手机pki证书丢失怎么办？

利用公钥理论和技术建立的提供网络信息安全服务的基础设施。为用户提供所需的密钥和证书管理，用户可以利用PKI平台提供的安全服务进行安全通信。

PKI内容

1、认证机构

PKI的核心部分，认证中心，是数字证书的签发机构，权威可信任的第三方机构

2、数字证书库

在使用公钥体制的网络环境中，必须向公钥的使用者证明公钥的真实合法性。因此，在公钥体制环境中，必须有一个可信的机构来对任何一个主体的公钥进行公证，证明主体的身份以及它与公钥的匹配关系。

3、密钥备份

如果用户丢失了密钥，会造成已经加密的文件无法解密，引起数据丢失，为了避免这种情况，PKI提供密钥备份及恢复机制

4、证书作废

身份变更或密钥遗失

5、应用接口系统

PKI应用接口系统是为各种各样的应用提供安全、一致、可信任的方式与PKI交互，确保所建立起来的网络环境安全可信，并降低管理成本。

安全要素

目前网络交互、网络交易、电子商务、电子政务，可信赖的数字信息环境，必需建立在这些安全要素之上

保密性：– 信息保密不被窃取

鉴别与授权：–确认对方身份

完整性：– 确认信息完整性

不可否认：– 有证据可保证交易不被否认

PKI基于公钥理论，建立在公钥加密技术之上，了解PKI就先了解公钥加密技术。

Public Key Infrastructure 公钥基础设施

主要利用加密、数字签名、数字证书等来保护应用、通信或事物处理的安全性。

根据密码理论可分对称密钥、公开密钥、和数字签名

对称加密

对称加密

在传统密码体制中，用于加密的密钥和解密的密钥完全相同，通过这两个密钥来共享信息。

这种体制所使用的加密算法比较简单，但高效快速，密钥简短，破译困难。然而密钥的传送和保管是一个问题。例如，通讯双方要用同一个密钥加密与解密，首先，将密钥分发出去是一个难题，在不安全的网络上分发密钥显然是不合适的；另外，任何一方将密钥泄露，那么双方都要重新启用新的密钥。

常见算法：MD5、RSA、DES

问题：共享的密钥不安全、通信者都需要不通密钥、通信双方都可否认信息。

非对称加密

非对称加密

公钥加密、私钥解密

获取密钥方式：直接联系对方；第三方可靠验证机构（如：Certification Authority，CA）

非对称加密

基于公钥鉴别

-Alice用私钥加密整个信息

-所有人都可以解密这个信息

-Bob可以确信这信息是由Alice产生的，因为只有她的公钥可以解开该信息，并且只有Alice有对应的私钥

-可以鉴别签名的真实性

数字证书

非对称密码基础上，公开密钥发放采用数字证书签名

证书认证中心CA：公开和私有CA（互联网公开的CA；公司或内部使用证书服务器）

证书注册中心RA

证书生命周期：申请、生成、发布、吊销、过期、密钥备份与恢复

TLS/SSL的功能实现主要依赖于三类基本算法：散列函数 Hash、对称加密和非对称加密，其利用非对称加密实现身份认证和密钥协商，对称加密算法采用协商的密钥对数据加密，基于散列函数验证信息的完整性。

解决上述身份验证问题的关键是确保获取的公钥途径是合法的，能够验证服务器的身份信息，为此需要引入权威的第三方机构CA。CA 负责核实公钥的拥有者的信息，并颁发认证"证书"，同时能够为使用者提供证书验证服务，即PKI体系。

基本的原理为，CA负责审核信息，然后对关键信息利用私钥进行"签名"，公开对应的公钥，客户端可以利用公钥验证签名。CA也可以吊销已经签发的证书，基本的方式包括两类 CRL 文件和 OCSP。CA使用具体的流程如下：

时间戳服务器是一款基于PKI（公钥密码基础设施）技术的时间戳权威系统，对外提供精确可信的时间戳服务。它采用精确 的时间源、高强度高标准的安全机制，以确认系统处理数据在某一时间的存在性和相关操作的相对时间顺序，为信息系统中的时间 防抵赖提供基础服务。

在使用任何基于RSA服务之前 ，一个实体需要真实可靠的获取其他实体的公钥。需要有以下保障。

公钥基础设施PKI（Public Key Infrastructure），是通过使用公钥技术和数字证书来提供系统信息安全服务，并负责验证数字证书持有者身份的一种体系。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。PKI保证了通信数据的私密性、完整性、不可否认性和 源认证性 。

IPSec身份认证（预共享密钥方式）：

IPSec身份认证（PIK中的证书认证方式）：

数字证书：

数字证书简称证书，它是一个经证书授权中心CA数字签名的文件，包含拥有者的公钥及相关身份信息。数字证书技术解决了数字签名技术中无法确定公钥是指定拥有者的问题。

证书结构：

最简单的证书包含一个 公钥、名称以及证书授权中心的数字签名 。一般情况下证书中还包括密钥的有效期，颁发者（证书授权中心）的名称，该证书的序列号等信息，证书的结构遵循X509 v3版本的规范。如下图：

证书的各字段解释：

证书类型

证书格式

CA介绍

证书认证机构CA（Certificate Authority）。CA是PKI的信任基础，是一个用于颁发并管理数字证书的可信实体。它是一种权威性、可信任性和公正性的第三方机构，通常由服务器充当，例如Windows Server 2008。

CA通常采用多层次的分级结构，根据证书颁发机构的层次，可以划分为根CA和从属CA。

CA的核心功能就是发放和管理数字证书，包括：证书的颁发、证书的更新、证书的撤销、证书的查询、证书的归档、证书废除列表CRL（Certificate Revocation List）的发布等。

有关CA的特性：

CA颁发证书流程

数字证书验证的过程

图1

图2

图3

证书申请过程

证书申请方式

证书主要有以下申请方式：

证书吊销方式

证书具有一个指定的寿命，但 CA 可通过称为证书吊销的过程来缩短这一寿命。CA 发布一个证书吊销列表 (CRL)，列出被认为不能再使用的证书的序列号。CRL 指定的寿命通常比证书指定的寿命短得多。CA 也可以在 CRL 中加入证书被吊销的理由。它还可以加入被认为这种状态改变所适用的起始日期。

可将下列情况指定为吊销证书的理由：

1 实验拓扑

2 实验需求

3 IP地址规划

4 实验步骤

步骤1：IP地址及路由配置

步骤2：配置CA服务器的时钟，Site_1，Site_2向CA同步时钟。并保证Site_1，Site_2时钟已同步。

步骤3：部署证书服务器

步骤4：Site_1向证书服务器申请证书

步骤5：Site_2获取证书

步骤5：部署基础的站点到站点IPsec ***配置

步骤6：测试***的连通性

数字证书使用对象的角度分，目前的数字证书类型主要包括：个人身份证书、 企业或机构身份证书 、 支付网关证书 、服务器证书、企业或机构代码签名证书、 安全电子邮件证书 、 个人代码签名证书 。 个人身份证书 符合 X509 标准的数字安全证书，证书中包含个人身份信息和个人的公钥，用于标识证书持有人的个人身份。数字安全证书和对应的私钥存储于 E-key 中，用于个人在网上进行合同签定、定单、录入审核、操作权限、支付信息等活动中标明身份。 企业或机构身份证书 符合 X509 标准的数字安全证书，证书中包含企业信息和企业的公钥，用于标识证书持有企业的身份。数字安全证书和对应的私钥存储于 E-key 或 IC 卡中，可以用于企业在电子商务方面的对外活动，如合同签定、网上证券交易、交易支付信息等方面。 支付网关证书 支付网关证书是证书签发中心针对支付网关签发的数字证书，是支付网关实现数据加解密的主要工具，用于数字签名和信息加密。支付网关证书仅用于支付网关提供的服务(Internet 上各种安全协议与银行现有网络数据格式的转换）。 支付网关证书只能在有效状态下使用。 支付网关证书不可被申请者转让。 服务器证书 符合 X509 标准的数字安全证书，证书中包含服务器信息和服务器的公钥，在网络通讯中用于标识和验证服务器的身份。数字安全证书和对应的私钥存储于 E-key 中。服务器软件利用证书机制保证与其他服务器或客户端通信时双方身份的真实性、安全性、可信任度等。 企业或机构代码签名证书 代码签名证书是 CA 中心签发给软件提供商的数字证书，包含软件提供商的身份信息、公钥及 CA 的签名。软件提供商使用代码签名证书对软件进行签名后放到 Internet 上，当用户在 Internet 上下载该软件时，将会得到提示，从而可以确信：软件的来源；软件自签名后到下载前，没有遭到修改或破坏。 代码签名证书可以对 32-bit exe 、 cab 、 ocx 、 class 等程序和文件 进行签名。 安全电子邮件证书 符合 X509 标准的数字安全证书，通过 IE 或 Netscape 申请，用 IE 申请的证书存储于 WINDOWS 的注册表中，用 NETSCAPE 申请的存储于个人用户目录下的文件中。用于安全电子邮件或向需要客户验证的 WEB 服务器(https 服务) 表明身份。 个人代码签名证书 个人代码签名证书是 CA 中心签发给软件提供人的数字证书，包含软件提供个人的身份信息、公钥及 CA 的签名。软件提供人使用代码签名证书对软件进行签名后放到 Internet 上，当用户在 Internet 上下载该软件时，将会得到提示，从而可以确信：软件的来源；软件自签名后到下载前，没有遭到修改或破坏。 代码签名证书可以对 32-bit exe 、 cab 、 ocx 、 class 等程序和文件进行签名。 从数字证书的技术角度分，CA中心发放的证书分为两类：SSL证书和SET证书。一般地说，SSL（安全套接层）证书是服务于银行对企业或企业对企业的电子商务活动的；而SET（安全电子交易）证书则服务于持卡消费、网上购物。虽然它们都是用于识别身份和数字签名的证书，但它们的信任体系完全不同，而且所符合的标准也不一样。简单地说，SSL证书的作用是通过公开密钥证明持证人的身份。而SET证书的作用则是，通过公开密钥证明持证人在指定银行确实拥有该信用卡账号，同时也证明了持证人的身份。

　　这种情况一般就是证书的问题，由于本地证书与服务器证书不匹配导致解密失败，无法与服务器进行通信，也有可能是服务器出现了问题。

　　1、根据一家数字安全证书管理公司的回答：撤消申报，重新接入证书，重新启动安全引擎后再次申报，并再次获取反馈信息；

　　2、按“1”操作无效，可测试一下服务连通问题。（有可能是国税服务器问题，也有可能是PKI服务器有问题）。

主要内容包括：

认证类型可以分为单向认证、双向认证以及第三方认证。

认证技术方法主要有口令认证技术、智能卡技术、基于生物特征认证技术、Kerberos技术等多种实现方式。

（1）口令认证是基于用户所知道的秘密而进行的技术，是网络常见的身份认证方法。网络设备、操作系统和网络应用服务等都采用了口令认证。

（2）口令认证一般要求参与认证的双方按照事先约定的规则，用户发起服务请求，然后用户被要求向服务实体提供用户标识和用户口令，服务实体验证其正确性，若验证通过，则允许用户访问。

（3）口令认证的优点是简单、易于实现，当用户想要访问系统时，要求用户输入“用户名和口令”即可。

（4）口令认证的不足是容易受到攻击，主要的攻击方式有窃听、重放、中间人攻击、口令猜测等。因此，要实现口令认证的安全，应至少满足以下条件：

① 口令信息要安全加密存储；

② 口令信息要安全传输；

③ 口令协议要抵抗攻击，符合安全协议设计要求；

④ 口令选择要做到避免弱口令。

为了保证口令认证安全，网络服务提供商要求用户遵循口令生成安全策略，即口令设置要符合口令安全组成规则，同时对生成的口令进行安全强度评测，从而促使用户选择安全强度较高的口令。

智能卡是一种带有存储器和微处理器的集成电路卡，能够安全存储认证信息，并具有一定的计算能力。

通过智能卡来实现挑战/响应认证

在挑战/响应认证中，用户会提供一张智能卡，智能卡会一直显示一个随时间而变化的数字，假如用户视图登录目标系统，则系统首先将对用户进行认证，步骤如下：

（1）用户将自己的ID发到目标系统

（2）系统提示用户输入数字

（3）用户从智能卡上读取数字

（4）用户将数字发送给系统

（5）系统收到数字对ID进行确认，如果ID有效，系统会生成一个数字并将其显示给用户，称为挑战

（6）用户将上面的挑战输入到智能卡

（7）智能卡用这个输入的值根据一定算法计算出一个新的数字并提示这个结果，该数字称为应答

（8）用户将应答输入系统

（9）系统验证应答是否正确，如果正确，用户通过验证并登录进入系统

基于生物特征就是利用人类生物特征进行验证。目前，指纹、人脸、视网膜、语音等生物特征信息可用来进行人的生物认证，人的指纹与生俱来，并且一生不变。

一、定义

kerbors是一个网络认证协议，其目标是使用秘钥加密为客户端/服务器提供加强身份认证，其技术原理是利用对称加密密码技术，使用可信的第三方来为应用服务提供认证服务，并在用户和服务器之间建立安全信道。

二、一个kerbors系统设计基本实体：

（1）kerbors客户机，用户用来访问服务器设备

（2）AS（Authentcation Server，认证服务器），识别用户身份并提供TGS会话秘钥

（3）TGS（Ticket Granting Server，票据发放服务器），为申请服务的用户授予票据（Ticket）

（4）应用服务器，为用户提供服务的设备或系统

其中通常将AS和TGS统称为秘钥发放中心KDC（Key Distribution Center）。票据（ticket）是用于安全传递用户身份所需要的信息的集合，主要包括客户方Principal、客户方IP地址、时间戳（分发该Titcket的时间）、Ticket的生存期、以及会话秘钥等内容。

三、KerborsV5认证协议主要由六步构成

kerbors协议中要求用户经过AS和TGS两重认证的优点主要有以下两点：

（1）可以显著减少用户密钥的密文的暴露次数，这样就可以减少攻击者对有关用户的密钥的密文的积累

（2）kerbors认证过程中具有单点登录（Signle Sign On，SSO）的优点，只要用户拿到了TGT并且该TGT没有过期，那么用户就可以使用该TGT通过TGS完成到任一服务器的认证过程而不必输入密码。

四、缺点：

kerbors存在不足之处，kerbors认证系统要求解决主机时间节点同步问题和抵御拒绝服务攻击。

目前windos系统和Hadoop都支持kerbors认证。

PKI（Public Key Infrastructure ）就是有创建、管理、存储、分发和撤销公钥证书所需要的硬件、软件、人员、策略和过程的安全服务设施。PKI提供了一种系统化的、可扩展的、统一的、容易控制的公钥分发方法。

基于PKI的主要安全服务有身份认证、完整性保护、数字签名 、会话加密管理、秘钥恢复。

PKI涉及多个实体之间的协商和操作，主要实体包括CA、RA、终端实体、客户端、目录服务器。

PKI各实体的功能分别叙述如下：

CA（Certification Authority）：证书授权机构，主要进行证书的颁发

RA（Registration Authority）：证书登记权威机构

目录服务器：CA通常使用一个目录服务器， 提供证书管理和分发的服务

终端实体：指要认证的对象，例如服务器、打印机、Email地址、用户等

客户端：指需要基于PKI安全服务的使用者，包括用户、服务进程等

单点登录：是指用户访问使用不同的系统时，只需要进行一次身份认证，就可以根据这次登录的认证身份访问授权资源。单点登录解决了用户访问使用不同系统时，需输入不同系统的口令以及保管口令问题，简化了认证管理工作。

认证技术是网络安全保障的基础性技术，普遍应用于网络信息系统保护。认证技术常见的应用场景如下：

（1）用户身份验证：验证网络资源访问者的身份，给网络系统访问授权提供支持服务

（2）信息来源证实：验证网络信息的发送者和接收者的真实性，防止假冒

（3）信息安全保护：通过认证技术保护网络信息的机密性、完整性、防止泄密、篡改、重放或延迟。