信息安全导论第章PKIPMI技术.pptVIP

12.3.2 交叉认证 每个CA只能覆盖一定的作用范围（域）。 两个CA安全地交换密钥信息，这样每个CA都可以有效地验证另一方密钥的可信任性，我们称这样的过程为交叉认证。 事实上，交叉认证是第三方信任的扩展，即一个CA的网络用户信任其他所有自己CA交叉认证的CA用户。 返回本节 第三十页，共六十五页。 交叉认证的操作 （1）两个域之间信任关系的建立，在双边交叉认证的情况下，两个CA安全地交换他们的验证密钥。这些密钥用于验证他们在证书上的签名。为了完成这个操作，每个CA签发一张包含自己公钥（这个公钥用于对方验证自己的签名）的证书，该证书称为交叉证书。 返回本节 第三十一页，共六十五页。 （2）由客户端软件来做。这个操作包含了验证由已经交叉认证的CA签发的用户证书的可信赖性，这个操作需要经常执行。这个操作常常被称为跟踪信任链。 链指的是交叉证书确认列表，沿着这个列表可以跟踪所有验证用户证书的CA密钥。 第三十二页，共六十五页。 12.3.3 其他一些功能 1．加密密钥和签名密钥的分隔 如前所述，加密和签名密钥的密钥管理需求是相互抵触的，因此PKI应该支持加密和签名密钥的分隔使用。 第三十三页，共六十五页。 2．支持对数字签名的不可抵赖 任何类型的电子商务都离不开数字签名，因此PKI必须支持数字签名的不可抵赖性，而数字签名的