【正文】 個證書對應(yīng)一個唯一的標(biāo)識符 (即它含有已撤銷證書的唯一序列號，不是實(shí)際的證書 )。在列表中的每一項(xiàng)都含有該證書 (7) 擴(kuò)展 (Extension): 在 CRL中也可包含擴(kuò)展項(xiàng)來說明更詳盡的撤銷信息。 第 10章 應(yīng)用層安全技術(shù) 3. 證書的存放 數(shù)字證書作為一種電子數(shù)據(jù)，可以直接從網(wǎng)上下載，也 (1) 使用 IC卡存放用戶證書。即把用戶的數(shù)字證書寫到IC卡中，供用戶隨身攜帶。 (2) 用戶證書直接存放在磁盤或自己的終端上。用戶將從 CA申請來的證書下載或復(fù)制到磁盤或自己的 PC或智能終 (3) CRL 第 10章 應(yīng)用層安全技術(shù) 4. 證書的申請有兩種方式，一是在線申請， 一是離線申請。在線申請就是利用瀏覽器或其他應(yīng)用系統(tǒng)通過在線的方式來申請證書，這種方式一般用于申請普通用戶證書或測試證書。離線申請一般通過人工的方式直接到證書機(jī)構(gòu)證書受理點(diǎn)去辦理證書申請手續(xù)，通過審核后獲取證書，這種方式一般用于比較重要的場合，如服務(wù)器證書和商家證書等。下面討論 第 10章 應(yīng)用層安全技術(shù) 當(dāng)證書申請時，用戶使用瀏覽器通過 Inter訪問安全服務(wù)器，下載 CA的數(shù)字證書 (又叫做根證書 )，然后注冊機(jī)構(gòu)服務(wù)器對用戶進(jìn)行身份審核，認(rèn)可后便批準(zhǔn)用戶的證書申請， 然后操作員對證書申請表進(jìn)行數(shù)字簽名，并將申請及其簽名一起提交給 CA 第 10章 應(yīng)用層安全技術(shù) CA操作員獲得注冊機(jī)構(gòu)服務(wù)器操作員簽發(fā)的證書申請，可以發(fā)行證書或者拒絕發(fā)行證書，然后將證書通過硬拷貝的方式傳輸給注冊機(jī)構(gòu)服務(wù)器。注冊機(jī)構(gòu)服務(wù)器得到用戶的證書以后將用戶的一些公開信息和證書放到 LDAP服務(wù)器上提供目錄瀏覽服務(wù)，并且通過電子郵件的方式通知用戶從安全服務(wù)器上下載證書。用戶根據(jù)郵件的提示到指定的網(wǎng)址上下載自己的數(shù)字證書，而其他用戶可以通過 LDAP服務(wù)器獲得 第 10章 應(yīng)用層安全技術(shù) 證書申請的步驟如下 : (1) 用戶申請 : 用戶首先下載 CA的數(shù)字證書，然后在證書的申請過程中使用 SSL安全方式與服務(wù)器建立連接，用戶填寫個人信息，瀏覽器生成私鑰和公鑰對，將私鑰保存至客戶端特定的文件中，并且要求用口令保護(hù)私鑰，同時將公鑰和個人信息提交給安全服務(wù)器。 安全服務(wù)器將用戶的申請信息傳送給注冊機(jī)構(gòu)服務(wù)器。 第 10章 應(yīng)用層安全技術(shù) (2) 注冊機(jī)構(gòu)審核 : 用戶與注冊機(jī)構(gòu)人員聯(lián)系，證明自己的真實(shí)身份，或者請求代理人與注冊機(jī)構(gòu)聯(lián)系。 注冊機(jī)構(gòu)操作員利用自己的瀏覽器與注冊機(jī)構(gòu)服務(wù)器建立 SSL安全通信，該服務(wù)器需要對操作員進(jìn)行嚴(yán)格的身份認(rèn)證，包括操作員的數(shù)字證書、 IP地址，為了進(jìn)一步保證安全性，可以設(shè)置固定的訪問時間。操作員首先查看目前系統(tǒng)中的申請人員，從列表中找出相應(yīng)的用戶，點(diǎn)擊用戶名，核對用戶信息，并且可以進(jìn)行適當(dāng)?shù)男薷?。如果操作員同意用戶申請證書請求，則必須對證書申請信息進(jìn)行數(shù)字簽名 。 操作員也有權(quán)利拒絕用戶的申請。 第 10章 應(yīng)用層安全技術(shù) 操作員與服務(wù)器之間的所有通信都采用加密和簽名，具有安全性、抗否認(rèn)性，保證了系統(tǒng)的安全性和有效性。 (3) CA發(fā)行證書 : 注冊機(jī)構(gòu) RA通過硬拷貝的方式向 CA傳輸用戶的證書申請與操作員的數(shù)字簽名， CA操作員查看用戶的詳細(xì)信息，并且驗(yàn)證操作員的數(shù)字簽名，如果簽名驗(yàn)證通過，則同意用戶的證書請求，頒發(fā)證書，然后 CA將證書輸出。如果 CA操作員發(fā)現(xiàn)簽名不正確，則拒絕證書申請。 CA頒發(fā)的數(shù)字證書中包含關(guān)于用戶及 CA自身的各種信息，如能唯一標(biāo)識用戶的姓名及其他標(biāo)識信息、個人的 Email地址、 證書持有者的公鑰。公鑰用于為證書持有者加密敏感信息，簽發(fā)個人證書的認(rèn)證機(jī)構(gòu)的名稱、個人證書的序列號和個人證書的有效期 (證書有效起止日期 )等 第 10章 應(yīng)用層安全技術(shù) (4) 注冊機(jī)構(gòu)證書轉(zhuǎn)發(fā) : 注冊機(jī)構(gòu) RA操作員從 CA處得到新的證書，首先將證書輸出到 LDAP目錄服務(wù)器以提供目錄瀏覽服務(wù)，最后操作員向用戶發(fā)送一封電子郵件，通知 用戶證書已經(jīng)發(fā)行成功，并且把用戶的證書序列號告訴用戶，由用戶到指定的網(wǎng)址去下載自己的數(shù)字證書，并且告訴用戶如何使用安全服務(wù)器上的 LDAP配置，讓用戶修改瀏覽器的客戶端配置文件，以便訪問 LDAP服務(wù)器，獲得他人的數(shù)字證書。 第 10章 應(yīng)用層安全技術(shù) (5) 用戶證書獲取 : 用戶使用申請證書時的瀏覽器到指定的網(wǎng)址，鍵入自己的證書序列號。服務(wù)器要求用戶必須使用申請證書時的瀏覽器，因?yàn)闉g覽器需要用該證書相應(yīng)的私鑰 去驗(yàn)證數(shù)字證書，只有保存了相應(yīng)私鑰的瀏覽器，才能成功下載用戶的數(shù)字證書。 這時用戶打開瀏覽器的安全屬性，就可以發(fā)現(xiàn)自己已經(jīng)擁有了 CA頒發(fā)的數(shù)字證書，可以利用該數(shù)字證書與其他人以及 Web服務(wù)器 (擁有相同 CA頒發(fā)的證書 )使用加密、數(shù)字簽名 第 10章 應(yīng)用層安全技術(shù) 認(rèn)證中心還涉及 CRL的管理。用戶向特定的操作員 (僅負(fù)責(zé) CRL的管理 )發(fā)一份加密簽名的郵件，聲明自己希望撤消證書。操作員打開郵件，填寫 CRL注冊表，并且進(jìn)行數(shù)字簽名，提交給 CA， CA操作員驗(yàn)證注冊機(jī)構(gòu)操作員的數(shù)字簽名，批準(zhǔn)用戶撤消證書，并且更新 CRL，然后 CA將不同格式的 CRL輸出給注冊機(jī)構(gòu)，公布到安全服務(wù)器上，這樣其他 人可以通過訪問服務(wù)器得到 CRL 第 10章 應(yīng)用層安全技術(shù) 證書撤銷流程步驟如下 : (1) 用戶向注冊機(jī)構(gòu)操作員 CRLManager發(fā)送一封簽名 (2) 注冊機(jī)構(gòu)同意證書撤消，操作員鍵入用戶的序列號， (3) CA查詢證書撤消請求列表，選出其中的一個，驗(yàn)證操作員的數(shù)字簽名，如果正確，則同意用戶的證書撤消申請，同時更新 CRL列表，然后將 CRL 第 10章 應(yīng)用層安全技術(shù) (4) 注冊機(jī)構(gòu)轉(zhuǎn)發(fā)證書撤消列表。操作員導(dǎo)入 CRL，以多種不同的格式將 CRL (5) 用戶瀏覽安全服務(wù)器，下載或?yàn)g覽 CRL。 在一個 PKI，特別是 CA中，信息的存儲是一個核心問題，它包括兩個方面 : 一是 CA服務(wù)器利用數(shù)據(jù)庫來備份當(dāng)前密鑰和歸檔過期密鑰，該數(shù)據(jù)庫需高度安全和機(jī)密，其安全等級同 CA本身相同 。 一個是目錄服務(wù)器，用于分發(fā)證書和CRL，一般采用 LDAP 第 10章 應(yīng)用層安全技術(shù) (1) 應(yīng)用系統(tǒng)的安全技術(shù)是指在應(yīng)用層面上解決信息交換的機(jī)密性和完整性，防止在信息交換過程中數(shù)據(jù)被非法竊 (2) 隨著用戶對 Web服務(wù)的依賴性增長，特別是電子商務(wù)、電子政務(wù)等一系列網(wǎng)絡(luò)應(yīng)用服務(wù)的快速增長， Web的安全性越來越重要。 Web安全技術(shù)主要包括 Web服務(wù)器安全技術(shù)、Web應(yīng)用服務(wù)安全技術(shù)和 Web 小 第 10章 應(yīng)用層安全技術(shù) (3) 電子郵件的安全問題備受人們關(guān)注，其安全目標(biāo)包 (4) 身份認(rèn)證是保護(hù)信息系統(tǒng)安全的第一道防線，它限制非法用戶訪問網(wǎng)絡(luò)資源。常用的身份認(rèn)證方法包括口令、密鑰、記憶卡、智能卡、 USB Key (5) PKI是能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理的密鑰管理平臺，是目前網(wǎng)絡(luò)安全建設(shè)的基礎(chǔ)與核心。 PKI由認(rèn)證中心 (CA)、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)和應(yīng)用接 第 10章 應(yīng)用層安全技術(shù) 1. Web的基本結(jié)構(gòu)是采用開放式的客戶端 /服務(wù)器(Client/Server)結(jié)構(gòu)，分成服務(wù)器端、 及 3個 2. 為了應(yīng)對日益嚴(yán)重的網(wǎng)絡(luò)安全威脅，必須提高 Web 服務(wù)器的安全保障能力，防止多種的惡意攻擊，提高服務(wù)器防篡改與自動修復(fù)能力。 Web 服務(wù)器防護(hù)可通過多種手段實(shí)現(xiàn)，這主要包括 、 、 和 習(xí) 第 10章 應(yīng)用層安全技術(shù) 3. Email系統(tǒng)主要由 、郵件傳輸代理、郵件用戶代理及 4. 電子郵件安全技術(shù)主要包括 、 、 、 和 5. 身份認(rèn)證是由信息系統(tǒng) 6. 生物特征是指唯一可以測量或可自動識別和驗(yàn)證的生理特征或行為方式。生物特征分為 和 兩類。 第 10章 應(yīng)用層安全技術(shù) 1. 簡述 Web 2. 3. 4. 簡述 PKI 第 10章 應(yīng)用層安全技術(shù) 5. PGP支持對郵件的數(shù)字簽名和簽名驗(yàn)證，還可以用來加密文件。請從網(wǎng)絡(luò)上下載并安裝免費(fèi)的 PGP軟件，并且實(shí)現(xiàn)以下 3個功能并驗(yàn)證 : (1) 應(yīng)用 PGP對郵件進(jìn)行數(shù)字簽名和認(rèn)證 。 (2) 應(yīng)用 PGP對郵件只簽名而不加密 。 (3) 應(yīng)用 PGP對郵件內(nèi)容進(jìn)行加密。 (上機(jī)練習(xí) ) 第 10章 應(yīng)用層安全技術(shù) 演講完畢，謝謝觀看！