基于PKI的匿名數(shù)字證書(shū)系統(tǒng)的研究

【摘要】在網(wǎng)絡(luò)通信中數(shù)字證書(shū)用來(lái)驗(yàn)證證書(shū)持有者的真實(shí)身份，但根據(jù)X.509標(biāo)準(zhǔn)，數(shù)字證書(shū)的主體名域中會(huì)標(biāo)有證書(shū)持有者的真實(shí)名稱，這就造成用戶的真實(shí)身份信息的泄露。本文提出一個(gè)在現(xiàn)行的PKI體系中發(fā)布匿名數(shù)字證書(shū)的方案，并依據(jù)此方案構(gòu)建了一個(gè)匿名數(shù)字證書(shū)系統(tǒng)。

【關(guān)鍵詞】PKI；匿名數(shù)字證書(shū)；匿名數(shù)字證書(shū)系統(tǒng)

目前在Internet上廣泛使用基于公共密鑰的身份認(rèn)證機(jī)制，公鑰基礎(chǔ)設(shè)施PKI（Public Key Infrastructure）就是通過(guò)使用公開(kāi)密鑰技術(shù)和數(shù)字證書(shū)來(lái)確保系統(tǒng)信息安全并負(fù)責(zé)驗(yàn)證數(shù)字證書(shū)持有者身份的一種體系。在PKI中所有安全操作都是通過(guò)數(shù)字證書(shū)實(shí)現(xiàn)的，但基于X.509標(biāo)準(zhǔn)，數(shù)字證書(shū)的主體名域中會(huì)標(biāo)有證書(shū)持有者的真實(shí)名稱等個(gè)人信息，這就造成了用戶個(gè)人身份信息的泄露。因此，這種實(shí)名數(shù)字證書(shū)就不能用在保護(hù)個(gè)人隱私的匿名服務(wù)中，如電子投票、電子選舉、匿名通信，所以，關(guān)于匿名證書(shū)的發(fā)布成為近幾年研究的熱點(diǎn)，本文提出一種匿名數(shù)字證書(shū)發(fā)布方案，并在現(xiàn)有的PKI系統(tǒng)中構(gòu)建了一個(gè)匿名數(shù)字證書(shū)系統(tǒng)。

表1 方案中使用的主要符號(hào)

符號(hào)說(shuō)明符號(hào)說(shuō)明

AI匿名證書(shū)發(fā)布者BI盲簽名發(fā)布者

PCA匿名證書(shū)域，包括AI和BICert用戶的實(shí)名證書(shū)

NAU用戶的實(shí)名PNU用戶的匿名

PUU用戶的公鑰PRU用戶的私鑰

IDU實(shí)名證書(shū)中的主體唯一標(biāo)識(shí)SNU匿名證書(shū)的序列號(hào)

APUU用戶的匿名公鑰APRU用戶的匿名私鑰

e匿名證書(shū)域PCA的公鑰d匿名證書(shū)域PCA的私鑰

d1BI的私鑰d2AI的私鑰

N匿名證書(shū)域PCA的RSA系數(shù)r盲因子

M匿名證書(shū)內(nèi)容b匿名證書(shū)頭部

一、方案的描述

匿名證書(shū)發(fā)布方案中共有四個(gè)實(shí)體，分別是用戶、CA、AI和BI，其中AI和BI組成匿名證書(shū)域PCA。CA、AI和BI分別擁有自己的數(shù)據(jù)庫(kù)，用來(lái)存儲(chǔ)追蹤匿名證書(shū)時(shí)所用的加密信息。PCA、AI和BI均由CA授權(quán)的機(jī)構(gòu)來(lái)?yè)?dān)任，并且分別擁有CA發(fā)布的數(shù)字證書(shū)。方案中使用RSA算法，定義AI和BI共享相同的公鑰參數(shù)。對(duì)于PCA的RSA私鑰d，為了產(chǎn)生各自的證書(shū)，把它分成兩部份，這樣AI和BI各自的私鑰分別是d2，d1，在這里有d=d1d2mod（N）。用戶至少應(yīng)該知道三個(gè)公鑰，PCA，AI和BI的公鑰，方案的假設(shè)條件是AI和BI不能串通。方案中使用的主要符號(hào)見(jiàn)表1。

1.匿名證書(shū)的發(fā)布

（1）CA通過(guò)安全信道為用戶U發(fā)布一個(gè)實(shí)名證書(shū)Cert，此時(shí)CA已經(jīng)確認(rèn)用戶的真實(shí)身份，并把實(shí)名證書(shū)存儲(chǔ)在CA庫(kù)中。

（2）用戶U設(shè)置匿名PNU，并產(chǎn)生匿名密鑰對(duì)。用戶通過(guò)選擇一個(gè)128位的隨機(jī)數(shù)來(lái)計(jì)算匿名證書(shū)的序列號(hào)SNU=H（APUU，）。用戶構(gòu)建一個(gè)X.509匿名證書(shū)的頭部b為：，這個(gè)匿名證書(shū)的內(nèi)容M為：。隨后，用戶計(jì)算h=H（M）。最后，用戶計(jì)算u=h·remodN，這里r在{0，1}之間隨機(jī)選擇（k=128），計(jì)算后把u的值以及用戶用自己的私鑰簽名的信息m傳給BI。

（3）當(dāng)BI收到信息后，BI通過(guò)用戶的公鑰驗(yàn)證簽名，確定用戶的身份。然后BI計(jì)算w=ud1modN，再把信息存儲(chǔ)在BI庫(kù)中，其中IDU為實(shí)名證書(shū)中用戶的主體唯一標(biāo)識(shí)。BI計(jì)算Ee（w），并把這個(gè)值返回給用戶U。

（4）當(dāng)用戶接到信息Ee（w）后，用戶計(jì)算sigAPRU （M），并把信息發(fā)送給AI。

（5）當(dāng)AI收到這個(gè)信息后，AI先驗(yàn)證sigAPRU（M）是否是合法有效的。然后，AI計(jì)算z=wd2modN。AI驗(yàn)證z·r-1modN能否被證明。最后，AI把信息存儲(chǔ)在AI庫(kù)中，然后把z返回給U。用戶計(jì)算z·r-1modN的值，則用戶可以得到作為一個(gè)可以追蹤的匿名證書(shū)，其中M為匿名證書(shū)，hdmodN為PCA給證書(shū)的簽名。

2.匿名證書(shū)的撤銷

當(dāng)發(fā)現(xiàn)匿名證書(shū)被濫用、私鑰泄露或者證書(shū)過(guò)期時(shí)就需要對(duì)匿名證書(shū)進(jìn)行撤銷，由于本方案中的匿名證書(shū)是在用戶已獲得實(shí)名證書(shū)的基礎(chǔ)上由實(shí)名證書(shū)構(gòu)造而成的，所以匿名證書(shū)的撤銷就必須分兩步：撤銷實(shí)名證書(shū)和撤銷匿名證書(shū)，按照以下步驟就可以撤銷匿名證書(shū)。

（1）用戶向PCA提出匿名證書(shū)的撤銷請(qǐng)求，并提供相關(guān)個(gè)人信息。

（2）PCA根據(jù)匿名證書(shū)的序列號(hào)通過(guò)匿名證書(shū)追蹤功能追蹤到用戶的IDU。

（3）PCA把用戶的撤銷申請(qǐng)連同用戶的身份IDU發(fā)送給CA。

（4）CA根據(jù)用戶的IDU在CA庫(kù)中檢索出用戶的實(shí)名證書(shū)，核準(zhǔn)用戶信息后，批準(zhǔn)撤銷，把實(shí)名證書(shū)放入CRL中，并給PCA發(fā)送應(yīng)答信息。

（5）PCA對(duì)匿名證書(shū)進(jìn)行撤銷，把匿名證書(shū)放入CRL中，并把執(zhí)行結(jié)果發(fā)送給用戶。

3.方案的應(yīng)用

在實(shí)際的應(yīng)用中，很多網(wǎng)上活動(dòng)都可以使用本方案中發(fā)布的匿名數(shù)字證書(shū)，特別是需要保護(hù)用戶的隱私又要能夠證實(shí)用戶身份的應(yīng)用中。在具體的實(shí)現(xiàn)方面，可以采用以下兩種情況：

（1）PCA域由AI和BI構(gòu)成，而AI和BI可以分別由CA授權(quán)的實(shí)體來(lái)?yè)?dān)任。例如，一個(gè)站點(diǎn)（或者由站點(diǎn)授權(quán)的CA）可以成為AI，而B(niǎo)I可以是法院，銀行，行事機(jī)關(guān)或其它政府代理機(jī)構(gòu)。

（2）這個(gè)方案最大的特點(diǎn)是允許在現(xiàn)有PKI體系中使用，在這種情況下，不需要對(duì)現(xiàn)行的PKI體系作任何修改就可以實(shí)現(xiàn)本方案，此時(shí)，PCA域就由CA和RA來(lái)構(gòu)成，AI就可以由CA來(lái)?yè)?dān)任，BI可以由RA來(lái)?yè)?dān)任，則獲得匿名證書(shū)的過(guò)程如下：

①用戶向RA申請(qǐng)實(shí)名證書(shū)，填寫(xiě)證書(shū)申請(qǐng)表。

②RA對(duì)用戶的身份進(jìn)行審核，審核通過(guò)后向CA提交證書(shū)申請(qǐng)請(qǐng)求。

③CA生成用戶實(shí)名證書(shū)，并把證書(shū)返回給RA。

④RA將實(shí)名證書(shū)發(fā)放給用戶。

⑤用戶根據(jù)實(shí)名證書(shū)構(gòu)造匿名證書(shū)，并對(duì)其哈希值盲化后發(fā)送給RA。

⑥RA對(duì)盲化后的匿名證書(shū)簽名，把簽名值給用戶。

⑦用戶把經(jīng)RA簽名后的值發(fā)送給CA。

⑧CA再對(duì)該值進(jìn)行簽名并發(fā)送給用戶，此時(shí)用戶就到了匿名證書(shū)及RA和CA對(duì)其進(jìn)行的簽名。

二、構(gòu)建匿名數(shù)字證書(shū)系統(tǒng)

本文根據(jù)提出的匿名證書(shū)發(fā)布方案設(shè)計(jì)了一個(gè)匿名數(shù)字證書(shū)系統(tǒng)，本系統(tǒng)是按照通用的標(biāo)準(zhǔn)設(shè)計(jì)的，是采用先進(jìn)的信息安全技術(shù)開(kāi)發(fā)的匿名數(shù)字證書(shū)簽發(fā)與管理系統(tǒng)。該匿名數(shù)字證書(shū)系統(tǒng)嚴(yán)格遵守ITU-TX.509標(biāo)準(zhǔn)，其中應(yīng)用的全部協(xié)議都是被國(guó)際上廣泛采用的標(biāo)準(zhǔn)協(xié)議。本系統(tǒng)中公鑰/私鑰對(duì)的生成以及利用公鑰/私鑰對(duì)的加密/解密運(yùn)算采用可靠性極高的RSA算法，加密用的公開(kāi)密鑰和私有密鑰的長(zhǎng)度都是1024位。數(shù)字簽名中的摘要技術(shù)采用MD5算法，它是目前可靠性較好和應(yīng)用最為廣泛的算法。匿名數(shù)字證書(shū)系統(tǒng)的總體結(jié)構(gòu)如圖1所示。

圖1 匿名數(shù)字證書(shū)系統(tǒng)總體結(jié)構(gòu)圖

匿名數(shù)字證書(shū)系統(tǒng)包括下述主要功能：

1.申請(qǐng)匿名證書(shū)：若用戶已獲得由CA發(fā)布的實(shí)名證書(shū)，則用戶可以通過(guò)該功能由實(shí)名證書(shū)構(gòu)成匿名證書(shū)；若用戶沒(méi)有實(shí)名證書(shū)，則可以通過(guò)該功能先申請(qǐng)一個(gè)實(shí)名證書(shū)，再由此實(shí)名證書(shū)構(gòu)造匿名證書(shū)。此時(shí)，申請(qǐng)人需要填寫(xiě)申請(qǐng)實(shí)名證書(shū)的相關(guān)資料，由RA進(jìn)行審核，核準(zhǔn)后由CA簽發(fā)實(shí)名證書(shū)，并由RA頒發(fā)給用戶。

2.簽發(fā)匿名證書(shū)：構(gòu)造生成匿名證書(shū)后，經(jīng)由BI和AI處理器共同處理，得到由PCA簽發(fā)的匿名證書(shū)。

3.查詢匿名證書(shū)：用戶可以通過(guò)互連網(wǎng)直接訪問(wèn)系統(tǒng)的LDAP證書(shū)庫(kù)查詢匿名證書(shū)和匿名證書(shū)撤銷列表CRL。

4.追蹤匿名證書(shū)：當(dāng)需要對(duì)匿名證書(shū)進(jìn)行追蹤時(shí)，可通過(guò)此功能由匿名證書(shū)的序列號(hào)追蹤到用戶的真實(shí)身份。

5.撤銷匿名證書(shū)：系統(tǒng)可以根據(jù)用戶提出的匿名證書(shū)撤銷請(qǐng)求對(duì)指定的匿名證書(shū)及實(shí)名證書(shū)予以撤銷，并同時(shí)更新LDAP證書(shū)庫(kù)和證書(shū)撤銷列CRL。

三、匿名數(shù)字證書(shū)系統(tǒng)的實(shí)現(xiàn)

本系統(tǒng)中的CA，BI，AI都采用三層B/S架構(gòu)，設(shè)計(jì)主要采用Java技術(shù)、數(shù)字簽名和加密等技術(shù)，在實(shí)現(xiàn)過(guò)程中把RA集成在CA中，該系統(tǒng)主要有四個(gè)核心模塊：Web服務(wù)器模塊、CA服務(wù)器模塊、BI服務(wù)器模塊和AI服務(wù)器模塊。該匿名數(shù)字證書(shū)系統(tǒng)需要三臺(tái)服務(wù)器，分別是CA服務(wù)器、BI服務(wù)器和AI服務(wù)器。在三臺(tái)服務(wù)器上分別安裝WebLogic 8.1作為應(yīng)用服務(wù)器，安裝Oracel 10g企業(yè)版作為后臺(tái)數(shù)據(jù)庫(kù)。

1.申請(qǐng)匿名數(shù)字證書(shū)

由于本系統(tǒng)中的匿名證書(shū)是通過(guò)用戶已有的實(shí)名證書(shū)構(gòu)造而成的，所以若用戶沒(méi)有實(shí)名證書(shū)，可以先申請(qǐng)一個(gè)實(shí)名證書(shū)，若用戶已經(jīng)獲得一個(gè)實(shí)名證書(shū)，就可以直接進(jìn)入簽發(fā)匿名證書(shū)模塊。

（1）用戶申請(qǐng)和簽發(fā)實(shí)名證書(shū)

用戶申請(qǐng)實(shí)名證書(shū)需要填寫(xiě)實(shí)名證書(shū)申請(qǐng)表并提交給CA服務(wù)器，CA服務(wù)器需要驗(yàn)證用戶的有效證書(shū)是否存在，如果不存在則首先生成自簽名證書(shū)，再使用服務(wù)器簽名證書(shū)私鑰進(jìn)行簽名，將證書(shū)存入證書(shū)數(shù)據(jù)庫(kù)，并將證書(shū)壓縮成zip格式通過(guò)Email發(fā)送給用戶。

①申請(qǐng)實(shí)名證書(shū)

用戶需要填寫(xiě)申請(qǐng)個(gè)人證書(shū)申請(qǐng)表，其中公共名稱和單位名稱為確認(rèn)用戶或單位身份的主要字段。組織名稱、省、市、郵編為可選項(xiàng)。密鑰大小可選擇1024或2048。Email地址為生成證書(shū)時(shí)傳遞證書(shū)時(shí)使用，必須輸入有效的地址，否則申請(qǐng)不成功。

②生成密鑰

通過(guò)com.ibm.security.x509包中的CertAndKeyGen類設(shè)置生成證書(shū)的公鑰算法、簽名算法和Provider。若公鑰算法是RSA，則簽名算法為MD5withRSA；若公鑰算法為DSA，則簽名算法為SHA1withDSA。

③生成證書(shū)

生成證書(shū)過(guò)程又可以分為五個(gè)步驟，分別是生成主體信息，生成自簽名證書(shū)，提取自簽名證書(shū)信息，對(duì)自簽名證書(shū)信息進(jìn)行設(shè)置和形成證書(shū)。

④簽發(fā)證書(shū)

通過(guò)KeyStore對(duì)象獲得服務(wù)器證書(shū)的私鑰caprk，通過(guò)證書(shū)的簽名方法對(duì)新證書(shū)進(jìn)行簽名。

⑤把證書(shū)保存在證書(shū)庫(kù)中

在密鑰庫(kù)中生成新實(shí)體，并將新實(shí)體與新簽發(fā)的證書(shū)對(duì)應(yīng)。

⑥將證書(shū)壓縮發(fā)送給用戶

設(shè)計(jì)中使用BASE64Encoder類轉(zhuǎn)換為證書(shū)標(biāo)準(zhǔn)格式——BASE64編碼，編碼后的證書(shū)字符就可以在屏幕上顯示、復(fù)制或打印。為了作為Email附件進(jìn)行發(fā)送，必須將生成的證書(shū)編碼進(jìn)行壓縮，設(shè)計(jì)中使用ZipOutputStream類進(jìn)行處理，處理后生成zip格式的壓縮文件，然后通過(guò)編寫(xiě)的發(fā)送郵件類MailandFile給用戶發(fā)送Email，申請(qǐng)證書(shū)過(guò)程完成。

（2）簽發(fā)匿名數(shù)字證書(shū)

簽發(fā)匿名證書(shū)的過(guò)程是由BI服務(wù)器和AI服務(wù)器共同來(lái)完成。該過(guò)程主要包括：構(gòu)造匿名證書(shū)、生成摘要并盲化、由BI服務(wù)器簽名和由AI服務(wù)器簽名。

①構(gòu)造匿名證書(shū)

匿名證書(shū)的構(gòu)造是通過(guò)應(yīng)用程序生成的匿名證書(shū)的主體名、匿名密鑰和匿名證書(shū)的序列號(hào)與取來(lái)的實(shí)名證書(shū)的其它字段的值共同構(gòu)造成匿名證書(shū)。通過(guò)調(diào)用KeyPairGenerator方法來(lái)生成匿名密鑰對(duì)，采用RSA算法，生成匿名證書(shū)序列號(hào)，通過(guò)使用SecureRandom類生成一個(gè)128位的隨機(jī)數(shù)r1，再使用MessageDigest對(duì)匿名公鑰及隨機(jī)數(shù)生成摘要形成匿名證書(shū)序列號(hào)sn，然后，通過(guò)調(diào)用X500Name類重新設(shè)置通用名，公鑰及序列號(hào)來(lái)構(gòu)造匿名證書(shū)。

②生成摘要及盲化

通過(guò)MD5算法對(duì)匿名證書(shū)生成摘要，并取隨機(jī)數(shù)進(jìn)行盲化，并調(diào)用定義的簽名類對(duì)證書(shū)進(jìn)行簽名以便BI對(duì)用戶身份驗(yàn)證，為BI驗(yàn)證用戶身份，用戶需要對(duì)證書(shū)進(jìn)行簽名。

③BI簽名

BI通過(guò)調(diào)用自定義的驗(yàn)證簽名類驗(yàn)證證書(shū)上的簽名來(lái)確認(rèn)用戶的身份，驗(yàn)證通過(guò)后記錄其身份標(biāo)識(shí)，然后BI調(diào)用簽名類對(duì)其進(jìn)行盲簽名。

④AI簽名

AI通過(guò)調(diào)用Verify Signature類驗(yàn)證用戶對(duì)匿名證書(shū)的簽名是否正確，驗(yàn)證通過(guò)后，再調(diào)用Signature類對(duì)BI簽名后的值進(jìn)行簽名。AI和BI聯(lián)合簽名后即為PCA對(duì)匿名證書(shū)的簽名。

2.追蹤匿名數(shù)字證書(shū)

匿名數(shù)字證書(shū)的追蹤是由站點(diǎn)提出追蹤匿名數(shù)字證書(shū)的申請(qǐng)請(qǐng)求，由AI服務(wù)器和BI服務(wù)器通過(guò)所存儲(chǔ)的值通過(guò)調(diào)用加密類PublicEncryp-tion與解密類PrivateDecryption共同恢復(fù)出用戶的真實(shí)身份。

3.撤銷匿名數(shù)字證書(shū)

證書(shū)撤銷是在證書(shū)還未到期，提前停止證書(shū)的使用。撤銷證書(shū)的原因可能有許多，包括用戶密鑰泄露、身份改變、證書(shū)的使用用途終止、CA私鑰泄露等。

最常用的證書(shū)吊銷機(jī)制是經(jīng)常發(fā)布證書(shū)撤銷列表（CRL）。CRL是由CA簽發(fā)的包括己經(jīng)撤銷的未過(guò)期證書(shū)的證書(shū)序列號(hào)及撤銷日期和撤銷原因的數(shù)據(jù)結(jié)構(gòu)。根據(jù)CRL列表更新方法不同CRL可分為：傳統(tǒng)CRL證書(shū)撤銷機(jī)制，重復(fù)發(fā)布CRL證書(shū)撤銷機(jī)制，增量CRL證書(shū)撤銷機(jī)制。本設(shè)計(jì)中使用的是CRL證書(shū)撤銷機(jī)制，它是一種有效的并具有較好伸縮性的方法。

由于匿名證書(shū)的匿名性，所以在撤銷時(shí)必須先由匿名證書(shū)追蹤到實(shí)名證書(shū)，由實(shí)名證書(shū)對(duì)用戶真實(shí)身份的進(jìn)行證實(shí)的基礎(chǔ)上才能對(duì)匿名證書(shū)進(jìn)行撤銷，此過(guò)程可以完成只撤銷匿名證書(shū)或者同時(shí)撤銷實(shí)名證書(shū)和匿名證書(shū)兩種功能。

①撤銷申請(qǐng)：用戶需要填寫(xiě)撤銷匿名證書(shū)的申請(qǐng)表，其中證書(shū)別名只能為用戶名，系統(tǒng)自動(dòng)生成，用戶不能進(jìn)行修改，公共名稱為申請(qǐng)匿名證書(shū)的公共名稱。

②撤銷實(shí)名證書(shū)：通過(guò)系統(tǒng)提供的匿名證書(shū)的追蹤功能可以由匿名證書(shū)的序列號(hào)追蹤到用戶的真實(shí)身份，從而可以確定用戶的實(shí)名證書(shū)，若需要對(duì)實(shí)名證書(shū)進(jìn)行撤銷，此時(shí)，可以由CA把實(shí)名證書(shū)的的序列號(hào)簽發(fā)到CRL中。

③撤銷匿名證書(shū)：在由追蹤到的實(shí)名證書(shū)對(duì)申請(qǐng)人的身份進(jìn)行核實(shí)后，可以對(duì)匿名證書(shū)進(jìn)行撤銷，由PCA對(duì)匿名證書(shū)的序列號(hào)簽發(fā)到CRL中，用戶可以通過(guò)訪問(wèn)LDAP目錄等方式進(jìn)行查詢。

四、結(jié)束語(yǔ)

本文提出了一個(gè)匿名數(shù)字證書(shū)發(fā)布方案并依此構(gòu)建了一個(gè)匿名數(shù)字證書(shū)管理系統(tǒng)，它的實(shí)現(xiàn)還要受到很技術(shù)因素的影響，但隨著人們對(duì)隱私與安全問(wèn)題的日益關(guān)注，基于PKI的匿名數(shù)字證書(shū)發(fā)布方案的研究也會(huì)逐步成熟，可以預(yù)測(cè)伴隨著網(wǎng)絡(luò)和信息安全技術(shù)的不斷發(fā)展，關(guān)于匿名數(shù)字證書(shū)的研究將會(huì)取得實(shí)質(zhì)性的突破，匿名數(shù)字證書(shū)將會(huì)得到更廣泛的應(yīng)用。

參考文獻(xiàn)

[1]AndrewNash，williamDuane，CeliaJoseph，DerekBrink.張玉清，陳建奇，楊波，薛偉等譯.公鑰基礎(chǔ)設(shè)施（PKl）實(shí)現(xiàn)和管理電子安全[M].北京：清華大學(xué)出版社，2002：45-65.

[2]William Stallings著.劉玉珍，王麗娜等譯.密碼編碼學(xué)與網(wǎng)絡(luò)安全——原理與實(shí)踐[M].北京：電子工業(yè)出版社，2005：14-16.

[3]王建業(yè)，周振國(guó)，陳森發(fā).Internet X.509PKI深入討論與分析[J].計(jì)算機(jī)應(yīng)用研究，2003（2）：97-99.

[4]王曉燕.淺談PKI技術(shù)及其標(biāo)準(zhǔn)[J].上海標(biāo)準(zhǔn)化，2003，2 （8）：36-39.

[5]杜煒，王行剛.構(gòu)造基于X.509公鑰證書(shū)的密鑰管理系統(tǒng)[J].計(jì)算機(jī)工程，2006，25（10）：133-135.

[6]劉知貴，楊立春，蒲潔，張霜.基于PKI技術(shù)的數(shù)字簽名身份認(rèn)證系統(tǒng)[J].計(jì)算機(jī)應(yīng)用研究，2004（9）：158-160.

作者簡(jiǎn)介：王兵（1980—），女，遼寧商貿(mào)職業(yè)學(xué)院信息技術(shù)系講師。