【正文】 ? 內(nèi)部風(fēng)險主要來自于管理員和操作員越權(quán)操作和不當(dāng)操作。 ? 認(rèn)證機構(gòu)工作場所還應(yīng)具備良好的排水系統(tǒng)，以防止水災(zāi)或由于給排水系統(tǒng)出現(xiàn)問題而帶來的危害。 （ 1） ? CA系統(tǒng)安全 ? 物理安全 ? 操作系統(tǒng)安全 ? 密碼安全 ? 密碼算法安全 ? 密碼設(shè)備安全 認(rèn)證機構(gòu)的安全需求（ 2） ? 密鑰管理安全 ? 密鑰安全需求 ? 密鑰安全管理需求 ? 通信安全 ? 通信保密性 ? 通信完整性 ? 通信不可否認(rèn)性 認(rèn)證機構(gòu)的安全需求（ 3） ? 信息系統(tǒng)安全 ? 訪問控制 ? 防范入侵 ? 防范病毒 ? 安全審計 ? 數(shù)據(jù)安全 ? 數(shù)據(jù)備份 ? 數(shù)據(jù)庫冗余 167。而對于一個提供信任服務(wù)的認(rèn)證機構(gòu) CA來說，安全性則是其經(jīng)營的奠基石。 商業(yè)應(yīng)用 ? VeriSign ( ? Entrust ( ? Baltimore ( ? RSA Security ( VeriSign PKI層次圖 167。 ? IPSec IPSec ? IP層的安全包括了 3個功能域：鑒別、機密性和密鑰管理 ? IPSec的重要概念 ? 鑒別報頭 (AH), 封裝安全有效負(fù)載 (ESP), 傳輸模式 , 隧道模式 , 安全關(guān)連 (SA), 安全關(guān)連組 (SA Bundle), ISAKMP. ? IPSec， IPv6將使互聯(lián)網(wǎng) (尤其是網(wǎng)絡(luò)安全)發(fā)生巨大變化 IPSec ? IPSec安全服務(wù) ? IPSec密鑰管理 ? 人工，自動， ISAKMP/Oakley AH ESP(只加密 ) ESP(加密并鑒別 ) 訪問控制 * * * 無連接完整性 * * 數(shù)據(jù)源的鑒別 * * 拒絕重放的分組 * * * 機密性 * * 有限的通信量的機密性 * * 體系結(jié)構(gòu) ESP協(xié)議 AH協(xié)議 DOI 密鑰管理 加密算法 鑒別算法 IPSec文檔結(jié)構(gòu)概況 第 12章 PKI案例 主要內(nèi)容： ?電子稅務(wù) ?網(wǎng)上銀行 ?網(wǎng)上證券 167。 安全電子郵件實現(xiàn)原理 S/MIME amp。 ?SSL主要提供三方面的服務(wù) ?認(rèn)證用戶和服務(wù)器 ?加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù) ?維護(hù)數(shù)據(jù)的完整性 使用 PKI系統(tǒng)的對策 SSL/TLS ? 由 Netscape， IETF TLS工作組開發(fā) ? SSL/TLS在源和目的實體間建立了一條安全通道 (在傳輸層之上 )，提供基于證書的認(rèn)證、信息完整性和數(shù)據(jù)保密性 ? SSL體系結(jié)構(gòu)： SSL協(xié)議棧 IP TCP SSL記錄協(xié)議 SSL握手 協(xié)議 SSL修改 密文協(xié)議 SSL告警 協(xié)議 HTTP 協(xié)議 167。 授信源（S O A ）終端實體權(quán)限擁有者屬性認(rèn)證機構(gòu)AA權(quán)限驗證者權(quán)限聲明權(quán)限分配權(quán)限委托權(quán)限聲明信任角色模型 ? 角色提供了一種間接指派權(quán)限的方式。 l 權(quán)限聲明者 （ privilege asserter） ： 擁有某些權(quán)限 ， 并能通過該權(quán)限訪問訪問特定的資源的實體 。 PMI標(biāo)準(zhǔn)簡介 ? PMI（ Privilege Management Infrastructure， 特權(quán)管理基礎(chǔ)設(shè)施） 指能夠支持全面授權(quán)服務(wù)的進(jìn)行特權(quán)管理的基礎(chǔ)設(shè)施。 二者的不同： ? S/MIME的認(rèn)證機制依賴于層次結(jié)構(gòu)的證書認(rèn)證機構(gòu)，而 OpenPGP的最大特點是其證書信任路徑不是層狀結(jié)構(gòu)，而是網(wǎng)狀結(jié)構(gòu)。 ? SET協(xié)議由兩大部分組成： 證書管理 支付系統(tǒng) 167。 SSL/TLS ? SSL(Secure Socket Layer， 安全套接字層） )是 scape公司設(shè)計的主要用于 web的安全傳輸協(xié)議。 第三篇 技術(shù)標(biāo)準(zhǔn) 第 10章 PKI技術(shù)標(biāo)準(zhǔn) 主要內(nèi)容： ? ITUT ? PKIX系列標(biāo)準(zhǔn) ? WPKI標(biāo)準(zhǔn) ? SSL/TLS ? SET ? OpenPGP和 S/MIME ? PMI標(biāo)準(zhǔn)簡介 167。 ? 涵蓋的內(nèi)容 ? 確定電子合同的效力和電子證據(jù)可以充當(dāng)法定證據(jù)的地位。 構(gòu)建 PKI的兩種模式 ? 自建模式 ? 托管模式 167。 業(yè)務(wù)受理點 LRA LRA的具體職能包括： ? 受理用戶的證書申請及廢除請求； ? 錄入用戶的證書申請及廢除請求； ? 審核用戶的證書申請及廢除請求資料； ? 對用戶的證書申請及廢除請求進(jìn)行批準(zhǔn)或否決； ? 提供證書制作 。 ? 下層 CA 主要功能有： 發(fā)布本地 CA對根 CA政策的增補部分；對下屬機構(gòu)進(jìn)行認(rèn)證和鑒別； 產(chǎn)生和管理下屬機構(gòu)的證書；發(fā)布自身證書；證實 RA的證書申請請求；向 RA返回證書制作的確認(rèn)信息或已制定好的證書；接收和認(rèn)證對它所簽發(fā)的證書的作廢申請請求；為它所簽發(fā)的證書產(chǎn)生 CRL； 保存證書、 CRL、 審計信息和它所簽發(fā)的政策；發(fā)布它所簽發(fā)的證書和 CRL； 密鑰安全生成及管理；實現(xiàn)交叉認(rèn)證。 CA、 RA與 EE 認(rèn)證中心 CA ? 可信的第三方 ? 主要功能 ? 接收并驗證最終用戶數(shù)字證書的申請； ? 證書審批，確定是否接受最終用戶數(shù)字證書的申請； ? 證書簽發(fā)，向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書； ? 證書更新，接收、處理最終用戶的數(shù)字證書更新請求 ? 接收最終用戶數(shù)字證書的查詢、撤銷； ? 產(chǎn)生和發(fā)布證書廢止列表（ CRL），驗證證書狀態(tài)； ? 提供 OCSP在線證書查詢服務(wù)，驗證證書狀態(tài)； ? 提供目錄服務(wù)，可以查詢用戶證書的相關(guān)信息； ? 下級認(rèn)證機構(gòu)證書及帳戶管理； ? … 注冊機構(gòu) RA ? 用戶（可以是個人或團(tuán)體）和 CA之間的接口 ? 接受用戶的注冊申請 ? 獲取并認(rèn)證用戶的身份 最終實體 EE ? 是指 PKI產(chǎn)品或服務(wù)的最終使用者，可以是個人、組織或設(shè)備。 ? , ITUT Remendation: The Directory – Overview of Concepts and Models. ? 儲機制，包括客戶機 目錄服務(wù)器訪問協(xié)議、服務(wù)器 服務(wù)器通信協(xié)議、完全或部分的目錄數(shù)據(jù)復(fù)制、服務(wù)器鏈對查詢的響應(yīng)、復(fù)雜搜尋的過濾功能等 . ? PKI的重要性 . 167。 ? , ITUT Remendation: Information Technology – Open System Interconnection – The Directory: Authentication Framework ? ，在 PKI的發(fā)展中， . ? 、靈活的證書格式 . ? v3和 v2 CRL定義的強有力的擴展機制 . 167。 ? 數(shù)字證書在計算機硬盤中存放時，使用方便，但存放證書的計算機必須受到安全保護(hù) ? 軟盤保存證書 ， 被竊取的可能性有所降低 ， 但軟盤容易損壞 ， 易于導(dǎo)致用戶數(shù)字證書的不可用 。用戶可以利用網(wǎng)絡(luò)彼此交換證書。 ? 雙向驗證與單向驗證類似，但它增加了來自證書持有者 B的應(yīng)答。 167。 167。簽名和文件是物理的東西，因此簽名者事后不能說他沒有簽過名。簽名是文件的一部分，不可能將簽名移到不同的文件上。文件的接收者相信簽名者是慎重地在文件上簽字的。 ? 優(yōu)點： 安全性能更高； 計算量小，處理速度快； 存儲空間占用??； 帶寬要求低 Summary ? RSA是最易于實現(xiàn)的； ? Elgemal算法更適合于加密； ? DSA對數(shù)字簽名是極好的，并且 DSA無專利費，可以隨意獲?。? ? DiffieHellman是最容易的密鑰交換算法； 167。 ? AES將是未來最主要，最常用的對稱密碼算法； 167。 ? RC4是 Rivest在 1987年設(shè)計的變長密鑰的序列密碼； ? RC5是 Rivest在 1994年設(shè)計的分組長、密鑰長的迭代輪數(shù)都可變的分組迭代密碼算法； ? DES(56),RC532/12/5, RC532/12/6,RC32/12/7已分別在 1997年被破譯； AES Candidate和 Rijndeal ? AES