freepeople性欧美熟妇, 色戒完整版无删减158分钟hd, 无码精品国产vα在线观看DVD, 丰满少妇伦精品无码专区在线观看,艾栗栗与纹身男宾馆3p50分钟,国产AV片在线观看,黑人与美女高潮,18岁女RAPPERDISSSUBS,国产手机在机看影片

正文內(nèi)容

ca系統(tǒng)應(yīng)用安全解決方案(編輯修改稿)

2024-12-13 13:28 本頁(yè)面
 

【文章內(nèi)容簡(jiǎn)介】 計(jì)功能,可以查看和統(tǒng)計(jì)各種日志,包括: ? 統(tǒng)計(jì)各 CA、 RA 賬號(hào)證書頒發(fā)情況; ? 記錄所有 RA 與 CA 的操作日志; ? 對(duì)所有操作人員的操作行為進(jìn)行審計(jì)。 ( 7) CA 密鑰管理 系統(tǒng)支持 CA 密鑰管理功能,包括: ? CA 密鑰產(chǎn)生和存儲(chǔ)(軟件與硬件); ? CA 證書(包括根 CA 和子 CA)的產(chǎn)生和管理; ? CA 密鑰歸檔與備份。 證書應(yīng)用開發(fā)接口( API) 為了實(shí)現(xiàn)基于數(shù)字證書的安全應(yīng)用集成,提供了完整的證書應(yīng)用開發(fā)接口( API),提供 C、 JAVA 和 COM等多種接口,包括: ? 個(gè)人信任代理( PTA) 個(gè)人信任代理( PTA)是客戶端的軟件包,既括安裝在客戶端的文件加密 /解密程序,也包括用于數(shù)字簽名和簽名驗(yàn)證的 ActiveX 控件。文件加 /解密模塊可以產(chǎn)生隨機(jī)數(shù)密鑰對(duì)文件進(jìn)行加密,以及使用輸入的密鑰對(duì)文件進(jìn)行解密;ActiveX 控件由用戶訪問相關(guān)網(wǎng)頁(yè)時(shí)下載到客戶端瀏覽器中,實(shí)現(xiàn)使用本地的證書(私鑰)對(duì)文件進(jìn)行數(shù)字簽名,以及對(duì)簽名進(jìn)行驗(yàn)證。 ? 證書解析模塊( CPM) 證書解析模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù),用于解析 DER 或 PEM 編碼的 數(shù)字證書 ,將證書中的信息,包括用戶信息、證書有效期、證書公鑰等信息分解為字符串。 ? 數(shù)據(jù)簽名驗(yàn)證模塊( SVM) CA系統(tǒng)應(yīng)用安全解決 方案 第 10頁(yè) 共 29頁(yè) 數(shù)據(jù)簽名及驗(yàn)證模塊是一系列平臺(tái)下的動(dòng)態(tài)鏈接庫(kù)或插件,可以應(yīng)用于客戶端和服務(wù)器端,實(shí)現(xiàn)對(duì)傳輸數(shù)據(jù)的數(shù)字簽名,和對(duì)數(shù)字及其證書進(jìn)行驗(yàn)。證書的驗(yàn)證可使用 CRL或 OCSP 來進(jìn)行有效性驗(yàn)證。 系統(tǒng)工作流程 設(shè)計(jì) ( 1)證書發(fā)放流程 本方案設(shè)計(jì)的 用戶 CA 認(rèn)證系統(tǒng) 的證書發(fā)放采用 集中發(fā)證 的方式, 即由管理員集中申請(qǐng)好證書,保存在 USB KEY 中,發(fā)放給用戶使用。 其工作流程如下圖所示: 圖 4 證書發(fā)放 流程圖 (a) 管理員 使 用瀏覽器,訪問 用戶 CA 認(rèn)證系統(tǒng) ,進(jìn)入證書申請(qǐng)頁(yè)面, 替最終用戶 填寫證書申請(qǐng)信息,向 用戶 CA 認(rèn)證系統(tǒng) 提交證書申請(qǐng)請(qǐng)求。在本地(本地的 USB KEY 上)產(chǎn)生證書的公私鑰對(duì),并將公鑰和用戶信息一起作為證書申請(qǐng)請(qǐng)求,提交給 CA 認(rèn)證系統(tǒng); (b) CA 認(rèn)證系統(tǒng)根據(jù) 管理員提交的證書申請(qǐng)請(qǐng)求,批準(zhǔn)并 簽發(fā)用戶證書,將用戶證書發(fā)布到數(shù)據(jù)庫(kù)中。同時(shí), 將用戶證書返回到管理員端,保存到 USB KEY 中 ; (c) 管理員將申請(qǐng)好 證書的 USB KEY 發(fā)放給最終用戶。 ( 2) 證書吊銷 流程 在用戶證書的私鑰受到威脅、或者用戶私鑰丟失時(shí),需要吊銷用戶的證書, 根據(jù) 用戶 信息系統(tǒng) 的應(yīng)用情況,本方案設(shè)計(jì)證書吊銷由管理員進(jìn)行,其工作流程如下: CA系統(tǒng)應(yīng)用安全解決 方案 第 11頁(yè) 共 29頁(yè) (a) 管理員在發(fā)現(xiàn)用戶違反使用規(guī)定,或者用戶自己向管理員發(fā)送郵件,請(qǐng)求吊銷自己的證書時(shí),管理員訪問 CA 認(rèn)證系統(tǒng)管理員模塊,進(jìn)行用戶證書吊銷用戶; (b) 管理員通過證書管理功能頁(yè)面,查詢到需要吊銷的用戶證書; (c) 管理員選擇吊銷操作,選擇吊銷用戶證書的原因,向 CA 認(rèn)證系統(tǒng)發(fā)送證書吊銷請(qǐng)求; (d) CA 認(rèn)證系統(tǒng)根據(jù)管理員的證書吊銷請(qǐng)求,自動(dòng)的吊銷用戶的證書,并將吊銷的用戶證書發(fā)布到證書吊銷列表中,同時(shí)對(duì)數(shù)據(jù)庫(kù)中保存的用戶證書的最新狀態(tài)進(jìn)行更新; (e) CA 認(rèn)證系 統(tǒng)給管理員返回證書吊銷成功信息,同時(shí)給用戶發(fā)送電子郵件,告訴用戶證書已經(jīng)被吊銷,不能再使用自己的證書。 ( 3) 證書更新 流程 最終用戶在其證書即將過期之前,需要訪問 CA 認(rèn)證系統(tǒng),更新自己的證書,其流程為: (a) 最終用戶 在證書即將過期前(一般為一個(gè)月), 訪問 用戶 CA 認(rèn)證系統(tǒng) ,登錄用戶服務(wù)頁(yè)面, 點(diǎn)擊 “ 證書更新 ”選項(xiàng) ; (b) 系統(tǒng) 自動(dòng)識(shí)別用戶是否具有 用戶 CA 認(rèn)證系統(tǒng) 頒發(fā)的數(shù)字證書,并且判斷是否過期,如果即將過期,便提示進(jìn)行更新; (c) 用戶選擇需要更新的證書,點(diǎn)擊提交,向 CA 認(rèn)證系統(tǒng)提交證書更新請(qǐng)求。在提交證書更新請(qǐng)求時(shí),在 USB KEY 中,重新產(chǎn)生更新證書的公私鑰對(duì),將公鑰和即將過期的證書一起,作為證書更新請(qǐng)求,提交給 CA 認(rèn)證系統(tǒng) ; (d) CA 認(rèn)證系統(tǒng)自動(dòng)批準(zhǔn)證書更新請(qǐng)求,自動(dòng)更新用戶證書,將更新的證書發(fā)布到目錄服務(wù)器,同時(shí)將更新證書返回到用戶端,自動(dòng)保存到 USB KEY 中。 系統(tǒng)性能和特點(diǎn)分析 采用 iTrusCA 系統(tǒng)建設(shè)的 用戶 CA 認(rèn)證系統(tǒng)擁有下列性能和特點(diǎn): ( 1) 符合國(guó)際和行業(yè)標(biāo)準(zhǔn) 系統(tǒng)在設(shè)計(jì)中遵循了相應(yīng)的國(guó)際和工業(yè)標(biāo)準(zhǔn),包括 標(biāo)準(zhǔn)、 PKCS 系列標(biāo)準(zhǔn)、IETF 的 PKIX 工作組制定的 PKI 相關(guān) RFC 標(biāo)準(zhǔn),以及 HTTP、 SSL、 LDAP 等互聯(lián)網(wǎng)通訊協(xié)議等。嚴(yán)格遵循這些標(biāo)準(zhǔn),使得系統(tǒng)具有很好的開放性,能夠與各種應(yīng)用結(jié)合CA系統(tǒng)應(yīng)用安全解決 方案 第 12頁(yè) 共 29頁(yè) 成為真正的安全基礎(chǔ)設(shè)施。 ( 2) 證書類型多樣性及靈活配置 系統(tǒng)能夠提供各種證書的簽發(fā)功能, 本方案設(shè)計(jì)的 CA 認(rèn)證系統(tǒng)能夠簽發(fā)個(gè)人身份證書。將來 根據(jù) 用戶 的 需要 , 可以 進(jìn)行擴(kuò)展,通過 靈活配置 可以簽發(fā) 企業(yè)證書、服務(wù)器證書、代碼簽名證書和 VPN 證書等。 ( 3) 靈活的認(rèn)證體系配置 系統(tǒng) 采用“認(rèn)證體系設(shè)計(jì)”一節(jié)設(shè)計(jì)的 CA 認(rèn)證體系,采用樹狀結(jié)構(gòu), 支持多級(jí)CA,支持交叉認(rèn)證。 ( 4) 注冊(cè)機(jī)關(guān)( RA)建設(shè)方式多樣化 本方案設(shè)計(jì)的 CA 認(rèn)證系統(tǒng)采用一個(gè) RA 的配置,根據(jù) 用戶 的要求,將來可以配置多個(gè) RA 和多級(jí) RA, RA 界面風(fēng)格可定制。 ( 5) 高安全性和可靠性 使用高強(qiáng)度密碼保護(hù)密鑰,支持加密機(jī)、智能卡、 USB KEY 等硬件設(shè)備,用戶關(guān)鍵信息散列保存,以防遺失。 ( 6) 高擴(kuò)展性 根據(jù)客戶需要,對(duì)系統(tǒng)進(jìn)行配置和擴(kuò)展,能夠發(fā)放各種類型的證書;系統(tǒng)支持多級(jí) CA,支持交叉 CA;系統(tǒng)支持多級(jí) RA。 ( 7) 易于部署與使用 系統(tǒng)所有用戶、管理員界面都是 B/S 模式, CA/RA 策略配置和定制以及用戶證書管理等都是通過瀏覽器進(jìn)行,并具有詳細(xì)的操作說明。 ( 8) 高兼容性 支持 Windows、 Linux、 Solaris 等多種操作系統(tǒng); 支持多種加密設(shè)備:軟加密庫(kù)、山大加密機(jī)和天融信加密機(jī)等; 支持多種數(shù)據(jù)庫(kù): Oracle 和 SQL server 等; 支持多種證書存儲(chǔ)介質(zhì):硬盤、 USB KEY 和智能卡等 5 應(yīng)用 系統(tǒng) 安全集成方案 本方案主要目的是解決 用戶 應(yīng)用 系統(tǒng) 的 安全 問題, 采用 iTrusCA 系統(tǒng)利用數(shù)字證書在不增加用戶 額外負(fù)擔(dān)的情況 下更好的保證了身份認(rèn)證系統(tǒng)的安全性,以下將從安全原理、安全構(gòu)架 和具體 應(yīng)用 流程 等方面入手,針對(duì)用戶中常見的一些應(yīng)用系統(tǒng), 介CA系統(tǒng)應(yīng)用安全解決 方案 第 13頁(yè) 共 29頁(yè) 紹 我們的 應(yīng)用系統(tǒng)集 成方案 。 郵件系統(tǒng)安全 應(yīng)用 郵件用戶從管理員處獲得保存有證書的 USB 令牌之后,在所在單位的郵件管理員的指導(dǎo)下,安裝 USB 令牌的驅(qū)動(dòng),將 USB 令牌插入到計(jì)算機(jī),對(duì)郵件客戶端進(jìn)行安全配置,如下圖所示為對(duì) Outlook郵件客戶端進(jìn)行安全配置的示例: 圖 5 Outlook安全配置示意圖 在完成郵件客戶端的安全配置之后,用戶就可以使用郵件客戶端發(fā)送加密和或簽名的安全電子郵件,可以實(shí)現(xiàn) : ? 對(duì)電子郵件的內(nèi)容和附件進(jìn)行加密,確保在傳輸?shù)倪^程中不被他人閱讀、截取和篡改。 ? 對(duì)電子郵件進(jìn)行簽名,使得接收方可以確認(rèn)該電子郵件 是由發(fā)送方發(fā)送的,并且在傳送過程中未被篡改。 CA系統(tǒng)應(yīng)用安全解決 方案 第 14頁(yè) 共 29頁(yè) 圖 6 發(fā)送和接收安全電子郵件示意圖 上圖所示是在 Outlook郵件客戶端使用的情況,其它郵件客戶端類似。想對(duì)郵件進(jìn)行簽名和加密,只需要按下“簽名”和“加密”按鈕就可以了,系統(tǒng)后臺(tái)使用您的證書所對(duì)應(yīng)的私鑰對(duì)郵件進(jìn)行簽名,再使用接收者的證書的公鑰對(duì)郵件進(jìn)行加密;在收到郵件時(shí),系統(tǒng)自動(dòng)使用您的證書所對(duì)應(yīng)的私鑰對(duì)郵件進(jìn)行解密和并自動(dòng)使用發(fā)送者的公鑰驗(yàn)證發(fā)送者的簽名,并提示接收者郵件的安全情況,沒出現(xiàn)安全問題,直接打開郵件,當(dāng)出現(xiàn)安全問題時(shí),則提示郵件接收者,郵件什 么地方存在安全隱患,如上圖所示。 VPN 安全應(yīng)用 對(duì)于采用標(biāo)準(zhǔn)協(xié)議實(shí)現(xiàn)的 VPN 設(shè)備 ,由于 VPN 設(shè)備對(duì)數(shù)字證書的支持,我們可以通過 CA 認(rèn)證系統(tǒng)為 VPN 設(shè)備頒發(fā)數(shù)字證書,為客戶端頒發(fā)個(gè)人證書,利用 CA 系統(tǒng)進(jìn)行相應(yīng)的數(shù)字證書發(fā)放和管理。證書的加密和驗(yàn)證數(shù)據(jù)在這些設(shè)備之間進(jìn)行傳送,產(chǎn)生了一個(gè)安全的虛擬專用網(wǎng)絡(luò)。以下將進(jìn)行詳細(xì)闡述: VPN 安全登錄 實(shí)現(xiàn)原理 目前,使用 VPN 可以采用兩種方式,即使用證書的方式和不使用證書的方式。對(duì)于不使用證書的方式建立的 VPN 存在下列風(fēng)險(xiǎn): CA系統(tǒng)應(yīng)用安全解決 方案 第 15頁(yè) 共 29頁(yè) ( 1) 不使用證書的方式建立 VPN 時(shí),是基于“用戶名 和口令”的認(rèn)證,我們知道“用戶名和口令”的認(rèn)證強(qiáng)度低,存在很多安全弱點(diǎn),無法滿足 較高的 安全需求; ( 2) 其次,不使用證書的方式存在 VPN 密鑰分發(fā)的困難, VPN 密鑰是一個(gè)對(duì)稱密鑰,用來對(duì) VPN 鏈路層數(shù)據(jù)的加密。而目前比較通常的做法是在配置 VPN時(shí),就在 VPN 客戶端和 VPN 服務(wù)端( VPN 網(wǎng)關(guān))之間配置一個(gè)共享的對(duì)稱密鑰。但是這種方式的對(duì)稱密鑰的安全性不高,很容易被泄漏。為了提高這種方式的安全性,需要管理員不定期的對(duì)共享的對(duì)稱密鑰進(jìn)行更換,但是, 由于更換對(duì)稱密鑰的操作中的人為因素等原因, 使得這種方式存在巨大的安全隱患。 為此, VPN 應(yīng)用引入了證書,來解決不使用證書方式存在的安全隱患: ( 1) VPN 證書(包括 VPN 設(shè)備證書和 VPN 用戶證書)是 VPN 設(shè)備和用戶的護(hù)照,表明設(shè)備和用戶的身份,基于數(shù)字證書的身份認(rèn)證是一種強(qiáng)身份認(rèn)證,完全可以滿足應(yīng)用的身份認(rèn)證需求; ( 2) 使用 VPN 證書(包括 VPN 設(shè)備證書和 VPN 用戶證書)可以實(shí)現(xiàn)協(xié)商會(huì)話密鑰,在進(jìn)行數(shù)據(jù)通信時(shí),發(fā)送方產(chǎn)生會(huì)話密鑰,對(duì)發(fā)送數(shù)據(jù)進(jìn)行加密,然后使用接收者的證書(公鑰)加密會(huì)話密鑰。接收者使用自己的證書私鑰解密會(huì)話密鑰,再用會(huì)話密鑰解密被加密的數(shù)據(jù); VPN 證書介紹 VPN 證書也是 人們常說的 IPSec 證書,包括兩種證書: ? 一是 VPN 客戶端證書,就是通常的用戶證書,可以存放在 IPSec 客戶端軟件中管理,也可以存放在 IE 瀏覽器或者 USB KEY 等其他存儲(chǔ)介質(zhì)內(nèi)。 ? 二是 VPN 設(shè)備證書,是標(biāo)準(zhǔn)的 證書,存放在 IPSec 設(shè)備中,如帶有 VPN功能的路由器、防火墻內(nèi),由設(shè)備的 VPN 功能模塊來配置、管理。 VPN 證書用于 VPN 設(shè)備的身份鑒別、建立安全通道。有了 VPN 證書,客戶可在開放的、不安全的 Inter 上構(gòu)建安全虛擬專用網(wǎng),實(shí)現(xiàn)各分支機(jī)構(gòu)、合作伙伴和遠(yuǎn)端用戶之間的安全數(shù)據(jù)通訊。 VPN 證書可識(shí)別使用 IPSec( IP 安全)協(xié)議進(jìn)行安全通信的設(shè)備。 IPSec 是一套支持 IP 包安全交換的協(xié)議,不像 SSL 那樣在應(yīng)用層運(yùn)行, IPSec 在IP 網(wǎng)絡(luò)層中運(yùn)行,對(duì) IP 包進(jìn)行加密。 IPSec 能夠利用驗(yàn)證及加密用的 VPN 證書,將兩個(gè)網(wǎng)絡(luò)層對(duì)等起來,如兩個(gè)路由CA系統(tǒng)應(yīng)用安全解決 方案
點(diǎn)擊復(fù)制文檔內(nèi)容
法律信息相關(guān)推薦
文庫(kù)吧 www.dybbs8.com
備案圖片鄂ICP備17016276號(hào)-1