数字签名及PKI技术.ppt

上传人:小飞机 文档编号:6577110 上传时间:2023-11-14 格式:PPT 页数:79 大小:986KB
返回 下载 相关 举报
数字签名及PKI技术.ppt_第1页
第1页 / 共79页
数字签名及PKI技术.ppt_第2页
第2页 / 共79页
数字签名及PKI技术.ppt_第3页
第3页 / 共79页
数字签名及PKI技术.ppt_第4页
第4页 / 共79页
数字签名及PKI技术.ppt_第5页
第5页 / 共79页
点击查看更多>>
资源描述

《数字签名及PKI技术.ppt》由会员分享,可在线阅读,更多相关《数字签名及PKI技术.ppt(79页珍藏版)》请在三一办公上搜索。

1、上节的主要内容,Hash函数密钥管理,第四讲 数字签名,数字签名的概念,所谓数字签名(Digital Signature),也称电子签名,是指附加在某一电子文档中的一组特定的符号或代码,它是利用数学方法和密码算法对该电子文档进行关键信息提取并进行加密而形成的,用于标识签发者的身份以及签发者对电子文档的认可,并能被接收者用来验证该电子文档在传输过程中是否被篡改或伪造。,数字签名满足的条件,签名是可以被确认的;签名是不可伪造的;签名是不可重用的;签名是不可抵赖的;第三方可确认签名但不能篡改;,数字签名方案的组成,一般数字签名包括三个过程:,系统初始化过程:生成数字签名方案用到的所有参数。签名生成过

2、程 用户利用给定的算法对消息产生签名s=Sig(m)。签名验证过程 验证者利用公开的验证方法对给定消息的签名进行验证,得出签名的有效性。Ver(s,m)=0或1,数字签名的原理,Elgamal签名体制,初始化:首先选择一个大素数p,使在Zp中求解离散对数困难。然后选择一个生成元gZp*,计算y=gx mod p,则公开密钥y,g,p,私钥x。签名过程:设待签消息为m,签名者选择随机数kZp*,计算:r=(gk mod p)s=(h(m)-xr)k-1 mod(p-1)则数字签名为(s,r),其中h()为Hash函数。,Elgamal签名体制(续),验证过程:签名接受者在收到消息m和签名值(r,

3、s)后,首先计算h(m),然后验证等式:yrrs=gh(m)mod p 如等式成立,则数字签名有效;否则签名无效。,Elgamal签名正确性,因为:r=(gk mod p)s=(h(m)-xr)k-1 mod(p-1)所以:ks=h(m)-xr mod(p-1)gks=gh(m)-xr mod p gks gxr=gh(m)mod p yrrs=gh(m)mod p,数字签名的扩展,代理签名群签名盲签名多重签名不可否认的数字签名门限的数字签名,代理签名,代理签名是指原始签名者把他的签名权授给代理者,代理者代表原始签名者行使他的签名权。当验证者验证代理签名时,验证者既能验证这个签名的有效性,也能

4、确信这个签名是原始签名者认可的签名。,全代理方式部分代理方式(非保护代理和保护代理)委任状代理方式,群(组)签名,群签名就是一个群体中一个成员可以以匿名的方式代表整个群体对消息进行签名,一旦发生争论,从消息的群签名中权威者(组长)可以辨别签名者。在实际中有广泛的应用。特点:,匿名性不关联性可跟踪性,盲签名,盲数字签名是一种特殊的数字签名,当用户A发送消息m给签名者B时,一方面要求B对消息签名,另一方面又不让B知道消息的内容,也就是签名者B所签的消息是经过盲化处理的。盲签名除具有一般数字签名的特点外,还有下面两个特征:(1)签名者无法知道所签消息的具体内容,虽然他为这个消息签了名。(匿名性)(2

5、)即使后来签名者见到这个签名时,也不能将之与盲消息对应起来。(不可跟踪性),多重数字签名,在数字签名应用中,有时需要多个用户对同一文件进行签名和认证,比如,一个公司发表的声明涉及到财务部、开发部、销售部、售后服务部等部门,需要这些部门签名认可,那么,需要这些部门对这个声明文件进行签名。能够实现多个用户对同一文件进行签名的数字签名方案称为多重数字签名(Digital Multi-signature)方案。根据不同的签名过程,多重数字签名方案可分两类:有序多重数字签名(Sequential Multisignature)广播多重数字签名(Broadcasting Multisignature),有

6、序多重签名方案的简介,文件发送者规定文件签名顺序,然后将文件发送到第一个签名者,除了第一个签名者外,每一位签名者收到签名文件后,首先验证上一签名的有效性,如果签名有效,继续签名,然后将签名文件发送到下一个签名者;如果签名无效,拒绝对文件签名,终止整个签名过程。当签名验证者收到签名文件后,验证签名的有效性,如果有效,多重数字签名有效;否则,多重数字签名无效。下图描述了有序多重数字签名方案。,广播多重签名方案的简介,在广播多重数字签名方案中,文件发送者同时将文件发送给每一位签名者进行签名,然后签名者将签名文件发送到签名收集者,由收集者对签名文件进行整理并发送给签名验证者,签名验证者验证多重签名的有

7、效性。下图描述了广播多重数字签名方案。,不可否认的数字签名,不可否认的数字签名就是在签名人合作的条件下才能验证签名。不可否认的数字签名除了一般签名体制中的签名算法和验证算法外,还需要有否认协议,即利用否认协议证明一个伪造的签名确实是假的。如签名人拒绝参与执行否认协议就证明签名事实上是真的由他签署的。,门限的数字签名,在(t,n)门限签名方案中,n个成员共享群体的签名密钥,使得任何不少于t个成员的子集可以代表群体产生签名,而任何少于t个成员的子集则不能产生签名.门限签名方案的基本假设是:在系统生命周期中,至少只有(t-1)个非诚实成员.,双重数字签名,所谓双重数字签名就是在有的场合,发送者需要寄

8、出两个相关信息给接收者,对这两组相关信息,接收者只能解读其中一组,另一组只能转送给第三方接收者,不能打开看其内容。这时发送者就需分别加密两组密文,做两组数字签名,故称双重数字签名。,双重数字签名(举例说明),在电子商务应用中,参与方位持卡人、商户和结算银行。当持卡人客户登录商户网站,提出申请购物时,持卡人要向商户提出两组信息:向商户直接提出订购信息的同时,还必须向银行提出付款信息,以便授权银行付款。但其中处理过程要有两个要点,即:持卡人不希望商户知道自己的银行支付帐号的有关信息;同时也不希望银行方面知道具体的购物内容,只需按金额贷记或借记帐户就可。,持卡者实现过程,商户实现过程,银行实现过程,

9、数字签名小结,掌握数字签名的基本概念和原理了解数字签名的扩展及其实际意义理解双重数字签名的实现过程,课后作业题,1.请通过Internet查找属于下面类型的常用算法,并简单介绍算法的特点:序列密码 分组密码 公钥密码 散列函数 数字签名2.谈谈对这门课的学习体会和建议。请写明学号、班级和姓名,下次上课交给我。,第五讲 PKI技术,逻辑安全的主要威胁,假冒:指非法用户假冒合法用户身份获取敏感信息;截取:指非法用户截获通信网络的数据;篡改:指非法用户改动所截获的信息和数据;否认:指通信的单方或多方事后否认曾经参与某次活动;,常见的解决方法,信息窃取,信息传递,信息冒充,信息篡改,信息抵赖,加密技术

10、,完整性技术,认证技术,数字签名,PKI的含义,PKI(Public Key Infrastructure)是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。,PKI的内容和目标,PKI技术以公钥技术为基础,以数字证书为媒介,结合对称加密和非对称加密技术,将个人、组织、设备的标识信息与各自的公钥捆绑在一起,其主要目的是通过自动管理密钥和证书,为用户建立起一个安全、可信的网络运行环境,使用户可以在多种应

11、用环境下方便地使用加密和数字签名技术,在互联网上验证用户的身份,从而保证了互联网上所传输信息的真实性、完整性、机密性和不可否认性。PKI是目前为止既能实现用户身份认证,又能保证互联网上所传输数据安全的惟一技术。,PKI的理解,基于公开密钥理论和技术建立起来的安全体系。一个被广泛认识并且被普遍接受的相当标准化的结构。提供信息安全服务的具有普适性的安全基础设施。CA认证、数字证书、目录服务以及相关安全应用组件模块的集合。是国家信息化的基础设施,是相关技术、应用、组织、规范和法律法规的总和。核心是要解决信息网络空间中的信任问题,确定可信赖的数字身份。似乎可以解决绝大多数网络安全问题,并初步形成了一套

12、完整的解决方案。,PKI标准体系,PKI标准体系(续),PKI技术发展现状及趋势,自20世纪90年代初期以来,作为电子商务信息安全的关键和基础性技术的PKI逐步得到了许多国家的政府和企业的广泛重视,PKI技术由理论研究进入到商业化应用阶段。PKI技术经过近十年的发展已日趋成熟,许多新技术还在不断涌现,CA之间的信任模型、使用的加解密算法、密钥管理的方案等也在不断变化中。PKI的应用涉及电子商务、电子政务、电子事务等诸多领域,PKI具有非常广阔的市场应用前景。我国的PKI行业起步较晚,PKI行业的建立还只有不到五年的时间,但其发展还是十分迅速的。国内的这些认证中心可分为三大类:行业性认证中心、区

13、域性认证中心和纯商业性认证中心。,PKI的优势,节省费用透明性和易用性互操作性可扩展性多用性支持多平台,数字证书的概述,公钥算法的一个最大问题就是确认获得对方公钥的身份。数字证书是一种包含了重要信息的载体,它证明了证书所有人和所持有的公钥的真实性,由一个可信的中介机构进行签名,这可以使获得证书的人只要信任这个可信的中介机构,就可以相信他所获得的证书了。,数字证书,版本号:用来区分X.509的不同版本,v3(2)。序列号:由CA给予每一个证书的分配惟一的数字型编号。认证机构标识:颁发该证书的机构惟一的CA的X.500名字。主体标识:证书持有者的名称。主体公钥信息:和该主体私钥相对应的公钥。证书有

14、效期:证书有效时间包括两个日期:证书开始有效期和证书失效期。密钥/证书用法:描述该主体的公/私密钥对的合法用途。扩展:说明该证书的附加信息。认证机构签名:用认证机构的私钥生成的数字签名。,数字证书的安全性,证书是公开的,可复制的。任何具有CA公钥(根证书/CA证书,自签名证书)的用户都可以验证证书有效性除了CA以外,任何人都无法伪造、修改证书。证书的安全性依赖于CA的私钥。,PKI主要包含内容,认证中心 证书签发机构,是PKI的核心,使PKI 应用中权威的、可信任的、公正的第三方机构。证书库 证书的集中存放地,提供公众查询。密钥备份及恢复系统 对用户的解密密钥进行备份,当丢失时进行恢复,而签名

15、密钥不用备份和恢复。证书撤销处理系统 证书由于某种原因需要作废,终止使用,将通过证书撤销列表CRL来实现。PKI应用接口系统 为各种各样的应用提供安全、一致、可信任的方式与PKI交互,确保所建立起来的网络环境安全可靠,并降低管理成本。,PKI主要组件,PKI主要组件的简介,公钥证书:由可信实体签名的电子记录,记录将公钥和密钥(公私钥对)所有者的身份捆绑在一起。公钥证书是PKI的基本部件。根CA:一个单独的、可信任的根CA是PKI的基础,生成一个自签名证书,亦称CA证书或根证书。注册机构和本地注册机构:接受个人申请,检查其中信息并发送给CA。RA可设计成CA的代理处,分担CA的一定功能以增强可扩

16、展性。目录服务(资料库):PKI的一个重要组成部分,主要用于发布用户的证书和证书作废列表(黑名单)。,PKI主要组件的简介(续),管理协议:用于管理证书的注册、生效、发布和撤销。PKI管理协议包括PKI CMP、消息格式、CMMF、PKCS#10。操作协议:允许用户方便地通过证书库检索和验证证书和CRL。在大多数情况下,操作协议与现有协议(如Ftp、Http、Ldap等)共同合作。最终用户(End User):也称最终实体(End-Entity),可以是人,也可以是机器,如路由器,或计算机中运行的进程,如应用系统。,CA的简介,CA机构,又称为证书授证(Certificate Authorit

17、y)中心,作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的用户发放一个数字证书,数字证书的作用是证明证书中列出的用户合法拥有证书中列出的公开密钥。CA机构的数字签名使得攻击者不能伪造和篡改证书。它负责产生、分配并管理所有参与网上交易的个体所需的数字证书,因此是安全电子交易的核心环节。,认证机构CA,认证中心:CA负责签发证书和管理证书,对证书的真实性负责,是PKI的核心。互联网定义:一个可信实体,发放和作废公钥证书,并对各作废证书列表签名。美国防部定义:一个授权产生,签名,发放公钥证书的实体。CA全面负责证书发行和管理(即,注册进程控制,身份

18、标识和认证进程,证书制造进程,证书公布和作废及密钥的更换)。CA还全面负责CA服务和CA运行。美联邦政府定义:被一个或多个用户所信任发放和管理X.509公钥证书和作废证书的机构。,认证中心(CA)组成,签名和加密服务器 对于数字证书和被撤销的数字证书,应有认证机构的数字签名。密钥管理服务器 与签名加密服务器连接,按配置生成密钥、撤销密钥、恢复密钥和查询密钥。证书管理服务器 主要完成证书的生成、作废等操作控制。证书发布和CRL发布服务器 用于将证书信息按一定时间间隔对外发布,为客户提供证书下载和CRL下载等服务。在线证书状态查询服务器 证书用户随时都知道某个证书的最新状态。Web服务器 用于证书

19、发布和有关数据认证系统政策的发布。,CA的核心功能,接受验证最终用户数字证书的申请。确定是否接受最终用户数字证书的申请(证书审批)。向申请者颁发、拒绝颁发数字证书(证书发放)。接受、处理最终用户的数字证书更新请求(证书更新)。接受最终用户数字证书的查询、撤销。产生和发布证书注销列表(CRL)。数字证书的归档。密钥归档。历史数据归档。,注册中心(RA),注册中心是数字证书注册审批机构。RA 系统是CA系统的证书发放、管理的延伸,是整个CA中心得以正常运营不可缺少的一部分。但有的系统中,将RA合并在CA中。一般而言,注册中心控制注册、证书传递、其他密钥和证书生命周期管理过程中主体和PKI间的交换。

20、在任何环境下,RA都不发起关于主体的可信声明。,RA的功能,主体注册证书的个人认证。确定主体所提供信息的有效性。对被请求证书属性确定主体的权利。在需要撤销时报告报告密钥泄露或终止事件。为识别身份的目的分配名字。在注册初始化和证书获得阶段产生共享秘密。产生公私钥对。认证机构代表主体开始注册过程。私钥归档。开始密钥恢复处理。包含私钥的物理设备的分发。,密钥生命周期,证书管理,证书注册证书存放证书撤销证书验证证书状态查询,证书注册,申请人提交证书请求。RA对证书请求进行审核。CA生成证书。下载并安装证书证书发布,证书库,9.证书发布,证书请求,证书请求消息-被用来向CA传递一个产生X.509证书请求

21、(可能通过RA)。请求消息一般包括公钥和有关的登记信息。证书请求构成的步骤如下:产生CertRequest值,其值包括:公钥,所有或部分的终端实体(EE)的名字,其他所要求的证书值域,以及与登记过程相联系的控制 信息。可以通过计算CertRequest的值来证明拥有与所请求的证书的公钥相联系的私钥,即可计算出POP(proof of possession,拥有私钥的证明)的值。以上两项所需要的其他登记信息,这些信息和POP值,CertRequest结构组成证书请求信息。证书请求信息被秘密传递给CA。,证书的更新,最终实体证书更新 证书过期 一些属性的改变 发放新证书CA证书更新 旧用新证书 新

22、用旧证书,证书存放,使用IC卡存放直接存放在磁盘或自己的终端上USB Key证书库,证书撤销,当条件(雇佣关系结束、证书中信息修改等)要求证书的有效期在证书结束日期之前终止,或者要求用户与私钥分离时(私钥可能以某种方式泄露),证书被撤销。,证书库,3.撤销发布,证书撤销列表,用户在使用一个证书之前,必须检查证书是否已被撤销,证书撤销列表(CRL)会无限增加吗?,证书验证,使用CA证书验证终端实体证书有效性。检查证书的有效期,确保该证书是否有效。检查该证书的预期用途是否符合CA在该证书中指定的所有策略限制。在证书撤销列表(CRL)中查询确认该证书是否被CA撤销。,证书状态查询,定期下载证书撤销列

23、表(CRL)。在线证书状态协议OCSP(Online Certificate Status Protocol),其目的为了克服基于CRL的撤销方案的局限性,为证书状态查询提供即时的最新响应。OCSP使用证书序列号、CA名称和公开密钥的散列值作为关键字查询目标的证书。,PKI的运行举例,1)终端用户向证明机构(CA)提出数字证书申请;2)CA验明终端用户身份,并签发数字证书;3)CA将证书公布到证书库中;4)终端用户对电子信件数字签名作为发送认证,确保信件完整性,不可否认性,并发送给接受方。5)接受方接收信件,根据终端用户标识向证书库查询证书的状态;6)下载终端用户证书并用其公钥验证数字签名,确

24、定电子信件数字签名的有效性;,证书机构 CA,证书库,终端用户,接受方,3,1,2,4,6,5,数字证书的应用,现有持证人甲向持证人乙传送数字信息,为了保证信息传送的真实性、完整性和不可否认性,需要对要传送的信息进行数字加密和数字签名,其传送过程如下:(1)甲准备好要传送的数字信息(明文)。(2)甲对数字信息进行哈希(hash)运算,得到一个信息摘要。(3)甲用自己的私钥(SK)对信息摘要进行加密得到甲的数字签名,并将其附在数字信息上。(4)甲随机产生一个加密密钥(DES密钥),并用此密钥对要发送的信息进行加密,形成密文。(5)甲获得乙的证书,并用CA证书验证及检查证书撤销列表验证乙证书是否有

25、效。(6)甲用乙的公钥(PK)(来自证书)对刚才随机产生的加密密钥进行加密,将加密后的DES密钥连同密文一起传送给乙。,数字证书的应用(续),(7)乙收到甲传送过来的密文和加过密的DES密钥,先用自己的私钥(SK)对加密的DES密钥进行解密,得到DES密钥。(8)乙然后用DES密钥对收到的密文进行解密,得到明文的数字信息,然后将DES密钥抛弃(即DES密钥作废)。(9)乙获得甲的证书,并用CA证书验证及检查证书撤销列表验证甲证书是否有效。(10)乙用甲的公钥(PK)(来自证书)对甲的数字签名进行解密,得到信息摘要。(11)乙用相同的hash算法对收到的明文再进行一次hash运算,得到一个新的信

26、息摘要。(12)乙将收到的信息摘要和新产生的信息摘要进行比较,如果一致,说明收到的信息没有被修改过。,CA的策略,CA私钥的保护。证书申请时密钥对的产生方式。用户私钥的保护CRL的更新频率通知服务:对于用户的申请和证书过期、废除等有关事宜的回复。保护CA服务器。审计和日志检查,API接口,签名函数验证函数加密函数解密函数随机数生成函数散列函数证书有效性验证函数 验证CRL 有效性的函数OCSP 查询函数TSA 申请函数TSA 验证函数,CA的系统结构,PKI信任模型,单一模型CA树状模型CA对等模型CA网状模型CA,单一模型CA,比较理想建立单一的认证机构(CA),由它管理所有证书:特殊的应用

27、领域有着特殊的安全需求(安全策略不同)。证书颁发和撤销难于直接控制。证书库难于维护,难于满足实际性能的需求。根私钥的维护更加困难。多CA带来问题是如何建立CA之间的信任关系,树状模型CA,A,B,根CA,A,B均用根CA所发证书完成初始化,树状模型CA(续),颁发者北京邮电大学,主体公钥,主体北京邮电大学,北京邮电大学CA签名,颁发者北京邮电大学,主体公钥,主体信息工程学院,北京邮电大学CA签名,颁发者信息工程学院,主体公钥,主体张三,信息工程学院CA签名,用户的公/私钥对,信息工程学院的公/私钥对,北京邮电大学的公/私钥对,对等模型CA,BA,B,A,AB,对等模型CA(续),颁发者计算机学

28、院,主体公钥,主体信息工程学院,计算机学院CA签名,颁发者信息工程学院,主体公钥,主体计算机学院,信息工程学院CA签名,颁发者计算机学院,主体公钥,主体李四,计算机学院CA签名,李四的公/私钥对,信息工程学院的公/私钥对,计算机学院的公/私钥对,颁发者信息工程学院,主体公钥,主体张三,信息工程学院CA签名,张三的公/私钥对,桥CA,不同信任域之间的桥梁CA,主要负责为不同信任域的根CA颁发交叉认证的证书,建立各个信任域的担保等级与桥CA的担保等级之间的一一映射关系,更新交叉认证证书,发布交叉认证证书注销黑名单。但是它不要求一个机构在与另一个机构发生信任关系时必须遵循所确定的这种映射关系,而是可

29、以采用它认为合适的映射关系确定彼此之间的信任。,网状模型CA,A,B,桥,桥B,桥A,A桥,B桥,A桥,B桥,桥A,桥B,时间戳服务,时间戳服务就是时间戳协议(TSP Time Stamp Protocol)通过时间戳(Time Stamp Authority)的服务来提供数据在特定时间存在的证据。安全时间戳服务用来证明一组数据在某个特定时间是否存在。它可以被用于证明像电子交易或文档签名这样的电子行为的发生时间,如果行为具有法律或资金方面的影响,那么时间戳尤为有用。,时间戳应用背景,由于用户桌面时间很容易改变,由该时间产生的时间戳不可信赖,因此需要一个可信任的第三方来提供可信赖的且不可抵赖的时

30、间戳服务。TSA的主要功能是提供可靠的时间信息,证明某份文件(或某条信息)在某个时间(或以前)存在,防止用户在这个时间前或时间后伪造数据进行欺骗活动。,TSA在PKI 中的地位,TSA(Time Stamp Authority),时间戳权威,是一个可信的第三方时间权威。它是PKI 中的重要组成部分。是支持不可否认服务的一个关键因素。不可否认服务需要一个安全时间戳来证明某个事件发生在某个特定时间。例如:Alice用自己的私钥对一张支票签名并把它发送给Bob。现在Alice 想反悔,她故意把私钥四处散发,并通过CA 撤销自己的签名证书,以证明签名的并不是自己。现在要揭穿Alice 是在抵赖,就需要

31、有时间戳来证明她的证书撤销是发生在签名之后。仅仅是为了支持不可否认的目的,并不需要一个正确的时间,只要是能标记各项动作发生的先后关系即可。但在很多情况下,一个权威的真正正确的时间是非常有用的,所以要求使用官方时间源提供的标准时间。,TSA 的工作流程,1.客户端首先计算所选文件的数字指纹,通常是做一次Hash.2.客户端将对文件计算的 Hash 值发送给 TSA,TSA 将当前时间值加入数字指纹,然后用私有密钥对这个信息数字签名,并产生一个时间邮戳(Time stamp)。3.TSA 将时间邮戳返回到客户端存储(客户端需要验证时间邮戳的有效性)。这样时间邮戳就跟文件绑在一起作为文件在某个时间内

32、有效的证据。,小结CA的主要职责,证书的结构,如何实现用户身份与其公钥的绑定。证书颁发:申请者在CA的注册机构(RA)进行注册,申请证书。证书废除:证书持有者可以向CA申请废除证书。证书和CRL的公布:通过服务器维护用户证书和黑名单()。证书状态的在线查询():比更具有时效性。证书认证:在多系统中,提供对其它发布的证书的安全认证。,PKI应用的考虑,性能尽量少用公钥加解密操作,在实用中,往往结合对称密码技术,避免对大量数据作加解密操作除非需要数据来源认证才使用签名技术,否则就使用MAC或者HMAC实现数据完整性检验在线和离线模型签名的验证可以在离线情况下完成用公钥实现保密性也可以在离线情况下完成离线模式的问题:无法获得最新的证书注销信息证书中所支持算法的通用性在提供实际的服务之前,必须协商到一致的算法个体命名如何命名一个安全个体,取决于CA的命名登记管理工作,谢 谢!,

展开阅读全文
相关资源
猜你喜欢
相关搜索
资源标签

当前位置:首页 > 生活休闲 > 在线阅读


备案号:宁ICP备20000045号-2

经营许可证:宁B2-20210002

宁公网安备 64010402000987号