第7章_數(shù)字簽名技術應用

1、第7章 數(shù)字簽名技術應用,河南經貿職業(yè)學院信息管理系,,網絡安全技術使用教程,2,主要內容,網絡安全技術使用教程,3,7.1.1數(shù)字簽名的含義,1.什么是電子簽名電子簽名指數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數(shù)據(jù)。通俗地說，電子簽名就是通過密碼技術對電子文檔的電子形式的簽名，并非是書面簽名的數(shù)字圖像化，它類似于手寫簽名或印章，也可以說它就是電子印章。電子簽名主要有三個作用：(1)

2、證明文件的來源，即識別簽名人；(2)表明簽名人對文件內容的確認；(3)構成簽名人對文件內容正確性和完整性負責的根據(jù)。與傳統(tǒng)商務活動中的簽名蓋章作用相同，具有同樣的法律效力。,網絡安全技術使用教程,4,7.1.1數(shù)字簽名的含義,2.什么是數(shù)字簽名數(shù)字簽名只有信息的發(fā)送者才能產生，別人無法偽造的一段數(shù)字串，它同時也是對發(fā)送者發(fā)送的信息的真實性的一個證明。 ISO 7498-2標準對數(shù)字簽名是這樣定義的：附加在數(shù)據(jù)單元

3、上的一些數(shù)據(jù)，或是對數(shù)據(jù)單元所做的密碼變換，這種數(shù)據(jù)或變換允許數(shù)據(jù)單元的接收者用以確認數(shù)據(jù)單元來源和數(shù)據(jù)單元的完整性，并保護數(shù)據(jù)，防止被人(如接收者)偽造。,網絡安全技術使用教程,5,7.1.2數(shù)字簽名發(fā)展狀況,隨著國際互聯(lián)網的發(fā)展，電子商務已經逐漸成為人們進行商務活動的新模式。電子商務從產生至今雖然時間不長，但發(fā)展十分迅速。電子商務的發(fā)展前景及其帶來的影響，已經引起世界各國政府和企業(yè)的廣泛關注和積極參與。但是，由于電子商務交易平臺的虛

4、擬性和匿名性，其安全問題也變得越來越突出，電子簽名技術的應用及其立法為電子商務安全運行提供了重要保障。數(shù)字簽名是目前電子商務、電子政務中應用最普遍、技術最成熟、可操作性最強的一種電子簽名方法。所謂"數(shù)字簽名"就是通過某種密碼運算生成一系列符號及代碼組成電子密碼進行簽名，來代替書寫簽名或印章。它采用了規(guī)范化的程序和科學化的方法，用于鑒定簽名人的身份以及對一項電子數(shù)據(jù)內容的認可。它還能驗證出文件的原文在傳輸過程中有

5、無變動，確保傳輸電子文件的完整性、真實性和不可抵賴性。,網絡安全技術使用教程,6,7.1.3數(shù)字簽名的作用與用途,1.數(shù)字簽名的作用 1)信息傳輸?shù)谋Ｃ苄越灰字械纳虅招畔⒕斜Ｃ艿囊蟆Ｈ绻庞每ǖ膸ぬ柡陀脩裘粍e人獲悉，就可能被盜用：訂貨和付款的信息被競爭對手獲悉，就可能喪失商機，因此在電子商務的信息傳播中一般都有加密的要求。2)交易者身份的可鑒別性網上交易的雙方很可能素昧平生，相隔千里。對于商家要確認客戶端不是騙子，

6、而客戶也要相信網上的商店不是一個玩弄欺詐的黑店，因此能方便而可靠地確認對方的身份是網上交易的前提。為顧客或用戶開展服務的銀行、信用卡公司和銷售商店，為了做到安全、保密、可靠地開展服務活動，都需要進行身份認證的工作。對有關的銷售商店來說，他們不知道顧客的信用卡號碼，只能把信用卡的確認工作完全交給銀行來完成。銀行和信用卡公司可以采用各種保密與識別方法來確認顧客的身份是否合法、確認訂貨和訂貨收據(jù)信息同時還要注意防止發(fā)生拒付款等問題。,網絡安全

7、技術使用教程,7,7.1.3數(shù)字簽名的作用與用途,3)數(shù)據(jù)交換的完整性交易的文件是不能被修改的。舉個例子，比如訂購黃金。供貨方在收到訂單后，發(fā)現(xiàn)金價大幅上漲了，如果它能改動訂單內容，將訂購數(shù)1噸改為1克，則可大幅受益，而訂貨方就會因此而蒙受損失。因此電子交易文件也要做到不可修改，以保障交易的嚴肅性和公正性。4)發(fā)送信息的不可否認性由于商情的千變萬化，交易一旦達成是不能被否認的。否則必然會損害一方的利益。再如訂購黃金，訂貨時

8、金價較低，但收到訂單后，金價上漲了，如果供貨方能否認收到訂單的實際時間，甚至否認收到訂單的事實，則訂貨方就會蒙受損失。因此電子交易通信過程的各個環(huán)節(jié)都必須是不可否認的。5)信息傳遞的不可重放性如在日常生活中，A向B借了錢，同時寫了一張借條給B；當A還錢的時候，肯定要向B索回他寫的借條撕毀，不然，恐怕他會再次挾借條要求A再次還錢。在數(shù)字簽名中，如果采用了對簽名報文添加流水號、時戳等技術，可以防止重放攻擊。,網絡安全技術使用教程,8

9、,7.1.3數(shù)字簽名的作用與用途,2.數(shù)字簽名的用途數(shù)字證書的用途很廣泛，它可以用于方便快捷安全地發(fā)送電子郵件、訪問安全站點、網上招標投標、網上簽約、網上訂購、網上公文的安全傳送、網上辦公、網上繳費、網上繳稅、網上購物等安全電子事務處理和安全電子交易活動。在網絡應用中，數(shù)字簽名比手工簽字更具優(yōu)越性，數(shù)字簽名是進行身份鑒別與網上安全交易的通用實施技術。當然，網絡環(huán)境還有很多其他威脅，要由其他專門技術解決，如防火墻技術、反病毒技

10、術、入侵檢測技術等。在網絡應用中，凡是要解決偽造、抵賴、冒充、篡改與身份鑒別的問題，都可運用數(shù)字簽名來處理。,網絡安全技術使用教程,9,7.2.1消息摘要,1.消息摘要含義在信息安全技術中經常需要驗證消息的完整性，消息摘要函數(shù)(Message Digest)就提供了這一服務。它是一種散列(Hash)變換，能對不同長度的輸入信息產生固定長度的輸出即一個單獨的128256位的大數(shù)。這個大數(shù)稱為原消息的“消息摘要”或“散列”。一個安全的

11、散列函數(shù)H具有以下的屬性：(1)H能夠應用到大小不一的數(shù)據(jù)上；(2)H對任何輸入報文數(shù)據(jù)生成固定長度的輸出；(3)對于任意給定的x，H(x)的計算相對簡單；(4)對于任意給定的h，要發(fā)現(xiàn)滿足H(x)=h的x在計算上是不可行的；(5)要發(fā)現(xiàn)滿足H(x)=H(y)的(x，y)對在計算上是不可行的。由于消息摘要函數(shù)比對稱加密算法的速度還快，因此有著廣泛的應用。消息摘要函數(shù)是數(shù)字簽名和消息識別碼(MAC)的基

12、礎。,網絡安全技術使用教程,10,7.2.1消息摘要,2.常用算法(1)MD5(Message Digest Algorithm-5)算法是由R.Rivest設計的，在RFC1321中描述。MD5按512位數(shù)據(jù)塊為單位來處理輸入，產生128位的消息摘要。(2)SHA：(Secure Hash Algorithm)算法是由NIST開發(fā)，并在1993年作為信息處理標準公布。SHA與MD5的設計原理相似，同樣也按512位數(shù)據(jù)塊為單

13、位來處理輸入，但它產生160位的消息摘要，具有比MD5更強的安全性。目前使用的消息摘要函數(shù)有：MD2、MD4、MDS、HMAC、SHA、SHA-1。,網絡安全技術使用教程,11,7.2.2 數(shù)字簽名原理,數(shù)字簽名技術是結合消息摘要函數(shù)和公鑰加密算法的具體加密應用技術。數(shù)字簽名(Digital Signature)指一個用自己的非對稱密碼算法(如：RSA算法)私鑰加密后的信息摘要，附在消息后面；別人得到這個數(shù)字簽名及簽名前的信息內容

14、，使用該用戶分發(fā)的非對稱密碼算法公鑰，就可以檢驗簽名前的信息內容在傳輸過程或分發(fā)過程中是否己被篡改并且可以確認發(fā)送者的身份。,網絡安全技術使用教程,12,7.2.2 數(shù)字簽名原理,為了實現(xiàn)網絡環(huán)境下的身份鑒別、數(shù)據(jù)完整性認證和抗否認的功能，數(shù)字簽名應滿足以下要求：(1)簽名者發(fā)出簽名的消息后，就不能再否認自己所簽發(fā)的消息；(2)接收者能夠確認或證實簽名者的簽名，但不能否認；(3)任何人都不能偽造簽名；(4)第三方可以確認

15、收發(fā)雙方之間的消息傳送，但不能偽造這一過程，這樣，當通信的雙方關于簽名的真?zhèn)伟l(fā)生爭執(zhí)時，可由第三方來解決雙方的爭執(zhí)。,網絡安全技術使用教程,13,7.2.2 數(shù)字簽名原理,對于一個典型的數(shù)字簽名體系而言，它必須包含2個重要的組成部分：即簽名算法(Signature Algorithm)和驗證算法(Verification Algorithm)。為了滿足上述4點要求，數(shù)字簽名體系必須滿足2條基本假設：(1)簽名密鑰是安全的，只有其擁

16、有者才能使用；(2)使用簽名密鑰是產生數(shù)字簽名的唯一途徑。,網絡安全技術使用教程,14,7.2.2 數(shù)字簽名原理,1.發(fā)送方簽名過程發(fā)送方Ａ創(chuàng)建數(shù)字簽名的過程如下：(1)為保證簽名的速度，A先將原文進行單向HASH運算生成定長的消息摘要A,網絡安全技術使用教程,15,7.2.2 數(shù)字簽名原理,(2)利用自己的私鑰加密消息摘要得到數(shù)字簽名A，并將數(shù)字簽名附在原消息后面,網絡安全技術使用教程,16,7.2.2 數(shù)字簽名原理,(

17、3)通訊時用戶A將自己的原文和簽名文一起通過網絡送給通訊對方即用戶B,網絡安全技術使用教程,17,7.2.2 數(shù)字簽名原理,2.接收方驗證過程接收方B接收到發(fā)送方Ａ的簽名消息后，對Ａ的簽名消息進行驗證的過程如下：(1)將消息中的原消息與數(shù)字簽名分離出來,網絡安全技術使用教程,18,7.2.2 數(shù)字簽名原理,(2)使用A的公鑰解密數(shù)字簽名得到摘要,網絡安全技術使用教程,19,7.2.2 數(shù)字簽名原理,(3)利用與發(fā)送方A相同的散列

18、函數(shù)重新計算原消息的摘要,網絡安全技術使用教程,20,7.2.2 數(shù)字簽名原理,(4)比較解密后獲得的消息摘要A與重新計算產生的消息摘要B，若相等則說明消息在傳輸過程中沒有被篡改，否則消息不可靠。,網絡安全技術使用教程,21,7.2.3 數(shù)字簽名算法,1.DSA簽名算法DSA(Digital Signature Algorithm)是Schnorr和ElGamal簽名算法的變種。EIGamal方案基于有限域上的離散對數(shù)問題。DSA

19、中涉及的參數(shù)可以描述如下：p是一個素數(shù)，滿足2L-1l，即g的階是q mod p。β=ga　mod p，其中a是隨機或者偽隨機生成的整數(shù)且滿足0<a<q。k是隨機或者偽隨機生成的整數(shù)且滿足０<k<q。把p，q，g和β公開而保密a和k。對每一次簽名都應該生成一個新的k值。,網絡安全技術使用教程,22,7.2.3 數(shù)字簽名算法,1)簽名過程對于給定的k，消息m的簽名定義如下：

20、 sig(m，k)=(y，s)其中y = (gk mod p)mod qs = (k-1(MD5(m)+ay)mod q雜湊函數(shù)MD5用于把可變長度的消息m轉變?yōu)橐粋€160比特的消息摘要，然后再用數(shù)字簽名方案對它進行簽名。,網絡安全技術使用教程,23,7.2.3 數(shù)字簽名算法,2)驗證過程設ver(m，y，s)是驗證算法，它以上述定義的消息m和y，s為輸入。簽名的驗證通過下面的計算來

21、完成：w = s-1 mod qd1 = (MD5(m)* w)mod qd2 = (y *w)mod qv=((gd1*βd2)mod p)mod q若v=y，則ver(m，y，s)的輸出為真，否則為假。消息m的簽名是有效的當且僅當ver(m，y，s)的輸出為真。如果ver(m，y，s)的輸出為假，則說明或者消息m被篡改，或者該簽名不是簽名者的合法簽名。3)安全性分析由于DSA是基于有限域上

22、離散對數(shù)問題，出于短期安全性考慮要求域Zp的素數(shù)p的長度至少為1024比特，而考慮到長期安全性則要求其長度至少為2048比特。,網絡安全技術使用教程,24,7.2.3 數(shù)字簽名算法,2.RSA簽名算法Rivest、shamir和Adleman于1978年提出了RSA數(shù)字簽名和公鑰算法，這是第一個較完善的公開密鑰算法，它既能用于加密也能用于數(shù)字簽名，而認證過程相當于保密過程的逆過程。在已提出的公開密鑰算法中，RSA是最容易理解

23、和實現(xiàn)的，這個算法也是最流行的。RSA算法以它的三個發(fā)明者Ron Rivest、Adi Shamir和Leonard Adleman的名字命名。RSA的安全性建立在大整數(shù)素因子分解困難的基礎之上，其數(shù)字簽名算法類似于RSA密碼算法，該算法的描述詳見本書6.2.3節(jié)。RSA數(shù)字簽名算法可以描述如下：,網絡安全技術使用教程,25,7.2.3 數(shù)字簽名算法,1)簽名過程消息m的簽名sig(m)通過下面的計算生成

24、 sig(m)=(h(m))e mod n其中h(m)是消息摘要，它由消息m通過密碼學中的雜湊函數(shù)(如MD5)得到。2)驗證過程驗證算法ver(m，y)力以消息m和簽名y為輸入，定義如下： ver(m，y)=真，等價于h(m)≡yd mod n其中，(e，n)為公鑰，(d，n)為私鑰。驗證算法使用了簽名者的公鑰，所以任何人都可以驗證一個簽名；然而由于簽名需要簽

25、名者的私鑰，故只有簽名者本人才能產生有效的簽名。,網絡安全技術使用教程,26,7.2.3 數(shù)字簽名算法,3)安全性分析正如RSA密碼體制的情形一樣，素數(shù)p和q應該足夠大，使得對于給定了它們的乘積n，如果事先不知道p或者q，分解n是計算上不可行的。對于短期安全性，n的長度至少應該為1024比特，而長期安全性則要求n至少為2048比特。,網絡安全技術使用教程,27,7.3.1 數(shù)字證書的定義,1.證書的概念數(shù)字證書如同我們日常生

26、活中使用的身份證，它是持有者在網絡上證明自己身份的憑證。在一個電子商務系統(tǒng)中，所有參與活動的實體都必須用證書來表明自己的身份。證書是一個經證書授權中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。證書一方面可以用來向系統(tǒng)中的其它實體證明自己的身份，另一方面由于每份證書都攜帶著證書持有者的公鑰，所以證書也可以向接收者證實某人或某個機構對公開密鑰的擁有，同時也起著公鑰分發(fā)的作用。簡單地說，證書的構成就是一個公鑰，再加上公鑰所有者

27、的標識，以及被信任的第三方對上述信息的數(shù)字簽名。公證方的數(shù)字簽名保證了公鑰及其所有者的對應關系，同時也保證了證書中的公鑰信息不會被篡改。,網絡安全技術使用教程,28,7.3.1 數(shù)字證書的定義,2.證書存放方式考慮到業(yè)務的終端類型的多樣化以及業(yè)務應用的方便程度等因素，數(shù)字證書一般以兩種方式存放：1)使用IC卡存放即把用戶的數(shù)字證書寫到IC卡中，供用戶隨身攜帶。這樣用戶在所有能夠讀IC卡證書的電子商務終端上都可以享受電子商務

28、服務。2)直接存放在磁盤或自己的終端上用戶將從CA申請來的證書下載或復制到磁盤或自己的PC機或智能終端上，當用戶使用自己的終端享受電子商務服務時，直接從終端讀入即可。,網絡安全技術使用教程,29,7.3.2 數(shù)字證書的類型,1)常用的幾種數(shù)字證書(1)SPKI是由IETF SPKI工作組指定的一系列技術和參考文檔，包括SPKI證書格式。SPKI證書又叫授權證書，主要目的是傳遞許可權。目前只有很少的SPKI證書應用需求，而

29、且缺乏市場需求。(2)PGP(Pretty Good Privacy)是一種對電子郵件和文件進行加密與數(shù)字簽名的方法。它規(guī)范了在兩個實體間傳遞信息、文件和PGP密鑰時的報文格式。PGP證書與X.509證書之間存在著顯著不同，它的信任策略主要是基于個人而不是企業(yè)。因此，雖然在Internet上的電子郵件通信中得到了一定范圍內的應用，但對企業(yè)內部網來說，卻不是最好的解決方案。,網絡安全技術使用教程,30,7.3.2 數(shù)字證書的

30、類型,(3)SET安全電子交易(SET)標準定義了在分布式網絡上進行信用卡支付交易所需的標準。它采用了X.509第3版公鑰證書的格式，并指定了自己私有的擴展。非SET應用無法識別SET定義的私有擴展，因此非SET應用無法接受SET證書。(4)屬性證書屬性證書是用來傳遞一個給定主體的屬性以便于靈活、可擴展的特權管理。屬性證書不是公鑰證書，但它的主體可以結合相應公鑰證書通過“指針”來確定。,網絡安全技術使用教程,31,7.3.

31、2 數(shù)字證書的類型,2)根據(jù)證書的安全級別可以將證書分為以下幾類(1)一級證書。這是最高級別的證書，由認證機構受理審核和發(fā)放，一般應用于系統(tǒng)內部的服務器和操作員證書。(2)二級證書。由業(yè)務受理點受理并審核。認證機構進行二次審核后發(fā)放，如商家證書、服務器證書等。(3)三級證書。如個人證書，通過業(yè)務受理點或網絡進行證書申請，審核由業(yè)務受理點完成，必要時可由受理中心和注冊機構進行二次審核。(4)四級證書。如測試

32、證書或對安全要求不高的個人證書，可采用瀏覽器方式直接通過網絡向認證機構的證書簽發(fā)服務器提出中請。,網絡安全技術使用教程,32,7.3.3 數(shù)字證書的結構,于1988年公布的IS0鑒別框架提供了網間鑒別功能，也稱X.509協(xié)議，它的最重要的部分就是公鑰證書結構。在所有格式的證書中，X.509證書應用范圍最廣。在許多網絡安全應用，如VPN，S/MIME(Secure/Multipurpose Internet Mail Extension)

33、中，都使用了X.509格式的證書。它規(guī)定每個用戶都有一個與其他用戶不相同的名字，由CA分配并簽發(fā)一個包含用戶惟一名字和該用戶公鑰的證書。X.509的證書格式包括申請者的信息、證書信息和證書頒發(fā)者的信息三部分。,網絡安全技術使用教程,33,7.3.3 數(shù)字證書的結構,數(shù)字證書的結構：,網絡安全技術使用教程,34,7.3.3 數(shù)字證書的結構,1)申請者的信息用來刻畫證書申請者的基本信息，其中包括：(1)證書擁有者的可識別名，命名規(guī)則

34、一般采用X. 500格式；(2)證書所有人的公開密鑰和算法識別符，包括公鑰算法、公鑰的位字符串表示；(3)證書擁有者的唯一識別符。,網絡安全技術使用教程,35,7.3.3 數(shù)字證書的結構,2)證書信息用來描述證書的一般屬性，包括：(1)證書的版本信息：證書版本號，不同版本的證書格式不同。用來與X. 509的將來版本兼容；(2)證書序列號，由證書頒發(fā)者分配的本證書的唯一標識符；(3)證書的有效期限，現(xiàn)在通用的證書一

35、般采用UTC時間格式，它的計時范圍為1950-2049；(4)證書擴展信息，是構建證書的可選的標準和專用擴展，包括證書策略、策略映射、密鑰標識符、主體及頒發(fā)者的別名和主體目錄屬性等。,網絡安全技術使用教程,36,7.3.3 數(shù)字證書的結構,3)證書頒發(fā)者的信息用來描述頒發(fā)者及數(shù)字證書中簽名算法的信息，數(shù)字證書包含頒發(fā)者的簽名和用來生成數(shù)字簽名的簽名算法。任何人收到證書后都能使用簽名算法來驗證證書是否是由頒發(fā)者的簽名密鑰簽發(fā)的。

36、包括：(1)頒發(fā)者即身份驗證機構的標識信息，命名規(guī)則一般采用X.500格 式；(2)頒發(fā)者唯一標識符；(3)頒發(fā)者簽名算法及相關參數(shù)。,網絡安全技術使用教程,37,7.4.1 認證中心的定義,CA(Certificate Authority)認證機構，也稱作認證中心，是一個實體，它可以是人、群體、部門、公司或其他實體。它是證書的簽發(fā)機關，是公鑰基礎設施PKI體系中的核心環(huán)節(jié)。它不僅為客戶提供簽發(fā)公鑰證書、認證證書、分配

37、證書和管理證書的服務，還為生命周期內的密鑰提供管理服務。它將客戶的公鑰與客戶的名稱及其它屬性關聯(lián)起來，并制定政策和具體步驟來驗證、識別用戶身份，再對用戶證書進行簽名，以確保證書持有者的身份和公鑰的擁有權，對客戶之間的電子身份進行認證。 (1)解決公鑰體系中公鑰的合法性問題。(2)為網上交易各方的信息安全提供有效的、可靠的保護機制。這些機制提供機密性、身份驗證特性(使交易的每一方都可以確認其它各方的身份)、不可否認性(交易的各

38、方不可否認它們的參與)。,網絡安全技術使用教程,38,7.4.2 認證中心的結構,CA認證中心的結構大致可分為以下幾部分：接收用戶證書申請的證書受理者(Registry Server，RS)，證書發(fā)放的審核部門(Register Authority ，RA)，證書發(fā)放的操作部門(Certificate Processor，CP)，記錄作廢證書的證書作廢表或證書撤銷表(Certificate Revocation List，CRL)，提供

39、人工服務的業(yè)務受理點以及證書使用者。各部分的功能說明如下： (1)RA系統(tǒng)是CA的證書發(fā)放、管理的延伸，是證書發(fā)放的審核部門，負責對證書申請者進行資格審查。RA也決定是否同意給該申請者發(fā)放證書，因此它應由能夠承擔這些責任的機構擔任。具體地講，它負責證書申請者的信息錄入、審核以及證書發(fā)放等工作；同時，對發(fā)放的證書完成相應的管理功能。發(fā)放的數(shù)字證書可以存放于IC卡、硬盤或軟盤等介質中。RA系統(tǒng)是整個CA中心得以正常運營不可缺少的一部分

40、。,網絡安全技術使用教程,39,7.4.2 認證中心的結構,(2)RS是證書受理者，它用于接收用戶的證書申請請求，轉發(fā)給CP和RA進行相應的處理。它也可以和RA合并在一起。(3)CP為證書發(fā)放的操作部門，負責為已授權的申請者制作，發(fā)放和管理證書，并承當因操作運營錯誤所造成的一切后果，包括失密和為沒有獲得授權者發(fā)放證書等，它可以由審核授權部門自己擔任，也可以委托給第三方擔任。(4)CRL是證書作廢表，其中記錄尚未過期但已經聲明

41、作廢的用戶證書序列號，或者記錄的是一些已經有不良記錄的用戶證書序列號，供證書使用者在認證與之通信的對方證書是否作廢時查詢。業(yè)務受理點就是以系統(tǒng)對外提供服務的一個窗口，由工作人員幫助用戶錄入、登記等。業(yè)務受理點可以擔任用戶證書發(fā)放的審核部門，當面審核用戶提交的資料，從而決定是否為用戶發(fā)放證書。,網絡安全技術使用教程,40,7.4.3 認證中心的功能,認證機構的主要功能有證書發(fā)放、證書更新、證書撤銷和證書驗證。具體地說應該完成以下任務：

42、(1)能夠驗證并標識證書申請者的身份。認證機構要對證書申請者的信息進行驗證和審核，對合乎要求的申請者頒發(fā)包含用戶信息和認證機構簽名的證書，否則拒絕頒發(fā)。(2)能夠接受并處理終端用戶數(shù)字證書的更新請求：比如用戶的某項個人信息發(fā)生了改變，需要更新，認證機構應該能接受請求并對相關內容做出修改。(3)能夠使用戶方便地查找各種證書及已經撤銷的證書。用戶在驗證發(fā)送方數(shù)字簽名時需要驗證發(fā)送方的身份，這就要檢驗發(fā)送方的數(shù)字證書。由于該

43、證書可能在有效期限內被認證機構撤銷，因此，用戶往往需要檢查認證機構的已撤銷證書。因此，能否給用戶提供方便的證書查詢功能，是認證機構是否成功的重要標準之一。,網絡安全技術使用教程,41,7.4.3 認證中心的功能,(4)能根據(jù)用戶請求或其它相關信息撤銷用戶證書。用戶的身份并不是一成不變的。如用戶所在的服務處所改變后，用戶的身份也就改變了。這時，原來的證書雖在有效期限內但已沒有意義。故認證機構應該根據(jù)用戶的請求撤銷該證書。(5)能根據(jù)