1、1PKI認證（二）PKI體系2一、PKI背景1、PKI2、PKI功能3、PKI基礎4、PKI由來5、PKI發展31、何謂PKIPKI，Public Key Infrastructure是一個用公鑰概念與技術來實施和提供安全服務的具有普適性的安全基礎設施。PKI公鑰基礎設施的主要任務是在開放環境中為開放性業務提供數字簽名服務。PKI正在快速地演進中，從不同的角度出發，有不同的定義.PKI是一個用公鑰概念和技術來實施和提供安全服務的具有普適性的安全基礎設施.42、PKI由來公鑰技術n如何提供數字簽名功能n如何實現不可否認服務n公鑰和身份如何建立聯系w為什么要相信這是某個人的公鑰n公鑰如何管理方案：

2、引入證書(certificate)n通過證書把公鑰和身份關聯起來53、PKI功能（1）認證：采用數字簽名技術，簽名作用于相應的數認證：采用數字簽名技術，簽名作用于相應的數據之上據之上n被認證的數據被認證的數據 數據源認證服務數據源認證服務n用戶發送的遠程請求用戶發送的遠程請求 身份認證服務身份認證服務n遠程設備生成的遠程設備生成的challengechallenge信息信息 身份認證身份認證完整性：完整性：PKIPKI采用了兩種技術采用了兩種技術n數字簽名：既可以是實體認證，也可以是數據完整性數字簽名：既可以是實體認證，也可以是數據完整性nMAC(MAC(消息認證碼消息認證碼) )：如：如DE

3、S-CBC-MACDES-CBC-MAC或者或者HMAC-MD5HMAC-MD5保密性：用公鑰分發隨機密鑰，然后用隨機密鑰保密性：用公鑰分發隨機密鑰，然后用隨機密鑰對數據加密對數據加密不可否認：不可否認：n發送方的不可否認發送方的不可否認 數字簽名數字簽名n接受方的不可否認接受方的不可否認 收條收條 + + 數字簽名數字簽名63、PKI功能（2）在提供前面四項服務功能的同時，還必須考慮在提供前面四項服務功能的同時，還必須考慮n性能性能w盡量少用公鑰加解密操作，在實用中，往往結合對稱密碼盡量少用公鑰加解密操作，在實用中，往往結合對稱密碼技術，避免對大量數據作加解密操作技術，避免對大量數據作加解密

4、操作w除非需要數據來源認證才使用簽名技術，否則就使用除非需要數據來源認證才使用簽名技術，否則就使用MACMAC或者或者HMACHMAC實現數據完整性檢驗實現數據完整性檢驗n在線和離線模型在線和離線模型w簽名的驗證可以在離線情況下完成簽名的驗證可以在離線情況下完成w用公鑰實現保密性也可以在離線情況下完成用公鑰實現保密性也可以在離線情況下完成w離線模式的問題：無法獲得最新的證書注銷信息離線模式的問題：無法獲得最新的證書注銷信息n證書中所支持算法的通用性證書中所支持算法的通用性w在提供實際的服務之前，必須協商到一致的算法在提供實際的服務之前，必須協商到一致的算法n個體命名個體命名w如何命名一個安全個

5、體，取決于如何命名一個安全個體，取決于CACA的命名登記管理工作的命名登記管理工作74、PKI組成PKI是生成、管理、存儲、分發和吊銷基于公鑰密碼學的公鑰證書所需要的硬件、軟件、人員、策略和規程的總和。PKI的構件，PKI的安全策略85、PKI發展標準化進展：IETF PKIX、SPKI Workgroup；NIST，DOT (Department of the Treasury)；TOG (The Open Group)；and others (include WAPForum, etc)產品與工程：From Pilot Projects to Practices, Various Vend

6、ors and ProductsPKI應用：MS Outlook/Netscape Messenger (S/MIME), IE/Navigator (SSL/TLS), PGP9二、PKI相關概念1、公鑰證書 2、證書作廢列表（CRL） 3、策略管理機構（PMA） 4、認證機構（CA） 5、注冊機構（RA） 6、證書管理機構（CMA） 7、證書存檔(Repository) 8、署名用戶（Subscriber） 9、依賴方(Relying party) 10、最終用戶（End User）101、公鑰證書 由可信實體簽名的電子記錄，記錄將公鑰由可信實體簽名的電子記錄，記錄將公鑰和密鑰（公私鑰對）

7、所有者的身份捆綁和密鑰（公私鑰對）所有者的身份捆綁在一起。公鑰證書是在一起。公鑰證書是PKIPKI的基本部件。的基本部件。112、證書作廢列表（CRL）作廢證書列單，通常由同一個發證實體作廢證書列單，通常由同一個發證實體簽名。當公鑰的所有者丟失私鑰，或者簽名。當公鑰的所有者丟失私鑰，或者改換姓名時，需要將原有證書作廢。改換姓名時，需要將原有證書作廢。12CRL數據格式13CRL改進機制n一個CA的撤銷信息通過多個CRL發布n重定向CRLn增量CRL：在基本CRL基礎上，實施增加部分撤銷信息n間接CRL：一個CA中發布來自多個CA的撤銷西向你143、策略管理機構（PMA）監督證書策略的產生和更新

8、，管理監督證書策略的產生和更新，管理PKIPKI證證書策略。書策略。154、認證機構（CA）（1）互聯網定義：互聯網定義：一個可信實體，發放和作廢公鑰證一個可信實體，發放和作廢公鑰證書，并對各作廢證書列表簽名。書，并對各作廢證書列表簽名。國防部定義：國防部定義：一個授權產生，簽名，發放公鑰證一個授權產生，簽名，發放公鑰證書的實體。書的實體。CACA全面負責證書發行和管理（即，全面負責證書發行和管理（即，注冊進程控制，身份標識和認證進程，證書制注冊進程控制，身份標識和認證進程，證書制造進程，證書公布和作廢及密鑰的更換）。造進程，證書公布和作廢及密鑰的更換）。CACA還全面負責還全面負責CACA服

9、務和服務和CACA運行。運行。聯邦政府定義：聯邦政府定義：被一個或多個用戶所信任發放和被一個或多個用戶所信任發放和管理管理X.509X.509公鑰證書和作廢證書的機構。公鑰證書和作廢證書的機構。164、認證機構（CA）（2）CA是PKI的核心，CA負責產生、分配并管理PKI結構下的所有用戶（包括各種應用程序）的證書，把用戶的公鑰和用戶的其他信息捆綁在一起，在網上驗證用戶的身份，CA還要負責用戶證書的黑名單登記和黑名單發布。概括地說，認證中心（CA）的功能有：證書發放、證書更新、證書撤銷和證書驗證。CA的核心功能就是發放和管理數字證書 175、注冊機構（RA）（1）互聯網定義：互聯網定義：一個可

10、選一個可選PKIPKI實體（與實體（與CACA分開），分開），不對數字證書或證書作廢列單（不對數字證書或證書作廢列單（CRLCRL）簽名，簽名，而負責記錄和驗證部分或所有有關信息（特別而負責記錄和驗證部分或所有有關信息（特別是主體的身份），這些信息用于是主體的身份），這些信息用于CACA發行證書和發行證書和CLRCLR以及證書管理中。以及證書管理中。RARA在當地可設置分支機在當地可設置分支機構構LRALRA。PKIXPKIX用語：用語：一個可選一個可選PKIPKI實體與實體與CACA分開，分開，RARA的功的功能隨情況而不同，但是可以包括身份認證和用能隨情況而不同，但是可以包括身份認證和用戶

11、名分配，密鑰生成和密鑰對歸檔，密碼模件戶名分配，密鑰生成和密鑰對歸檔，密碼模件分發及作廢報告管理。分發及作廢報告管理。國防部定義：國防部定義：對對CACA負責當地用戶身份（負責當地用戶身份（標識標識）識）識別的人。別的人。185、注冊機構（RA）（2）RA是CA的證書發放、管理的延伸。它負責證書申請者的信息錄入、審核以及證書發放等工作；同時，對發放的證書完成相應的管理功能。發放的數字證書可以存放于IC卡、硬盤或軟盤等介質中。RA系統是整個CA中心得以正常運營不可缺少的一部分。在RA的下層還可以有多個業務受理點（RS）。195、注冊機構（RA）（3）CA、RA和業務受理點之間的邏輯結構如下圖所示

12、： CA中心中心RA中心中心RA中心中心業務受理點業務受理點業務受理點業務受理點業務受理點業務受理點業務受理點業務受理點206、業務受理點（RS）受理點的功能是：n（1）管理所轄受理點用戶資料n（2）受理用戶證書業務n（3）審核用戶身份n（4）向受理中心或RA中心申請簽發證書n（5）將RA中心或受理中心制作的證書介質分發給用戶217、LDAP目錄服務器LDAP目錄服務器用于發布用戶的證書和黑名單信息，用戶可通過標準的LDAP協議查詢自己或其他人的證書和下載黑名單信息。 228、證書管理機構（CMA）將將CACA和和RARA合起來稱合起來稱CMA(certificate CMA(certific

13、ate management authority)management authority)。239、證書存檔(Repository)一個電子站點，存放證書和作廢證書列一個電子站點，存放證書和作廢證書列表（表（CRLCRL），），CACA在用證書和作廢證書。在用證書和作廢證書。2410、署名用戶（Subscriber）署名用戶是作為主體署名證書并依據策署名用戶是作為主體署名證書并依據策略使用證書和相應密鑰的實體。略使用證書和相應密鑰的實體。2511、依賴方(Relying party)一個接收包括證書和簽名信息的人或機一個接收包括證書和簽名信息的人或機構，利用證書提供的公鑰驗證其有效性，構，利

14、用證書提供的公鑰驗證其有效性，與持證人建立保密通信，接收方處于依與持證人建立保密通信，接收方處于依賴的地位。賴的地位。2612、最終用戶（End User）署名用戶和依賴方的統稱，也稱末端實署名用戶和依賴方的統稱，也稱末端實體（體（End-entityEnd-entity）, ,可以是人，也可以是可以是人，也可以是機器，如路由器，或計算機中運行的進機器，如路由器，或計算機中運行的進程，如防火墻。程，如防火墻。27三、目錄服務和數字證書1、目錄服務2、X.500目錄服務3、LDAP協議4、X.509數字證書5、X.509證書格式281、目錄服務證書和證書吊銷列表(CRL)的存儲(主要針對X.50

15、9格式來說) 是X.500和目錄服務標準的主題292、X.500目錄服務X.500, ITU-T Recommendation: The Directory Overview of Concepts and Models.X.500目錄服務是一個高度復雜的信息存儲機制，包括客戶機-目錄服務器訪問協議、服務器-服務器通信協議、完全或部分的目錄數據復制、服務器鏈對查詢的響應、復雜搜尋的過濾功能等.X.500對PKI的重要性.303、LDAP協議LDAP, Lightweight Directory Access Protocol.LDAP的發展LDAP v1, v2, v3, ldapbis, l

16、dapext, ldup314、X.509數字證書X.509, ITU-T Recommendation: Information Technology Open System Interconnection The Directory: Authentication FrameworkX.509是X.500標準系列的一部分，在PKI的發展中，X.509起到了無可比擬的作用.X.509定義并標準化了一個通用的、靈活的證書格式.X.509的實用性來源于它為X.509 v3和X.509 v2 CRL定義的強有力的擴展機制.325、X.509證書格式（1）版本1、2、3序列號n在CA內部唯一簽名算法

17、標識符n指該證書中的簽名算法簽發人名字nCA的名字有效時間n起始和終止時間個體名字336、X.509證書格式（2）個體的公鑰信息n算法n參數n密鑰簽發人唯一標識符個體唯一標識符擴展域簽名34四、CA及認證1、CA2、密鑰備份和恢復3、CA信任關系4、證書的驗證5、交叉認證351、CA(Certificate Authority)職責n接受用戶的請求n(由RA負責對用戶的身份信息進行驗證)n用自己的私鑰簽發證書n提供證書查詢n接受證書注銷請求n提供證書注銷表各個組件和功能示意圖健壯的數據健壯的數據庫系統庫系統無縫的目錄接口無縫的目錄接口CA硬件硬件LabelsX ValuesY ValuesDa

18、tapoint125Datapoint297Datapoint353Datapoint448Datapoint514Attaching Labels to an XY (Scatter) ChartIn Microsoft Excel, there is no built-in way to automatically attach text labels to an xy (scatter) chart. You can use a macro to accomplish this.The attached macro demonstrates how to apply labels to

19、an xy (scatter) chart, and assumes that your data and associated labels are arranged on your worksheet in the same fashion as the shaded cells above.To apply the data point labels, press the Place Labels on Chart Button.To remove the labels for another demo, press the Reset Chart button.To view the

20、macro code attached to the sheet, press the View Code button.Place Labels on ChartReset ChartY Values01234567890246810Y ValuesView Code管理和運管理和運 行平臺行平臺 安全的審計安全的審計密鑰密鑰PKI362、密鑰備份和恢復 進一步授權進一步授權(# 可定制可定制)授權恢授權恢復密鑰復密鑰RA最終用戶最終用戶PKI加密密鑰的歷史加密密鑰的歷史新的簽名密鑰對新的簽名密鑰對和證書和證書Password?Help!373、CA信任關系（1）當一個安全個體看到另一個安全

21、個體出示的證書時，他當一個安全個體看到另一個安全個體出示的證書時，他是否信任此證書？是否信任此證書？n信任難以度量，總是與風險聯系在一起信任難以度量，總是與風險聯系在一起可信可信CACAn如果一個個體假設如果一個個體假設CACA能夠建立并維持一個準確的能夠建立并維持一個準確的“個體個體- -公鑰屬性公鑰屬性”之間的綁定，則他可以信任該之間的綁定，則他可以信任該CACA，該該CACA為為可信可信CACA信任模型信任模型n基于層次結構的信任模型基于層次結構的信任模型n交叉認證交叉認證n以用戶為中心的信任模型以用戶為中心的信任模型383、CA信任關系（2）關于關于“信任信任”的定義：的定義： 一般來

22、講，當實體一般來講，當實體A假設實體假設實體B會準確地按照其所會準確地按照其所期望的那樣行動時，則稱期望的那樣行動時，則稱A信任信任B。已有的重要的信任模型：已有的重要的信任模型：1、單、單CA信任模型信任模型4、橋、橋CA信任模型（中心輻射式）信任模型（中心輻射式）2、嚴格分級信任模型、嚴格分級信任模型5、Web信任模型信任模型 又稱嚴格層次信任模型又稱嚴格層次信任模型接近于嚴格分級模型接近于嚴格分級模型3、網狀信任模型、網狀信任模型6、以用戶為中心的信任模型、以用戶為中心的信任模型 又稱分布式信任模型又稱分布式信任模型39PKI信任模式級聯模式n適合大型組織機構n部署方便n不適合互聯網n不

23、適合非層次機構n信任是絕對的n單點失敗危害大n和現實生活中的信任關系差別達40網狀模型n適合于小組n以用戶為中心n有信任等級n允許信任推薦n不需要中心機構n信任擴展性差n缺乏用戶透明度41混合模型n保證不同信任之間的互通n增加了復雜度n策略對應困難n可操作性差42橋接模式n保證不同信任之間的互通n增加了復雜度n策略對應困難n可操作性差43多根模式44PKI信任模式對比454、CA層次結構（1）對于一個運行CA的大型權威機構而言，簽發證書的工作不能僅僅由一個CA來完成它可以建立一個CA層次結構根CA中間CA464、CA層次結構（2）根CA具有一個自簽名的證書根CA依次對它下面的CA進行簽名層次結

24、構中葉子節點上的CA用于對安全個體進行簽名對于個體而言，它需要信任根CA，中間的CA可以不必關心(透明的)；同時它的證書是由底層的CA簽發的在CA的機構中，要維護這棵樹n在每個節點CA上，需要保存兩種cert(1) Forward CertificatesForward Certificates: 其他CA發給它的certs(2) Reverse CertificatesReverse Certificates: 它發給其他CA的certs475、證書的驗證（1）假設個體假設個體A A看到看到B B的一個證書的一個證書B B的證書中含有簽發該證書的的證書中含有簽發該證書的CACA的信息的信息沿

25、著層次樹往上找，可以構成一條證書鏈，直到根證書沿著層次樹往上找，可以構成一條證書鏈，直到根證書驗證過程：驗證過程：n沿相反的方向，從根證書開始，依次往下驗證每一個沿相反的方向，從根證書開始，依次往下驗證每一個證書中的簽名。其中，根證書是自簽名的，用它自己證書中的簽名。其中，根證書是自簽名的，用它自己的公鑰進行驗證的公鑰進行驗證n一直到驗證一直到驗證B B的證書中的簽名的證書中的簽名n如果所有的簽名驗證都通過，則如果所有的簽名驗證都通過，則A A可以確定所有的證可以確定所有的證書都是正確的，如果他信任根書都是正確的，如果他信任根CACA，則他可以相信，則他可以相信B B的的證書和公鑰證書和公鑰4

26、85、證書的驗證（2）495、證書的驗證（3 3）CACA認證模型：認證模型： 如果用戶如果用戶 i i和和j j都屬于都屬于CA111CA111，那那么么i i和和j j之間的密鑰交換，只需要持之間的密鑰交換，只需要持有有CA111CA111開具的證明書就可以，即：開具的證明書就可以，即：對用戶對用戶i i和和j j的公鑰的公鑰PKi PKi 和和PKjPKj分別蓋分別蓋章，如章，如( (Pki)Pki)ca111ca111, (Pkj), (Pkj)ca111ca111, ,那么那么用戶用戶i i和和j j就能證明密鑰是對方的密就能證明密鑰是對方的密鑰。鑰。505、證書的驗證（4 4）CA

27、CA認證模型：認證模型：如果用戶如果用戶j j的證明書是的證明書是CA122CA122開具的，那么情況就開具的，那么情況就復雜了，各自具有：復雜了，各自具有： i i方：方：( (Pki)Pki)ca111 ca111 , (CA111), (CA111)CA11CA11, (CA11), (CA11)CA1CA1 j j方：方：( (Pkj)Pkj)ca122 ca122 , (CA122), (CA122)CA12CA12, (CA12), (CA12)CA1CA1 這 就 形 成 了 層 層 證 明 的 證 明 鏈這 就 形 成 了 層 層 證 明 的 證 明 鏈（ certificat

28、ion chaincertification chain）。）。這里，符號這里，符號( (CA11)CA11)CA1CA1是是CA1CA1對對CA11CA11的公鑰蓋章，只是證明的公鑰蓋章，只是證明本公鑰是本公鑰是CA11CA11的。的。516、交叉認證兩個不同的兩個不同的CACA層次結構之間可以建立信任關系層次結構之間可以建立信任關系n單向交叉認證單向交叉認證w一個一個CACA可以承認另一個可以承認另一個CACA在一定名字空間范圍內的所有被授在一定名字空間范圍內的所有被授權簽發的證書權簽發的證書n雙向交叉認證雙向交叉認證交叉認證可以分為交叉認證可以分為n域內交叉認證域內交叉認證( (同一個層

29、次結構內部同一個層次結構內部) )n域間交叉認證域間交叉認證( (不同的層次結構之間不同的層次結構之間) )交叉認證的約束交叉認證的約束n名字約束名字約束n路徑長度約束路徑長度約束n策略約束策略約束52五、PKI的運行機制1、PKI的運行2、密鑰和證書管理3、PKI 初始化4、頒發階段 5、撤消階段6、密鑰備份和恢復531、PKI的運行（1）X.509X.509標準標準 PKIXPKIX1 1）署名用戶向證明機構（署名用戶向證明機構（CACA）提出數字證書申提出數字證書申請；請；2 2）CACA驗明署名用戶身份，并簽發數字證書；驗明署名用戶身份，并簽發數字證書；3 3）CACA將證書公布到證書

30、庫中；將證書公布到證書庫中；4 4）署名用戶對電子信件數字簽名作為發送認證，）署名用戶對電子信件數字簽名作為發送認證，確保信件完整性，不可否認性，并發送給依確保信件完整性，不可否認性，并發送給依賴方。賴方。5 5）依賴方接收信件，用署名用戶的公鑰驗證數）依賴方接收信件，用署名用戶的公鑰驗證數字簽名，并到證書庫查明署名用戶證書的狀字簽名，并到證書庫查明署名用戶證書的狀態和有效性；態和有效性；6 6）證書庫返回證書檢查結果；）證書庫返回證書檢查結果；542 2、密鑰和證書管理（、密鑰和證書管理（1 1） 密鑰/證書生命周期管理的各個階段：n初始化階段 n頒發階段 n取消階段 w證書過期 w證書撤銷

31、 552 2、密鑰和證書管理（、密鑰和證書管理（2 2）密鑰產生密鑰產生證書簽發證書簽發Bob密鑰使用密鑰使用Bob證書檢驗證書檢驗密鑰過期密鑰過期密鑰更新密鑰更新密鑰生命周期563、PKI 初始化（1）在終端實體能夠使用PKI支持的服務之前，它們必須初始化以進入PKI。初始化由以下幾步組成： 終端實體注冊。 密鑰對產生。 證書創建和密鑰/證書分發。 證書分發。 密鑰備份。573、PKI 初始化（2）8.證書響應證書響應7.證書請求證書請求4.注冊建立請求注冊建立請求5.注冊建立結果注冊建立結果6.注冊結果注冊結果3.注冊表格提交注冊表格提交2.注冊表格應答注冊表格應答終端終端實體實體RACA

32、1.注冊表格請求注冊表格請求終端實體的初始化終端實體的初始化584 4、頒發階段、頒發階段 一旦私鑰和公鑰證書已經產生并適當地分發，密鑰/證書生命周期管理的頒發階段即開始。這個階段包括： 證書檢索遠程資料庫的證書檢索。 證書驗證確定一個證書的有效性（包括證書路徑的驗證）。 密鑰恢復當不能正常訪問密鑰資料時，從CA或信任第三方處恢復。 密鑰更新當一個合法的密鑰對將過期時，進行新的公/私鑰的自動產生和相應證書的頒發。595 5、撤消階段、撤消階段（1）密鑰/證書生命周期管理以取消階段來結束。此階段包括如下內容： 證書過期證書生命周期的自然結束。 證書撤銷宣布一個合法證書（及其相關私有密鑰）不再有效

33、。 密鑰歷史維持一個有關密鑰資料的記錄（一般是關于終端實體的），以便被過期的密鑰資料所加密的數據能夠被解密。 密鑰檔案出于對密鑰歷史恢復、審計和解決爭議的考慮所進行的密鑰資料的安全第三方儲存。605 5、撤消階段（、撤消階段（2 2）2.證書撤銷證書撤銷響應響應證書撤銷證書撤銷請求請求2.證書撤銷響應證書撤銷響應1.證書撤銷請求證書撤銷請求RACA帶外請求帶外請求終端終端實體實體ORPKIPKI中證書的撤消中證書的撤消616、密鑰備份和恢復 進一步授權進一步授權(# 可定制可定制)授權恢授權恢復密鑰復密鑰RA最終用戶最終用戶PKI加密密鑰的歷史加密密鑰的歷史新的簽名密鑰對新的簽名密鑰對和證書和

34、證書Password?Help!62七、 PKI應用國外PKI應用現狀國內PKI應用現狀PKI應用舉例63國外PKI應用現狀美國聯邦PKI體系結構64加拿大政府PKI體系結構65美加體系對的比n體系結構上 美國聯邦PKI體系結構比較復雜，聯邦的橋CA僅是一個橋梁；而加拿大政府PKI體系結構比較簡單，中央認證機構仿佛是一個根CAn在信任關系的建立上 美國聯邦PKI體系結構中的聯邦的橋CA是各信任域建立信任關系的橋梁；在加拿大政府PKI體系中，各信任域之間建立信任關系必須經過中央認證機構n采用的技術上 美國聯邦PKI體系中的成員采用多種不同的PKI產品和技術；而加拿大政府PKI體系中強調使用Ent

35、rust公司的技術n在組成成員上 美國聯邦PKI體系中除了各級政府，不同的政府機構外，還可包括與政府或政府機構有商業往來的合作伙伴；而加拿大政府PKI體系中的成員都是聯邦的各級政府或政府機構 66VeriSignn95年年5月成立，從月成立，從RSA Data Security 公司獨立出公司獨立出來。來。n已簽發超過已簽發超過390萬張個人數字證書，超過萬張個人數字證書，超過21萬張服萬張服務器證書務器證書n財富財富雜志上的雜志上的500家有網站的企業都使用了它家有網站的企業都使用了它的數字證書服務。的數字證書服務。n服務的地區從美國發展到歐洲和亞洲，臺灣著名的服務的地區從美國發展到歐洲和亞

36、洲，臺灣著名的CA認證中心認證中心Hitrust就是就是VeriSign的一個代理機構。的一個代理機構。n2000年第二季度財務報告中表明，該季度售出的年第二季度財務報告中表明，該季度售出的數字證書超過了數字證書超過了64000張。張。67國外相關法規建設n1996年3月由聯合國國際貿易法委員會通過的電子商務示范法。n1999年6月29日聯合國第35次會議上提出的電子簽章統一規則草案的最新版本。n美國眾議院法制委員會于1999年10月13日通過了全球及全國電子商務電子簽章法案。n歐盟于1997年4月15日發布了“歐洲電子商務倡議書”。n日本于2001年4月1日正式實施的電子簽名和認證業務法。68國內PKI應用現狀國內法規建設n中華人民共和國電子簽章條例（草案） n上海市數位認證管理辦法 n關于同意制定本市電子商務數字證書價格的通知 n廣東省電子交易條例n2002 年4 月新立的全國信息安全標準化技術委員會非常重PKI 標準化工作，7 月份在北京成立了PKI/PMI（WG4）工作組。n2002 年底，X.509C 證書格式規范國家標準送審稿和信息安全專用術語通過全國信息安全標準化技術委員會組織的