公开密钥
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
27
第七章 公开密钥设施PKI
二、PKI
RA(Registration Authority)
数字证书注册审批机构。RA系统是CA的证书发 放、管理的延伸。它负责证书申请者的信息录 入、审核以及证书发放等工作;同时,对发放 的证书完成相应的管理功能。发放的数字证书 可以存放于IC卡、硬盘或软盘等介质中。RA系 统是整个CA中心得以正常运营不可缺少的一部 分。
4
PKI
基于非对称密钥系统的一套安全体系 基于数字证书的身份验证 基于对称密钥的数据保护
5
PKI
该体系建立在统一的安全认证和规范基础 上。 PKI从技术上解决网上身份认证、信息完整 性、抗抵赖等安全问题。 为网络应用提供保证。
6
PKI的应用
PKI提供一个安全的框架,使得PKI的应用 可以获得最终的利益。 例子:
在Web浏览器中,用户直接信任根CA密钥,因为 密钥是由制造商直接提供的;在PGP中,用户自 己验证密钥,从不设置其他可信介绍人,这就 是直接信任;当两个从不同的CA来的实体要进 行安全通信,而这两个CA之间不能交叉认证时, 这时也需要直接信任,在此基础上直接交换密 钥,建立起信任关系。如果没有直接信任,交 换密钥就没有价值的。
10
信任涉及假设、期望和行为,这意 味着信任是不可能被定量测量的,信 任是与风险相联系的并且信任的建立 不可能总是全自动的。在PKI中,我 们可以把这个定义具体化为:如果一 个用户假定CA可以把任一公钥绑定到 某个实体上,则他信任该CA。
11
第七章 公开密钥设施PKI
信任具有不同的类别。按照涉及到的事件、情 况的分类,信任可以表现为三种期待:对自然 与社会的秩序性,对合作伙伴承担的义务,对 某角色的技术能力。例如在电子商务中,交易 者信任交易系统对每个用户是公平的、对用户 的私有信息是严加保密的、交易系统是稳定的 并且能够完成交易的全过程而且保证交易的正 确性等等。 信任具有时间差。信任者的期待在前,被信任 者的行为在后,信任者与被信任者之间存在着 时间上的某种不对称性。
8
PKI的基本功能
用户注册 证书申请 密钥产生 密钥更新 密钥备份 密钥恢复 证书作废 证书归档
9
第七章 公开密钥设施PKI
二、信任及信任模式
1、什么是信任 信任:实体A认定实体B将严格地按A所期望的 那 样 行 动 , 则 A 信 任 B。(ITU-T 推 荐 标 准 X.509的定义) 称A是信任者,B是被信任者。信任涉及对某种 事件、情况的预测、期望和行为。信任是信任 者对被信任者的一种态度,是对被信任者的一 种预期,相信被信任者的行为能够符合自己的 愿望。
我们为什么需要PKI
密码协议和密码算法解决了应用安全中的一 些关键问题 如何实现它们,并使它们能够真正应用起来?
如何将公钥颁发给个体? 个体的私钥存储在哪里? 到哪里去获得其它个体的公钥? 如何确定他人的公钥是否有效、合法?
3
什么是PKI
PKI(Public-key infrastructure) 提供了解决这些问题的基础和框架 X.509定义PKI为:创建、管理、存储、发 布和撤消基于公钥密码系统的数字证书所 需要的硬件、软件、人和过程的集合。
23
王丽将她的证书发送给李华,以便授权他 访问他的公钥。 李华使用CA的公钥对证书进行验证,如果 证明证书是有效的,他就承认证书中的公 钥是王丽的公钥。 与数字签名的情况一样,任何有权访问CA 公钥的接收者都可以确定证书是否是由特 定CA签名的。这个过程不要求访问任何机 密信息。上面这个方案假定李华有权访问 CA的公钥。如果李华有权拥有包含该公钥 的CA证书副本,则他就有权访问该密钥。
28
第七章 公开密钥设施PKI CA的职能
二、PKI
(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。 (4)接收、处理最终用户的数字证书更新请求-证书的更新。 (5)接收最终用户数字证书的查询、撤销。 ( 6 ) 产 生 和 发 布 证 书 废 止 列 表 CRL(Certificate Revocation List) 。 (7)数字证书的归档。 (8)密钥归档。 (9)历史数据归档。
认证中心服务器:是数字证书生成、发放的运行 实体,同时提供发放证书的管理、证书废止列表(CRL) 的生成和处理等服务。
30
第七章 公开密钥设施PKI
我国CA的建设情况 中国电信CA安全认证体系(CTCA)、上海电子商务CA 认证中心(SHECA)和中国金融认证中心(CA)等。 数字证书 数字证书是网络通讯中标志通讯各方身份信息的 一系列数据,提供了一种在Internet上验证身份的方 式,其作用类似于司机的驾驶执照或日常生活中的身 份证。由权威机构CA机构发行的,人们可以在交往中 用它来识别对方的身份。 最简单的证书包含一个公开密钥、名称以及证书授权 中心的数字签名。
25
第七章 公开密钥设施PKI
1、认证机关 为信息安全提供有效的、可靠的保护机制,包 括机密性、身份验证特性、不可否认性(交易的各方 不可否认它们的参与)。这就需要依靠一个可靠的第 三 方 机 构 验 证 , 而 认 证 中 心 ( CA:Certification Authority)专门提供这种服务。 证书机制是目前被广泛采用的一种安全机制, 使 用 证 书 机 制 的 前 提 是 建 立 CA(Certification Authority-认证中心)以及配套的RA(Registration Authority --注册审批机构)系统。
24
第七章 公开密钥设施PKI
美国的公开密钥体制
1.PAA(Policy Approval Authority)策略机构是PKI核心和 基础,为所有的用户、用户组织和CA制定指南,监管所有制 定策略的机构。 2.PCA(Policy Creation Authority)是整个PKI的二级CA, 开发安全策略。
13
第七章 公开密钥设施PKI
信任是动态和非单调的。信任关系的建立有很多 种,如自觉的、强制的、道德约束的或法律制约 的、利益驱动的。信任随着实体的行为结果将动 态变化。对一个实体得出的信任或不信任评价依 赖于被信任者的交易历史,良好的交易评价将得 到较高程度的信任,信任者依据对决策之后行动 结果的信任评价,不断修正对实体的信任程度。 信任是决策的重要因素,但不是唯一因素。例如 实体A信任实体B,而同时实体B不信任实体A,但 实体B可能为获得较大的收益而不顾风险与实体A 与进行一次交易。
在WEB服务器和浏览器之间的通信 电子邮件 电子数据内部交换 在Internet上的信用卡交易 虚拟专用网VPN
7
PKI的构成
认证中心(CA):负责签发、管理和作废 证书等操作 注册中心(RA):建立证书持有者和证书 之间的联系。 证书库 密钥备份及恢复系统 证书作废处理系统 PKI应用接口系统
29
第七章 公开密钥设施PKI
认证中心为了实现其功能,主要由以下三部分组成: 注册服务器:通过 Web Server 建立的站点,可 为客户提供每日24小时的服务。因此客户可在自己方 便的时候在网上提出证书申请和填写相应的证书申请 表,免去了排队等候等烦恼。
证书申请受理和审核机构:负责证书的申请和审 核。它的主要功能是接受客户证书申请并进行审核。
16
第七章 公开密钥设施PKI
第三方信任
第三方
信任
信任 第三方信任 Alice
信任
Bob
17
第七章 公开密钥设施PKI
扩展的第三方信任模型 (交叉认证)
CA CA 第三方 Alice 信任 CA域Y
Bob
Alice CA域X
Bob
18
第七章 公开密钥设施PKI
2)直接信任 直接信任是最简单的信任形式。两个实体间无 须第三方介绍而直接建立信任关系。
14
第七章 公开密钥设施PKI
信任者与被信任者建立信任关系分为四个阶段:
1)信任者对被信任者的行为进行信任评价,得到 预测结果;
2)依据预测结果及其他参考因素,进行综合决策, 决定被信任者的行为是否发生; 3)若被信任者的行为发生,将产生实际结果; 4)对被信任者的行为结果进行信任评价,即比较 预测结果与实际结果,根据信任评价修正信任关 系。
26
第七章 公开密钥设施PKI
什么是CA机构 CA机构,又称为证书授证中心,是为了解决电 子商务活动中交易参与的各方身份、资信的认定, 维护交易活动中的安全,从根本上保障电子商务交 易活动顺利进行而设立的,是受一个或多个用户信 任,提供用户身份验证的第三方机构,承担公钥体 系中公钥的合法性检验的责任。 在SET交易中,CA不仅对持卡人、商户发放证书, 还要对收款的银行、网关发放证书。它负责产生、 分配并管理所有参与网上交易的个体所需的数字证 书,因此是安全电子交易的核心环节。
计算机系统安全
第七章 公开密钥设施PKI Public key infrastructure
1
第七章 公开密钥设施PKI
一、需要解决的问题
网络安全的要求:
数据传输的机密性
数据交换的完整性
发送信息的不可否认性
交易者身份的确定性
安全解决方案:
建立安全证书体系结构。提供在网上验证身份的方式。 主要采用了公开密钥体制,其它还包括对称密钥加密、 数字签名、数字信封等技术。 2
数字认证的过程
(1)证书请求 (证书+公钥)
证书授权 王丽
(3)王丽将证 书交给李华
(2)消息(使用CA私钥 进行了签名)
李华
(4)验证CA签名
22
数字认证过程
Baidu Nhomakorabea
王丽将一个签名的证书请求(包括她的名 字、公钥、可能还有其他的一些信息)发 送到CA CA使用王丽的请求创建一个消息。CA使用 其私钥对消息进行签名,以便创建一个单 独的签名。CA将消息和签名返回给王丽。 消息和签名共同构成了王丽的证书。
19
CA
直接信任
CA
Bob Bill Anne
Alice
CA域X
CA域Y
20
第七章 公开密钥设施PKI
数字证书和PKI解决哪些问题
数字证书能够解决信息传输的保密性、完整性、不 可否认性、交易者身份的确定性问题。数字证书和 PKI结合解决电子商务中的安全问题。
在传统的安全解决方案中,密码服务与应用紧密地结 合在一起,每一种网络应用都有自己的一套密钥管理, 功能大量冗余,管理维护工作复杂,费用高,而且这 种分散式的方案存在安全隐患,互操作性也得不到保 证; 而PKI以统一的、通用的方式来解决所有应用的 共同安全问题。利用PKI可以方便地建立和维护一个 可信的网络计算环境,从而使得人们在这个无法直接 相互面对的环境里,能够确认彼此身份和所交换的信 息,能够安全地从事商务活动。 21
31
第七章 公开密钥设施PKI
证书原理:数字证书采用公钥体制。用户设定一把特 定的仅为本人所有的私有密钥(私钥), 用它进行解 密和签名;同时设定一把公共密钥(公钥)并由本人 公开,为一组用户所共享,用于加密和验证签名。 数字证书的作用:使用数字证书,通过运用对称和非 对称密码体制等密码技术建立起一套严密的身份认证 系统,从而保证信息除发方和接方外不被其它人窃取 或篡改。
15
第七章 公开密钥设施PKI
2、直接信任与推荐信任 按照有无第三方可信机构参与,信任可划分为 直接信任和第三方的推荐信任。 1)第三方信任
第三方信任是指两个实体以前没有建立起信任 关系,但双方与共同的第三方有信任关系,第 三方为两者的可信任性进行了担保,由此建立 起来的信任关系。第三方信任的实质是第三方 的推荐信任,是目前网络安全中普遍采用的信 任模式。
12
第七章 公开密钥设施PKI
信任具有不确定性。依据信任而做出的决策, 产生的行为结果是不确定的,即结果可能与期 望相符也可能与期望不符。信任是实体决策时 的一个主观概念,是一种非理性的行为,它处 在全知与无知之间,是一种依据过去形成的信 任关系对未来的期望。 信任与风险是相联系的。信任是在对未来事件 的不可预料中才会有的,行为结果的不确定性 使信任者的决策具有风险,即便决策依据完全 信任。行为结果如果具备了确定性,就不存在 风险与应对风险这一特定方式了。
3.CA是第三层实体。CA在其上级PCA规定的安全策略下运 行。
4.ORA(Organization Registration Authority)鉴别个人 身份,确认用户与单位的隶属关系。 5.用户:用户是整个PKI树的叶节点,用户通常是个人。 6.目录服务器:使用X.500或LDAP提供证书和CRL发布功 能。
第七章 公开密钥设施PKI
二、PKI
RA(Registration Authority)
数字证书注册审批机构。RA系统是CA的证书发 放、管理的延伸。它负责证书申请者的信息录 入、审核以及证书发放等工作;同时,对发放 的证书完成相应的管理功能。发放的数字证书 可以存放于IC卡、硬盘或软盘等介质中。RA系 统是整个CA中心得以正常运营不可缺少的一部 分。
4
PKI
基于非对称密钥系统的一套安全体系 基于数字证书的身份验证 基于对称密钥的数据保护
5
PKI
该体系建立在统一的安全认证和规范基础 上。 PKI从技术上解决网上身份认证、信息完整 性、抗抵赖等安全问题。 为网络应用提供保证。
6
PKI的应用
PKI提供一个安全的框架,使得PKI的应用 可以获得最终的利益。 例子:
在Web浏览器中,用户直接信任根CA密钥,因为 密钥是由制造商直接提供的;在PGP中,用户自 己验证密钥,从不设置其他可信介绍人,这就 是直接信任;当两个从不同的CA来的实体要进 行安全通信,而这两个CA之间不能交叉认证时, 这时也需要直接信任,在此基础上直接交换密 钥,建立起信任关系。如果没有直接信任,交 换密钥就没有价值的。
10
信任涉及假设、期望和行为,这意 味着信任是不可能被定量测量的,信 任是与风险相联系的并且信任的建立 不可能总是全自动的。在PKI中,我 们可以把这个定义具体化为:如果一 个用户假定CA可以把任一公钥绑定到 某个实体上,则他信任该CA。
11
第七章 公开密钥设施PKI
信任具有不同的类别。按照涉及到的事件、情 况的分类,信任可以表现为三种期待:对自然 与社会的秩序性,对合作伙伴承担的义务,对 某角色的技术能力。例如在电子商务中,交易 者信任交易系统对每个用户是公平的、对用户 的私有信息是严加保密的、交易系统是稳定的 并且能够完成交易的全过程而且保证交易的正 确性等等。 信任具有时间差。信任者的期待在前,被信任 者的行为在后,信任者与被信任者之间存在着 时间上的某种不对称性。
8
PKI的基本功能
用户注册 证书申请 密钥产生 密钥更新 密钥备份 密钥恢复 证书作废 证书归档
9
第七章 公开密钥设施PKI
二、信任及信任模式
1、什么是信任 信任:实体A认定实体B将严格地按A所期望的 那 样 行 动 , 则 A 信 任 B。(ITU-T 推 荐 标 准 X.509的定义) 称A是信任者,B是被信任者。信任涉及对某种 事件、情况的预测、期望和行为。信任是信任 者对被信任者的一种态度,是对被信任者的一 种预期,相信被信任者的行为能够符合自己的 愿望。
我们为什么需要PKI
密码协议和密码算法解决了应用安全中的一 些关键问题 如何实现它们,并使它们能够真正应用起来?
如何将公钥颁发给个体? 个体的私钥存储在哪里? 到哪里去获得其它个体的公钥? 如何确定他人的公钥是否有效、合法?
3
什么是PKI
PKI(Public-key infrastructure) 提供了解决这些问题的基础和框架 X.509定义PKI为:创建、管理、存储、发 布和撤消基于公钥密码系统的数字证书所 需要的硬件、软件、人和过程的集合。
23
王丽将她的证书发送给李华,以便授权他 访问他的公钥。 李华使用CA的公钥对证书进行验证,如果 证明证书是有效的,他就承认证书中的公 钥是王丽的公钥。 与数字签名的情况一样,任何有权访问CA 公钥的接收者都可以确定证书是否是由特 定CA签名的。这个过程不要求访问任何机 密信息。上面这个方案假定李华有权访问 CA的公钥。如果李华有权拥有包含该公钥 的CA证书副本,则他就有权访问该密钥。
28
第七章 公开密钥设施PKI CA的职能
二、PKI
(1)接收验证最终用户数字证书的申请。
(2)确定是否接受最终用户数字证书的申请-证书的审批。
(3)向申请者颁发、拒绝颁发数字证书-证书的发放。 (4)接收、处理最终用户的数字证书更新请求-证书的更新。 (5)接收最终用户数字证书的查询、撤销。 ( 6 ) 产 生 和 发 布 证 书 废 止 列 表 CRL(Certificate Revocation List) 。 (7)数字证书的归档。 (8)密钥归档。 (9)历史数据归档。
认证中心服务器:是数字证书生成、发放的运行 实体,同时提供发放证书的管理、证书废止列表(CRL) 的生成和处理等服务。
30
第七章 公开密钥设施PKI
我国CA的建设情况 中国电信CA安全认证体系(CTCA)、上海电子商务CA 认证中心(SHECA)和中国金融认证中心(CA)等。 数字证书 数字证书是网络通讯中标志通讯各方身份信息的 一系列数据,提供了一种在Internet上验证身份的方 式,其作用类似于司机的驾驶执照或日常生活中的身 份证。由权威机构CA机构发行的,人们可以在交往中 用它来识别对方的身份。 最简单的证书包含一个公开密钥、名称以及证书授权 中心的数字签名。
25
第七章 公开密钥设施PKI
1、认证机关 为信息安全提供有效的、可靠的保护机制,包 括机密性、身份验证特性、不可否认性(交易的各方 不可否认它们的参与)。这就需要依靠一个可靠的第 三 方 机 构 验 证 , 而 认 证 中 心 ( CA:Certification Authority)专门提供这种服务。 证书机制是目前被广泛采用的一种安全机制, 使 用 证 书 机 制 的 前 提 是 建 立 CA(Certification Authority-认证中心)以及配套的RA(Registration Authority --注册审批机构)系统。
24
第七章 公开密钥设施PKI
美国的公开密钥体制
1.PAA(Policy Approval Authority)策略机构是PKI核心和 基础,为所有的用户、用户组织和CA制定指南,监管所有制 定策略的机构。 2.PCA(Policy Creation Authority)是整个PKI的二级CA, 开发安全策略。
13
第七章 公开密钥设施PKI
信任是动态和非单调的。信任关系的建立有很多 种,如自觉的、强制的、道德约束的或法律制约 的、利益驱动的。信任随着实体的行为结果将动 态变化。对一个实体得出的信任或不信任评价依 赖于被信任者的交易历史,良好的交易评价将得 到较高程度的信任,信任者依据对决策之后行动 结果的信任评价,不断修正对实体的信任程度。 信任是决策的重要因素,但不是唯一因素。例如 实体A信任实体B,而同时实体B不信任实体A,但 实体B可能为获得较大的收益而不顾风险与实体A 与进行一次交易。
在WEB服务器和浏览器之间的通信 电子邮件 电子数据内部交换 在Internet上的信用卡交易 虚拟专用网VPN
7
PKI的构成
认证中心(CA):负责签发、管理和作废 证书等操作 注册中心(RA):建立证书持有者和证书 之间的联系。 证书库 密钥备份及恢复系统 证书作废处理系统 PKI应用接口系统
29
第七章 公开密钥设施PKI
认证中心为了实现其功能,主要由以下三部分组成: 注册服务器:通过 Web Server 建立的站点,可 为客户提供每日24小时的服务。因此客户可在自己方 便的时候在网上提出证书申请和填写相应的证书申请 表,免去了排队等候等烦恼。
证书申请受理和审核机构:负责证书的申请和审 核。它的主要功能是接受客户证书申请并进行审核。
16
第七章 公开密钥设施PKI
第三方信任
第三方
信任
信任 第三方信任 Alice
信任
Bob
17
第七章 公开密钥设施PKI
扩展的第三方信任模型 (交叉认证)
CA CA 第三方 Alice 信任 CA域Y
Bob
Alice CA域X
Bob
18
第七章 公开密钥设施PKI
2)直接信任 直接信任是最简单的信任形式。两个实体间无 须第三方介绍而直接建立信任关系。
14
第七章 公开密钥设施PKI
信任者与被信任者建立信任关系分为四个阶段:
1)信任者对被信任者的行为进行信任评价,得到 预测结果;
2)依据预测结果及其他参考因素,进行综合决策, 决定被信任者的行为是否发生; 3)若被信任者的行为发生,将产生实际结果; 4)对被信任者的行为结果进行信任评价,即比较 预测结果与实际结果,根据信任评价修正信任关 系。
26
第七章 公开密钥设施PKI
什么是CA机构 CA机构,又称为证书授证中心,是为了解决电 子商务活动中交易参与的各方身份、资信的认定, 维护交易活动中的安全,从根本上保障电子商务交 易活动顺利进行而设立的,是受一个或多个用户信 任,提供用户身份验证的第三方机构,承担公钥体 系中公钥的合法性检验的责任。 在SET交易中,CA不仅对持卡人、商户发放证书, 还要对收款的银行、网关发放证书。它负责产生、 分配并管理所有参与网上交易的个体所需的数字证 书,因此是安全电子交易的核心环节。
计算机系统安全
第七章 公开密钥设施PKI Public key infrastructure
1
第七章 公开密钥设施PKI
一、需要解决的问题
网络安全的要求:
数据传输的机密性
数据交换的完整性
发送信息的不可否认性
交易者身份的确定性
安全解决方案:
建立安全证书体系结构。提供在网上验证身份的方式。 主要采用了公开密钥体制,其它还包括对称密钥加密、 数字签名、数字信封等技术。 2
数字认证的过程
(1)证书请求 (证书+公钥)
证书授权 王丽
(3)王丽将证 书交给李华
(2)消息(使用CA私钥 进行了签名)
李华
(4)验证CA签名
22
数字认证过程
Baidu Nhomakorabea
王丽将一个签名的证书请求(包括她的名 字、公钥、可能还有其他的一些信息)发 送到CA CA使用王丽的请求创建一个消息。CA使用 其私钥对消息进行签名,以便创建一个单 独的签名。CA将消息和签名返回给王丽。 消息和签名共同构成了王丽的证书。
19
CA
直接信任
CA
Bob Bill Anne
Alice
CA域X
CA域Y
20
第七章 公开密钥设施PKI
数字证书和PKI解决哪些问题
数字证书能够解决信息传输的保密性、完整性、不 可否认性、交易者身份的确定性问题。数字证书和 PKI结合解决电子商务中的安全问题。
在传统的安全解决方案中,密码服务与应用紧密地结 合在一起,每一种网络应用都有自己的一套密钥管理, 功能大量冗余,管理维护工作复杂,费用高,而且这 种分散式的方案存在安全隐患,互操作性也得不到保 证; 而PKI以统一的、通用的方式来解决所有应用的 共同安全问题。利用PKI可以方便地建立和维护一个 可信的网络计算环境,从而使得人们在这个无法直接 相互面对的环境里,能够确认彼此身份和所交换的信 息,能够安全地从事商务活动。 21
31
第七章 公开密钥设施PKI
证书原理:数字证书采用公钥体制。用户设定一把特 定的仅为本人所有的私有密钥(私钥), 用它进行解 密和签名;同时设定一把公共密钥(公钥)并由本人 公开,为一组用户所共享,用于加密和验证签名。 数字证书的作用:使用数字证书,通过运用对称和非 对称密码体制等密码技术建立起一套严密的身份认证 系统,从而保证信息除发方和接方外不被其它人窃取 或篡改。
15
第七章 公开密钥设施PKI
2、直接信任与推荐信任 按照有无第三方可信机构参与,信任可划分为 直接信任和第三方的推荐信任。 1)第三方信任
第三方信任是指两个实体以前没有建立起信任 关系,但双方与共同的第三方有信任关系,第 三方为两者的可信任性进行了担保,由此建立 起来的信任关系。第三方信任的实质是第三方 的推荐信任,是目前网络安全中普遍采用的信 任模式。
12
第七章 公开密钥设施PKI
信任具有不确定性。依据信任而做出的决策, 产生的行为结果是不确定的,即结果可能与期 望相符也可能与期望不符。信任是实体决策时 的一个主观概念,是一种非理性的行为,它处 在全知与无知之间,是一种依据过去形成的信 任关系对未来的期望。 信任与风险是相联系的。信任是在对未来事件 的不可预料中才会有的,行为结果的不确定性 使信任者的决策具有风险,即便决策依据完全 信任。行为结果如果具备了确定性,就不存在 风险与应对风险这一特定方式了。
3.CA是第三层实体。CA在其上级PCA规定的安全策略下运 行。
4.ORA(Organization Registration Authority)鉴别个人 身份,确认用户与单位的隶属关系。 5.用户:用户是整个PKI树的叶节点,用户通常是个人。 6.目录服务器:使用X.500或LDAP提供证书和CRL发布功 能。