第3章-數(shù)字簽名和

第3章數(shù)字簽名和認(rèn)證

本章導(dǎo)讀1.Hash算法2.數(shù)字簽名技術(shù)3.身份認(rèn)證4.PKI5.PMI第3章數(shù)字簽名和認(rèn)證

3.1Hash算法3.1.1Hash函數(shù)的定義Hash函數(shù)是將任意長的消息(明文)m，壓縮成一個固定長度的散列值的函數(shù)，以h(m)表示。Hash函數(shù)也稱為“散列函數(shù)”或“雜湊函數(shù)”。3.1.2Hash函數(shù)的分類單向Hash函數(shù)按其是否使用密鑰控制可劃分為兩類，即帶密鑰控第3章數(shù)字簽名和認(rèn)證

制的單向Hash函數(shù)h(k，m)和不帶密鑰控制的單向Hash函數(shù)h(m)。無密鑰控制的單向Hash函數(shù)，其Hash值只是輸入字串的函數(shù)，任何人都可以計算，因而不具有身份認(rèn)證功能，只用于檢測接收數(shù)據(jù)的完整性。如竄改檢測碼MDC，在安全的Hash標(biāo)準(zhǔn)中就采用了這種技術(shù)。而帶密鑰控制的單向Hash函數(shù)，其Hash值不僅與輸入有關(guān)，而且與密鑰有關(guān)，只有具有密鑰的人才能計算出相應(yīng)的Hash值，因此具有身份驗證的功。第3章數(shù)字簽名和認(rèn)證

3.1.3Hash函數(shù)的安全性Hash函數(shù)的安全性取決于抗及各種攻擊的能力。攻擊者的主要目標(biāo)是找到一對或更多對碰撞消息。一般假定攻擊者知道單向Hash函數(shù)的算法。對單向Hash函數(shù)的主要攻擊方法是生日攻擊。3.1.4安全Hash函數(shù)的一般結(jié)構(gòu)這個結(jié)構(gòu)是由Merkle提出的，是一個迭代結(jié)構(gòu)。目前所使用的大多數(shù)Hash函數(shù)均為這種結(jié)構(gòu)。Hash函數(shù)接收一個輸入消息，并把輸入信息分為L-1個固定長度為b位的分組。若第L-1個分組不足b第3章數(shù)字簽名和認(rèn)證

位，則將其充填為b位，然后再附加一個表示該Hash函數(shù)輸入的總長度值。包含這個長度值將增加攻擊的難度，因為攻擊者必須找出兩個具有相同長度和相同Hash值的消息，或者找出兩條長度不等但加入各自的長度后Hash值相同的消息。3.1.5MD5算法MD5的全稱是Message-digestAlgorithm5（信息-摘要算法），用于確保信息傳輸完整一致。在90年代初由MITLaboratoryfor第3章數(shù)字簽名和認(rèn)證

ComputerScience和RSADataSecurityInc,的RonaldL.Rivest開發(fā)出來，經(jīng)MD2、MD3和MD4發(fā)展而來。它的作用是讓大容量信息在用數(shù)字簽名軟件簽署私人密鑰前被"壓縮"成一種保密的格式（就是把一個任意長度的字節(jié)串變換成一定長的大整數(shù)）。不管是MD2、MD4還是MD5，它們都需要獲得一個隨機長度的信息并產(chǎn)生一個128位的信息摘要。雖然這些算法的結(jié)構(gòu)或第3章數(shù)字簽名和認(rèn)證多或少有些相似，但MD2的設(shè)計與MD4和MD5完全不同，那是因為MD2是為8位機器做過設(shè)計優(yōu)化的，而MD4和MD5卻是面向32位的電腦。3.1.5.1算法描述在MD5算法中，首先需要對信息進行填充，使其字節(jié)長度對512求余的結(jié)果等于448。因此，信息的字節(jié)長度（BitsLength）將被擴展至N*512+448，即N*64+56個字節(jié)（Bytes），N為一個正整數(shù)。填充的方法如下，在信息的后面填充一個1和無數(shù)個0，直到滿足上面的條件時才停止用0對信息的填充。第3章數(shù)字簽名和認(rèn)證3.1.5.3MD5的安全性MD5有這樣一個性質(zhì)，即雜湊碼中的每一個比特是所有輸入比特的鹵數(shù)，因此獲得了很好的混淆效果，從而使得不可能隨機選擇兩個具有相向雜湊值的消息。Rivest猜想作為128比特長的雜湊值來說，MD5的強度達(dá)到了最大，比如說找出具有相同雜湊值的兩個消息需執(zhí)行O(2128)次運算，而尋找具有給定雜湊值的一個消息需要執(zhí)行O(264)次運算。目前對MD5的攻擊已取得以下結(jié)果：第3章數(shù)字簽名和認(rèn)證①對單輪MD5使用差分密碼分析，可在合理的時間內(nèi)找出具有相同雜湊值的兩個消息。但這種攻擊還未能成功地推廣到4輪MD5。②可找出一個消息分組和兩個相關(guān)的鏈接變量(即緩沖區(qū)變量ABCD)，使得算法產(chǎn)生出相同的輸出。目前這種攻擊還未能成功地推廣到整個算法。③對單個512比特長的消息分組己成功地找出了碰撞，即可找出另一個消息分組，使得算法對兩個消息分組第3章數(shù)字簽名和認(rèn)證的128比特長的輸出相同。目前這種攻擊還未成功推廣到在有初值IV時對整個消息運行該算法。3.1.6SHA算法安全雜湊算法SHA(SecureHashAlgorithm)由美國NIST設(shè)計，于1993年作為聯(lián)邦信息處理標(biāo)準(zhǔn)(FIPSPUBl80)公布。SHA是基于MD4算法，其結(jié)構(gòu)與MD4非常類似。3.1.6.1算法描述第3章數(shù)字簽名和認(rèn)證算法的處理過程有以下幾步：第1步(對消息填充)：與MD5的第1步完全相同。第2步(附加消息的長度)：與MD5的第2步類似，不同之處在于以big-endian方式表示填充前消息的長度。即第1步留出的64比特當(dāng)作64比特長的無符號整數(shù)。第3步(對MD緩沖區(qū)初始化)：算法使用160比特長的緩沖區(qū)存儲中間結(jié)果和最終雜湊值，緩沖區(qū)可表示為五個32比特長的寄存器(A，B，C，D，E)，每個寄存器第3章數(shù)字簽名和認(rèn)證都以big-endian方式存儲數(shù)據(jù)，其初始值分別為A=67452301，B＝EFCDAB89．C＝98BADCFB，D＝10325476，E=C3D2E1F0。第4步(以分組為單位對消息進行處理)：每一分組Yq都經(jīng)一壓縮函數(shù)處理，壓縮函數(shù)由4輪處理過程(如圖3-2所示)構(gòu)成，每一輪又由20次迭代組成。4輪處理過程結(jié)構(gòu)一樣，但所用的基本邏輯函數(shù)不同，分別表示為?1,?2,?3,?4,。每輪的輸入為當(dāng)前處理的消息分組Yq和緩沖區(qū)的當(dāng)前值A(chǔ)、B、C、D、E，輸出仍放在緩沖第3章數(shù)字簽名和認(rèn)證區(qū)以替代A、B、C、D、E的舊值．每輪處理過程還需加上一個加法常量K1，其中o≤t≤79表示迭代的次數(shù)。80個常量中實際上只有4個不同取值，如表3-1所示，其中[]為x的整數(shù)部分。第4輪的輸出(即第80次迭代的輸出)再與第t輪的輸入CVq，相加，以產(chǎn)生CVq+1，其中加法是緩沖區(qū)中5個字中的每—個字與CVq中相應(yīng)的字模232相加。第5步(輸出)：消息的L個分組都被處理完后，最后一個分組的輸出即為160比特的消息摘要。第3章數(shù)字簽名和認(rèn)證3.1.6.2SHA與MD5的比較大于MD5使用的緩沖區(qū)(128比特)，因此在相同硬件上實現(xiàn)時，SHA的速度慢于MD5的速度。④簡潔與緊致性：兩個算法描述起來都較為簡單，實現(xiàn)起來也較為簡單，都不需要大的程序和代換表。⑤數(shù)據(jù)的存儲方式：MD5使用little-endian方式，SHA使用big-endian方式。兩種方式相比看不出哪個更具優(yōu)勢，之所以使用兩種不同的存儲方式是因為設(shè)計者最初實現(xiàn)各自的算法時，使用的機器的存儲方式不同。第3章數(shù)字簽名和認(rèn)證①抗窮搜索攻擊的強度：由于SHA和MD5的消息摘要長度分別為160和128，所以用窮搜索攻擊尋找具有給定消息摘要的消息分別需做O(2160)和O(2128)次運算，而用窮搜索攻擊找出具有相同消息摘要的兩個不向消息分別需做O(280)和O(264)次運算。因此SHA抗擊窮搜索攻擊的強度高于MD5抗擊窮搜索攻擊的強度。②抗擊密碼分析攻擊的強度：由于SHA的設(shè)計準(zhǔn)則未被公開，所以它抗加密碼分析攻擊的強度較難判斷，似乎高于MD5的強度。第3章數(shù)字簽名和認(rèn)證③速度：由于兩個算法的主要運算都是模232加法，因此都易于在32位結(jié)構(gòu)上實現(xiàn)。但比較起來SHA的迭代次數(shù)(80次)多于MD5的迭代次數(shù)(64次)，所用的緩?fù)鈪^(qū)(160比特)3.2數(shù)字簽名技術(shù)3.2.1數(shù)字簽名基礎(chǔ)數(shù)字簽名(DigitalSignature)就是只有信息發(fā)送第3章數(shù)字簽名和認(rèn)證者使用公開密鑰算法的主要技術(shù)產(chǎn)生的別人無法偽造的一段數(shù)字串。發(fā)送者用自己的私有密鑰加密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開數(shù)據(jù)后，就可確定消息來自于誰，同時也是對發(fā)送者所發(fā)送信息真實性的一個驗證。數(shù)字簽名必須保證以下幾點：(1)接收者能夠核實發(fā)送者對報文的答名。(2)發(fā)送者事后不能抵賴對報文的簽名。(3)接收者不能偽造對報文的簽名。第3章數(shù)字簽名和認(rèn)證3.2.2數(shù)字簽名基本原理在公鑰密碼體制實現(xiàn)數(shù)字簽名的基本原理很簡單，假設(shè)A要發(fā)送—個電子文件給B，A、B雙方只需經(jīng)過下面三個步驟即可。(1)A用其私鑰加密文件，這便是簽名過程。(2)A將加密的文件發(fā)送給B。(3)B用A的公鑰解開A送來的文件這樣的簽名方法是符合可靠性原則的，即：(1)簽名是可以被確認(rèn)的。第3章數(shù)字簽名和認(rèn)證(2)簽名是無法被偽造的。(3)簽名是無法重復(fù)使用的。(4)文件被簽名以后是無法被篡改的。(5)簽名具有不可否認(rèn)性。3.2.3數(shù)字簽名加密算法1.Hash簽名2．DSA和RSA簽名3.2.4數(shù)字簽名中的問題與改進數(shù)字簽名在具體應(yīng)用中還存在一些問題第3章數(shù)字簽名和認(rèn)證需要解決。(1)簽字后的文件可能被接收方重復(fù)使用。如果簽字后的文件是一張支票，接收方很容易多次用該電子支票兌換現(xiàn)金，為此發(fā)送方需要在文件中加上一些該支票的特有憑證，如時間戳(但時間戳?xí)幸粋€時間是否同步的問題)等，以防止上述情況發(fā)生。(2)數(shù)字簽名應(yīng)用很多的RSA算法是基于大數(shù)的因子分解難題，由于計算水平的提高，人們逐漸可以用計算機分解更大的數(shù)。因此RSA算法的密鑰也就越來越第3章數(shù)字簽名和認(rèn)證長，在使用GPG（GnuPG）時至少要選擇700比特以上的密鑰。(3)公鑰算法的效率是相當(dāng)?shù)偷?，不易用于長文件的加密，所以采用Hash函數(shù)，將原文件P通過個單向(one-way)的Hash函數(shù)作用，生成相當(dāng)短的(僅幾十或幾百位)的輸出H，即Hash(P)＝H，這里由P可以很快生成H，但由于H幾乎不可能生成P，然后再將公鑰算法作用在H上生成“簽字”S，記為Ek1(H)＝S，k1為A的公鑰，A將第3章數(shù)字簽名和認(rèn)證(P，S)傳給B，B收到(P，S)后，需要驗證S是A的簽字。若有H1＝H2，即Dk2(S)＝Hash(P)，才能確認(rèn)為S就是A的簽字。(4)如果在Hash簽名使用一個密鑰k，讓只有知道此密鑰k的人才能使用Hash，即用H(m，k)代替H(m)，則可以增強Hash加密的安全性。以上方法實際上就是把簽字過程從對原文件轉(zhuǎn)移到一個很短的Hash值上，大大地提高了效率，可以在現(xiàn)代的電子商務(wù)中被廣泛地使用。第3章數(shù)字簽名和認(rèn)證3.3身份認(rèn)證3.3.1身份認(rèn)證基礎(chǔ)身份認(rèn)證對于提供安全服務(wù)有如下作用：作為訪問控制服務(wù)的一種必要文持，訪問控制服務(wù)的執(zhí)行依賴于確知的身份；作為提供數(shù)據(jù)源認(rèn)證的一種可能方法(當(dāng)它與數(shù)據(jù)完整性機制結(jié)合起來使用時)；作為對責(zé)任原則的一種直接支持，例如，在審計追蹤過程中做記錄時，提供與某一活動相聯(lián)系的確知身份。第3章數(shù)字簽名和認(rèn)證一般來說，一個身份認(rèn)證系統(tǒng)應(yīng)該滿足如下要求：驗證者正確識別合法示證者的概率極大化；不可傳遞性，驗證者不可能重用示證者提供給他的信息來偽裝示證者，以實現(xiàn)成功地騙取他人的驗證，從而得到信任；攻擊者偽裝示證者騙取驗證者成功的概率要小到可以忽略的程度，特別是能夠抵抗已知密文攻擊，即能夠抵抗攻擊者在截獲到示證者和驗證者多次通信內(nèi)容第3章數(shù)字簽名和認(rèn)證后，偽裝示證者騙取驗證者的信任；計算有效件，即實現(xiàn)身份認(rèn)證所需的計算量要盡可能??；通信的有效性，即實現(xiàn)身份認(rèn)證所需通信次數(shù)和數(shù)據(jù)量要盡可能小；秘密參數(shù)能夠安全存儲；交互識別，在某此應(yīng)用中，有通信雙方能夠互相進行身份認(rèn)證的需求；第三方的實時參與，如在線公鑰檢索服務(wù)；第3章數(shù)字簽名和認(rèn)證第三方的可信賴性；可證明安全件3.3.2KerberosKerberos是為TCP/IP網(wǎng)絡(luò)設(shè)計的可信第三方認(rèn)證協(xié)議。Kerberos基于對稱密碼學(xué)，它與網(wǎng)絡(luò)上的每個實體分別共享一個不同的密鑰．是否知道該密鑰便是身份的證明。Kerberos最初是在麻省理工學(xué)院(MIT)為Athena項目而第3章數(shù)字簽名和認(rèn)證開發(fā)的，Kerberos模型基于Needham、Schroeder的可信方協(xié)議。廣泛使用的Kerberos的版本是第4版和第5版，第5版彌補了第4版中存在的一些安全漏洞，已經(jīng)發(fā)布為Internet協(xié)議標(biāo)準(zhǔn)(RFCl510)。Kerberos支持這三種安全要求，它基于一個分布的客戶／服務(wù)器結(jié)構(gòu)，用多個Kerberos服務(wù)器提供認(rèn)證服務(wù)。為此，對Kerberos提出如下需求：●安全：非法用戶不能偽裝成合法用戶來竊聽有關(guān)信第3章數(shù)字簽名和認(rèn)證息，即Kerberos應(yīng)提供強大的安全機制來防止?jié)撛诘姆欠ㄈ肭终甙l(fā)現(xiàn)脆弱的鏈路?！窨煽浚河脩粢揽縆erberos提供的服務(wù)來取得進行訪問控制所需的服務(wù)。因此，要求Kerberos具有高可靠性，采用分布式的服務(wù)器結(jié)構(gòu)，隨時對系統(tǒng)進行備份，否則，用戶得不到Kerberos的服務(wù)，就無法獲得所要求的服務(wù)?！裢该鳎簽榉奖阌脩?，整個系統(tǒng)對用戶來說應(yīng)該是透明的。除第3章數(shù)字簽名和認(rèn)證了需要輸入一個口令外，用戶感覺不到認(rèn)證服務(wù)的發(fā)生。●可擴縮：Kerberos應(yīng)該采用模塊化、分布式結(jié)構(gòu)，能夠支持大量客戶和服務(wù)器。Kerberos系統(tǒng)采用一個協(xié)議來提供可信的第三方認(rèn)證服務(wù)，客戶和服務(wù)器都信任Kerberos對它們之間的仲裁。因此，只要Kerberos服務(wù)器本身是安全的，那么認(rèn)證服務(wù)就是安全的。第3章數(shù)字簽名和認(rèn)證3.3.3X.509為了在開放網(wǎng)絡(luò)上實現(xiàn)遠(yuǎn)程的網(wǎng)絡(luò)用戶身份認(rèn)證，ITU于1988年制定了認(rèn)證體系標(biāo)準(zhǔn)：“開放性系統(tǒng)互連——目錄服務(wù)：認(rèn)證體系x.509”。X.509主要內(nèi)容包括：簡單認(rèn)證(SimpleAuthentiCAtion)程序：在此部分，X.509建議了安全度較低的身份認(rèn)證程序，此部分所定義的驗證程序使用最常見的口令(Password)認(rèn)證的技術(shù)來識別通信雙方。只要用戶可以提供正確的口令，就認(rèn)為他/她是合法用戶。該認(rèn)第3章數(shù)字簽名和認(rèn)證證體系儀能提供較簡單、有限的保護，以防止未授權(quán)的存取訪問。強認(rèn)證(StrongAuthentiCAtion)程序：該程序提出了一個高安全度的身份認(rèn)證機制。其驗證程序是使用公開密鑰密碼學(xué)的技術(shù)來識別通信雙方。強認(rèn)證可分為“單向的”、“雙向的”及“三向的”三種認(rèn)證方式，分別提供不同安全層次的安全認(rèn)證。對于公開密鑰證書的使用有詳細(xì)的定義，以強化其認(rèn)證能力。第3章數(shù)字簽名和認(rèn)證密鑰及證書管理：因為強認(rèn)證程序中需要公開密鑰密碼系統(tǒng)的支持來實現(xiàn)其認(rèn)證目的，這部分內(nèi)容就是針對密鑰以及證明密鑰正確性的證書管理。證書擴充及證書吊銷列表擴充(CertifiCAteandCRLExtensions)：由于1988年版的X.509中對于證書及證書吊銷列表的定義并不是很完善，所以在1995年，針對這些問題，提出X.509修正案，對這兩部分作了一些修正與補充，以彌補舊版X.509的不足，最終于1997年6月將這兩部分合二為一，為最新版的X.509文件。第3章數(shù)字簽名和認(rèn)證3.3.3.1簡單認(rèn)證過程X.509提供的簡單認(rèn)證有下列三種運行方式：(1)用戶將其口令及用戶ID未做任何加密保護，直接以明文方式傳送給接收端。(2)用戶將其個人口令、用戶ID、一個隨機數(shù)和/或時間戳在經(jīng)過一單向函數(shù)保護后，傳送至接收端。(3)用戶用以上第（2）種方式所述的方法，先第3章數(shù)字簽名和認(rèn)證經(jīng)一次單向函數(shù)保護所有數(shù)據(jù)，然后再連同另一組隨機數(shù)和/或時間戳，再經(jīng)過第二次的單向函數(shù)保護后，傳送至接收端。3.3.3.2強認(rèn)證過程X.509以公開密鑰密碼的技術(shù)能夠讓通信雙方容易共享密鑰的特點，并利用公鑰密碼系統(tǒng)中數(shù)字簽名的功能，強化網(wǎng)絡(luò)上遠(yuǎn)程認(rèn)證的能力，定義出強認(rèn)證程序，以達(dá)到所謂“強認(rèn)證”的目的。第3章數(shù)字簽名和認(rèn)證3.4PKI3.4.1PKI概念PKI是一種遵循標(biāo)準(zhǔn)的密鑰管理平臺，它能夠為所有網(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所必需的密鑰和證書管理，實現(xiàn)和管理不同實體之間的信任關(guān)系。概括地說，PKI是一個用公鑰密碼理論與技術(shù)建立的提供安全服務(wù)的普適性基礎(chǔ)設(shè)施。第3章數(shù)字簽名和認(rèn)證3.4.2PKI提供的服務(wù)PKI技術(shù)能夠滿足人們對網(wǎng)絡(luò)通信中信息安全保障的需求；能提供如下四種基本的信息安全保障：①信息的機密性。②信息的完整性。③身份認(rèn)證：為對付假冒攻擊而提供對某個實體身份的真實性認(rèn)證，實現(xiàn)有效鑒別通信雙方的身份。第3章數(shù)字簽名和認(rèn)證④信息的不可否認(rèn)性：文件傳輸一旦完成，發(fā)送方不能否認(rèn)他發(fā)送的信息，接收方也不能否認(rèn)他所收到的信息。3.4.3PKI組成完整的PKI包括認(rèn)證政策的制定(包括遵循的技術(shù)標(biāo)準(zhǔn)、各CA之間的上下級或同級關(guān)系、安全策略、安全程度、服務(wù)對象、管理原則和框架等)、認(rèn)證規(guī)則、運作制度的制定、所涉及的各方法律關(guān)系內(nèi)容以及技術(shù)的實現(xiàn)。一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下幾部分：第3章數(shù)字簽名和認(rèn)證1、認(rèn)證中心CA2、注冊機構(gòu)RA3、業(yè)務(wù)受理點4、LDAP目錄服務(wù)器3.4.4PKI功能一個典型、完整、有效的PKI應(yīng)用系統(tǒng)至少應(yīng)具有以下功能：公鑰證書管理、黑名單的發(fā)布和管理、密鑰的備份和恢復(fù)、自動更新密鑰、自動管理歷史密鑰和支第3章數(shù)字簽名和認(rèn)證持交叉認(rèn)證。以下根據(jù)PKI組成．分別介紹PKI的功能。1、RA功能受理用戶證書業(yè)務(wù)；審核用戶身份；向CA中心申請簽發(fā)證書；將證書和私鑰寫入IC卡后分發(fā)給受理中心、受理點或用戶；管理本地在線證書狀態(tài)協(xié)議(OCSP)服務(wù)器，并提供證書狀態(tài)的實時查詢；第3章數(shù)字簽名和認(rèn)證管理本地用戶資料。2、CA功能證書管理包括的內(nèi)容十分廣泛，大致可分為證書的存取、證書驗證、證書鏈校驗以及交叉認(rèn)證等方面。(1)證書的存取(2)證書驗證(4)交叉認(rèn)證(3)證書鏈校驗第3章數(shù)字簽名和認(rèn)證4、密鑰管理在PK1體系中，密鑰的管理主要包括密鑰產(chǎn)生、密鑰備份和恢復(fù)、密鑰更新、密鑰銷毀和歸檔處理等(1)密鑰產(chǎn)生(2)密鑰備份和恢復(fù)(3)密鑰更新(4)密鑰銷毀和歸檔處理3.4.5信任模型第3章數(shù)字簽名和認(rèn)證選擇信任模型(TrustModel)是構(gòu)筑和運作PKI所必需的一個環(huán)節(jié)。選擇正確的信任模型以及與它相應(yīng)的安全級別是非常重要的，同時也是部署PKI所要做的較早和基本的決策之一。信任模型主要闡述了以下幾個問題：一個PKI用戶能夠信任的證書是怎樣被確定的?這種信任是怎樣被建立的?在一定的環(huán)境下，這種信任如何被控制?第3章數(shù)字簽名和認(rèn)證3.4.5.1認(rèn)證機構(gòu)嚴(yán)格的層次結(jié)構(gòu)模型層次結(jié)構(gòu)中，上層的CA既可以認(rèn)證其他CA也可以認(rèn)證終端實體。雖然在現(xiàn)有的PKI標(biāo)準(zhǔn)中并沒有排除這一點，但是在文獻(xiàn)中層次結(jié)構(gòu)往往都是假設(shè)一個給定的CA要么認(rèn)證終端實體要么認(rèn)證其他CA．但不能兩者都認(rèn)證。我們將遵循這個慣例，但不應(yīng)該認(rèn)為這是有限制的。)這個層次結(jié)構(gòu)按如下規(guī)則建立：第3章數(shù)字簽名和認(rèn)證1、根CA認(rèn)證(更準(zhǔn)確地說是創(chuàng)立和簽署證書)直接連接在它下面的CA。2、每個CA都認(rèn)證零個或多個直接連接在它下面的CA。(注意：在一些認(rèn)證機構(gòu)的嚴(yán)格3、倒數(shù)第二層的CA認(rèn)證終端實體。3.4.5.2分布式信任結(jié)構(gòu)模型與在PKI系統(tǒng)中的所有實體都信任惟一一個CA的嚴(yán)格層次結(jié)構(gòu)相反，分布式信任結(jié)構(gòu)把信任分散在兩個或多個CA上。也就是說，A把CAl作為他的信任錨，而B可以把CA2做為他的信任錨。第3章數(shù)字簽名和認(rèn)證3.4.5.3Web模型Web模型在方便性和簡單互操作性方面有明顯的優(yōu)勢，但是也存在許多安全隱患。例如，因為瀏覽器的用戶自動地信任頂安裝的所有公鑰，所以即使這些根CA中有一個是“壞的”(例如，該CA從沒有認(rèn)真核實被認(rèn)證的實體)，安全性將被完全破壞。3.4.5.4以用戶為中心的信任模型因為要依賴于用戶自身的行為和決策能力，因此以用戶為中心的模型在技術(shù)水平較高和利害關(guān)系高度一致的群體中是可行的，但第3章數(shù)字簽名和認(rèn)證是在一級的群體(它的許多用戶有極少或者沒有安令及PK