亲爱的小伙伴：华为乾坤终端安全软件新版本来啦！产品功能优化：1. 病毒查杀过程支持查看扫描项2.勒索处置增加信任的处理方式适用系统：全面支持Windows7、Windows10、Windows 11、Windows Server 2012 R2及以上版本。体验下载方式：cid:link_0在您的帮助下，我们每天都在进步，感谢您的支持！华为乾坤终端安全软件运营团队2024年2月19日

安装软件后发现3个隐藏文件夹，现在2次重装系统后仍然存在，麻烦各位大佬看看是不是华为乾坤终端安全创建的，这些位置都有：磁盘根目录、"C:\Program Files"、"C:\Program Files (x86)"、"C:\ProgramData"、"C:\Users\用户名\Documents"、"C:\Users\用户名\AppData"。​

安装完华为乾坤更新病毒库并重启后，找了一个样本包试试主防，但并没有拦截，我以为没有入库便扫描了一下但是扫描是可以检测到的，我检查了软件的服务发现是正常运行的，主动防御也处于启用状态但就是不拦截样本，重装后依旧如此

如果注册不了，是不是以后会主打鸿蒙pc版本？

1. 乾坤的静态引擎目前是否具有解包/脱壳的能力？如果没有，日后是否考虑加入？比如，对Inno Setup/自解压/NSIS打包，UPX这种简单压缩壳的解包脱壳能力。实现之后对通过FakeApp传播的白加黑可以提供pre-execution阶段的检测。2. 乾坤的静态引擎目前是否具备对脚本(vbs, js, ps1, AutoIT, etc.)的特征侦测能力？3. 乾坤是否考虑添加/增强引擎对感染型病毒的修复手段？

华为乾坤终端安全（个人版）请问个人版的最终收费方式是？a.完全收费b.基础防护免费+高级防护收费（类似卡巴斯基）c.完全免费（类似火绒）d.完全免费但是耍流氓（类似360）e.免费+收费+耍流氓（类似毒霸）

1.1.16.69版本更新后的行为检测仍然没有弹窗提示，但是在log中却有记录此外华为乾坤的样本自动上传能否设置一个开关？

亲爱的小伙伴：华为乾坤终端安全软件新版本来啦！产品功能优化：1. 病毒查杀日志支持查看具体病毒详情, 支持导出2.支持行为检测手动处置、自动处置开关3. 支持病毒查杀AI引擎开关4. 支持病毒查杀敏感度设置5. 支持网络磁盘、共享路径病毒查杀6. 隔离区支持批量恢复和删除功能7. 行为检测支持弹窗让用户选择处理方式8. 提升行为检测和自动处置能力9. 优化动画的视觉效果问题修复：1.解决多次升级后病毒库版本不变的问题适用系统：全面支持Windows7、Windows10、Windows 11、Windows Server 2012 R2及以上版本。体验下载方式：cid:link_0在您的帮助下，我们每天都在进步，感谢您的支持！华为乾坤终端安全软件运营团队2023年11月2日

文案错误，杀毒功能已经不再弹出新窗口了，但是点击设置按钮还是会提示“关闭杀毒窗口后再试”个人觉得产品逻辑有问题，这里其实应该允许用户打开菜单、修改设置，但是提示用户下次杀毒后再生效。（友商产品都是这样的逻辑）现在的情况下，开始杀毒后一般会需要很长时间才能完成杀毒任务，用户如果中途想改设置需要等待非常久的时间，会让用户不耐烦，增加操作上的受挫感。

亲爱的小伙伴：华为乾坤终端安全软件“小身材”守护您的终端安全，上线后第一次更新，更优体验，更强防护！产品功能优化：1. 支持主界面展示病毒库版本以及病毒库版本主动升级2.病毒查杀界面优化，不再弹出新界面3.新增右键病毒查杀的功能适用系统：全面支持Windows7、Windows10、Windows 11、Windows Server 2012 R2及以上版本。体验下载方式：cid:link_0在您的帮助下，我们每天都在进步，感谢您的支持！华为乾坤终端安全软件运营团队2023年11月2日

1 背景1.1 风控概念互联网诞生以来，互联互通的信息浪潮，压缩了传输的空间和时间，打破了以往阻绝流动的藩篱，人们的生活得到了极大的便利。尤其是在移动互联网的背景下，没有绝对的隐私，没有绝对的安全，风险无所不在。风控技术是保证机构和个人利益重要手段。风控（Risk Control）是指在金融、营销、互联网等领域中，通过识别、评估和管理风险，采取相应的措施来控制和降低风险的过程。 1.2 传统风控技术挑战随着黑灰色产业链产业化，精准化，移动化，技术化，风控技术面临巨大挑战。传统风控系统数据维度单一，多维度多场景难以协同，很难应对团伙欺诈等新变化。事中缺乏对复杂、高并发场景的实时计算能力，既要实现笔笔风控检测又要保障用户体验的双目标难以满足。另外欺诈模式隐蔽化，场景化，社工化演变，经验规则无法应对多变场景，自动化水平低。 1.3 实时智能风控的价值实时智能风控是一种利用人工智能（AI）技术对风险识别和管理的方法。它通过自研算法模型对大数据分析、机器学习等技术进行融合，提供实时、准确和全面的风险识别和管理，以保护组织免受潜在的威胁和损失。它可以应用于不同领域，如金融服务、电子商务、保险、网络安全等。2 华为云实时智能风控RTD关键能力2.1 变量和规则计算变量和规则是RTD系统核心概念。变量是规则的输入，在规则执行前会进行一系列的计算。根据变量的特征可以分为事件变量，批次变量，实时查询变量，模型变量和窗口变量等。变量和规则具有以下特点：丰富的变量来源，覆盖业务场景广泛。支持黑白名单，满足特殊业务诉求。规则可分组加权计算。支持第三方请求变量，扩展决策流。 2.2 复杂规则实现复杂规则特点：需要保存历史数据，大窗口计算，数据间有相互作用。举例： 几天内多笔转账金额上下浮动10%。 几天内多笔转帐金额连续递增。传统规则引擎做法： 类似drools规则引擎 + mysql或oracle等。缺点： 需要java代码+SQL，开发成本高。 复杂规则SQL交互多，性能很差；一般都是秒级或者分钟级响应。流处理技术做法： 通过流处理计算统计值，加CEP判断，这种一般适合于依赖历史数据少的，基于当前数据的特征或者黑白名单或者有前后顺序的数据处理。缺点： 大窗口计算性能差，甚至无法计算。 不同的计算逻辑无法共享数据，占用内存资源多。 需借助多流Join对多事件源协同处理。最好的实现方法： 超高性能的内存计算DB引擎 + 支持事务的PLSQL实现规则。 2.3 多维度协同决策维度是业务管理颗粒度，比如说卡人维度、卡片维度、商户维度等，不同的维度可以定义各自的变量和规则。实时智能风控RTD支持多多维度协同计算，决策准确性更高。 多事件源：多事件源共享内存计算引擎，实现数据共享，比如先识别登录才能转账 多维度：父子维度多维度同时决策，比如一个帐户在过去3天转帐超过5次，设备使用都是安卓，这次转账使用了非安卓手机，且IP地址不一样。 近数据源计算：规则在数据节点执行，近数据计算，实时性高，性能达到极致。 2.4 灰度发布灰度发布（Gray Deployment）是一种软件发布策略，它允许在生产环境中逐步将新版本的软件部署给一部分用户或服务器，以便在全面推广之前进行测试和评估。降低风险：灰度发布可以帮助降低发布新版本时的风险。通过逐步将新版本部署给一小部分用户或服务器，可以在全面推广之前及时发现和解决潜在的问题和错误。这样可以避免出现全面发布后对所有用户造成的严重故障或影响。提供实时反馈：通过将新版本的软件部署给一小部分用户或服务器，可以获得实时的用户反馈。这些反馈可以帮助开发团队及时了解新版本的性能、稳定性和用户体验，并根据反馈进行必要的调整和改进。控制发布节奏：灰度发布允许控制发布的节奏和速度。可以根据实际情况逐步增加新版本的部署比例，确保系统的稳定性和可用性。如果在灰度发布的过程中发现了问题，可以暂停或回滚发布，以避免对所有用户造成不良影响。 2.5 冠军挑战者冠军挑战者（Champion-Challenger）是一种在业务或技术领域中常用的策略，它通过同时运行并比较不同的解决方案或策略，以确定最佳的方案。创新和改进：冠军挑战者方案鼓励创新和改进。通过同时尝试多个解决方案或策略，可以发现新的想法和方法，提高业务或技术的效率和效果。挑战者方案可以激发竞争和创造力，推动组织不断进步和发展。降低风险：冠军挑战者方案可以降低决策的风险。通过同时运行多个方案，可以在实践中评估它们的表现和结果。这样可以避免过度依赖单一方案而导致的潜在风险和失败。如果挑战者方案表现更好，可以及时调整冠军方案，减少潜在的损失。数据驱动决策：冠军挑战者方案基于数据和实证结果进行决策。通过同时运行多个方案并收集相关数据，可以进行客观的比较和评估。这样可以基于实际数据做出决策，而不是仅凭主观判断或假设。 2.6 规则和模型融合机器学习在风控场景使用越来越广泛，它可以帮助机构和组织更好地识别、评估和管理各种风险。欺诈检测：机器学习可以用于欺诈检测，通过分析大量的交易数据和用户行为模式，识别潜在的欺诈行为。基于历史数据和模式识别算法，机器学习模型可以自动识别异常交易、盗刷和欺诈活动，帮助机构及时采取措施防止和减少损失。信用评估：机器学习可以用于信用评估，通过分析借款人的个人信息、历史借贷记录和其他相关数据，预测其违约风险。机器学习模型可以根据大量的历史数据和特征，建立预测模型来评估借款人的信用状况，并帮助机构做出更准确的信用决策。信用卡反欺诈：机器学习可以用于信用卡反欺诈，通过分析持卡人的消费模式、地理位置和其他行为特征，识别潜在的信用卡欺诈行为。机器学习模型可以实时监测交易，并根据模式识别和异常检测算法，自动识别可疑交易和欺诈行为。 3 华为云实时智能风控RTD的优势实时智能风控RTD是一个企业级分布式实时决策引擎平台，具备满足大数据量、高并发、低时延，自定义规则，水平扩展的特性，是数据到商业决策的“最后一公里”，为企业提供风控、营销等高价值的精准决策。系统的高可扩展性，能够方便融合机器学习等外部模型作为变量输入，提高决策的精确性。 高性能：实时智能风控RTD是分布式决策引擎，采用自研超高性能内存计算引擎支持近数据计算NDP。处理时延百毫秒级。处理能力可横向扩展。处理达到5000TPS。高可靠：支持Rest、异步消息接入，即可以通过不同的协议接入RTD平台。高性能的多协议接入部件，隐藏内部网络拓扑细节。业务处理单元采用分布式架构、规则执行引擎主备架构、支持分库分表。易用性：使用传统的SQL语言，容易理解，学习，编写。支持SQL/PLSQL规则定义。支持应用实时监控。满足事中和事后两种场景。自主性：支持用户自定义事件渠道、自定义维度、自定义事件源。多样数据源灵活接入。业务人员可自定义规则、自助秒级上下线规则。支持机器学习评分模式。创新性：多技术融合：规则引擎、流处理、AI、内存库、近数据计算。变量+ 规则 + AI 模型融合。规则集管理。灰度发布、冠军挑战者。4 实时智能风控RTD在金融领域的应用实时智能风控RTD在某金融机构深度使用，取得非常好的成效：风险案件下降率83%，防堵损失数亿元。12个控制渠道，覆盖95%的业务场景，侦测覆盖率提升10%。30毫秒神速响应，加速银行智能反欺诈，用户体验好。转账免动码下降85%，登录免动码下降95%，节约短信费用数千万元。金额BP值达到千分之一，行业领先。 5 展望总结随着时代技术，互联网产品形态的不断发展，风控需要持续不断的学习和对抗。移动支付占比超过70%，网络伪冒趋势不断上升。欺诈手段呈现专业化，产业化，隐蔽化，场景化，风险不断增大。未来，实时智能风控RTD将更加的注重人工智能大模型的融合和算法创新，提高风险预测的准确性和实时性。

功能说明："华为乾坤终端安全软件"（"个人版"）是华为公司面向个人用户推出的终端防御产品，贴身为个人用户提供先进的下一代病毒防御、文件恢复、文件防篡改等功能。功能特点：智能防御和阻止各类恶意软件，融合AI和强大的威胁知识库，确保您的终端免受感染风险，包括勒索、挖矿、木马、僵尸、后门、蠕虫等精准阻断；文件自动恢复能力，为用户的数据资产安全托底，如Office宏病毒感染文件恢复、勒索加密文件实时恢复等，确保数据安然无恙；文件防篡改（即将推出），为用户提供“安全文件箱”，自动保护文件安全，实时拦截恶意加密、删除等篡改行为。支持用户定义终端数据资产防篡改策略（数据存储位置，数据类型，可访问进程等）；轻量化、纯净干净：性能消耗小（实时防护CPU占用小于1%，内存占用小），默默守护个人用户安全，免打扰，无广告，不采集用户个人信息。适用系统：全面支持Windows7、Windows10、Windows 11、Windows Server 2012 R2及以上版本。体验下载方式：cid:link_0

实验：RIPng协议的配置1​ 【实验目的】1.​ 深刻理解IPv6路由协议原理。2.​ 掌握RIPng协议的配置方法2​ 【实验环境】IPv6是英文“Internet Protocol Version 6”（互联网协议第6版）的缩写，是互联网工程任务组（IETF）设计的用于替代IPv4的下一代IP协议，其地址数量号称可以为全世界的每一粒沙子编上一个地址。由于IPv4最大的问题在于网络地址资源有限，严重制约了互联网的应用和发展。IPv6的使用，不仅能解决网络地址资源数量的问题，而且也解决了多种接入设备连入互联网的障碍。互联网数字分配机构（IANA）在2016年已向国际互联网工程任务组（IETF）提出建议，要求新制定的国际互联网标准只支持IPv6，不再兼容IPv4。RIPng的度量是基于跳数(hops count)的，每经过一台路由器，路径的跳数加l。如此一来，跳数越多，路径就越长，路由算法会优先选择跳数少的路径。RIPng支持的最大跳数是15，跳数为16的网络被认为不可达。实验拓扑图如下图所示。3​ 【实验过程】RTA配置sysEnter system view, return user view with Ctrl+Z.[RTA]sys RTA[RTA][RTA]ipv6[RTA][RTA]int g0/0/0[RTA-GigabitEthernet0/0/0]ipv6 en[RTA-GigabitEthernet0/0/0]ipv6 address auto link-local[RTA-GigabitEthernet0/0/0]ripng 1 en[RTA-GigabitEthernet0/0/0]q[RTA][RTA]int loopback0[RTA-LoopBack0]ipv6 en[RTA-LoopBack0]ipv6 add 2001:1::1/64[RTA-LoopBack0]ripng 1 en[RTA-LoopBack0]qRTB配置sysEnter system view, return user view with Ctrl+Z.[RTB]sys RTB[RTB][RTB]ipv6[RTB]int g0/0/0[RTB-GigabitEthernet0/0/0][RTB-GigabitEthernet0/0/0]ipv6 en[RTB-GigabitEthernet0/0/0]ipv6 address auto link-local[RTB-GigabitEthernet0/0/0]ripng 1 en[RTB-GigabitEthernet0/0/0]q[RTB][RTB]int loopback0[RTB-LoopBack0]ipv6 en[RTB-LoopBack0]ipv6 add 2001:2::1/64[RTB-LoopBack0]ripng 1 en[RTB-LoopBack0]q4​ 【实验结果】验证RTA验证：RTB验证：由实验结果可以看出，两个路由器RTA与RTB通过添加了RIPng协议之后可以进行相互通讯和学习。5​ 【实验总结】5.1​ 了解IPv6与RIPngIPv6的地址长度为128位，是IPv4地址长度的4倍。于是IPv4点分十进制格式不再适用，采用十六进制表示。IPv6有3种表示方法。5.1.1​ IPv65.1.1.1​ 冒分十六进制表示法格式为X:X:X:X:X:X:X:X，其中每个X表示地址中的16b，以十六进制表示，例如：ABCD:EF01:2345:6789:ABCD:EF01:2345:6789这种表示法中，每个X的前导0是可以省略的，例如：2001:0DB8:0000:0023:0008:0800:200C:417A→ 2001:DB8:0:23:8:800:200C:417A5.1.1.2​ 0位压缩表示法在某些情况下，一个IPv6地址中间可能包含很长的一段0，可以把连续的一段0压缩为“::”。但为保证地址解析的唯一性，地址中”::”只能出现一次，例如：FF01:0:0:0:0:0:0:1101 → FF01::11010:0:0:0:0:0:0:1 → ::10:0:0:0:0:0:0:0 → ::5.1.1.3​ 内嵌IPv4地址表示法为了实现IPv4-IPv6互通，IPv4地址会嵌入IPv6地址中，此时地址常表示为：X:X:X:X:X:X:d.d.d.d，前96b采用冒分十六进制表示，而最后32b地址则使用IPv4的点分十进制表示，例如::192.168.0.1与::FFFF:192.168.0.1就是两个典型的例子，注意在前96b中，压缩0位的方法依旧适用。5.1.2​ RIPng5.1.2.1​ 路由更新RIPng中路由的更新是通过定时广播实现每个路由表有一个更新计时器，缺省情况下，路由器每隔30秒向与它相连的网络广播自己的路由表，接到广播的路由器将收到的信息添加至自身的路由表中。每个路由器都如此广播，最终网络上所有的路由器都会得知全部的路由信息。正常情况下，每30秒路由器就可以收到一次路由信息确认，如果经过180秒，即6个更新周期，1个路由项都没有得到确认，路由器就认为它已失效了。如果再经过120秒，路由项仍没有得到确认，它就被从路由表中删除。上面的30秒、180秒和120秒的延时都是由计时器控制的，它们分别是更新计时器、暂时超时计时器和垃圾收集计时器。5.1.2.2​ 报文格式RIPng报文用UDP数据报进行传输，使用端口号521发送和接收数据报。RIPng报文分为两类：选路信息报文和用于请求信息的报文。它们都使用相同格式，由固定的首部和路由表项I盯E(Route Table Entry)组成，其中路由表项可以有多个，如图2所示。首部包括命令字段和版本号字段。同RIP一样，命令字段用来区分报文要实现的各种操作。其中命令号1表示请求部分或全部选路信息，命令号2表示响应。RIPng：路由选择信息协议下一代（应用于IPv6）5.1.2.3​ RIPng工作原理路由器通常不会主动发出请求报文来进行路由请求，路由请求通常只是在路由器刚启动或是路由器正在寻找路由信息时才会发出请求报文以获得响应。路由器在查询响应、周期更新、触发更新三种情况下会收到响应报文。路由器根据响应报文判断是否对本地路由表进行更新。由于响应报文可能对本地路由表进行改动，因此对报文的来源必须进行严格的检查，以确认报文的合法性。5.1.3​ RIPv1 RIPv2和RIPng的比较5.1.3.1​ 地址版本。RIPv1、RIPv2是基于IPv4的，地址域只有32bit，而RIPng基于IPv6，使用的所有地址均为128bit。5.1.3.2​ 子网掩码和前缀长度。RIPv1被设计成用于无子网的网络，因此没有子网掩码的概念，这就决定了RIPv1不能用于传播变长的子网地址或用于CIDR的无类型地址。RIPv2增加了对子网选路的支持，因此使用子网掩码区分网络路由和子网路由。IPv6的地址前缀有明确的含义，因此RIPng中不再有子网掩码的概念，取而代之的是前缀长度。同样也是由于使用了IPv6地址，RIPng中也没有必要再区分网络路由、子网路由和主机路由。5.1.3.3​ 协议的使用范围。RIPv1、RIPv2的使用范围被设计成不只局限于TCP/IP协议簇，还能适应其他网络协议簇的规定，因此报文的路由表项中包含有网络协议簇字段，但实际的实现程序很少被用于其他非IP的网络，因此RIPng中去掉了对这一功能的支持。5.1.3.4​ 对下一跳的表示。RIPv1中没有下一跳的信息，接收端路由器把报文的源IP地址作为到目的网络路由的下一跳。RIPv2中明确包含了下一跳信息，便于选择最优路由和防止出现选路环路及慢收敛。与RIPv2不同，为防止RTE过长，同时也是为了提高路由信息的传输效率，RIPng中的下一跳字段是作为一个单独的RTE存在的。5.1.3.5​ 报文长度。RIPv1、RIPv2中对报文的长度均有限制，规定每个报文最多只能携带25个RTE。而RIPng对报文长度、RTE的数目都不作规定，报文的长度是由介质的MTU决定的。RIPng对报文长度的处理，提高了网络对路由信息的传输效率。5.1.3.6​ RIPng使用FF02::9这个地址进行组播更新。5.2​ 简单配置配置思路：首先对RTA进行一系列配置：包括开启IPv6地址和RIPng服务，并对其进行细致配置。同理对RTB进行类似的配置。5.3​ DHCPv6查看命令：dis ripng //查看路由器中ripng设置的相关信息Ping ipv6 X:X:X:X:X:X:X:X (其中每个X表示地址中的16b，以十六进制表示) //用于IPv6地址之间的连通性检测

鲲鹏在线课程 | 如何安装图分析算法加速库https://bbs.huaweicloud.com/forum/thread-0275992444435810001-1-1.html信息安全基础笔记分享https://bbs.huaweicloud.com/forum/thread-0232996713006900009-1-1.html公钥加密技术https://bbs.huaweicloud.com/forum/thread-0252996715337630015-1-1.html数字签名技术笔记分享https://bbs.huaweicloud.com/forum/thread-0232996720165530011-1-1.htmlOSI七层模型与TCP-IP对等模型笔记分享https://bbs.huaweicloud.com/forum/thread-0224997187189370013-1-1.htmlGRE VPN 技术原理笔记分享https://bbs.huaweicloud.com/forum/thread-0294997198218210016-1-1.htmlpython常用魔法方法的总结https://bbs.huaweicloud.com/forum/thread-0293998280466220037-1-1.html在华为鲲鹏云服务器和openEuler系统上安装Dockerhttps://bbs.huaweicloud.com/forum/thread-0246996419029100007-1-1.html【鲲鹏应用使能套件】BoostKit虚拟化https://bbs.huaweicloud.com/forum/thread-0224984668898720003-1-1.htmlLua脚本在Redis事务中的应用实践https://bbs.huaweicloud.com/forum/thread-0224997170377370011-1-1.html如何实现数据库读一致性？https://bbs.huaweicloud.com/forum/thread-0232996591560620006-1-1.htmlMySQL DDL执行方式-Online DDL介绍https://bbs.huaweicloud.com/forum/thread-0205993680603270007-1-1.htmlMySQL--GTID是什么https://bbs.huaweicloud.com/forum/thread-0252992140660740045-1-1.htmlMySQL调优之慢查询日志应用https://bbs.huaweicloud.com/forum/thread-0213990421227730027-1-1.html事务基础知识https://bbs.huaweicloud.com/forum/thread-0228987004816880011-1-1.html如何干涉MySQL优化器使用hash join？https://bbs.huaweicloud.com/forum/thread-0216985285596500001-1-1.html5分钟了解Redis的内部实现快速列表（quicklist）https://bbs.huaweicloud.com/forum/thread-0216980964209030013-1-1.html在华为鲲鹏云服务器和openEuler系统上基于Jexus部署.net环境和aspx网站https://bbs.huaweicloud.com/forum/thread-0293996418455000010-1-1.html基于华为鲲鹏云服务器和openEuler系统安装宝塔服务https://bbs.huaweicloud.com/forum/thread-0213991178215550036-1-1.html

数字签名：不可否认性。 数据签名就是对消息摘要（hash）的加密。（发送方的私钥加密） 发送使用私钥对hash进行加密过程中得到的密文即为签名信息。 a将加密文件和数字签名发送给b，b通过a的公钥解密数字签名和加密文件（身份认证）后，得到的hash在和文件的hash进行对比看是否一致（数据完整性）一致则保证了数据的完整性，身份证和不可否认性。   小例题：小明=a，小红=b，眼镜男=c。 a通过hash加密后把文件发给c，同时告知c文件的hash，c收到后进行hash比较，如果不一致则文件被b篡改。 a通过私钥加密数字签名发送给c，c用a的公钥进行解密，确保身份认证正常，同时拿到文件hash。然后通过对称加密，加密文件，同时使用c的公钥加密对称密钥。文件和数字信封一起发给c，c收到后使用私钥解开数字信封，用里面的对称密钥打开加密文件，然后查看文件和数字签名的hash是否一致，一致则代表（数据完整性），反之，文件是被篡改的（不完整）。 公钥技术的规模应用难题： 如何把公钥分发出去。 分发后如何确保公钥的真实性。 公钥如何管理，假设我更换了公钥，对方如何得知，如何保证对方得到的公钥是最新的。 如果公钥得不到认证，如何实现不可否认性。 载体：证书 由权威第三方机构颁发的CA证书。 证书可以颁发给，计算机，用户，服务。 证书规格X.509v3版本 证书包含：使用者公钥，标识信息，有效期，颁发者的标识信息和数字签名。 数字证书类似身份证。 CA的核心功能是颁发和管理数字证书。 CA的作用：处理证书的申请，发放，更新，查询，撤销，吊销，归档。 证书是身份证，CA就是公安局。 个人/企业申请证书请求发给RA,由RA和用户确认，完毕后，由RA把申请提交发送至CA，CA处理完毕后把证书发给RA，再由RA传给个人/企业。 RA等同于CA的下属机构，用于对个人/企业申请证书信息的汇总/分发。 CA是证书和PKi体系的核心。 证书常见应用  总结： 数字信封： 通过非对称加密公钥加密对称密钥，发送到目标。 用于保证机密性。 数字签名： 通过非对称加密私钥加密摘要信息和文件，目标使用公钥解密摘要信息和文件，后进行对比。 用于保证身份认证真实性和完整性。 数字证书： 通过第三方权威机构（CA）对公钥进行公证，保证数据传输的不可否认性。 总结 证书是最终的解决方案。