NISE安全技术工程师培训(1).ppt

,NISE安全技术工程师培训密码学应用之一PKI与CA,PKI/CA,PKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用,PKI概述,什么是PKIPKI的性能要求为什么需要PKIPKI的发展历程PKI的功能,什么是PKI,PKI是publickeyinfrastracture缩写即公钥基础设施,是一种运用公钥的概念与技术来实施并提供安全服务的具体普遍适用性的网络安全基础设施。,PKI概述,什么是PKIPKI的性能要求为什么需要PKIPKI的发展历程PKI实现的安全功能,PKI的性能要求,透明性和易用性可扩展性互操作性多用性支持多平台,PKI概述,什么是PKIPKI的性能要求为什么需要PKIPKI的发展历程PKI的功能,为什么需要PKI,为什么需要PKI,,,假冒,Alice,Bob,假冒指非法用户假冒合法用户身份获取敏感信息,为什么需要PKI,,截取,,Alice,Bob,截取指非法用户截获通信网络的数据,为什么需要PKI,,,篡改,Alice,Bob,,篡改指非法用户改动所截获的信息和数据,为什么需要PKI,,,否认,Alice,否认通信的单方或多方事后否认曾经参与某次活动,PKI概述,什么是PKIPKI的性能要求为什么需要PKIPKI的发展历程PKI的功能,PKI/CA发展历程,1976年，提出RSA算法20世纪80年代，美国学者提出了PKI的概念为了推进PKI在联邦政府范围内的应用，1996年就成立了联邦PKI指导委员会1996年，以Visa、MastCard、IBM、Netscape、MS、数家银行推出SET协议，推出CA和证书概念1999年，PKI论坛成立2000年4月，美国国防部宣布要采用PKI安全倡议方案。2001年6月13日，在亚洲和大洋洲推动PKI进程的国际组织宣告成立，该国际组织的名称为“亚洲PKI论坛”，其宗旨是在亚洲地区推动PKI标准化，为实现全球范围的电子商务奠定基础,PKI/CA发展历程,论坛呼吁加强亚洲国家和地区与美国PKI论坛、欧洲EESSI等PKI组织的联系，促进国际间PKI互操作体系的建设与发展。论坛下设四个专项工作组，分别是技术兼容组、商务应用组、立法组和国际合作组。（网址www.asia-pkiforum.org）,亚洲PKI论坛成立于2001年6月13日，包括日本、韩国、新加坡、中国、中国香港、中国台北和马来西亚。,PKI/CA发展历程,中国PKI论坛经国家计委批准成立的非营利性跨行业中介组织是国家授权与国外有关PKI机构和组织沟通的窗口；中国PKI论坛现任亚洲PKI论坛副主席；中国PKI论坛目前挂靠在国家信息中心；其网址为,PKI/CA发展历程,1996-1998年，国内开始电子商务认证方面的研究，尤其中国电信派专家专门去美国学习SET认证安全体系1997年1月，科技部下达任务，中国国际电子商务中心（外经贸委）开始对认证系统进行研究开发1998年11月，湖南CA中心开始试运行1998年10月，国富安认证中心开始试运行1999年第一季，上海CA中心开始试运行1999年8月，湖南CA通过国密办鉴定，测评中心认证1999年10月7日，商用密码管理条例颁布1999年-2001年，中国电子口岸执法系统完成1999年8月-2000年，CFCA开始招标并完成,PKI概述,什么是PKIPKI的性能要求为什么需要PKIPKI的发展历程PKI的功能,PKI实现的安全功能,1.1你是谁,Rick,Mary,,,,Internet/Intranet,应用系统,1.2怎么确认你就是你,认证,,1.1我是Rick.,,1.2口令是1234.,授权,保密性,完整性,防抵赖,2.我能干什么,2.你能干这个,不能干那个.,3.如何让别人无法偷听,3.我有密钥,5.我偷了机密文件,我不承认.,5.我有你的罪证.,4.如何保证不能被篡改,4.别怕,我有数字签名.,,,认证我不认识你--你是谁我怎么相信你就是你--要是别人冒充你怎么办授权我能干什么--我有什么权利你能干这个,不能干那个.保密性我与你说话时,别人能不能偷听完整性收到的传真不太清楚传送过程过程中别人篡改过没有防抵赖我收到货后,不想付款,想抵赖,怎么样我将钱寄给你后,你不给发货,想抵赖,如何,PKI实现的安全功能,PKI/CA,PKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用,PKI理论基础,密码学略目录服务数字证书,目录服务,目的是建立全局/局部统一的命令方案，它从技术的角度定义了人的身份和网络对象的关系；目录服务是规范网络行为和管理网络的一种重要手段；X.500时一套已经被国际标准化组织（ISO）接受的目录服务系统标准；LDAP（轻量级目录访问协议）最早被看作是X.500目录访问协议中的那些易描述、易执行的功能子集,数字证书,什么是数字证书证书验证数字证书的使用数字证书的存储X.509数字证书数字证书生命周期,什么是数字证书,数字证书DigitalID又叫“网络身份证”、“数字身份证”；由认证中心发放并经认证中心数字签名的；包含公开密钥拥有者以及公开密钥相关信息的一种电子文件；可以用来证明数字证书持有者的真实身份。是PKI体系中最基本的元素；证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性,证书验证,单向验证A产生一个随机数Ra；A构造一条消息，MTa,Ra,Ib,d,基中Ta是A的时间标记，Ib是B的身份证明，d为任意的一条数据信息；数据可用B的公钥Eb加密；A将Ca,DaM发送给B，其中Ca为A的证书，Da为A的私钥;B确认Ca并得到A的公钥；B用Ea去解密DaM，既证明了A的签名又证明了所签发信息的完整性；B检查M中的Ib；B检查M中Ta以证实消息是刚发来的；B对照旧数据库检查M中的Ra以确保不是消息重放。可选项,证书验证,双向验证B产生另一个随机数，Rb;B构造一条消息，MmTb,Rb,Ia,Ra,d,基中Ta是B的时间标记，Ia是A的身份证明，d为任意的一条数据信息；Ra是A在第一步产生的随机数，数据可用A的公钥Eb加密；B将DbMm发送给A；A用Ea解密DbMm,以确认B的签名和消息的完整性；A检查Mm中的Ia;A检查Mm中Tb以证实消息是刚发来的；A检查M中的Rb以确保不是消息重放。可选项,X.509数字证书,由证书权威机构CA创建；存放于X.500的目录中；有不同版本，每一版本必须包含版本号；序列号；签名算法标识符；认证机构；有效期限证书开始生效期和证书失效日期主题信息；认证机构的数字签名；公钥信息；,X.509数字证书分类,从证书的基本用途来看签名证书签名证书主要用于对用户信息进行签名，以保证信息的不可否认性；加密证书加密证书主要用于对用户传送信息进行加密，以保证信息的真实性和完整性。,X.509数字证书分类,从证书的应用来看，数字证书可分为个人证书服务器证书网关证书VPN证书WAP证书。。。,证书的生命周期,PKI/CA,PKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用,PKI的体系构成,认证中心CA,PKI的应用,PKI策略,,,注册机构RA,证书发布系统,软硬件系统,PKI策略是一个包含如何在实践中增强和支持安全策略的一些操作过程的详细文档；建议和定义了一个组织信息安全方面的指导方针，同时也定义了密码系统使用的处理方法和原则。两种类型--CertificatePolicy,证书策略，用于管理证书的使用--CPS（CertificatePracticeStatements）,PKI的体系构成一,return,PKI的体系构成二,软硬件系统是PKI系统运行所需的所有软、硬件的集合，主要包括认证服务器、目录服务器、PKI平台等。,return,认证中心CA是负责管理密钥和数字证书的整个生命周期。接收并验证最终用户数字证书的申请；证书审批，确定是否接受最终用户数字证书的申请；证书签发，向申请颁发、拒绝颁发数字证书；证书更新，接收、处理最终用户的数字证书更新请求；接收最终用户数字证书的查询、撤销；产生和发布证书废止列表CRL，验证证书状态；提供OSCP在线证书查询服务，验证证书状态；提供目录服务，可以查询用户证书的相关信息；下级认证机构证书及帐户管理；数字证书归档；认证中心CA及其下属密钥的管理；历史数据归档；,PKI的体系构成三,return,PKI的体系构成四,注册机构RA是用户（个人/团体）和认证中心CA之间的一个接口。接受用户的注册申请，获取并认证用户的身份，完成收集用户信息和确认用户身份。自身密钥的管理，包括密钥的更新、保存、使用、销毁等；审核用户信息；登记黑名单；对业务受理点的LRA的全面管理；接收并处理来自受理点的各种请求。,return,PKI的体系构成五,证书签发系统负责证书的发放。,return,PKI应用Web服务器和浏览器之间的通讯电子邮件电子数据交换（EDI）互联网上的信用卡交易虚拟专用网（VPN）,PKI的体系构成六,return,PKI应用接口系统API良好的应用接口系统使得各种应用能够以安全、一致、可信的方式与PKI交互，确保所建立的网络环境的可信性，降低管理和维护的成本。,PKI的体系构成七,return,PKI运作,PKI的策划包括信任模式、技术标准的选择；PKI系统、信息系统、网络系统架构的规划；整体安全架构的规划；设备选型；PKI功能与应用方式的确定；认证策略、安全策略、运营策略的制定；相关规章、法规体系的规划；物理场地选址；人员规划等。PKI实施包括场地建设；PKI系统、信息系统、网络系统建设；安全设施建设；相关规章、法规的制定；PKI功能与应用的实现；人员配置；人员培训等。PKI运营包括PKI及相关设施的管理与维护；PKI功能与应用的执行；相关规章、法规的执行；运营审计与评估；人员管理等。,PKI的构建,自建模式In-houseModel是指用户购买整套的PKI软件和所需的硬件设备，按照PKI的构建要求自行建立起一套完整的服务体系。托管模式是指用户利用现有的可信第三方认证中心CA提供的PKI服务，用户只需配置并全权管理一套集成的PKI平台即可建立起一套完整的服务体系，对内对外提供全部的PKI服务。,PKI构建模式的比较,成本比较建设、风险、培训、维护建设周期比较投入与产出比较系统性能比较服务比较,典型CA系统体系结构,,,,多层次结构，优点管理层次分明，便于集中管理、政策制订和实施提高CA中心的总体性能、减少瓶颈有充分的灵活性和可扩展性有利于保证CA中心的证书验证效率,CA信任关系,当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书信任难以度量，总是与风险联系在一起可信CA如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA信任模型基于层次结构的信任模型交叉认证以用户为中心的信任模型,CA层次结构,对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成它可以建立一个CA层次结构,CA层次结构的建立,根CA具有一个自签名的证书根CA依次对它下面的CA进行签名层次结构中叶子节点上的CA用于对安全个体进行签名对于个体而言，它需要信任根CA，中间的CA可以不必关心透明的；同时它的证书是由底层的CA签发的在CA的机构中，要维护这棵树在每个节点CA上，需要保存两种cert1ForwardCertificates其他CA发给它的certs2ReverseCertificates它发给其他CA的certs,层次结构CA中证书的验证,假设个体A看到B的一个证书B的证书中含有签发该证书的CA的信息沿着层次树往上找，可以构成一条证书链，直到根证书验证过程沿相反的方向，从根证书开始，依次往下验证每一个证书中的签名。其中，根证书是自签名的，用它自己的公钥进行验证一直到验证B的证书中的签名如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥问题证书链如何获得,证书链的验证示例,,交叉认证,两个不同的CA层次结构之间可以建立信任关系单向交叉认证一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书双向交叉认证交叉认证可以分为域内交叉认证同一个层次结构内部域间交叉认证不同的层次结构之间交叉认证的约束名字约束路径长度约束策略约束,证书中心架构分类,CA的架构模型一般可分成层次式Hierarchical网络式Mesh混合式Hybrid,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,用户X,用户Y,层次型结构,－用户X的证书认证路径为CA4CA2CA1（ROOT）,－优点类似政府之类的组织其管理结构大部分都是层次型的，而信任关系也经常符合组织结构，因此，层次型认证结构就成为一种常规体系结构。分级方法可基于层次目录名认证路径搜索策略为“前向直通”每个用户都有返回到根的认证路径。根为所有用户熟知并信任，因此，任一用户可向对方提供认证路径，而验证方也能核实该路径。－缺点世界范围内不可能只有单个根CA商业和贸易等信任关系不必要采用层次型结构根CA私钥的泄露的后果非常严重，恢复也十分困难。,国家级CA,地区级CA,地区级CA,组织级CA,组织级CA,证书中心架构分类,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,－用户X到用户Y的认证路径有多条，最短路径是CA4CA5CA3,用户X,用户Y,－优点很灵活，便于建立特殊信任关系，也符合商贸中的双边信任关系任何PKI中，用户至少要信任其证书颁发CA，所以，建立这种信任网也很合理允许用户频繁通信的CA之间直接交叉认证，以降低认证路径处理量CA私钥泄露引起的恢复仅仅涉及到该CA的证书用户－缺点认证路径搜索策略可能很复杂用户仅提供单个认证路径不能保证PKI的所有用户能验证他的签名,网络型结构,证书中心架构分类,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,用户X,用户Y,－eCommCA采用混合结构层次型网络型,－根CA的主要职责是认证下级CA而不是为端用户颁发证书可能会和其他政府根CA或非政府CA之间进行交叉认证,－每个非根CA都有源于根CA的层次认证路径，所以，每个端实体都有一个证书其认证路径源于根CA－除了根CA外，每个CA都有单个父CA，在CA的目录属性中，属性证书存放父CA发行的层次型证书，而其他属性交叉证书则提供网络型的认证路径,混合型结构,国家级CA,地区级CA,地区级CA,组织级CA,组织级CA,,证书中心架构分类,CA的网络结构,CA的模块结构,,,,,,CA的数据流,PKI/CA,PKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用,PKI/CA标准与协议,基础标准/协议证书和CRL标准操作标准/协议管理标准/协议应用标准/协议,,PKI/CA标准与协议,基础标准/协议摘要算法MD2RFC1319MD4RFC1320MD5RFC1321SHA1FIPSPUB180-1HMACRFC2104HMACKeyed-HashingessageAuthentication,PKI/CA标准与协议,基础标准/协议对称算法DESRC2RC53DESIDEAAES,PKI/CA标准与协议,基础标准/协议非对称算法RSADSA只用于签名DH只用于密钥交换,PKI/CA标准与协议,基础标准/协议ASN.1AbstractSyntaxNotationOne抽象语法描述，是描述在网络上传输信息格式的标准方法。BER基本编码规则CER正规编码规则DER可辨别编码规则,PKI/CA标准与协议,基础标准/协议PKCS系列标准PKCS1PKCS3PKCS5PKCS6PKCS7PKCS8,PKCS9PKCS10PKCS11PKCS12PKCS13PKCS14PKCS15,PKI/CA标准与协议,基础标准/协议加密标准GSS-APIv2.0GCS-APICDSARSAPKCS11CryptographicTokenInterfaceStandardv2.01RSABSAFEAPIMSCryptoAPIv2.0CTCA证书存储介质接口规范v1.0,PKI/CA标准与协议,证书和CRL标准/协议RFC2459InternetX.509PublicKeyInfrastructureCertificateandCRLProfile描述X.509V3公钥证书和X.509V2CRL格式RFC3280InternetX.509PublicKeyInfrastructureCertificateandCertificateRevocationListCRLProfile对RFC2459的更新，增加或细化了证书路径验证算法、利用CRL确定证书状态的算法、增量CRL、扩展项方面的描述RFC2528InternetX.509PublicKeyInfrastructureRepresentationofKeyExchangeAlgorithmKEAKeysinInternetX.509PublicKeyInfrastructrueCertificates定义了一些对象标志，并描述了密钥交换算法。。。。。。。,PKI/CA标准与协议,操作标准/协议LDAPRFC1777，LightweightDirectoryAccessProtocalRFC2587InternetX.509PKILDAPv2HTTP2616HypertextTransferProtocol--HTTP/1.1FTPOCSPRFC2560,X.509InternetPKIOnlineCertificateStatusProtocolRFC2559InternetX.509PKIOperationalProtocols-LDAPv2RFC2585InternetX.509PKIOperationalProtocolsFTPandHTTP,PKI/CA标准与协议,管理标准/协议CRMFFRC2511，InternetX.509CertificateRequestMessageatCMPRFC2510，InternetX.509PKICertificateManagementProtocolsIKERFC2409TheInternetKeyExchangeCPRFC2527，InternetX.509PKICertificatePolicyandCertificationPracticesFramework3029InternetX.509PKIDataValidationandCertificationServerProtocols3039InternetX.509PKIQualifiedCertificatesProfile3161InternetX.509PKITime-StampProtocolTSP,PKI/CA标准与协议,管理标准/协议RFC2528RepresentationofKeyExchangeAlgorithmKEAkeysinInternetX.509PublicKeyInfrastructureCertificatesRFC2538StoringCertificatesintheDomainNameSystemDNS,PKI/CA标准与协议,应用标准/协议SSL/TLSRFC2246TheTLSProtocolVersion1.0SETSecurityElectronicTransactionS/MIMERFC2312S/MIMEVersion2CertificateHandlingIPSecPGPWAP,应用标准SSL/TLS是netscape公司设计用于Web安全传输协议;IETF将其标准化，成为RFC2246;分为两部分HandshakeProtocal和RecordProtocal握手协议负责协商密钥，协调客户和服务器使用的安全级别并进行身份认证。记录协议定义了传输的格式和加解密应用程序协议的字节流。使用第三方证书机构提供的证书是SSL安全功能的基础。,PKI/CA标准与协议,PKI/CA标准与协议,应用标准SETVisa,Master信用卡公司发起制定在Internet网上实现安全电子商务交易系统的协议和标准。规定了交易各方使用证书方式进行安全交易的具体流程以及Internet上用于信用和支付的证书的发放和处理协议。主要采用的技术对称密钥加密、公共密钥加密、哈希算法、数字签名技术以及公共密钥授权机制等。由两部分组成证书管理和支付系统。,SSL和SET的比较,PKI/CA标准与协议,应用标准OpenPGP和S/MIMEPGPPrettyGoodPrivacy是属于网络联盟NetworkAssociation的受专利保护的协议。1997，IETF建立了一个工作小组，在PGP基础上定义了一个名为OpenPGP的标准RFC2440。S/MIMESecurity/MutipleInternetMailExtension是RSA数据安全公司于1995年向IETF工作组提交的规范。RFC2630-RFC2634描述了S/MIMEV3的相关内容。,PKI/CA,PKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用,国外PKI/CA现状和展望,美国联邦PKI体系机构,加拿大政府PKI体系结构,两种体系的比较,体系结构上美国联邦PKI体系结构比较复杂，联邦的桥CA仅是一个桥梁；而加拿大政府PKI体系结构比较简单，中央认证机构仿佛是一个根CA。在信任关系的建立上美国联邦PKI体系结构中的联邦的桥CA是各信任域建立信任关系的桥梁；在加拿大政府PKI体系中，各信任域之间建立信任关系必须经过中央认证机构。采用的技术上美国联邦PKI体系中的成员采用多种不同的PKI产品和技术；而加拿大政府PKI体系中强调使用Entrust公司的技术。在组成成员上美国联邦PKI体系中除了各级政府，不同的政府机构外，还可包括与政府或政府机构有商业往来的合作伙伴；而加拿大政府PKI体系中的成员都是联邦的各级政府或政府机构,国外PKI/CA现状和展望,VeriSign,95年5月成立，从RSADataSecurity公司独立出来。已签发超过390万张个人数字证书，超过21万张服务器证书财富杂志上的500家有网站的企业都使用了它的数字证书服务。服务的地区从美国发展到欧洲和亚洲，台湾著名的CA认证中心Hitrust就是VeriSign的一个代理机构。2000年第二季度财务报告中表明，该季度售出的数字证书超过了64000张。,国外PKI相关法律,1996年3月由联合国国际贸易法委员会通过的电子商务示范法。1999年6月29日联合国第35次会议上提出的电子签章统一规则草案的最新版本。美国众议院法制委员会于1999年10月13日通过了全球及全国电子商务电子签章法案。欧盟于1997年4月15日发布了“欧洲电子商务倡议书”。日本于2001年4月1日正式实施的电子签名和认证业务法。,国内PKI相关法规建设,中华人民共和国电子签章条例（草案）上海市数位认证管理办法关于同意制定本市电子商务数字证书价格的通知广东省电子交易条例,国内PKI相关标准建设,2002年4月新立的全国信息安全标准化技术委员会非常重PKI标准化工作，7月份在北京成立了PKI/PMI（WG4）工作组。2002年底，X.509C证书格式规范国家标准送审稿和信息安全专用术语通过全国信息安全标准化技术委员会组织的评审，X.509C证书格式规范国家标准送审稿已向国家标准化管理委员会申报为国家标准。另外WG4工作组还承担了公安部下达的PKI系统安全保护等级评估准则和PKI系统安全保护等级技术要求两个行业标准的制订工作，并将由工作组组织修改完善后向全国信息安全标准化技术委员会申报为国家标准。,国内PKI建设的基本情况,行业性CA金融CA体系、电信CA体系、邮政CA体系、外经贸部CA、中国海关CA、中国银行CA、中国工商银行CA、中国建设银行CA、招商银行CA、国家计委电子政务CA、南海自然人CA（NPCA）区域性CA协卡认证体系（上海CA、北京CA、天津CA）网证通体系（广东CA、海南CA、湖北CA、重庆CA）独立的CA认证中心山西CA、吉林CA、宁夏西部CA、陕西CA、福建CA、黑龙江邮政CA、黑龙江政府CA、山东CA、深圳CA、吉林省政府CA、福建泉州市商业银行网上银行CA、天威诚信CA,国内CA认证中心运营商,国内CA认证中心集成商,吉大正元（天威诚信（（主要是运营商）德达创新（）信安世纪（）国富安（）其它厂商总参56所、上海格尔、深圳维豪、上海CA、诺方、海南格方、杭州核心、广州网证通、中邮科技、航天长峰国政、联想、山东三联、济南德安Entrust、Verisign、Baltimore,PKI/CA,PKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用,PKI/CA应用,Web应用,PKI/CA应用,电子交易,电子交易实例,应用SET的网上购物流,流程一,客户查询商品,流程二,客户的购物篮,流程三,客户填写并确认订单,,电子支付方式,,PKI/CA应用,,电子邮件,邮件服务器,Mary,Rick,数字证书,数字证书,,,1.制作数字信封,2.制作数字签名,3.验证数字签名,4.解开数字信封,,邮件,网上报税需要解决的安全问题通信安全、身份认证、业务安全网上报税安全解决方案最终用户颁发数字证书的认证子系统，负责认证系统的策略制定、RA注册机关的建设、接受证书申请、用户身份的鉴证、协助CA系统发放客户证书以及签发证书的各种管理；基于B/S结构的网上报税系统安全集成，整个应用系统中使用证书保证信息传输以及业务流程的安全可信。,PKI/CA应用,电子税务,,问题,PKI/CA总结,PKI概论PKI/CA的理论基础PKI/CA体系架构PKI/CA标准与协议国内外发展现状和前景PKI/CA的应用,课程结束,思考练习题目录服务使用的标准是什么PKI的实体对象有什么CA的功能有哪些RA的功能有哪些典型的PKI应用有哪些SSL协议与SET协议的特点是什么,