【正文】 (3) 應(yīng)用 PGP對郵件內(nèi)容進(jìn)行加密。請從網(wǎng)絡(luò)上下載并安裝免費的 PGP軟件，并且實現(xiàn)以下 3個功能并驗證 : (1) 應(yīng)用 PGP對郵件進(jìn)行數(shù)字簽名和認(rèn)證 。生物特征分為 和 兩類。 PKI由認(rèn)證中心 (CA)、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書作廢處理系統(tǒng)和應(yīng)用接 第 10章 應(yīng)用層安全技術(shù) 1. Web的基本結(jié)構(gòu)是采用開放式的客戶端 /服務(wù)器(Client/Server)結(jié)構(gòu)，分成服務(wù)器端、 及 3個 2. 為了應(yīng)對日益嚴(yán)重的網(wǎng)絡(luò)安全威脅，必須提高 Web 服務(wù)器的安全保障能力，防止多種的惡意攻擊，提高服務(wù)器防篡改與自動修復(fù)能力。 Web安全技術(shù)主要包括 Web服務(wù)器安全技術(shù)、Web應(yīng)用服務(wù)安全技術(shù)和 Web 小 第 10章 應(yīng)用層安全技術(shù) (3) 電子郵件的安全問題備受人們關(guān)注，其安全目標(biāo)包 (4) 身份認(rèn)證是保護(hù)信息系統(tǒng)安全的第一道防線，它限制非法用戶訪問網(wǎng)絡(luò)資源。 在一個 PKI，特別是 CA中，信息的存儲是一個核心問題，它包括兩個方面 : 一是 CA服務(wù)器利用數(shù)據(jù)庫來備份當(dāng)前密鑰和歸檔過期密鑰，該數(shù)據(jù)庫需高度安全和機密，其安全等級同 CA本身相同 。操作員打開郵件，填寫 CRL注冊表，并且進(jìn)行數(shù)字簽名，提交給 CA， CA操作員驗證注冊機構(gòu)操作員的數(shù)字簽名，批準(zhǔn)用戶撤消證書，并且更新 CRL，然后 CA將不同格式的 CRL輸出給注冊機構(gòu)，公布到安全服務(wù)器上，這樣其他 人可以通過訪問服務(wù)器得到 CRL 第 10章 應(yīng)用層安全技術(shù) 證書撤銷流程步驟如下 : (1) 用戶向注冊機構(gòu)操作員 CRLManager發(fā)送一封簽名 (2) 注冊機構(gòu)同意證書撤消，操作員鍵入用戶的序列號， (3) CA查詢證書撤消請求列表，選出其中的一個，驗證操作員的數(shù)字簽名，如果正確，則同意用戶的證書撤消申請，同時更新 CRL列表，然后將 CRL 第 10章 應(yīng)用層安全技術(shù) (4) 注冊機構(gòu)轉(zhuǎn)發(fā)證書撤消列表。 這時用戶打開瀏覽器的安全屬性，就可以發(fā)現(xiàn)自己已經(jīng)擁有了 CA頒發(fā)的數(shù)字證書，可以利用該數(shù)字證書與其他人以及 Web服務(wù)器 (擁有相同 CA頒發(fā)的證書 )使用加密、數(shù)字簽名 第 10章 應(yīng)用層安全技術(shù) 認(rèn)證中心還涉及 CRL的管理。 第 10章 應(yīng)用層安全技術(shù) (5) 用戶證書獲取 : 用戶使用申請證書時的瀏覽器到指定的網(wǎng)址，鍵入自己的證書序列號。 CA頒發(fā)的數(shù)字證書中包含關(guān)于用戶及 CA自身的各種信息，如能唯一標(biāo)識用戶的姓名及其他標(biāo)識信息、個人的 Email地址、 證書持有者的公鑰。 (3) CA發(fā)行證書 : 注冊機構(gòu) RA通過硬拷貝的方式向 CA傳輸用戶的證書申請與操作員的數(shù)字簽名， CA操作員查看用戶的詳細(xì)信息，并且驗證操作員的數(shù)字簽名，如果簽名驗證通過，則同意用戶的證書請求，頒發(fā)證書，然后 CA將證書輸出。 操作員也有權(quán)利拒絕用戶的申請。操作員首先查看目前系統(tǒng)中的申請人員，從列表中找出相應(yīng)的用戶，點擊用戶名，核對用戶信息，并且可以進(jìn)行適當(dāng)?shù)男薷摹? 第 10章 應(yīng)用層安全技術(shù) (2) 注冊機構(gòu)審核 : 用戶與注冊機構(gòu)人員聯(lián)系，證明自己的真實身份，或者請求代理人與注冊機構(gòu)聯(lián)系。用戶根據(jù)郵件的提示到指定的網(wǎng)址上下載自己的數(shù)字證書，而其他用戶可以通過 LDAP服務(wù)器獲得 第 10章 應(yīng)用層安全技術(shù) 證書申請的步驟如下 : (1) 用戶申請 : 用戶首先下載 CA的數(shù)字證書，然后在證書的申請過程中使用 SSL安全方式與服務(wù)器建立連接，用戶填寫個人信息，瀏覽器生成私鑰和公鑰對，將私鑰保存至客戶端特定的文件中，并且要求用口令保護(hù)私鑰，同時將公鑰和個人信息提交給安全服務(wù)器。下面討論 第 10章 應(yīng)用層安全技術(shù) 當(dāng)證書申請時，用戶使用瀏覽器通過 Inter訪問安全服務(wù)器，下載 CA的數(shù)字證書 (又叫做根證書 )，然后注冊機構(gòu)服務(wù)器對用戶進(jìn)行身份審核，認(rèn)可后便批準(zhǔn)用戶的證書申請， 然后操作員對證書申請表進(jìn)行數(shù)字簽名，并將申請及其簽名一起提交給 CA 第 10章 應(yīng)用層安全技術(shù) CA操作員獲得注冊機構(gòu)服務(wù)器操作員簽發(fā)的證書申請，可以發(fā)行證書或者拒絕發(fā)行證書，然后將證書通過硬拷貝的方式傳輸給注冊機構(gòu)服務(wù)器。在線申請就是利用瀏覽器或其他應(yīng)用系統(tǒng)通過在線的方式來申請證書，這種方式一般用于申請普通用戶證書或測試證書。 (2) 用戶證書直接存放在磁盤或自己的終端上。 第 10章 應(yīng)用層安全技術(shù) 3. 證書的存放 數(shù)字證書作為一種電子數(shù)據(jù)，可以直接從網(wǎng)上下載，也 (1) 使用 IC卡存放用戶證書。 第 10章 應(yīng)用層安全技術(shù) (6) 撤銷的證書列表 (Certificate List): 撤銷證書的列表，每個證書對應(yīng)一個唯一的標(biāo)識符 (即它含有已撤銷證書的唯一序列號，不是實際的證書 )。 (2) 簽名 (Signature): 包含算法標(biāo)識和算法參數(shù)，用于指定證書簽發(fā)機構(gòu)對 CRL (3) 頒發(fā)者 (Issuer): 簽發(fā)機構(gòu)的 DN名，由國家、省市、地區(qū)、組織機構(gòu)、單位部門和通用名等組成。 1表示 v2 標(biāo)準(zhǔn)。證書撤銷的方法很多，其中最常用的方法是由權(quán)威機構(gòu)定期發(fā)布證書撤銷列表。證書是有期限的，只有在有效期內(nèi)才是有效的。如果一個擴展未被標(biāo)記為關(guān)鍵擴展，那么證書用戶可以忽略該擴展。關(guān)鍵標(biāo)志的普遍含義是，當(dāng)它的值為真時，表明該擴展必須被處理。因此，不同組織機構(gòu)定義和接受的專用擴展集各不相同。 第 10章 應(yīng)用層安全技術(shù) (6) 主體 (Subject): 證書持有者的可識別名，此字段必須是非空的，除非使用了其他的名字形式 (參見后文的擴展字段 ) (7) 主體公鑰信息 (Subject Public Key Info): 主體的公鑰及 (8) 頒發(fā)者唯一標(biāo)識符 (Issuer Unique Identifier): 證書頒發(fā)者可能重名，該字段用于唯一標(biāo)識的該頒發(fā)者，僅用于版本2和版本 3 第 10章 應(yīng)用層安全技術(shù) (9) 主體唯一標(biāo)識符 (Subject Unique Identifier): 證書持有者可能重名，該字段用于唯一標(biāo)識的該持有者，僅用于版本2和版本 3 (10) 擴展 (Extension): 擴展增加了證書使用的靈活性，能夠在不改變證書格式的情況下，在證書中加入額外的信息。例如，典型的簽名算法標(biāo)識符 “ MD5WithRSAEncription”表明采用的散列算法是 MD5(由RSA Labs定義 )，采用的加密算法是 RSA 第 10章 應(yīng)用層安全技術(shù) (4) 頒發(fā)者 (Issuer): 用于標(biāo)識簽發(fā)證書的認(rèn)證機構(gòu)，即證書頒發(fā)者的可識別名 (DN) (5) 有效期 (Validity): 證書有效的時間段，由開始日期(Not Valid Before)和終止日期 (NotValid After)兩項組成。 (2) 序列號 (Serial Number): 由證書頒發(fā)者分配的本證書的唯一標(biāo)識符。 Inter的應(yīng)用環(huán)境而制定的，但很多建議都可以應(yīng)用于企業(yè)環(huán)境。數(shù)字證書包含ID 數(shù)字證書的形式主要有 、簡單 PKI(Simple Public Key Infrastructure)證書、 PGP(Pretty Good Privacy)證書和屬性 (Attribute)證書。證書的作廢處理必須在安全及可驗證的情況下進(jìn)行，系統(tǒng)還必須保證 CRL 第 10章 應(yīng)用層安全技術(shù) 5. PKI的價值在于使用戶能夠方便地使用加密、數(shù)字簽名等安全服務(wù)，因此，一個完整的 PKI必須提供良好的應(yīng)用接口系統(tǒng)，使得各種各樣的應(yīng)用能夠以安全、一致、可信的方式與 PKI交互，確保所建立起來的網(wǎng)絡(luò)環(huán)境的可信性，同時 第 10章 應(yīng)用層安全技術(shù) 數(shù)字證書是網(wǎng)絡(luò)用戶身份信息的一系列數(shù)據(jù)，用來在網(wǎng)絡(luò)通信中識別通信各方的身份。為實現(xiàn)這一點， PKI必須提供作廢證書的一系列機制。密鑰的備份與恢復(fù)應(yīng)該由可信的機構(gòu)來完成，認(rèn)證中心 (CA)可以充當(dāng)這一角 第 10章 應(yīng)用層安全技術(shù) 4. 證書作廢處理系統(tǒng)是 PKI的一個重要的組件。一般來說，為了獲得及時的服務(wù)，證書庫的訪問和查詢操作時間必須盡量的短，證書和證書撤銷信息必須盡量小，這樣才能減少總 第 10章 應(yīng)用層安全技術(shù) 3. 如果用戶丟失了用于解密數(shù)據(jù)的密鑰，則密文數(shù)據(jù)將無法被解密，造成數(shù)據(jù)的丟失。CA的核心功能就是發(fā)放和管理數(shù)字證書。公鑰密碼體制包括公鑰和私鑰，其中私鑰由用戶秘密保管，無需在網(wǎng)上傳送，公鑰則是公開的，可以在網(wǎng)上傳送。 另外，一些大的廠商 (如 Microsoft、 Netscape和 Novell等 )都開始在自己的網(wǎng)絡(luò)基礎(chǔ)設(shè)施產(chǎn)品中增加了 PKI 第