【文章內(nèi)容簡(jiǎn)介】 用加密技術(shù)來保證的，在通過一個(gè)簡(jiǎn)單的握手過程之后獲得一個(gè)共同的密鑰，作為對(duì)稱加密算法的密鑰。 l 管道是認(rèn)證過的，服務(wù)器端總是需要把自己的證書遞交給客戶端，以便客戶端對(duì)服務(wù)器進(jìn)行認(rèn)證。服務(wù)器可以選擇是否需要客戶端遞交證書。 l 管道是可靠的，消息的傳輸包含了消息完整性檢查。 SSL協(xié)議實(shí)際上由兩個(gè)協(xié)議構(gòu)成，位于下面的一層為 SSL記錄協(xié)議（ SSL Record Protocol）， 其上為SSL控制協(xié)議 (SSL Control Protocols)， SSL記錄協(xié)議用于封裝上層發(fā)送和接收的所有數(shù)據(jù)，當(dāng)然包括 SSL控制協(xié)議的數(shù)據(jù)， SSL控制協(xié)議包含： SSL握手協(xié)議 (SSL Handshake Protocol) SSL密鑰交換協(xié)議 (SSL Change Ciphers Specification) SSL報(bào)警協(xié)議 (SSL Alert Protocol) PKI基本技術(shù)手段 SSL 簡(jiǎn)要介紹 SSL的握手過程是建立 SSL的主要加密和安全參數(shù)的過程 ， 它是 SSL的控制協(xié)議執(zhí)行的控制功能 。 握手過程體現(xiàn)在瀏覽器使用 HTTPS訪問 WEB服務(wù)器時(shí) ， 包括以下步驟： 1 瀏覽器向安全 WEB服務(wù)器發(fā)出一個(gè) HTTPS的請(qǐng)求 ， 比如： 2 該 WEB服務(wù)器將它的證書遞交給瀏覽器的 SSL模塊 。 3 瀏覽器檢查服務(wù)器遞交的證書的有效性 ， 比如有效日期和證書的簽名等 。 如果該證書不是被一個(gè)瀏覽器已經(jīng)信任的發(fā)證結(jié)構(gòu) （ CA） 簽發(fā)的證書 ， 瀏覽器將彈出一個(gè)對(duì)話框來提示用戶是否信任該 WEB站點(diǎn)證書 。 如果用戶選擇不信任該證書 ， 瀏覽器會(huì)選擇自動(dòng)中止該連接 。 4 瀏覽器將把從 WEB站點(diǎn)證書里取得的站點(diǎn)名稱和瀏覽器的 URL 里的域名相對(duì)照 ， 如果相符 ， 瀏覽器將認(rèn)為站點(diǎn)為真正的站點(diǎn) 。 5 瀏覽器將自己支持的一系列算法發(fā)送給服務(wù)器 。 6 如果服務(wù)器需要客戶端遞交證書 ， 瀏覽器將把自己的證書發(fā)送給服務(wù)器 ， 服務(wù)器檢查遞交的證書 ，并且檢查該證書是否為自己已經(jīng)信任的發(fā)證機(jī)構(gòu) （ CA） 發(fā)放的證書 。 如果不是 ， 服務(wù)器將自動(dòng)中止該次連接 。 7 服務(wù)器端選擇自己和客戶端共同支持的加密算法 ， 然后發(fā)送給客戶端 。 8 瀏覽器產(chǎn)生一個(gè)會(huì)話密鑰 ， 然后把該密鑰通過服務(wù)器的公鑰加密后傳給服務(wù)器 。 9 服務(wù)器接收到該加過密的會(huì)話密鑰后用自己的私鑰解密 ， 得到會(huì)話密鑰的明文 。 10 客戶端和服務(wù)器使用剛才協(xié)商的會(huì)話密鑰對(duì)應(yīng)用層的數(shù)據(jù)進(jìn)行加解密，對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行安全保護(hù)。 不同 CA及產(chǎn)品的特點(diǎn) 國(guó)內(nèi)的 CA現(xiàn)狀 國(guó)內(nèi) CA發(fā)展過熱，大小建設(shè)有 70多家，有實(shí)在應(yīng)用的也就１０家左右 全國(guó)性的 CA有金融ＣＡ、電信ＣＡ、海關(guān)ＣＡ等；地方性的ＣＡ有北京ＣＡ、上海ＣＡ、福建ＣＡ、山東ＣＡ等；各自的應(yīng)用領(lǐng)域不盡相同 多數(shù)ＣＡ采用的都是國(guó)內(nèi)廠商的技術(shù)， CFCA采用的是加拿大 Entrust公司的技術(shù)，核心加密部分是國(guó)產(chǎn)化；目前來看國(guó)外的安全技術(shù)依然高出國(guó)內(nèi)相當(dāng)水平 多數(shù)ＣＡ目前所發(fā)放的都是單密鑰對(duì)的證書，以 SSL安全協(xié)議為基礎(chǔ)的較多 CA發(fā)展過熱的原因： １：高估了電子商務(wù)發(fā)展的速度 ２： 誤解了 CA（ 認(rèn)證中心）的作用 ３： 低估了 CA（ 認(rèn)證中心）運(yùn)行的難度 不同 CA及產(chǎn)品的特點(diǎn) 國(guó)內(nèi)的 CA現(xiàn)狀 CA的共同點(diǎn)： １：證書基本都是采用 ，但證書的ＤＮ等的定義格式?jīng)]有標(biāo)準(zhǔn) ２：普通證書和基于 SSL安全協(xié)議的使用為多 ３：基本上都采用的 CA/RA結(jié)構(gòu)，證書的審核發(fā)放都是通過 RA來完成的 ４：目前所有的 CA互相都不能夠?qū)崿F(xiàn)交叉認(rèn)證，有技術(shù)和市場(chǎng)的兩種因素 ５：普遍規(guī)模較小，服務(wù)不夠完善 一些 CA的特點(diǎn)： 海關(guān) CA： 相對(duì)封閉的系統(tǒng)，開放性靈活性不足，需要專用的 IC卡讀卡器等，主要為海關(guān)各應(yīng)用系統(tǒng)服務(wù)，嚴(yán)格意義應(yīng)該說不是個(gè)獨(dú)立的第三方 CA 電信 CA： 建設(shè)的非常早，原來除了給電信提供服務(wù)還給證券等提供服務(wù)，現(xiàn)在主要是系統(tǒng)內(nèi)部應(yīng)用，其采用的是國(guó)內(nèi)的技術(shù)，提供服務(wù)的方式不夠靈活 上海 CA： 相對(duì)成熟的 CA， 國(guó)內(nèi)的技術(shù)，可以滿足證券、一般企業(yè)應(yīng)用、網(wǎng)上稅務(wù)申報(bào)等安全性要求不高的領(lǐng)域 金融 CA： 權(quán)威的第三方 CA， 國(guó)外的技術(shù)，有高級(jí)和普通證書兩類產(chǎn)品，支持的應(yīng)用范圍廣泛 不同 CA及產(chǎn)品的特點(diǎn) CA應(yīng)用相關(guān)的產(chǎn)品 產(chǎn)品 產(chǎn)品簡(jiǎn)介 特點(diǎn) 郵安通（ MailSafe） 運(yùn)行在 Windows桌面系統(tǒng)的應(yīng)用軟件 ，專門用于保護(hù)電子郵件的安全 完全的端到端安全 ， 傳輸過程中沒有第三方能得到明文 嵌入瀏覽器 ， 使用十分方便 嵌入 Outlook郵件編輯器 自動(dòng)獲得郵件接收者的數(shù)字證書 靈活控制的安全應(yīng)用政策 安全代理 服務(wù)器 用于服務(wù)器端的建立安全通信信道的軟件 良好的開放性 對(duì) Web應(yīng)用透明 多種訪問控制模式 多證書鏈和 CRL的支持 強(qiáng)大的審計(jì)功能 數(shù)字簽名系統(tǒng) 提供基于 Web瀏覽器和 Web服務(wù)器的數(shù)字簽名解決方案 ， 實(shí)現(xiàn)了對(duì) Web頁(yè)面中的指定內(nèi)容和文件進(jìn)行數(shù)字簽名和驗(yàn)證 雙向的數(shù)字簽名 /驗(yàn)證 支持 IC卡形式的證書介質(zhì) 強(qiáng)大的證書狀態(tài)檢驗(yàn)功能 多證書鏈和 CRL的支持 靈活而且便于使用 智能鑰匙 電腦安全和信息控制上有廣泛用途的安全產(chǎn)品介質(zhì) 具有普通 Smart Card和加密卡安全 、 可靠 、 易用等特點(diǎn) 不同 CA及產(chǎn)品的特點(diǎn) 產(chǎn)品 產(chǎn)品簡(jiǎn)介 特點(diǎn) 強(qiáng)雙因子安全身份認(rèn)證系統(tǒng) Gefon? SIDLASA： 局域網(wǎng)強(qiáng)雙因子安全身份認(rèn)證產(chǎn)品 Gefon? SIDRASA： 遠(yuǎn)程撥號(hào)強(qiáng)雙因子身份認(rèn)證產(chǎn)品 用強(qiáng)雙因子身份認(rèn)證的機(jī)制 ， 將系統(tǒng)安全判別因子分離成兩部分 ， 即用戶口令和存于 SKey/IC卡 /軟盤中的用戶個(gè)人秘密信息 。 當(dāng)需要用戶與服務(wù)器在網(wǎng)絡(luò)上交換信息時(shí) ， 系統(tǒng)利用 CHAP協(xié)議保證了用戶的口令信息不在網(wǎng)上傳輸 ， 并針對(duì)每次身份認(rèn)證采用一次性加密口令 ， 保證信息的安全性 電子簽證中心（ CA/RA） 利用 PKI技術(shù)體系 ， 采用 國(guó)際標(biāo)準(zhǔn) ， 結(jié)合國(guó)密辦認(rèn)可 PKI加密卡和 PKI加密機(jī)推出的具有全部自主知識(shí)產(chǎn)權(quán)的電子數(shù)字證書和密鑰管理系統(tǒng) 為用戶提供跨系統(tǒng) 、 跨業(yè)務(wù)的統(tǒng)一的身份認(rèn)證與訪問控制 ， 廣泛地用在VPN、 SSL、 安 全 電 子 郵 件 、Domino/Notes等系統(tǒng)中 認(rèn)證授權(quán)系統(tǒng) 在 PKI CA等技術(shù)基礎(chǔ)上研制開發(fā)的面向角色的資源權(quán)限分配和統(tǒng)一的身份認(rèn)證訪問控制系統(tǒng) ， 是基于用戶證書和角色的認(rèn)證 、 授權(quán)系統(tǒng) 該系統(tǒng)通過對(duì)資源 （ 應(yīng)用程序模塊 ）的劃分 ， 以及角色 （ 具有不同訪問權(quán)限的用戶集合 ） 的定義 ， 把資源的權(quán)限賦予其對(duì)應(yīng)的角色來實(shí)現(xiàn)用戶對(duì)資源的訪問和控制