電子商務安全(第2版) 課件 第4章-公鑰基礎設施與應用-2

公鑰基礎設施與應用PublickeyinfrastructureandApplication公鑰基礎設施與應用公鑰基礎設施的信任模型信任模型提供了建立和管理信任關系的框架，即信任關系是如何在兩個CA間建立起來的。公鑰基礎設施的服務和實現(xiàn)PKI作為安全基礎設施，能為不同的用戶提供多樣化的安全服務。主要服務有：認證、數(shù)據(jù)完整性、數(shù)據(jù)保密性、不可否認性、公證服務、時間戳服務。公鑰基礎設施的應用公鑰基礎設施在日常生活中的應用方面，包括電子商務、電子政務、網(wǎng)上銀行、網(wǎng)上證券等金融業(yè)交易場所。公鑰基礎設施的信任模型

俗話說的好，老鄉(xiāng)見老鄉(xiāng)，背后放冷槍。在開始一段交互的時候，首先要確定信任和建立信任是至關重要的。但是呢，如果交互的雙方之前沒有什么交集，互不打交道，那么該如何確立信任呢？

某些情況下，雙方距離得很遠，結果雙方對互相的信任水平都很低，這時就需要引入可信的第三方—認證機構CA，建立相應的PKI信任模型。使用第三方實際是通過信任傳遞來建立信任關系。人與人之間的話，往往會有什么熟人介紹，朋友的朋友，同學，校友乃至于老鄉(xiāng)。這都是一種建立在故有關系的基礎之上的關系。而對于交互雙方來說。信任的定義

就是如果一個實體假定另一個實體會嚴格并準確地按照它所期望的那樣行動，那么它就信任該實體。這種定義信任的方式涉及了假設、預期和行為，也體現(xiàn)了實體雙方的一種關系以及對該關系的一些期望。公鑰基礎設施的信任模型還是拿例子來說，元直走馬薦諸葛，徐庶推薦給劉備人才，那么劉備原先不認識諸葛亮，但是和徐庶是互相認識的，那么徐庶的互相認識的人，可以稱之為徐庶的信任域。信任錨：信任錨在這個例子里面就是徐庶了。在信任模型中，當可以確定一個實體身份或者有一個足夠可信的身份簽發(fā)者證明該實體的身份時，另一個實體就能做出對它信任的決定，這個可信的身份簽發(fā)者就稱為信任錨。信任路徑：信任路徑很簡單了，就是劉備->徐庶->諸葛亮。信任路徑也稱證書鏈。它是指通過采用交叉認證技術建立信任關系和驗證證書時尋找和遍歷信任路徑，徐庶/水鏡劉備諸葛亮互相信任互相信任信任域就是信任的范圍。通常在一個體系中，信任域被定義為公共控制下或者服從于一組公共策略的實體集合。信任模型是指建立信任關系和驗證證書時尋找和遍歷信任路徑的模型。信任模型是建立在一定長度的信任路徑的模型。它研究的是PKI體系中用戶和CA以及CA之間的信任關系，用以解決PKI產(chǎn)品和相關體系的兼容性問題。信任模型的評價指標有：信任域擴展的靈活性、信任路徑構建的難易程度、信任關系的可靠程度、信任建立方式的安全性、證書管理的復雜度等。信任模型的概念公鑰基礎設施與應用橋接CA交叉驗證交叉認證機制是信任模型的基礎，通過把以前無關的CA連接在一起的機制，使各自主體群之間的安全通信成為可能。簡單說就是多個PKI域之間實現(xiàn)互操作。公鑰基礎設施的信任模型常用的信任模型下屬層次型信任模型網(wǎng)狀信任模型混合型信任模型橋CA信任模型簡單的下屬層次信息模型公鑰基礎設施的信任模型下屬層次型信任模型在下屬層次型信任摸型中，根CA具有特殊性：它被任命為所有最終用戶的唯一公共信任錨，信任關系是從根CA建立起來的，所以沒有別的認證機構可以為根CA頒發(fā)證書。因此根CA給自己頒發(fā)一個證書。這個證書的特點是它是自簽名的，也就是說證書的主體和其頒發(fā)者是相同的。優(yōu)點：由于根CA通常不直接給終端用戶頒發(fā)證書，而只給子CA頒發(fā)證書，而且是單向證明下一層下屬子CA，終端用戶通過根CA來對證書的真實性和有效性進行驗證。因而模型的擴展性好、證書路徑相對較短、應用簡單。缺點：這種模型的缺點是由于只存在一個根CA，根CA的負載非常大，且容易成為攻擊目標，系統(tǒng)的可靠性和穩(wěn)定性較差。根CA的密鑰一旦泄露會引發(fā)災難性后果，對信任模型的運作產(chǎn)生巨大的破壞。公鑰基礎設施的信任模型網(wǎng)狀信任模型網(wǎng)狀模型是目前應用最為廣泛的模型。不同于下屬層次型信任摸型，網(wǎng)狀信任模型中不存在所有實體都信任的根CA，而是把信任分散在兩個或多個CA上。所有的CA實際上都是相互獨立的同位體(在這個結構中沒有子CA)。所以這就解決了下屬層次型信任摸型的根節(jié)點問題帶來的缺點。優(yōu)點：安全性高，不會因為一個信任錨的故障而導致系統(tǒng)地崩潰。兼容性強。缺點：信任路徑復雜，當有n個信任域的時候，認證次數(shù)達到了n*（n-1）次，當n很大時，認證的成本就很高，而且在信任路徑的搜索上效率也很低。此外，信任路徑的不確定性可能會形成證書環(huán)路。公鑰基礎設施的信任模型混合信任模型混合信任模型是在前兩種模型結合的基礎上再進一步擴展。當幾個下屬層次型模型需要相互認證的時候，可以把它們的錨CA彼此交叉認證，也就是說混合型信任模型中有多個信任域存在，每個信任域內的結構都是下屬層次型信任模型，信任域錨CA之間采取網(wǎng)狀模型互聯(lián)。在此基礎上，不同信任域的非根CA之間也可以進行交叉認證，以縮短證書鏈的長度。優(yōu)點：假如根間的交叉認證并不復雜的話，則可構建簡單的單一認證路徑。因此對于較小范圍的認證，靈活性較強；對于連接兩個層次結構中的低層結點的高頻路徑可以加入交叉認證。缺點：在域間進行擴展時，每加入一個域，則域間的交叉認證的個數(shù)就會以平方的數(shù)量級增長，不利于進行大規(guī)模的擴展。公鑰基礎設施的信任模型橋CA信任模型優(yōu)點：各CA中心相對獨立，證書路徑較短，證書路徑比較容易構建，解決跨域信任時有著清晰的證書路徑。橋CA模型中，當有N個CA中心時，最多只需要簽發(fā)N個交叉認證證書。缺點：橋CA的缺點是它需要一個第三方的共信橋CA，在大范圍部署時，更是需要多級的橋CA來負載均衡。而確定這樣的共信的第三方橋CA是一件很困難的事情。橋CA信任模型：該模型引入獨立的橋CA中心，所有的CA與橋CA之間相互簽發(fā)交叉認證證書，每個CA中心都相對獨立。橋CA不向認證實體發(fā)放證書，只是為CA之間信任傳遞搭建橋梁，如圖1所示。公鑰基礎設施的信任模型思考？橋CA信任模型和下屬層次型信任摸型有什么區(qū)別呢？下屬層次型信任摸型：根CA被任命為所有最終用戶的唯一公共信任錨，信任關系是從根CA建立起來的，所以沒有別的認證機構可以為根CA頒發(fā)證書。因此根CA給自己頒發(fā)一個證書。橋CA信任模型：引入獨立的橋CA中心，所有的CA與橋CA之間相互簽發(fā)交叉認證證書，每個CA中心都相對獨立。橋CA不向認證實體發(fā)放證書，只是為CA之間信任傳遞搭建橋梁公鑰基礎設施與應用公鑰基礎設施的服務和實現(xiàn)身份認證數(shù)據(jù)完整性數(shù)據(jù)保密性不可否認服務公證服務時間戳服務公鑰基礎設施與應用認證：就是身份識別與鑒別，簡單說就是確認“甲就是甲”，即確認一個實體就是自己聲明的實體，鑒別實體身份的真?zhèn)巍KI通過證書進行認證，認證時對方知道你就是你，但卻無法知道你為什么是你。在這里，證書是一個可信的第三方證明，通過它，通信雙方可以安全地進行互相認證，而不用擔心對方是假冒的。實體鑒別：服務器只是簡單地認證實體本身的身份，不會和實體想要進行何種活動聯(lián)系起來。數(shù)據(jù)來源鑒別：就是鑒定某個指定的數(shù)據(jù)是否來源于某個特定的實體。是為了確定被鑒別的實體與一些特定數(shù)據(jù)有著靜態(tài)的不可分割的聯(lián)系，而不是考慮實體下一步可能會采取什么操作公鑰基礎設施與應用數(shù)據(jù)完整性數(shù)據(jù)保密性不可否認性服務公證服務數(shù)據(jù)完整性就是確認數(shù)據(jù)是否在傳輸或者存儲過程中被篡改。一般來說，完整性可以通過雙方協(xié)商一個秘密來解決，但一方有意抵賴時，這種完整性就無法接受第三方的仲裁。而PKI提供的完整性是可以通過第三方仲裁的，并且這種可以由第三方進行仲裁的完整性是通信雙方都不可否認的。保密性服務就是確保數(shù)據(jù)的秘密，防止秘密泄露，即非指定實體不能讀出該數(shù)據(jù)。PKI的保密性服務采用“數(shù)字信封”機制。不可否認服務為當事雙方發(fā)生的相互作用提供不可否認的事實。不可否認性分為很多種。最常使用的不可否認性是發(fā)送的不可否認性和接收的不可否認性。此外，還包括傳輸?shù)牟豢煞裾J性、創(chuàng)建的不可否認性和同意的不可否認性等等。與傳統(tǒng)的公證人服務不同，PKI的公證服務提供的是數(shù)據(jù)認證的服務，認證機構CA證明數(shù)據(jù)是有效或者正確的。通常，PKI中被驗證的數(shù)據(jù)是基于哈希算法的數(shù)字簽名，公鑰的正確性和簽名私鑰的合法性。PKI公證人是一個被其他PKI實體信任的具有一定權威性的實體，提供公正的服務。時間戳服務時間戳也叫做安全時間戳，是一個可信的時間權威，使用一段可以認證的完整數(shù)據(jù)表示的時間戳。最重要的不是時間本身的精確性，而是相關時間、日期的安全性。也就是說，時間值必須特別安全地傳送。公鑰基礎設施與應用PKI相關標準在密碼和安全技術普遍用于實際通信的過程中，標準化是一項非常重要的工作。標準化可以實現(xiàn)規(guī)定的安全水平，具有兼容性，在保障安全的互連互通中起到關鍵作用。標準化有利于降低成本、訓練操作人員和技術的推廣使用。IUT-TX.509PKCS系列標準PKIX文檔（RFC）公鑰基礎設施與應用X.509X.509是由國際電信聯(lián)盟（ITU-T）制定的數(shù)字證書標準。為了提供公用網(wǎng)絡用戶目錄信息服務，ITU于1988年制定了X.500系列標準。X.509給出的鑒別框架是一種基于公開密鑰體制的鑒別業(yè)務密鑰管理。X.509是PKI的雛形，PKI是在X.509標準的基礎上發(fā)展起來的。X.509標準有三個版本，版本2和版本3是對版本1的擴展，目前常用的是版本3。公鑰基礎設施與應用PKCS系列標準主要用于用戶實體通過RA的證書申請、用戶的證書更新過程。當證書作廢時，RA通過CA向目錄服務器中發(fā)布證書撤銷列表CRL，用于擴展證書內容，以及數(shù)字簽名與驗簽過程和實現(xiàn)數(shù)字信封格式定義等一系列相關協(xié)議。公鑰基礎設施與應用PKCS系列標準PKCS#1：定義RSA公開密鑰算法加密和簽名機制，主要用于組織PKCS#7中所描述的數(shù)字簽名和數(shù)字信封。

PKCS#3：定義Diffie-Hellman密鑰交換協(xié)議。PKCS#5：描述一種利用從口令派生出來的安全密鑰加密字符串的方法。使用MD2或MD5從口令中派生密鑰，并采用DES-CBC模式加密。PKCS#6：描述了公鑰證書的標準語法，主要描述X.509證書的擴展格式。PKCS#7：定義一種通用的消息語法，包括數(shù)字簽名和加密等用于增強的加密機制，PKCS#7與PEM兼容，所以不需其他密碼操作，就可以將加密的消息轉換成PEM消息。PKCS#8：描述私有密鑰信息格式，該信息包括公開密鑰算法的私有密鑰以及可選的屬性集等。PKCS#9：定義一些用于PKCS#6證書擴展、PKCS#7數(shù)字簽名和PKCS#8私鑰加密信息的屬性類型。PKCS#10：描述證書請求語法。PKCS#11：稱為Cyptoki，定義了一套獨立于技術的程序設計接口，用于智能卡和PCMCIA卡之類的加密設備。PKCS#12：描述個人信息交換語法標準。描述了將用戶公鑰、私鑰、證書和其他相關信息打包的語法。PKCS#13：橢圓曲線密碼體制標準。PKCS#14：偽隨機數(shù)生成標準。PKCS#15：密碼令牌信息格式標準。PKCS#2-撤銷原本是用以規(guī)范RSA加密摘要的轉換方式，現(xiàn)已被納入PKCS#1之中。PKCS#4-撤銷原本用以規(guī)范轉換RSA密鑰的流程。已被納入PKCS#1之中。公鑰基礎設施與應用PKCS系列標準主要用于用戶實體通過RA的證書申請、用戶的證書更新過程。當證書作廢時，RA通過CA向目錄服務器中發(fā)布證書撤銷列表CRL，用于擴展證書內容，以及數(shù)字簽名與驗簽過程和實現(xiàn)數(shù)字信封格式定義等一系列相關協(xié)議。PKCS#7：定義一種通用的消息語法，包括數(shù)字簽名和加密等用于增強的加密機制，PKCS#7與PEM兼容，所以不需其他密碼操作，就可以將加密的消息轉換成PEM消息。PKCS#10：描述證書請求語法。PKCS#12：描述個人信息交換語法標準。描述了將用戶公鑰、私鑰、證書和其他相關信息打包的語法。PKCS系列標準，是一套針對PKI體系的加解密、簽名、密鑰交換、分發(fā)格式及行為標準。該標準目前已經(jīng)成為PKI體系中不可缺少的一部分。這些標準連同系列中的其它標準都是當今所有PKI實現(xiàn)的基礎。公鑰基礎設施與應用依賴于PKI的標準SSL安全套階層協(xié)議S/MIME安全/多用途因特網(wǎng)電子郵件擴展IPSecLDAP輕量級目錄訪問協(xié)議SET網(wǎng)上安全電子交易TSP時間戳協(xié)議OCSP在線證書狀態(tài)協(xié)議公鑰基礎設施與應用SSL連接過程客戶端發(fā)送支持的密碼算法列表和客戶端數(shù)驗證證書、獲取服務端公鑰、生成PMSPMS——>MS——>發(fā)送所有握手報文的一個MAC。發(fā)送算法選擇、證書、服務端數(shù)服務端接收并解接受并解密得到PMSPMS——>MS——>發(fā)送所有握手報文的一個MAC。公鑰基礎設施與應用安全/多用途因特網(wǎng)電子郵件擴展——S/MIMES/MIME是一個新協(xié)議，最初版本來源于私有的商業(yè)社團RSA數(shù)據(jù)安全公司。S/MIMEV2版本已經(jīng)廣泛地使用在安全電子郵件上。因為它需要使用RSA的密鑰交換，這就受限于美國RSA數(shù)據(jù)安全公司的專利.S/MIME是從PEM（PrivacyEnhancedMail）和MIME（Internet郵件的附件標準）發(fā)展而來的。同PGP一樣，S/MIME也利用單向散列算法和公鑰與私鑰的加密體系。但它與PGP主要有兩點不同：它的認證機制依賴于層次結構的證書認證機構，所有下一級的組織和個人的證書由上一級的組織負責認證，而最上一級的組織（根證書）之間相互認證，整個信任關系基本是樹狀的，這就是所謂的TreeofTrust。還有，S/MIME將信件內容加密簽名后作為特殊的附件傳送，它的證書格式采用X.509，但與一般瀏覽器網(wǎng)上使用的SSL證書有一定差異。在outlook中啟動加密功能的步驟為：1.首先在網(wǎng)上申請經(jīng)過認證的數(shù)字證書，例如：中國電子商務網(wǎng)。2.進行安裝數(shù)字證書的過程。3.安裝完數(shù)字證書后，將安裝休息反饋給中國電子商務網(wǎng)。4.信息得到確認后即表明加密功能已經(jīng)啟用。公鑰基礎設施與應用IPSec IPSec協(xié)議為網(wǎng)絡層通信定義了一個安全框架和一組安全服務，協(xié)議的一些部分用到了PKI。IPSec可用于IPv4和IPv6環(huán)境。

基于PKI技術的IPSec協(xié)議現(xiàn)在已經(jīng)成為架構VPN的基礎，它可以為路由器之間、防火墻之間或者路由器和放火墻之間提供經(jīng)過加密和認證的通信雖然它的實現(xiàn)會復雜一些，但其安全性比其它協(xié)議都完善得多。由于IPSec是IP層上的協(xié)議，因此很容易在全世界范圍內形成一種規(guī)范，具有非常好的通用性。IPSec還是一個發(fā)展中的協(xié)議，隨著成熟的公鑰密碼技術越來越多地嵌入到IPSec中，相信該協(xié)議會在VPN世界里扮演越來越重要的角色。公鑰基礎設施與應用網(wǎng)上安全電子交易——SET

鑒于因特網(wǎng)的快速發(fā)展，上網(wǎng)人數(shù)的日漸增加，網(wǎng)絡上的商機也日漸增加，V1SA及MasterCard兩大信用卡公司于1995年共同推出其使用因特網(wǎng)的商業(yè)交易標準SET(SecureElectronicTransaction)，將傳統(tǒng)的信用卡以私有網(wǎng)絡交換數(shù)據(jù)的方式，移植到因特網(wǎng)上。 SET計劃最主要目的就是解決在因特網(wǎng)上信用卡交易的安全的問題，商業(yè)交易若沒有安全的保障，那么再便利的傳輸媒體也是枉然，不可能讓網(wǎng)絡使用者放心的進行任何商業(yè)活動。在SET協(xié)議中有三個主要的個體：持卡者(cardholder)，商家(merchant)及銀行接口(paymentgateway)。它們是此協(xié)議中三個所要保護的對象。SET協(xié)議運用密碼學的技術，讓這三者在交易過程的信息獲得保障。 SET協(xié)議采用RSA的公開密鑰密碼技術，它對作為PKI的極重要基礎之一的認證中心的運作方式，有很詳細的定義。持卡者在運用SET執(zhí)行交易之前，首先必須向認證中心取得數(shù)字證書。之后，再連上Internet，利用數(shù)字證書證明身份，通過雙重簽名進行交易。公鑰基礎設施與應用時間戳協(xié)議——TSP

在電子文件中，由于用戶桌面時間很容易改變(不準確或可人為改變)，由該時間產(chǎn)生的時間戳不可信賴，因此需要一個第三方來提供時間戳服務。時間戳協(xié)議通過時間戳機構（TSA）來提供數(shù)據(jù)在特定時間存在的證據(jù)。

TSP是基于簡單的請求/響應模式的協(xié)議。請求時間戳的實體發(fā)送一個TimeStampReq消息給TSA，請求一個時間戳。TimeStampReq消息中包含了待加時間戳的數(shù)據(jù)的散列值，TSA在TimeStampReq消息中將時間戳再傳送給請求端。TimeStampReq消息包含請求狀態(tài)和時間戳。輕量級目錄訪問協(xié)議——LDAP LDAP規(guī)范(RFC1487)簡化了笨重的X.500目錄訪問協(xié)議，并且在功能性、數(shù)據(jù)表示、編碼和傳輸方面都進行了相應的修改。1997年，LDAP第3版本成為互聯(lián)網(wǎng)標準。目前，LDAPv3已經(jīng)在PKI體系中被廣泛應用于證書信息發(fā)布、CRL信息發(fā)布、CA政策以及與信息發(fā)布相關的各個方面。公鑰基礎設施與應用在線證書狀態(tài)協(xié)議——OCSP OCSP（OnlineCertificatestatusProtocol）在線證書狀態(tài)協(xié)議，是IETF頒布的用于檢查數(shù)字證書在某一交易時間是否有效的標準。在OCSP之前，用戶沒有一種方便的途徑來復查證書的有效性。OCSP為電子商務提供了一種檢驗數(shù)字證書有效性的途徑，比下載和處理CRL的傳統(tǒng)方式更快、更方便和更具獨立性。它使PKI體系能夠更有效、更安全地在各個領域中被廣泛應用。

由于證書機構沒有經(jīng)常簽發(fā)CRL，或由于撤銷證書的數(shù)量很大及用戶基礎很大，所以CRL常常會越變越大。當它們體積過于龐大變得難于使用時就帶來了另一個問題，即每次CRL分發(fā)會大量消耗網(wǎng)絡帶寬和客戶機處理能力。此外，業(yè)務伙伴可能需要幾天的時間才能收到有關撤銷證書的通知，從而增加了破壞安全性的可能。OCSP實時在線地向用戶提供證書狀態(tài)，其結果是它比CRL處理快得多，并避免了令人頭痛的邏輯問題和處理開銷。OCSP給證書認證過程帶來了效率并節(jié)省了費用，增強了用戶交易的安全性。公鑰基礎設施與應用基于PKI的應用領域隨著Internet的發(fā)展與普及，網(wǎng)絡上的基于信息交換的各種應用都必須得到安全保障。PKI作為一種標準的安全基礎設施，應用范圍非常廣泛，并且在不斷發(fā)展之中。PKI提供的安全服務，也正是電子商務、電子政務、網(wǎng)上銀行、網(wǎng)上證券等金融業(yè)交易的安全需求，是這些活動必備而不可缺少的安全保證。為了信息交流的安全！公鑰基礎設施與應用電子商務計算機技術、網(wǎng)絡技術以及其它高科技技術的發(fā)展，使得社會生活中傳統(tǒng)的犯罪和不道德行為更加隱蔽和難以控制。人們從面對面的交易和作業(yè)，變成網(wǎng)上互相不見面的操作，沒有國界，沒有時間限制，可以利用互聯(lián)網(wǎng)的資源和工具進行訪問、攻擊甚至破壞。應用最有效的安全技術，建立電子商務安全體系結構，成為電子商務建設中首先需要解決的問題。基于PKI的數(shù)字證書解決方案，現(xiàn)已被普遍采用。公鑰基礎設施與應用電子商務->案例互聯(lián)網(wǎng)上從來不乏標價1元的商品。2014年3月20日，淘寶網(wǎng)上大量商品標價1元，引發(fā)網(wǎng)民爭先恐后哄搶，但是之后許多訂單被淘寶網(wǎng)取消。隨后，淘寶網(wǎng)發(fā)布公告稱，此次事件為第三方軟件“團購寶”交易異常所致。部分網(wǎng)民和商戶詢問“團購寶”客服得到自動回復稱：“服務器可能被攻擊，已聯(lián)系技術緊急處理?！边@一事件暴露出來的我國電子商務安全問題不容小覷。在此次“錯價門”事件中，消費者與商家完成交易，成功付款下了訂單，買賣雙方之間形成了合同關系。作為第三方交易平臺的淘寶網(wǎng)關閉交易，這種行為本身是否合法？蔣蘇華認為，按照我國現(xiàn)行法律法規(guī)，淘寶網(wǎng)的行為涉嫌侵犯了消費者的自由交易權，損害了消費者的合法權益，應賠禮道歉并賠償消費者的相應損失。公鑰基礎設施與應用電子政務電子政務是指政府機構將計算機網(wǎng)絡技術應用于政務領域，實現(xiàn)政府組織結構和工作流程的重組優(yōu)化，超越時間、空間和部門分隔的制約，建成一個精簡、高效、廉潔、公平的政府運作模式。其主要內容有網(wǎng)上信息發(fā)布、辦公自動化、網(wǎng)上辦公、信息資源共享等等。按應用模式也可分為G2C、G2B、G2G。PKI在電子政務中的應用，主要解決身份認證、數(shù)據(jù)完整性、數(shù)據(jù)保密性和不可抵賴性等問題。電子政務的應用領域很多，如一個保密文件發(fā)給誰，某個保密文件哪一級的公務員有權查閱等等。這就需要進行身份認證，與身份認證相關的就是訪問控制，即權限控制。認證是通過證書進行的，訪問控制是通過屬性證書或訪問控制列表完成的。有些文件在網(wǎng)上傳輸中要加密、保證數(shù)據(jù)的保密性。有些文件在網(wǎng)上傳輸要求不能被丟失和被篡改。特別是一些保密文件的收發(fā)必須要有數(shù)字簽名，抵抗否認性。電子政務中的這些安全需求，只有PKI提供的安全服務才能得到保證。公鑰基礎設施與應用電子政務->案例《馬關條約》是中國清朝政府和日本明治政府于1895年4月17日（光緒二十一年三月二十三日）在日本馬關（今山口縣下關市）簽訂的不平等條約，原名《馬關新約》，日本稱為《下關條約》或《日清講和條約》?！恶R關條約》的簽署標志著甲午中日戰(zhàn)爭的結束。中方全權代表為李鴻章、李經(jīng)方，日方全權代表為伊藤博文、陸奧宗光。談判的那幾天，李鴻章每日給總理衙門發(fā)回大量電文報告會談進展情況，往來的電報均被日方截獲破譯。

伊藤由此完全掌握了清政府決意回避談判破裂局面的底線，同時也意識到拖延談判對日本不利，故采取了更加強硬的立場。而清廷則一直對日本提出的要求束手無策，幾番折沖后看見事情已無回旋余地，遂于4月14日電諭李鴻章：““原冀爭得一分有一分之益，如竟無可商改，即遵前旨，與之定約”。公鑰基礎設施與應用網(wǎng)上銀行網(wǎng)上證券網(wǎng)上銀行就是指借助于互聯(lián)網(wǎng)技術向客戶提供信息服務和金融