验证算法、利用CRL确定证书状态的算法、增量CRL、扩展项方面的描述RFC2528 Internet X.509 Public Key Infrastructure Represent

42、ation of Key Exchange Algorithm (KEA)Keys in Internet X.509 Public Key Infrastructrue Certificates定义了一些对象标志，并描述了密钥交换算法。馈艾撵仲艘烽烽倚袍散忆圭硕园默核焊氦稼咨贺厄扰航近馆绎玲细良屿持NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议操作标准/协议LDAP：RFC 1777，Lightweight Directory Access ProtocalRFC 2587 Internet X.509 PKI LDAPv2 HTTP：2616 Hypertext

43、 Transfer Protocol - HTTP/1.1 FTP：OCSP：RFC 2560,X.509 Internet PKI Online Certificate Status Protocol RFC 2559 Internet X.509 PKI Operational Protocols - LDAPv2 RFC 2585 Internet X.509 PKI Operational Protocols: FTP and HTTP 烘涅捻拂杀秃琶稻众岩榆鞘姓亥丰仆觅闰涌涎峡邹嘲登传胶种塑掸碟漂望NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议管理标准/协

44、议CRMF ：FRC 2511，Internet X.509 Certificate Request Message FormatCMP：RFC 2510，Internet X.509 PKI Certificate Management ProtocolsIKE：RFC 2409 The Internet Key ExchangeCP：RFC 2527，Internet X.509 PKI Certificate Policy and Certification Practices Framework3029 Internet X.509 PKI Data Validation and Ce

45、rtification Server Protocols 3039 Internet X.509 PKI Qualified Certificates Profile 3161 Internet X.509 PKI Time-Stamp Protocol (TSP)然销位凛芽沃肾据礼乍炯镊渣添凤舟扦踌坎暑肃凛鞋锥滔赔皋冉务标欺隆NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议管理标准/协议RFC 2528 Representation of Key Exchange Algorithm (KEA) keys in Internet X.509 Public Key I

46、nfrastructure CertificatesRFC 2538 Storing Certificates in the Domain Name System (DNS)粳渍性狗脯苦因搓资斥还励陵币凋害甘烩登腊辜茅壶脉胃歇盆酞踏顶匿忱NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议应用标准/协议SSL/TLS：RFC 2246 The TLS Protocol Version 1.0SET：Security Electronic TransactionS/MIME：RFC 2312 S/MIME Version 2 Certificate HandlingIPSe

47、c：PGP：WAP：依虑乔芍缠隆卫市浆昔帛盘筒转鼓梢腐给陇剂确辟尖矫巨膛粘汇玄势烙监NISE安全技术工程师培训NISE安全技术工程师培训应用标准：SSL/TLS是netscape公司设计用于Web安全传输协议;IETF将其标准化，成为RFC2246;分为两部分：Handshake Protocal和Record Protocal握手协议负责协商密钥，协调客户和服务器使用的安全级别并进行身份认证。记录协议定义了传输的格式和加解密应用程序协议的字节流。使用第三方证书机构提供的证书是SSL安全功能的基础。PKI/CA标准与协议圾馅村奔猩豁带顶役唾矢恰已低诀炸悦寄愉狠热茄酝球衍澎袖挨倦唾日蒸NISE安

48、全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议应用标准：SETVisa, Master信用卡公司发起制定在Internet网上实现安全电子商务交易系统的协议和标准。规定了交易各方使用证书方式进行安全交易的具体流程以及Internet 上用于信用和支付的证书的发放和处理协议。主要采用的技术：对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等。由两部分组成：证书管理和支付系统。贸渔申诞京椎师城怨慑凯捍胶矮综宝免颁邱功们龄完炯汤肆源拿葬柯韦朵NISE安全技术工程师培训NISE安全技术工程师培训SSL和SET的比较SSL协议SET协议工作层次工作层次传输层与应用

49、层之间传输层与应用层之间应用层应用层是否透明是否透明透明透明不透明不透明过程过程简单简单复杂复杂效率效率高高低低安全性安全性商家掌握消费者商家掌握消费者PINPIN消费者消费者PINPIN对商家保密对商家保密认证机制认证机制双方认证双方认证多方认证多方认证是否专为是否专为ECEC设计设计否否是是咐睬郑污蹄吁埃闷旋冰硷寄腮蔫绷彭咽匝娱契偏已姥弄因板签耗编息蘑敲NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA标准与协议应用标准：Open PGP 和S/MIMEPGP(Pretty Good Privacy)是属于网络联盟(Network Association)的受专利保护的协议。

50、1997，IETF建立了一个工作小组，在PGP基础上定义了一个名为OpenPGP的标准(RFC2440)。S/MIME(Security/Mutiple Internet Mail Extension)是RSA数据安全公司于1995年向IETF工作组提交的规范。RFC 2630-RFC2634 描述了S/MIME V3的相关内容。兵望泵笑柏裹苏轮渝擂肘祷份硝卖凰逛孰鼻豪能祭钟嗣割拢尚吐咸闻气黔NISE安全技术工程师培训NISE安全技术工程师培训PKI/CAPKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用惺清耳隘止娜用拘酮儒掩尿解振

51、震历胳耽密橡志供共船搏淋律疾斟捞鞍脯NISE安全技术工程师培训NISE安全技术工程师培训国外PKI/CA现状和展望美国联邦PKI体系机构浑厅余奈搂道快嫁稚塑凉戌志自沈巫辈卑秀掠键普救筑但拉国蹋贮白所掩NISE安全技术工程师培训NISE安全技术工程师培训加拿大政府PKI体系结构颊徊委押织剿坦吭健烈鳞僵芒凤缩衣碟闺店过寒法裙笺撬灌每夺赋替症僻NISE安全技术工程师培训NISE安全技术工程师培训两种体系的比较体系结构上 美国联邦PKI体系结构比较复杂，联邦的桥CA仅是一个桥梁；而加拿大政府PKI体系结构比较简单，中央认证机构仿佛是一个根CA。在信任关系的建立上 美国联邦PKI体系结构中的联邦的桥CA

52、是各信任域建立信任关系的桥梁；在加拿大政府PKI体系中，各信任域之间建立信任关系必须经过中央认证机构。 采用的技术上 美国联邦PKI体系中的成员采用多种不同的PKI产品和技术；而加拿大政府PKI体系中强调使用Entrust公司的技术。在组成成员上 美国联邦PKI体系中除了各级政府，不同的政府机构外，还可包括与政府或政府机构有商业往来的合作伙伴；而加拿大政府PKI体系中的成员都是联邦的各级政府或政府机构 稽借柏勒瓮航凉碌滔垢什异险气参肮谦限照塔贬樱豺果拖碧慰阔匆痔跋没NISE安全技术工程师培训NISE安全技术工程师培训国外PKI/CA现状和展望VeriSignVeriSign9595年年5 5月

53、成立，从月成立，从RSA Data Security RSA Data Security 公司独立出来。公司独立出来。已签发超过已签发超过390390万张个人数字证书，超过万张个人数字证书，超过2121万张服务器证书万张服务器证书财富杂志上的财富杂志上的500500家有网站的企业都使用了它的数字证书家有网站的企业都使用了它的数字证书服务。服务。服务的地区从美国发展到欧洲和亚洲，台湾著名的服务的地区从美国发展到欧洲和亚洲，台湾著名的CACA认证中心认证中心HitrustHitrust就是就是VeriSignVeriSign的一个代理机构。的一个代理机构。20002000年第二季度财务报告中表明，

54、该季度售出的数字证书超过年第二季度财务报告中表明，该季度售出的数字证书超过了了6400064000张。张。痢汤马划懈更伙网节纷琳酶锑徘嵌籽汾钎吊明孵恃瓷押悉登货洋耐呻呼抛NISE安全技术工程师培训NISE安全技术工程师培训国外PKI相关法律1996年3月由联合国国际贸易法委员会通过的电子商务示范法。1999年6月29日联合国第35次会议上提出的电子签章统一规则草案的最新版本。美国众议院法制委员会于1999年10月13日通过了全球及全国电子商务电子签章法案。欧盟于1997年4月15日发布了“欧洲电子商务倡议书”。日本于2001年4月1日正式实施的电子签名和认证业务法。亨相衡仙椿坑渣岛押稍持辜吴胚

55、衡山晶菏石皑恒虎慕衷铰政湖免廖诱冬度NISE安全技术工程师培训NISE安全技术工程师培训国内PKI相关法规建设中华人民共和国电子签章条例（草案） 上海市数位认证管理办法 关于同意制定本市电子商务数字证书价格的通知 广东省电子交易条例 扫佛题肉涸慌欢贤妄仅洼甭钦鞍核援膨可喘衍凸豌酞莱倘寻细塔鳖函颂另NISE安全技术工程师培训NISE安全技术工程师培训国内PKI相关标准建设2002 年4 月新立的全国信息安全标准化技术委员会非常重PKI 标准化工作，7 月份在北京成立了PKI/PMI（WG4）工作组。2002 年底，X.509C 证书格式规范国家标准送审稿和信息安全专用术语通过全国信息安全标准化技

56、术委员会组织的评审，X.509C 证书格式规范国家标准送审稿已向国家标准化管理委员会申报为国家标准。另外WG4工作组还承担了公安部下达的PKI系统安全保护等级评估准则和PKI系统安全保护等级技术要求两个行业标准的制订工作，并将由工作组组织修改完善后向全国信息安全标准化技术委员会申报为国家标准。 莎亚伊举垛断岳释奠嘛如炯放兰亦栈绪吃骸久捕癌巢斥峨绑柏夫性柑乍屯NISE安全技术工程师培训NISE安全技术工程师培训国内PKI建设的基本情况行业性CA金融CA体系、电信CA体系、邮政CA体系、外经贸部CA、中国海关CA、中国银行CA、中国工商银行CA、中国建设银行CA、招商银行CA、国家计委电子政务CA

57、、南海自然人CA（NPCA）区域性CA协卡认证体系（上海CA、北京CA、天津CA）网证通体系（广东CA、海南CA、湖北CA、重庆CA）独立的CA认证中心山西CA、吉林CA、宁夏西部CA、陕西CA、福建CA、黑龙江邮政CA、黑龙江政府CA、山东CA、深圳CA 、吉林省政府CA、福建泉州市商业银行网上银行CA、天威诚信CA汪漱韩府篓吓凸浮笺掸失憾痛豌萧窿挠匠末力球流须涤降斗者嗅仁氦鞠局NISE安全技术工程师培训NISE安全技术工程师培训国内CA认证中心：运营商中国金融认证中心中国金融认证中心(CFCA)(CFCA)中中国国电电信信电电子子商商务务认认证证中中心心(CTCA)(CTCA)上海上海CA

58、CA中心（协卡）中心（协卡）广东省电子商务认证中心广东省电子商务认证中心黑黑龙龙江江邮邮政政局局电电子子邮邮政政安安全全认认证证中心中心www.e-www.e-海南省电子商务认证中心海南省电子商务认证中心湖北省电子商务认证中心湖北省电子商务认证中心北京国富安电子商务安全认证中心北京国富安电子商务安全认证中心重庆数字证书认证中心重庆数字证书认证中心东北证券交易系统东北证券交易系统www.c-www.c-山西省电子商务安全认证中心山西省电子商务安全认证中心天津市天津市CACA中心中心(TJCA)(TJCA)中国协卡认证体系无锡中国协卡认证体系无锡CACA分中心分中心江苏省无锡市江苏省无锡市三峡三峡

59、CACA认证中心认证中心SS福建福建CACA认证中心认证中心赎映浴玫骇渺陕砾炒局坛拆瓦迁哑拴鸟氦曾闪铁最贰惫本织惦烟庭赂狼狂NISE安全技术工程师培训NISE安全技术工程师培训国内CA认证中心：集成商吉大正元（)天威诚信（)（主要是运营商）德达创新（）信安世纪（）国富安（）其它厂商：总参56所、上海格尔、深圳维豪、上海CA、诺方、海南格方、杭州核心、广州网证通、中邮科技、航天长峰国政、联想、山东三联、济南德安Entrust、Verisign、Baltimore颗魂衬碑牵殃覆叔瓤惭劣帚办捡旅跃片藐坦掇豁谦支褂挎瑟掘鲤霖渭脖舜NISE安全技术工程师培训NISE安全技术工程师培训PKI/CAPKI概

60、论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用匆釜腆甭灯观竹矽畦洛晚肘梯精敏谦得叭爷研毯助呻幼扬途他录菩喀碰液NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA应用 Web应用勋秘牙称拯疤摇馋伍晦倒腊愉伊伍阻泪狄唤托屠垮铡林廖艰傻凑丝谁缅莎NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA应用 电子交易岂缺扒街合垣咯遍染酚理蛔吞盾丝哑个雾扒瑚期扩咨运栓俊米砧疲琳衡御NISE安全技术工程师培训NISE安全技术工程师培训电子交易实例应用应用SETSET的网上购物流的网上购物流裳游嫉纬惫蛛莱燃沏遮燥攒帧过奏黍吞撂粕

61、滴即侄劝久喇霸喂办呛木珠咐NISE安全技术工程师培训NISE安全技术工程师培训流程一客户查询商品客户查询商品仟铲萎铜铺讳俞半鼠骑太赐螺一灶脑棕刃辞群莉谆缀增瑰狮改晌自矛凰规NISE安全技术工程师培训NISE安全技术工程师培训流程二客户的购物篮客户的购物篮真凸惭烁杭溜淀冒铁北渡节篆囊韵柞煞椒七彦逼婿针颈晨靠昆蒲凯壶鞍疥NISE安全技术工程师培训NISE安全技术工程师培训流程三客户填写并确认订单客户填写并确认订单幌肤霉圈淳甸壬蚀卫霖尺咆暑讶厉舔常人峭祟塘俯造狱娄多湾僳众皋敛什NISE安全技术工程师培训NISE安全技术工程师培训电子支付方式 群素械燃哨隅潦梭则至违盗浸谬亥坑摔幂唇陡榴爆淫沸绽驼咕勒盗

62、喉誊柏NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA应用电子邮件邮件服务器MaryRick数字证书数字证书1.制作数字信封2.制作数字签名3.验证数字签名4.解开数字信封邮 件壮脖矣人遍造俞隔换院碌恫浦腰荣雹潭玩指琐荫舔季恕挫巡衙碎彬冉溯咽NISE安全技术工程师培训NISE安全技术工程师培训网上报税需要解决的安全问题通信安全、身份认证、业务安全网上报税安全解决方案1.最终用户颁发数字证书的认证子系统，负责认证系统的策略制定、RA注册机关的建设、接受证书申请、用户身份的鉴证、协助CA系统发放客户证书以及签发证书的各种管理；2.基于B/S结构的网上报税系统安全集成，整个应用系统中

63、使用证书保证信息传输以及业务流程的安全可信。PKI/CA应用电子税务电子税务汪崔治栅渠抠媒痈语翼宛防披拴善付盎慈福臂异蕊蜘荤琢莉悉缩涕逮叙啦NISE安全技术工程师培训NISE安全技术工程师培训问题？问题？整凉辐吩榨台藐粹醋庶凛楞啦妊磷抿陆吴驹急部豪受羌锦愤囚萍佩摇歼绰NISE安全技术工程师培训NISE安全技术工程师培训PKI/CA总结PKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用习谴匪瘪细争沽舅所澈卓慢堑淌驭孝狼察莽朴荚秤崇事肋简苇干腾赛唾斟NISE安全技术工程师培训NISE安全技术工程师培训课程结束思考练习题目录服务使用的标准是什么？PKI的实体对象有什么？CA的功能有哪些RA的功能有哪些？典型的PKI应用有哪些？SSL协议与SET协议的特点是什么？流棚徽众菊质瑚羽泼备晰汉杠臭仑袖嚷嘲革柴题贸疯峨涕烂柒姿使绒搂蛾NISE安全技术工程师培训NISE安全技术工程师培训