基于PKI技術(shù)的數(shù)據(jù)加密解密解決方案

加密解密解決方案 基于PKI技術(shù)的數(shù)據(jù)加密解密解決方案 1背景1.1應(yīng)用背景近年來(lái)，隨著計(jì)算機(jī)網(wǎng)絡(luò)和信息技術(shù)的迅速發(fā)展，公司、大型企業(yè)及政府單位逐步上線了許多基于信息技術(shù)的應(yīng)用系統(tǒng)，內(nèi)部辦公、信息傳遞、工作效率、企業(yè)管理、商務(wù)運(yùn)營(yíng)等涉及到企業(yè)發(fā)展的方方面面，都因信息化而得到了飛速發(fā)展。同時(shí)，移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展，越來(lái)越多的應(yīng)用正通過(guò)智能手機(jī)、平板電腦等移動(dòng)終端進(jìn)行交易和數(shù)據(jù)交換，豐富了人們的生活。信息技術(shù)在給我們的工作及生活帶來(lái)許多便利的同時(shí)，也面臨種種安全挑戰(zhàn)，如用戶的身份合法性、傳輸數(shù)據(jù)的保密性、數(shù)據(jù)的完整性及不可抵賴性等問(wèn)題變得迫在眉。。如何保護(hù)個(gè)人及企業(yè)信息的安全？如何構(gòu)筑更加安全可靠的內(nèi)部網(wǎng)絡(luò)以阻要的一點(diǎn)是，互聯(lián)網(wǎng)信息安全保障的基礎(chǔ)設(shè)施——基于PKI技術(shù)的CA服務(wù)系統(tǒng)成為了眾多公司企及政府單位構(gòu)建安全網(wǎng)絡(luò)的必要組成。1.2PKI理論1.2.1公鑰基礎(chǔ)設(shè)施PKI通過(guò)PKI對(duì)密鑰和證書(shū)的管理， 1.2.2對(duì)稱加密算法對(duì)稱算法使用相同的密鑰進(jìn)行加密和解密。一個(gè)好的對(duì)稱算法的安全性在在對(duì)稱加密算法中數(shù)據(jù)發(fā)信方將明文(原始數(shù)據(jù))和加密密鑰一起經(jīng)過(guò)特送出去。收信方收到密文后，若相同算法的逆算法對(duì)密文進(jìn)行解法中使用的密鑰只有一個(gè)，發(fā)收，這就要求解密方事先必須知道計(jì)算量小、加密速度快、加密效。1.2.3哈希算法 ，可以很容易地得到它的哈希碼，但反過(guò)來(lái)如果我們有一個(gè)哈希1.2.4公鑰加密體系加密體系加解密過(guò)程非對(duì)稱加解密(即公鑰加密體系)使用兩把完全不同但又是相互匹配的密鑰——公鑰和私鑰。發(fā)信方和接受方接收方相互通訊，發(fā)信方必須首先得到收信方的公鑰,然后利用收信方的公鑰對(duì)明文加密，收信方收到加密密文以后使用自己的私鑰解密密文。顯然采用不對(duì)稱加密算法，收發(fā)信雙方在通信之前，收稱加密與公鑰加密體系結(jié)合——數(shù)字信封把對(duì)稱加密和公鑰加密體系結(jié)合起來(lái)，即數(shù)字信封加密。我們可以用對(duì)稱加密來(lái)加密海量數(shù)據(jù)，然后用公鑰加密算法把對(duì)稱加密密鑰加密起來(lái)。這樣就兼具有了對(duì)稱加密和公鑰加密二者的長(zhǎng)處。如果想給多個(gè)人發(fā)送我們只須把一個(gè)對(duì)稱密鑰為每個(gè)人加密一下。令哈希函數(shù)與公鑰加密體系結(jié)合——數(shù)字簽名 和公鑰加密算法結(jié)合起來(lái)，即數(shù)字簽名，能提供一個(gè)方法來(lái)保完整性和真實(shí)性。完整性檢查保證數(shù)據(jù)沒(méi)有被改變，真實(shí)性檢查保證的過(guò)程的第一步是產(chǎn)生一個(gè)我們想簽名的數(shù)據(jù)的哈希值。第二步是把這個(gè)哈希值用我們的私鑰加密。這個(gè)被加密的哈希結(jié)果被添加到數(shù)據(jù)后，護(hù)哈希結(jié)果的完整性。并且由于用的是公鑰加密算法，用不著給檢查這收者能夠有你的公鑰解密這段哈希值，同時(shí)能從接到的數(shù)據(jù)產(chǎn)生值。兩者相比，如果相同則可以肯定他所接到的數(shù)據(jù)沒(méi)有被更改。同也知道，只有你才能發(fā)出這段數(shù)據(jù)，因?yàn)橹挥心悴艜?huì)有這個(gè)在哈希上2產(chǎn)品概述時(shí)代億信ETCA數(shù)字證書(shū)認(rèn)證系統(tǒng)是在充分研究國(guó)內(nèi)CA應(yīng)用現(xiàn)狀，多年IXv。端配備智能密碼鑰匙。ETCA支持通過(guò)掛接密鑰管理中心(KMC)來(lái)管理用戶ETCA系統(tǒng)提 證書(shū)撤銷列表的生成與簽發(fā)、證書(shū)/證書(shū)撤銷列表的存儲(chǔ)與發(fā)布、證證傳輸數(shù)據(jù)的保密性傳輸數(shù)據(jù)的完整性交易者身份的真實(shí)性交易信息的不可否認(rèn)性3產(chǎn)品功能3.1產(chǎn)品功能架構(gòu)時(shí)代億信ETCA數(shù)字證書(shū)認(rèn)證系統(tǒng)主要由密鑰管理中心(KMC)、CA、密鑰管理系統(tǒng)(KMC)可為多個(gè)CA系統(tǒng)產(chǎn)生用戶加密密鑰，滿足CA系統(tǒng)簽發(fā)用戶加密證書(shū)的需要。通過(guò)在線的方式滿足CA系統(tǒng)對(duì)密鑰證書(shū)簽發(fā)系統(tǒng)(CA)負(fù)責(zé)生成、簽發(fā)數(shù)字證書(shū)和證書(shū)撤銷列表。證書(shū)管理系統(tǒng)(RA)是證書(shū)認(rèn)證系統(tǒng)中實(shí)現(xiàn)證書(shū)的申請(qǐng)、審核、生成、簽發(fā)、存儲(chǔ)、發(fā)布、注銷、歸檔等功能的管理控制系統(tǒng)。證書(shū)/CRL存儲(chǔ)發(fā)布系統(tǒng)負(fù)責(zé)數(shù)字證書(shū)、證書(shū)撤銷列表的存儲(chǔ)和發(fā)布。CRL發(fā)布系統(tǒng)采用數(shù)據(jù)庫(kù)或目錄服務(wù)方式，實(shí)現(xiàn)數(shù)字證書(shū)/證書(shū)撤銷列表的存儲(chǔ)、備份和恢復(fù)等功能，并提供查詢服 3.2產(chǎn)品功能組件3.2.1密鑰管理中心(KMC)責(zé)密鑰的管理：包括密鑰的產(chǎn)生、分發(fā)、更新、備份/恢復(fù)、歸檔、銷毀中心的密鑰申請(qǐng)，調(diào)用備用密控備用庫(kù)中密鑰的數(shù)量，根據(jù)策生成、分發(fā)、更新、廢除等操作、證書(shū)簽發(fā)中心密鑰管理和用1)密鑰的生成批量生成高強(qiáng)度的用戶加密密鑰對(duì)，生成后的密鑰以密文保存在數(shù)據(jù)庫(kù)2)密鑰的分發(fā) 證書(shū)是密鑰分發(fā)的一種有效方式，用戶密鑰生成后發(fā)送給證書(shū)簽發(fā)中心，質(zhì)中3)密鑰備份與恢復(fù)庫(kù)中4)密鑰更新密鑰的更新包括根密鑰的更新、各級(jí)證書(shū)簽發(fā)中心密鑰的更新、服務(wù)器密鑰的更新和用戶密鑰的更新等。在根密鑰和各級(jí)證書(shū)簽發(fā)中心密鑰的更新設(shè)計(jì)中需要考慮到舊密鑰到新密鑰的過(guò)渡中對(duì)已簽發(fā)證書(shū)的影響，保證在密鑰更新5)密鑰歸檔密鑰更新時(shí)需將舊密鑰歸檔，形成用戶密鑰的歷史信息。發(fā)生糾紛時(shí)，可6)密鑰查詢7)密鑰銷毀 8)密鑰池密鑰管理系統(tǒng)具備密鑰池服務(wù)功能。系統(tǒng)預(yù)先生成一批密鑰對(duì)并通過(guò)安全機(jī)制存放在密鑰數(shù)據(jù)庫(kù)系統(tǒng)中，當(dāng)證書(shū)簽發(fā)中心申請(qǐng)密鑰時(shí)，系統(tǒng)從密鑰數(shù)據(jù)務(wù)效率。3.2.2簽發(fā)中心(CA)。3.2.2.1.證書(shū)管理證書(shū)管理主要包括證書(shū)的簽發(fā)、延期、更新、凍結(jié)、解凍、證書(shū)廢除、證1)證書(shū)簽發(fā)2)證書(shū)延期能夠根據(jù)要求延期證書(shū)。包括由證書(shū)注冊(cè)審核中心系統(tǒng)發(fā)起的證書(shū)延期功能；由用戶發(fā)起的在線證書(shū)延期申請(qǐng)功能3)證書(shū)更新能夠根據(jù)要求，實(shí)現(xiàn)證書(shū)的更新。包括證書(shū)用戶信息更新，用戶的密鑰的4)證書(shū)的凍結(jié)和解凍 該功能主要由管理方(證書(shū)注冊(cè)審核中心系統(tǒng)操作員、證書(shū)簽發(fā)中心管理員等)發(fā)起，對(duì)證書(shū)進(jìn)行凍結(jié)，使證書(shū)列入黑名單，暫時(shí)因?yàn)槭Ф鵁o(wú)法使也可對(duì)被凍結(jié)的證書(shū)進(jìn)行解凍操作，使該證書(shū)恢復(fù)正常的使5)證書(shū)廢除吊銷實(shí)體證書(shū)，分為證書(shū)簽發(fā)中心強(qiáng)制廢除和用戶申請(qǐng)廢除。由于以下原因，證書(shū)應(yīng)該被作廢：令密鑰泄密。證書(shū)的私鑰泄密，或者懷疑泄密。為防止錯(cuò)誤使用或被盜用，其對(duì)應(yīng)的證書(shū)應(yīng)該被作廢。系統(tǒng)簽發(fā)的CRL將指出證書(shū)未泄密的。令未說(shuō)明的原因。因?yàn)椴煌谏鲜龇诸愔械娜魏卧?，該密鑰對(duì)不再需令當(dāng)一個(gè)證書(shū)作廢時(shí)，必須有上述六個(gè)原因之一。6)證書(shū)恢復(fù)。 7)證書(shū)實(shí)體查詢系統(tǒng)支持證書(shū)實(shí)體查詢功能，用戶可以通過(guò)查詢條件可以查詢出符合條件8)證書(shū)注銷列表發(fā)布。列表的大小在指定的3.2.2.2.模板管理1)瀏覽模板2)添加模板 3)修改模板。4)刪除模板5)注銷模板用戶可以根據(jù)自己的實(shí)際需要自定義證書(shū)擴(kuò)展域，并應(yīng)用于證書(shū)模板之1)瀏覽自定義擴(kuò)展2)添加自定義擴(kuò)展3)修改自定義擴(kuò)展4)刪除自定義擴(kuò)展展域。5)注銷自定義擴(kuò)展注銷已經(jīng)被使用過(guò)的一個(gè)自定義擴(kuò)展域，以后創(chuàng)建證書(shū)模板的時(shí)候?qū)⒉辉?3.2.2.3.用戶服務(wù)令個(gè)人證書(shū)管理服務(wù)可面向用戶提供用于個(gè)人證書(shū)管理的客戶端軟件，能幫助用戶管護(hù)自己的數(shù)字證書(shū)，同時(shí)能提供個(gè)人證書(shū)定制服務(wù)；軟件的管理界面友令用戶證書(shū)統(tǒng)計(jì)報(bào)表服務(wù)可自動(dòng)搜集關(guān)于證書(shū)的請(qǐng)求、狀態(tài)等信息，并加以必要的分析和令用戶證書(shū)查詢服務(wù)本信息、附加信息、自定義擴(kuò)展項(xiàng)信息等進(jìn)行查詢，查詢令用戶服務(wù)功能的擴(kuò)展可根據(jù)用戶業(yè)務(wù)需求及個(gè)性化需求，方便的增加新的服務(wù)功能模3.2.3注冊(cè)中心(RA) 3.2.3.1.用戶管理令注冊(cè)用戶行注冊(cè)，注冊(cè)中心系統(tǒng)操作員也可以代用戶進(jìn)行注冊(cè)操令批量注冊(cè)用戶統(tǒng)操作員可以將準(zhǔn)備好的一批用戶信息注冊(cè)到系統(tǒng)中去。這一令注銷用戶自己從系統(tǒng)中注銷，注冊(cè)中心系統(tǒng)操作員也可以代普通令更新用戶新自己的注冊(cè)信息，注冊(cè)中心系統(tǒng)操作員也可以代用戶令用戶歸檔令審核用戶管理操作的要求，需要對(duì)注冊(cè)用戶、批量注冊(cè)用戶、注銷用戶、更新3.2.3.2.證書(shū)管理令證書(shū)申請(qǐng) RA基于WEB的申請(qǐng)方式，簡(jiǎn)單易用，幫助用戶方便、安全、快捷的作，如果申請(qǐng)通過(guò)審核，系統(tǒng)將返回下載證書(shū)所需的憑證(參考號(hào)和授權(quán)碼)。令用戶身份審核令簽發(fā)證書(shū)證書(shū)設(shè)備將簽發(fā)的證書(shū)和加密密鑰寫(xiě)入安全介質(zhì)(如USBKey、IC卡)。令證書(shū)凍結(jié) 期內(nèi)不會(huì)使用的證書(shū)進(jìn)行凍結(jié)操作，在凍結(jié)期間內(nèi)證書(shū)令證書(shū)解凍是相對(duì)于證書(shū)凍結(jié)操作的，此操作將凍結(jié)的證書(shū)解凍，使得令證書(shū)更新證書(shū)更新功能，用戶可以根據(jù)需要遠(yuǎn)程對(duì)正在使用中的證書(shū)進(jìn)行令證書(shū)注銷系統(tǒng)對(duì)于有下列情況之一的用戶進(jìn)行證書(shū)注銷：1)密鑰泄密2)CA泄密3)從屬關(guān)系變更4)證書(shū)被取代5)操作終止6)證書(shū)下載憑證(授權(quán)碼)更新憑證(授權(quán)碼)，用戶使用新的下載憑證進(jìn)行證書(shū)下載。令證書(shū)制證WEB 令證書(shū)查詢證書(shū)信息查詢功能，用戶可以通過(guò)查詢條件查詢出符合條件的證供申請(qǐng)信息查詢功能，用戶可以通過(guò)查詢條件查詢出符合條件的令用戶信息維護(hù)按照用戶自定義的格式產(chǎn)生用戶信息，并可以對(duì)用戶信息進(jìn)行添令企業(yè)信息維護(hù)按照用戶自定義的格式產(chǎn)生企業(yè)信息，并可以對(duì)企業(yè)信息進(jìn)行添3.2.4存儲(chǔ)發(fā)布系統(tǒng)(CRL)系統(tǒng)與簽發(fā)中心、注冊(cè)中心連通。實(shí)現(xiàn)數(shù)字證書(shū)的實(shí)時(shí)發(fā)布，并存儲(chǔ)發(fā)布系統(tǒng)還負(fù)責(zé)證書(shū)撤銷列表(CRL)的發(fā)布與存儲(chǔ)。每個(gè)證書(shū)都被指定了一個(gè)有效期，當(dāng)使用的證書(shū)到了使用期限時(shí)，系統(tǒng)會(huì)將該證書(shū)的序列號(hào)CRL他原因可做為證書(shū)撤銷的理由：令證書(shū)密鑰被泄露令證書(shū)遭泄露令證書(shū)與其他證書(shū)的從屬關(guān)系改變 令證書(shū)被其他證書(shū)取代令證書(shū)所關(guān)聯(lián)業(yè)務(wù)中止系統(tǒng)提供對(duì)證書(shū)在線狀態(tài)的查詢接口，用戶可以通過(guò)該接口獲取3.2.5在線證書(shū)狀態(tài)查詢系統(tǒng)(OCSP)OCSP服務(wù)通過(guò)CA的鏡像數(shù)據(jù)庫(kù)查詢證書(shū)狀態(tài)，這樣比查詢CRL(證書(shū)注銷列表)更可靠、更及時(shí)，提供給證書(shū)應(yīng)用的信息更豐富。3.2.6目錄服務(wù)系統(tǒng)(LDAP)級(jí)目錄訪問(wèn)協(xié)議)目錄和基于X.500的目錄。這些目錄都是通用的標(biāo)準(zhǔn)的目 支持國(guó)內(nèi)外主流的各種目錄服務(wù)產(chǎn)品，包括IBMTivoliDirectoryServer、足獨(dú)立部署二級(jí)目錄的要求；計(jì)，實(shí)現(xiàn)數(shù)據(jù)實(shí)時(shí)同步和周期性同步；OWS令精確查詢(10萬(wàn)條目)：?jiǎn)尉€程響應(yīng)時(shí)間達(dá)到毫秒級(jí)，50線程響應(yīng)時(shí)；令模糊查詢(10萬(wàn)條目)：?jiǎn)尉€程響應(yīng)時(shí)間達(dá)到秒級(jí)，50線程響應(yīng)時(shí)間 ；礎(chǔ)設(shè)施策略；3.2.7數(shù)據(jù)加密/解密、簽名/驗(yàn)簽中間件OS3.3產(chǎn)品技術(shù)特點(diǎn)3.3.1部署靈活、操作簡(jiǎn)單BS模式，安裝部署工作只需要在服務(wù)端進(jìn)行，部署工作 SSL接，采用數(shù)字證書(shū)對(duì)另外系統(tǒng)可以根據(jù)實(shí)際的具體情況來(lái)選擇對(duì)應(yīng)的組合方式進(jìn)行部署，比3.3.2系統(tǒng)平臺(tái)的高安全性令通訊安全令數(shù)據(jù)安全數(shù)據(jù)庫(kù)、配置文件中的敏感數(shù)據(jù)采用加密方式保存；提供完備的數(shù)據(jù)備份令人員安全X09證書(shū)進(jìn)行登錄管只管理某一部分功能并令完善的審計(jì)手段3.3.3廣泛的平臺(tái)兼容性令靈活可配置的密碼模塊 令支持多種數(shù)據(jù)庫(kù)產(chǎn)品令支持多種目錄服務(wù)產(chǎn)品令支持多種操作系統(tǒng)平臺(tái)3.3.4支持多級(jí)CA3.3.5支持國(guó)密算法證書(shū)認(rèn)證系統(tǒng)使用對(duì)稱密碼算法(SM1密碼算法)、非對(duì)稱密碼算法 (SM2密碼算法)和密碼雜湊算法(SM3密碼算法)等三類算法實(shí)現(xiàn)有關(guān)密碼服務(wù)各項(xiàng)功能，其中，對(duì)稱密鑰密碼算法實(shí)現(xiàn)數(shù)據(jù)加/解密以及消息認(rèn)證；非對(duì)稱密鑰密碼算法實(shí)現(xiàn)簽名/驗(yàn)證以及密鑰交換；密碼雜湊算法實(shí)現(xiàn)簽名消息的3.3.6支持LDAP發(fā)布證書(shū)L 3.3.7支持動(dòng)態(tài)擴(kuò)展屬性A?模塊化設(shè)計(jì)塊化設(shè)計(jì)，可替換、可重組的系統(tǒng)構(gòu)真正的運(yùn)行與管理任務(wù)，其它模塊可隨?支持多級(jí)CA及交叉認(rèn)證3.3.8支持自定義證書(shū)模板 3.3.9支持管理員三員分立CA系統(tǒng)審計(jì)員和系統(tǒng)安全員，每種角色均具有況再創(chuàng)建各自角色的管理員，實(shí)現(xiàn)分級(jí)管4數(shù)據(jù)傳輸安全解決方案4.1數(shù)據(jù)傳輸安全要求在網(wǎng)絡(luò)中對(duì)數(shù)據(jù)的安全傳輸提出了以下要求：(1)身份鑒別：首先在雙方進(jìn)行信息傳輸前，能確認(rèn)對(duì)方的身份，防止對(duì)方(2)數(shù)據(jù)的保密性：要求對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行加密，即使別人截獲數(shù)據(jù)也無(wú)法(3)數(shù)據(jù)的完整性：要求接收方能夠驗(yàn)證收到的數(shù)據(jù)是否完整，是否被人篡4.2數(shù)據(jù)傳輸安全方案4.2.1用戶身份鑒別 法性。在用戶發(fā)送數(shù)據(jù)給其他用戶時(shí)，可校驗(yàn)對(duì)方用戶的數(shù)字4.2.2數(shù)據(jù)加密傳輸私密性及不可抵賴性，除了完善用戶外，還必須在數(shù)據(jù)傳輸過(guò)程中進(jìn)行簽名、加密、解密、驗(yàn)證字簽名的全過(guò)程分兩大部分，即簽名與驗(yàn)證。即發(fā)方將原文用哈求得數(shù)字摘要，用簽名私鑰對(duì)數(shù)字摘要加密得數(shù)字簽名，發(fā)方將數(shù)字簽名一起發(fā)送給接受方。收方驗(yàn)證簽名，即用發(fā)方公鑰解密名，得出數(shù)字摘要。收方將原文采用同樣哈希算法又得一新的數(shù)，將兩個(gè)數(shù)字摘要進(jìn)行比較，如果二者匹配，說(shuō)明經(jīng)數(shù)字簽名的件傳輸成功。數(shù)字簽名原理中定義的是對(duì)原文做數(shù)字摘要和簽名并傳輸原文，在很多場(chǎng)合傳輸?shù)脑氖且蟊Ｃ艿?，要求?duì)原文進(jìn)行加密的數(shù)字簽名方法如何實(shí)現(xiàn)？這里就要涉及到“數(shù)字信封”的概念?！皵?shù)字信封”基本原理是將原文用對(duì)稱密鑰加密傳輸，而將對(duì)稱密鑰用收方公鑰加密發(fā)送密得原文。其詳細(xì)過(guò)程如下： A字摘要MD。 (3)發(fā)方A用對(duì)稱算法的對(duì)稱密鑰SK對(duì)原文信息、數(shù)字簽名SD及 (9)收方B同時(shí)將原文信息用同樣的哈希運(yùn)算，求得一個(gè)新的數(shù)字摘 (10)將兩個(gè)數(shù)字摘要MD和MD’進(jìn)行比較，驗(yàn)證原文是否被修改。如果二者相等，說(shuō)明數(shù)據(jù)沒(méi)有被篡改，是保密傳輸?shù)?，簽名是真?shí)這樣就做到了敏感信息在數(shù)字簽名的傳輸中不被篡改，未經(jīng)認(rèn)證和授權(quán)5某即時(shí)通信平臺(tái)數(shù)據(jù)加密傳輸方案實(shí)現(xiàn)5.1需求總體描述SDK加密和解5.2方案總體描述A器提供數(shù)據(jù)傳輸?shù)募用?、解密、簽方案總體流程如下： 5.3方案接口描述5.3.1證書(shū)檢測(cè)接口5.3.2證書(shū)申請(qǐng)接口憑證(授權(quán)碼)。5.3.3證書(shū)下載接口通過(guò)用戶ID和證書(shū)下載憑證(授權(quán)碼)到ETCA數(shù)字證書(shū)認(rèn)證系統(tǒng)下載當(dāng)5.3.4數(shù)據(jù)加密接口5.3.5數(shù)據(jù)解密接口 展需求，可進(jìn)一步提供證書(shū)更新、吊銷等證書(shū)管理接口、數(shù)5.4方案具體業(yè)務(wù)流程5.4.1P2P在線和離線消息程2發(fā)送方用接收方公鑰加密對(duì)稱密鑰收方用解密后的對(duì)稱密鑰解密密文4接收方用私鑰解密加密后的對(duì)稱密鑰5接收方用解密后的對(duì)稱密鑰解密密文模型 5.4.2P2S在線消息離線無(wú)程2發(fā)送方用服務(wù)器公鑰加密對(duì)稱密鑰稱密鑰解密密文模型服務(wù)器保存用戶密文信息獲獲明用戶A用戶B流1發(fā)送方用對(duì)稱密鑰加密數(shù)據(jù)取服務(wù)器證書(shū)信息加取服務(wù)器證書(shū)信息加密密文文 5.4.3S2P在線和離線消息流1服務(wù)器用對(duì)稱密鑰加密數(shù)據(jù)程2服務(wù)器用接收方公鑰加密對(duì)稱密鑰鑰稱