【正文】 層安全技術(shù) 1. CA CA是 PKI的核心，它是數(shù)字證書的簽發(fā)機構(gòu)。CA的核心功能就是發(fā)放和管理數(shù)字證書。密鑰的備份與恢復應該由可信的機構(gòu)來完成，認證中心 (CA)可以充當這一角 第 10章 應用層安全技術(shù) 4. 證書作廢處理系統(tǒng)是 PKI的一個重要的組件。證書的作廢處理必須在安全及可驗證的情況下進行，系統(tǒng)還必須保證 CRL 第 10章 應用層安全技術(shù) 5. PKI的價值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務，因此，一個完整的 PKI必須提供良好的應用接口系統(tǒng)，使得各種各樣的應用能夠以安全、一致、可信的方式與 PKI交互，確保所建立起來的網(wǎng)絡環(huán)境的可信性，同時 第 10章 應用層安全技術(shù) 數(shù)字證書是網(wǎng)絡用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡通信中識別通信各方的身份。 Inter的應用環(huán)境而制定的，但很多建議都可以應用于企業(yè)環(huán)境。例如，典型的簽名算法標識符 “ MD5WithRSAEncription”表明采用的散列算法是 MD5(由RSA Labs定義 )，采用的加密算法是 RSA 第 10章 應用層安全技術(shù) (4) 頒發(fā)者 (Issuer): 用于標識簽發(fā)證書的認證機構(gòu)，即證書頒發(fā)者的可識別名 (DN) (5) 有效期 (Validity): 證書有效的時間段，由開始日期(Not Valid Before)和終止日期 (NotValid After)兩項組成。因此，不同組織機構(gòu)定義和接受的專用擴展集各不相同。如果一個擴展未被標記為關(guān)鍵擴展，那么證書用戶可以忽略該擴展。證書撤銷的方法很多，其中最常用的方法是由權(quán)威機構(gòu)定期發(fā)布證書撤銷列表。 (2) 簽名 (Signature): 包含算法標識和算法參數(shù)，用于指定證書簽發(fā)機構(gòu)對 CRL (3) 頒發(fā)者 (Issuer): 簽發(fā)機構(gòu)的 DN名，由國家、省市、地區(qū)、組織機構(gòu)、單位部門和通用名等組成。 第 10章 應用層安全技術(shù) 3. 證書的存放 數(shù)字證書作為一種電子數(shù)據(jù)，可以直接從網(wǎng)上下載，也 (1) 使用 IC卡存放用戶證書。在線申請就是利用瀏覽器或其他應用系統(tǒng)通過在線的方式來申請證書，這種方式一般用于申請普通用戶證書或測試證書。用戶根據(jù)郵件的提示到指定的網(wǎng)址上下載自己的數(shù)字證書，而其他用戶可以通過 LDAP服務器獲得 第 10章 應用層安全技術(shù) 證書申請的步驟如下 : (1) 用戶申請 : 用戶首先下載 CA的數(shù)字證書，然后在證書的申請過程中使用 SSL安全方式與服務器建立連接，用戶填寫個人信息，瀏覽器生成私鑰和公鑰對，將私鑰保存至客戶端特定的文件中，并且要求用口令保護私鑰，同時將公鑰和個人信息提交給安全服務器。操作員首先查看目前系統(tǒng)中的申請人員，從列表中找出相應的用戶，點擊用戶名，核對用戶信息，并且可以進行適當?shù)男薷摹? (3) CA發(fā)行證書 : 注冊機構(gòu) RA通過硬拷貝的方式向 CA傳輸用戶的證書申請與操作員的數(shù)字簽名， CA操作員查看用戶的詳細信息，并且驗證操作員的數(shù)字簽名，如果簽名驗證通過，則同意用戶的證書請求，頒發(fā)證書，然后 CA將證書輸出。 第 10章 應用層安全技術(shù) (5) 用戶證書獲取 : 用戶使用申請證書時的瀏覽器到指定的網(wǎng)址，鍵入自己的證書序列號。操作員打開郵件，填寫 CRL注冊表，并且進行數(shù)字簽名，提交給 CA， CA操作員驗證注冊機構(gòu)操作員的數(shù)字簽名，批準用戶撤消證書，并且更新 CRL，然后 CA將不同格式的 CRL輸出給注冊機構(gòu)，公布到安全服務器上，這樣其他 人可以通過訪問服務器得到 CRL 第 10章 應用層安全技術(shù) 證書撤銷流程步驟如下 : (1) 用戶向注冊機構(gòu)操作員 CRLManager發(fā)送一封簽名 (2) 注冊機構(gòu)同意證書撤消，操作員鍵入用戶的序列號， (3) CA查詢證書撤消請求列表，選出其中的一個，驗證操作員的數(shù)字簽名，如果正確，則同意用戶的證書撤消申請，同時更新 CRL列表，然后將 CRL 第 10章 應用層安全技術(shù) (4) 注冊機構(gòu)轉(zhuǎn)發(fā)證書撤消列表。 Web安全技術(shù)主要包括 Web服務器安全技術(shù)、Web應用服務安全技術(shù)和 Web 小 第 10章 應用層安全技術(shù) (3) 電子郵件的安全問題備受人們關(guān)注，其安全目標包 (4) 身份認證是保護信息系統(tǒng)安全的第一道防線，它限制非法用戶訪問網(wǎng)絡資源。生物特征分為 和 兩類。 (3) 應用 PGP對郵件內(nèi)容進行加密。請從網(wǎng)絡上下載并安裝免費的 PGP軟件，并且實現(xiàn)以下 3個功能并驗證 : (1) 應用 PGP對郵件進行數(shù)字簽名和認證 。 PKI由認證中心 (CA)、證書庫、密鑰備份及恢復系統(tǒng)、證書作廢處理系統(tǒng)和應用接 第 10章 應用層安全技術(shù) 1. Web的基本結(jié)構(gòu)是采用開放式的客戶端 /服務器(Client/Server)結(jié)構(gòu)，分成服務器端、 及 3個 2. 為了應對日益嚴重的網(wǎng)絡安全威脅，必須提高 Web 服務器的安全保障能力，防止多種的惡意攻擊，提高服務器防篡改與自動修復能力。 在一個 PKI，特別是 CA中，信息的存儲是一個核心問題，它包括兩個方面 : 一是 CA服務器利用數(shù)據(jù)庫來備份當前密鑰和歸檔過期密鑰，該數(shù)據(jù)庫需高度安全和機密，其安全等級同 CA本身相同 。 這時用戶打開瀏覽器的安全屬性，就可以發(fā)現(xiàn)自己已經(jīng)擁有了 CA頒發(fā)的數(shù)字證書，可以利用該數(shù)字證書與其他人以及 Web服務器 (擁有相同 CA頒發(fā)的證書 )使用加密、數(shù)字簽名 第 10章 應用層安全技術(shù) 認證中心還涉及 CRL的管理。 CA頒發(fā)的數(shù)字證書中包含關(guān)于用戶及 CA自身的各種信息，如能唯一標識用戶的姓名及其他標識信息、個人的 Email地址、 證書持有者的公鑰。 操作員也有權(quán)利拒絕用戶的申請。 第 10章 應用層安全技術(shù) (2) 注冊機構(gòu)審核 : 用戶與注冊機構(gòu)人員聯(lián)系，證明自己的真實身份，或者請求代理人與注冊機構(gòu)聯(lián)系。下面討論 第 10章 應用層安全技術(shù) 當證書申請時，用戶使用瀏覽器通過 Inter訪問安全服務器，下載 CA的數(shù)字證書 (又叫做根證書 )，然后注冊機構(gòu)服務器對用戶進行身份審核，認可后便批準用戶的證書申請， 然后操作員對證書申請表進行數(shù)字簽名，并將申請及其簽名一起提交給 CA 第 10章 應用層安全技術(shù) CA操作員獲得注冊機構(gòu)服務器操作員簽發(fā)的證書申請，可以發(fā)行證書或者拒絕發(fā)行證書，然后將證書通過硬拷貝的方式傳輸給注冊機構(gòu)服務器。 (2) 用戶證書直接存放在磁盤或自己的終端上。 第 10章 應用層安全技術(shù) (6) 撤銷的證書列表 (Certificate List): 撤銷證書的列表，每個證書對應一個唯一的標識符 (即它含有已撤銷證書的唯一序列號，不是實際的證書 )。 1表示 v2 標準。證書是有期限的，只有在有效期內(nèi)才是有效的。關(guān)鍵標志的普遍含義是，當它的值為真時，表明該擴展必須被處理。 第 10章 應用層安全技術(shù) (6) 主體 (Subject): 證書持有者的可識別名，此字段必須是非空的，除非使用了其他的名字形式 (參見后文的擴展字段 ) (7) 主體公鑰信息 (Subject Public Key Info): 主體的公鑰及 (8) 頒發(fā)者唯一標識符 (Issuer Unique Identifier): 證書頒發(fā)者可能重名，該字段用于唯一標識的該頒發(fā)者，僅用于版本2和版本 3 第 10章 應用層安全技術(shù) (9) 主體唯一標識符 (Subject Unique Identifier): 證書持有者可能重名，該字段用于唯一標識的該持有者，僅用于版本2和版本 3 (10) 擴展 (Extension): 擴展增加了證書使用的靈活性，能夠在不改變證書格式的情況下，在證書中加入額外的信息。 (2) 序列號 (Serial Number): 由證書頒發(fā)者分配的本證書的唯一標識符。數(shù)字證書包含ID 數(shù)字證書的形式主要有 、簡單 PKI(Simple Public Key Infrastructure)證書、 PGP(Pretty Good Privacy)證書和屬性 (Attribute)證書。為實現(xiàn)這一點， PKI必須提供作廢證書的一系列機制。一般來說，為了獲得及時的服務，證書庫的訪問和查詢操作時間必須盡量的短，證書和證書撤銷信息必須盡量小，這樣才能減少總 第 10章 應用層安全技術(shù) 3. 如果用戶丟失了用于解密數(shù)據(jù)的密鑰，則密文數(shù)據(jù)將無法被解密，造成數(shù)據(jù)的丟失。公鑰密碼體制包括公鑰和私鑰，其中私鑰由用戶秘密保管，無需在網(wǎng)上傳送，公鑰則是公開的，可以在網(wǎng)上傳送。 第 10章 應用層安全技術(shù) 另外， VeriSi