【正文】 全管理使用。 自主式接入控制簡(jiǎn)記為DAC。它由資源擁有者分配接入權(quán)，在辨別各用戶的基礎(chǔ)上實(shí)現(xiàn)接入控制。每個(gè)用戶的接入權(quán)由數(shù)據(jù)的擁有者來(lái)建立，常以接入控制表或權(quán)限表實(shí)現(xiàn)。強(qiáng)制式接入控制簡(jiǎn)記為MAC。它由系統(tǒng)管理員來(lái)分配接入權(quán)限和實(shí)施控制，易于與網(wǎng)絡(luò)的安全策略協(xié)調(diào)，常用敏感標(biāo)記實(shí)現(xiàn)多級(jí)安全控制。加密橋技術(shù)一種在加/解密卡的基礎(chǔ)上開(kāi)發(fā)加密橋的技術(shù)，可實(shí)現(xiàn)在不降低加密安全強(qiáng)度旁路條件下，為數(shù)據(jù)庫(kù)加密字段的存儲(chǔ)、檢索、索引、運(yùn)算、刪除、修改等功能的實(shí)現(xiàn)提供接口，并且它的實(shí)現(xiàn)是與密碼算法、密碼設(shè)備無(wú)關(guān)的（可使用任何加密手段）接入權(quán)限表示主體對(duì)客體訪問(wèn)時(shí)可擁有的權(quán)利。接入權(quán)要按每一對(duì)主體客體分別限定，權(quán)利包括讀，寫(xiě)，執(zhí)行等，讀寫(xiě)含義明確，而執(zhí)行權(quán)指目標(biāo)為一個(gè)程序時(shí)它對(duì)文件的查找和執(zhí)行。1，拒絕率或虛報(bào)率（Ⅰ型錯(cuò)誤率）是指身份證明系統(tǒng)的質(zhì)量指標(biāo)為合法用戶遭拒絕的概率。2，漏報(bào)率（Ⅱ型錯(cuò)誤率）是指非法用戶偽造身份成功的概率。3，通行字通行字是一種根據(jù)已知事物驗(yàn)證身份的方法，也是一種研究和使用最廣的身份驗(yàn)證法。Kerberos是一種典型的用于客戶機(jī)和服務(wù)器認(rèn)證的認(rèn)證體系協(xié)議，它是一種基于對(duì)稱密碼體制的安全認(rèn)證服務(wù)系統(tǒng)。4，域內(nèi)認(rèn)證是指CLIENT向本KERBEROS的認(rèn)證域以內(nèi)的SERVER申請(qǐng)服務(wù)的過(guò)程。5，域間認(rèn)證是指CLIENT向本KERBEROS的認(rèn)證域以外的SERVER申請(qǐng)服務(wù)的過(guò)程。驗(yàn)證者身份證明系統(tǒng)中檢驗(yàn)示證者提出的證件的正確性和合法性并決定是否滿足其要求的一方。1，數(shù)字認(rèn)證是指用數(shù)字辦法確認(rèn)、鑒定、認(rèn)證網(wǎng)絡(luò)上參與信息交流者或服務(wù)器的身份。數(shù)字證書(shū)是一個(gè)擔(dān)保個(gè)人、計(jì)算機(jī)系統(tǒng)或者組織的身份和密鑰所有權(quán)的電子文檔。2，公鑰證書(shū)它將公開(kāi)密鑰與特定的人，器件或其他實(shí)體聯(lián)系起來(lái)。公鑰證書(shū)是由證書(shū)機(jī)構(gòu)簽署的，其中包含有持證者的確切身份。3，公鑰數(shù)字證書(shū)網(wǎng)絡(luò)上的證明文件，證明雙鑰體制中的公鑰所有者就是證書(shū)上所記錄的使用者。4，單公鑰證書(shū)系統(tǒng)一個(gè)系統(tǒng)中所有的用戶公用同一個(gè)CA。5，多公鑰證書(shū)系統(tǒng)用于不同證書(shū)的用戶的互相認(rèn)證。6，客戶證書(shū)證實(shí)客戶身份和密鑰所有權(quán)。7，服務(wù)器證書(shū)證實(shí)服務(wù)器的身份和公鑰。8，安全郵件證書(shū)證實(shí)電子郵件用戶的身份和公鑰。9，CA證書(shū)證實(shí)CA身份和CA的簽名密鑰。10，證書(shū)機(jī)構(gòu)CA用于創(chuàng)建和發(fā)布證書(shū)，它通常為一個(gè)稱為安全域的有限群體發(fā)放證書(shū)。11，安全服務(wù)器面向普通用戶，用于提供證書(shū)申請(qǐng)、瀏覽、證書(shū)吊銷(xiāo)表以及證書(shū)下載等安全服務(wù)。12，CA服務(wù)器是整個(gè)證書(shū)機(jī)構(gòu)的核心，負(fù)責(zé)證書(shū)的簽發(fā)。是整個(gè)CA體系結(jié)構(gòu)中最為重要的部分，存有CA的私鑰以及發(fā)行證書(shū)的腳本文件。注冊(cè)機(jī)構(gòu)RA服務(wù)器登記中心服務(wù)器面向中心操作員，在CA體系結(jié)構(gòu)中起承上啟下的作用，一方面向CA轉(zhuǎn)發(fā)安全服務(wù)器傳輸過(guò)來(lái)的證書(shū)申請(qǐng)請(qǐng)求，另一方面向LDAP服務(wù)器和安全服務(wù)器轉(zhuǎn)發(fā)CA頒發(fā)的數(shù)字證書(shū)和證書(shū)撤銷(xiāo)列表。13，LDAP服務(wù)器提供目錄瀏覽服務(wù)，負(fù)責(zé)將注冊(cè)機(jī)構(gòu)服務(wù)器傳輸過(guò)來(lái)的用戶信息以及數(shù)字證書(shū)加入到服務(wù)器上。14，數(shù)據(jù)庫(kù)服務(wù)器是認(rèn)證機(jī)構(gòu)的核心部分，用于認(rèn)證機(jī)構(gòu)數(shù)據(jù)，日志和統(tǒng)計(jì)信息的存儲(chǔ)和管理。PKI即公鑰基礎(chǔ)設(shè)施，是一種遵循既定標(biāo)準(zhǔn)的利用公鑰密碼技術(shù)為電子商務(wù)的開(kāi)展提供一套安全基礎(chǔ)平臺(tái)的技術(shù)和規(guī)范，它能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供加密和數(shù)字簽名等密碼服務(wù)及所需的密鑰和證書(shū)管理體系。證書(shū)政策是一組規(guī)則，指出一個(gè)證書(shū)對(duì)一組特定用戶或應(yīng)用的可適用性，表明它對(duì)于一個(gè)特定的應(yīng)用和目的是否可用的，它構(gòu)成了交叉驗(yàn)證的基礎(chǔ)。政策審批機(jī)構(gòu)PAA制定整個(gè)體系結(jié)構(gòu)的安全策略，并制定所有下級(jí)機(jī)構(gòu)都要遵循的規(guī)章制度，主要是證書(shū)政策和證書(shū)使用規(guī)定。證書(shū)使用規(guī)定綜合描述了CA對(duì)證書(shū)政策的各項(xiàng)要求的實(shí)現(xiàn)方法。認(rèn)證服務(wù)身份鑒別和識(shí)別，就是確認(rèn)實(shí)體即為自己所聲明的實(shí)體，鑒別身份的真?zhèn)巍２豢煞裾J(rèn)性服務(wù)是指從技術(shù)上保證實(shí)體對(duì)其行為的認(rèn)可。公證服務(wù)是指數(shù)據(jù)認(rèn)證，即公證人要證明的是數(shù)據(jù)的有效性和正確性，這種公證取決于數(shù)據(jù)驗(yàn)證的方式。源的不可否認(rèn)性用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體發(fā)了一個(gè)特定的數(shù)據(jù)、源在某個(gè)特定時(shí)刻出現(xiàn)、或者兩者都有的分歧。遞送的不可否認(rèn)性用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定實(shí)體收到了一個(gè)特定的數(shù)據(jù)項(xiàng)、遞送在特定時(shí)刻出現(xiàn)、或者兩者都有的分歧，目的是保護(hù)發(fā)信人。提交的不可否認(rèn)性用于防止或解決出現(xiàn)有關(guān)是否一個(gè)特定參與者傳送或提交了一個(gè)數(shù)據(jù)項(xiàng)、提交出現(xiàn)的時(shí)刻、或者兩者都有的分歧，目的是保護(hù)發(fā)信人。單位注冊(cè)機(jī)構(gòu)幫助遠(yuǎn)離CA的端實(shí)體在CA處注冊(cè)并獲得證書(shū)。密鑰管理處理密鑰自產(chǎn)生到最終銷(xiāo)毀的整個(gè)過(guò)程中的有關(guān)問(wèn)題，包括系統(tǒng)的初始化、密鑰的產(chǎn)生、存儲(chǔ)、備份/恢復(fù)、裝入、分配、保護(hù)、更新、控制、丟失、吊銷(xiāo)和銷(xiāo)毀等內(nèi)容。證書(shū)更新當(dāng)證書(shū)持有者的證書(shū)過(guò)期、證書(shū)被竊取、受到攻擊時(shí)通過(guò)更新證書(shū)的方法，使其新的證書(shū)繼續(xù)參與網(wǎng)上認(rèn)證。證書(shū)的更新包括證書(shū)的更換和證書(shū)的延期兩種情況。SSL協(xié)議P71是基于TCP/IP的安全套接層協(xié)議，由Netscape開(kāi)發(fā)，是服務(wù)器與客戶機(jī)之間安全通信的加密機(jī)制，用一個(gè)密鑰加密在SSL連接上傳輸?shù)臄?shù)據(jù)。TLS協(xié)議傳輸層安全協(xié)議，是在傳輸層對(duì)IETF安全協(xié)議的標(biāo)準(zhǔn)化，制定的目的是為了在因特網(wǎng)上有一種統(tǒng)一的SSL標(biāo)準(zhǔn)版本。目前的TLS標(biāo)準(zhǔn)協(xié)議與SSL的Version 3很接近，由TLS記錄協(xié)議和TLS握手協(xié)議組成。SET協(xié)議安全數(shù)據(jù)交換協(xié)議，是一種以信用卡為基礎(chǔ)的、在Internet上交易的付款協(xié)議，是授權(quán)業(yè)務(wù)信息傳輸?shù)陌踩珮?biāo)準(zhǔn)，它采用RSA密碼算法，利用公鑰體系對(duì)通信雙方進(jìn)行認(rèn)證，用DES等標(biāo)準(zhǔn)加密算法對(duì)信息進(jìn)行加密傳輸，并用散列函數(shù)算法來(lái)鑒別信息的完整性。電子錢(qián)包是安裝在消費(fèi)者客戶端計(jì)算機(jī)上，并符合SET規(guī)格的軟件，電子錢(qián)包處理客戶端的所有SET信息。支付網(wǎng)關(guān)是Internet電子商務(wù)網(wǎng)站上的一個(gè)站點(diǎn)，負(fù)責(zé)接收來(lái)自商店服務(wù)器送來(lái)的Set付款數(shù)據(jù)，再轉(zhuǎn)換成銀行網(wǎng)絡(luò)的格式，傳送給收到銀行處理。它是一個(gè)SET付款信息與現(xiàn)有銀行網(wǎng)絡(luò)的轉(zhuǎn)接處，是必不可少的機(jī)構(gòu)。SSL記錄協(xié)議定義了信息交換中所有數(shù)據(jù)項(xiàng)的格式，包括MAC、信息內(nèi)容、附加數(shù)據(jù)。MAC是一個(gè)定長(zhǎng)數(shù)據(jù)，用于信息的完整性；信息內(nèi)容是網(wǎng)絡(luò)的上一層應(yīng)用層傳來(lái)的數(shù)據(jù)，如HTTP信息；附加數(shù)據(jù)是加密后所產(chǎn)生的附加數(shù)據(jù)。SSL握手協(xié)議用于客戶機(jī)/服務(wù)器之間的相互認(rèn)證，協(xié)商加密和MAC算法，傳送所需的公鑰證書(shū)，建立SSL記錄協(xié)議處理完整性校驗(yàn)和加密所需的會(huì)話密鑰。持卡人持信用卡購(gòu)買(mǎi)商品的人，包括個(gè)人消費(fèi)者和團(tuán)體消費(fèi)者，按照網(wǎng)上商店的表單填寫(xiě)，通過(guò)由發(fā)卡銀行發(fā)行的信用卡進(jìn)行付費(fèi)。網(wǎng)上商店在網(wǎng)上的符合SET規(guī)格的電子商店，提供商品或服務(wù)，它必須是具備相應(yīng)電子貨幣使用的條件，從事商業(yè)交易的公司組織。收單銀行通過(guò)支付網(wǎng)關(guān)處理持卡人和商店之間的交易付款問(wèn)題事務(wù)。接受來(lái)自商店端送來(lái)的交易付款數(shù)據(jù)，向發(fā)卡銀行驗(yàn)證無(wú)誤后，取得信用卡付款授權(quán)以供商店清算。發(fā)卡銀行電子貨幣發(fā)行公司或兼有電子貨幣發(fā)行的銀行。在交易過(guò)程前，發(fā)卡銀行負(fù)責(zé)查驗(yàn)持卡人的數(shù)據(jù)，如果查驗(yàn)有效，整個(gè)交易才能成立。在交易過(guò)程中負(fù)責(zé)處理電子貨幣的審核和支付工作。認(rèn)證中心CA可信賴、公正的認(rèn)證組織。接受持卡人、商店、銀行以及支付網(wǎng)關(guān)的數(shù)字認(rèn)證申請(qǐng)，并管理數(shù)字證書(shū)的相關(guān)事宜，如制定核發(fā)準(zhǔn)則、發(fā)行和注銷(xiāo)數(shù)字證書(shū)等。負(fù)責(zé)對(duì)交易雙方的身份確認(rèn)，對(duì)廠商的信譽(yù)度和消費(fèi)者的支付手段和支付能力進(jìn)行認(rèn)證。HTTPS協(xié)議是使用SSL的HTTP，目的是在SSL連接上安全地傳送單個(gè)消息。商店服務(wù)器是商店提供SET服務(wù)的軟件。負(fù)責(zé)處理商店端的交易信息，包括與客戶端的電子錢(qián)包軟件溝通，取得客戶的信用卡相關(guān)數(shù)據(jù)，另外也必須與支付網(wǎng)關(guān)聯(lián)系取得銀行端來(lái)的付款信息。CFCA是由中國(guó)人民銀行牽頭，聯(lián)合十四家全國(guó)性商業(yè)銀行共同建立的國(guó)家級(jí)權(quán)威金融認(rèn)證機(jī)構(gòu)，是國(guó)內(nèi)唯一一家能夠全面支持電子商務(wù)安全支付業(yè)務(wù)的第三方網(wǎng)上專業(yè)信任服務(wù)機(jī)構(gòu)。CTCA中國(guó)電信CA安全認(rèn)證系統(tǒng)，于2000年5月12日正式向社會(huì)發(fā)放CA證書(shū)，并向社會(huì)免費(fèi)公布CTCA安全認(rèn)證系統(tǒng)的接口標(biāo)準(zhǔn)。目前可以在全國(guó)范圍內(nèi)向用戶提供CA證書(shū)服務(wù)。SHECA上海市電子商務(wù)安全證書(shū)管理中心，是信任服務(wù)和安全認(rèn)證服務(wù)的專業(yè)提供商，通過(guò)提供在線的信任服務(wù)，為電子商務(wù)和網(wǎng)上作業(yè)保駕護(hù)航。是國(guó)內(nèi)較早建立的CA認(rèn)證中心，創(chuàng)建于1998年，經(jīng)過(guò)國(guó)家批準(zhǔn)并被列為信息產(chǎn)業(yè)部全國(guó)示范工程。目前已經(jīng)成為中國(guó)互聯(lián)網(wǎng)網(wǎng)絡(luò)安全和信任服務(wù)的骨干。CFCA的體系結(jié)構(gòu)采用國(guó)際領(lǐng)先的PKI技術(shù)，總體為三層CA結(jié)構(gòu)，第一層為跟CA，第二層為政策CA，可向不同行業(yè)、領(lǐng)域擴(kuò)展信用范圍，第三層為運(yùn)營(yíng)CA，根據(jù)證書(shū)運(yùn)作規(guī)范CPS發(fā)放證書(shū)。運(yùn)營(yíng)CA由CA系統(tǒng)和證書(shū)注冊(cè)審批機(jī)構(gòu)RA兩大部分組成。網(wǎng)上銀行