【正文】 擁有 K K由 K驗證 K1 由 K1驗證 K2 由 K2驗證 B的證書 89l 2）分布式信任模型 特點1。 CA中心輻射配置：中心 CA與根 CA是交叉認(rèn)證2。根 CA是網(wǎng)狀配置：根 CA與根 CA是交叉認(rèn)證3。證書的驗證過程： 1）用戶 A驗證同一個根 CA下用戶 B1的證書，同層次結(jié)構(gòu)； 2）用戶 A驗證非同一個根 CA下用戶 B2的證書中心 CA根 CA1根 CA2子 CA…………子 CA用戶 A 用戶 B1…… 用戶 B2用戶90l 3） Web信任模型l 該模型依賴于瀏覽器。如 Inter Explorer或者 Safari。 瀏覽器廠商根 CA 根 CA……用戶 用戶 用戶 用戶…… …… ……特點： 1。 CA的公鑰預(yù)裝在瀏覽器上，這些公鑰確定一組 CA 2。瀏覽器的用戶最初信任 CA 3。 CA名和公鑰綁定在一起914）以用戶為中心的信任模型用戶 AA的朋友 A的哥哥A的父母A的同事A哥哥的朋友特點1。用戶自己對決定信賴或拒絕某個證書負(fù)責(zé)2。最初可信的密鑰集－－直接聯(lián)系層 A的朋友、同事、哥、父母。925）交叉認(rèn)證信任模型l Def：將各 CA單向或雙向連接在一起的機制l 特點l 1。單向：如層次模型，雙向，如分布式信任模型l 2。交叉認(rèn)證：一個 CA承認(rèn)另一個 CA在一個名字空間中被授權(quán)頒發(fā)的證書l 例 1：l 4.證書的路徑處理l 目的：l 。 A確定是否信任 B證書中的公鑰 Kl 。在一個給定的目標(biāo)證書和一個可信密鑰（信任錨）之間找到一個證書的完整路徑（或鏈），檢查該路徑中每個證書的合法性l 處理過程：934.證書的路徑處理l 處理過程：l 第一階段：構(gòu)建路徑，聚集所有形成完整路徑所必需的證書l 路徑尋找算法：l 深度優(yōu)先搜索；廣度優(yōu)先搜索；啟發(fā)式搜索l 第二階段：l 確定路徑，依次檢查路徑中的每個證書，確定它含有的密碼是否被信任l 確認(rèn)內(nèi)容，證書的有效期、撤銷狀態(tài)、適用的策略、密鑰使用機制、名字約束等l 94l 1） CA的嚴(yán)格層次可信模型l A的信任錨在邏輯上是離其最遠(yuǎn)的 CA，即根 CAl 2）分布式信任模型l A的信任錨在邏輯上是離其最近的 CA，包括整個 PKI群體中其所在的部分嚴(yán)格層次結(jié)構(gòu)的根，也可是實際認(rèn)證其的最近的 CAl 3）以用戶為中心的信任模型l 是其自身選擇的一個或多個 CAl 95l 詳見講稿詳見講稿96第 4講 電子政務(wù)應(yīng)用系統(tǒng)設(shè)計及安全性分析 l 1．電子政務(wù)應(yīng)用系統(tǒng)及組成l 一般分為兩類l 一類 對內(nèi)：電子政務(wù)應(yīng)用系統(tǒng)，主要面向公務(wù)員，辦公l 二類 對外：電子政務(wù)應(yīng)用系統(tǒng)，面向公眾，網(wǎng)上納稅，申報項目等l 由三部分組成：政務(wù)業(yè)務(wù)內(nèi)網(wǎng)；政務(wù)外網(wǎng)；安全平臺l －97l 2．安全平臺－－ 統(tǒng)一的安全電子政務(wù)平臺l 提供一站式服務(wù)l 3．統(tǒng)一的安全電子政務(wù)平臺的總體結(jié)構(gòu)設(shè)計電子政府門戶公安局 海關(guān) 軍事部門 …… 稅務(wù)局 公民 企業(yè) 1…… 企業(yè) n 98工商管理 業(yè)務(wù)邏輯模塊財政結(jié)算 業(yè)務(wù)邏輯模塊網(wǎng)上郵政 業(yè)務(wù)邏輯模塊網(wǎng)上稅務(wù) 業(yè)務(wù)邏輯模塊PKICA RA KAPMIAA RA 接入平臺 接入平臺工作流引擎（對內(nèi)） 工作流引擎（對外）通用電子政務(wù)構(gòu)件 通用電子政務(wù)（對內(nèi)） （對外）個性化管理（對內(nèi)） 個性化管理（對外）服務(wù)集成模塊 服務(wù)集成模塊（對內(nèi)） （對外） 一站式服務(wù)框架第三方公正機構(gòu)工行農(nóng)行建行……銀河證券……人壽保險……金融服務(wù)系統(tǒng)信任與授權(quán)服務(wù)平臺 可信 web service可信 XML 可信 SOAP 可信 VDDL 可信 WSDL 企業(yè)用戶 上網(wǎng)用戶 移動用戶 PDA 政務(wù)公網(wǎng) 公務(wù)員 移動公務(wù)員 一站式電子政務(wù)服務(wù)機制的總體結(jié)構(gòu)圖99l 一站式平臺提供的職責(zé)：l 。統(tǒng)一性：提供統(tǒng)一的接入平臺，包括互聯(lián)網(wǎng)接入、電信公網(wǎng)撥號接入、無線接入等l 。安全性：提供安全支撐平臺l Wsdl:web服務(wù)描述語言l Uddi:統(tǒng)一描述、發(fā)現(xiàn)和集成協(xié)議l Soap:簡單對象訪問協(xié)議l XML:能支持未來網(wǎng)絡(luò)、應(yīng)用的標(biāo)記語言l 可信 XML：提供元素級的細(xì)粒度安全機制l WAP:利用 XML構(gòu)建的無線互聯(lián)網(wǎng)協(xié)議l GPRS:通用分組無線協(xié)議，中國移動第二代移動通訊網(wǎng)絡(luò)l 100絡(luò)信任域l 是基于 PKI/PMI的服務(wù)平臺，主要包括：l 。 Web門戶服務(wù)平臺 :可信 J2EE,結(jié)構(gòu)設(shè)計l 。系統(tǒng)運行維護 ：基于 PKI的可信發(fā)布、可信日志管理、服務(wù)機構(gòu)、安全機構(gòu)l 。門戶應(yīng)用服務(wù)平臺 ：業(yè)務(wù)系統(tǒng)l 。安全保密服務(wù)平臺 ：設(shè)置 5級安全保密管理系統(tǒng)（國家、省等）l 安全保密管理系統(tǒng)：101安全保密管理系統(tǒng)l ；l ；l ；l （審計）；l （網(wǎng)絡(luò)安全監(jiān)測，操作系統(tǒng)安全監(jiān)測）；l 102安全保密管理系統(tǒng)1.安全策略配置和管理；l 2.入侵檢測；l 3.病毒監(jiān)測；l 4.內(nèi)部人員不規(guī)范操作的監(jiān)測（審計）；l （網(wǎng)絡(luò)安全監(jiān)測，操作系統(tǒng)安全監(jiān)測）；l 103.統(tǒng)一的安全電子政務(wù)平臺所在的網(wǎng)絡(luò)信任域統(tǒng)一的接入平臺統(tǒng)一的web門戶平臺網(wǎng)上工商 S網(wǎng)上稅務(wù) S網(wǎng)上郵政 S金融服務(wù) S其他 S統(tǒng)一的信息交換平臺統(tǒng)一的安全電子政務(wù)平臺統(tǒng)一的安全電子政務(wù)平臺所在的網(wǎng)絡(luò)信任域GSM/GPRSINTERNETPSTNCDMA業(yè)務(wù)網(wǎng) 1業(yè)務(wù)網(wǎng) 2業(yè)務(wù)網(wǎng) N涉密網(wǎng)PKI / PMI1045．電子政務(wù)應(yīng)用示范工程示范工程確定 6個應(yīng)用示范點：1） 市級 電子政務(wù)應(yīng)用示范工程2） 部級 電子政務(wù)應(yīng)用示范工程3） 政府辦公廳 電子政務(wù)應(yīng)用示范工程4） 省級 電子政務(wù)應(yīng)用示范工程5） 直轄市 電子政務(wù)應(yīng)用示范工程6） 西部省市 電子政務(wù)應(yīng)用示范工程例： 電子政務(wù)示范工程的系統(tǒng)結(jié)構(gòu)圖105電子政務(wù)綜合業(yè)務(wù)平臺門戶Web應(yīng)用服務(wù)系統(tǒng)安全保密系統(tǒng) DB某市政務(wù)網(wǎng)互聯(lián)網(wǎng)個人企業(yè)移動用戶可信時間戳服務(wù)系統(tǒng)系統(tǒng)運行維護系統(tǒng)辦公服務(wù)系統(tǒng) 網(wǎng) 絡(luò) 信 任 域 及 管 理 系 統(tǒng)自然人 RA中心設(shè)備 RA中心機構(gòu) RA中心政書審核注冊中心根 CA中心自然人CA中心設(shè)備 CA中心機構(gòu) CA中心政書注冊中心自然人KMA設(shè)備KMA機構(gòu)KMA密鑰管理中心單位 1單位 2單位 N…106l 例 1： CPCA系統(tǒng)設(shè)計及安全性分析l 例 2：公安電子政務(wù)平臺及安全性分析l 例 3：農(nóng)業(yè)電子政務(wù)平臺及安全性分析l 例 4：電子稅務(wù)平臺及安全性分析l 例 5：網(wǎng)上大學(xué)政務(wù)平臺及安全性分析107………………統(tǒng)一安全電子政務(wù)平臺統(tǒng)一信息交換平臺 可信政務(wù)一站式服務(wù) 統(tǒng)一的接入平臺金融服務(wù)系統(tǒng)金融機構(gòu)電信公網(wǎng) 互聯(lián)網(wǎng)GSMPSTNCDMA根 CAKMKM二級 CA二級 CA KM……省政府辦公涉密網(wǎng)市政府辦公涉密網(wǎng)縣政府辦公涉密網(wǎng)國家授權(quán)中心PKI/PMI國務(wù)院辦公廳涉密網(wǎng)安全島涉密交換平 臺涉密系統(tǒng)涉密系統(tǒng)涉密系統(tǒng)公開服務(wù)網(wǎng)公開服務(wù)網(wǎng)公開服務(wù)網(wǎng)內(nèi)部辦公網(wǎng)－社保內(nèi)部辦公網(wǎng)－工商內(nèi)部辦公網(wǎng)－稅務(wù)