【正文】 主要內(nèi)容： ? ITUT ? PKIX系列標(biāo)準(zhǔn) ? WPKI標(biāo)準(zhǔn) ? SSL/TLS ? SET ? OpenPGP和 S/MIME ? PMI標(biāo)準(zhǔn)簡(jiǎn)介 167。 PKIX系列標(biāo)準(zhǔn) ? 證書(shū)和 CRL標(biāo)準(zhǔn)： RFC2459 ? PKI體系中的操作協(xié)議： RFC2559, RFC2560, RFC2585 ? PKI管理協(xié)議： RFC2510, RFC2511, RFC2797 ? 證書(shū)管理的政策和證書(shū)操作規(guī)范： RFC2527 ? 提供防抵賴的時(shí)戳和數(shù)據(jù)認(rèn)證服務(wù)：RFC3029, RFC3161 PKI的實(shí)體對(duì)象說(shuō)明 ? CA：證書(shū)認(rèn)證中心 ( 創(chuàng)建 , 分發(fā)和作廢證書(shū) )； ? RA：注冊(cè)授權(quán)機(jī)構(gòu)（即由 CA分配了一定功能的可選的審核機(jī)構(gòu) ,它的功能是綁定公鑰和證書(shū)持有者的身份等其他個(gè)人屬性）； ? EE： PKI證書(shū)的使用者或申請(qǐng)證書(shū)的終端用戶系統(tǒng)； ? Repository：是用于存儲(chǔ)證書(shū)和 CRL的系統(tǒng)，同時(shí)提供向 EE端發(fā)布證書(shū)和 CRL的服務(wù)； 167。 SSL/TLS ? SSL(Secure Socket Layer， 安全套接字層） )是 scape公司設(shè)計(jì)的主要用于 web的安全傳輸協(xié)議。 167。 ? SET協(xié)議由兩大部分組成： 證書(shū)管理 支付系統(tǒng) 167。 ? S/MIME協(xié)議是 RSA數(shù)據(jù)安全公司于1995年向 IETF工作組提交的規(guī)范。 二者的不同： ? S/MIME的認(rèn)證機(jī)制依賴于層次結(jié)構(gòu)的證書(shū)認(rèn)證機(jī)構(gòu)，而 OpenPGP的最大特點(diǎn)是其證書(shū)信任路徑不是層狀結(jié)構(gòu)，而是網(wǎng)狀結(jié)構(gòu)。OpenPGP支持兩種格式的證書(shū)： PGP證書(shū)。 PMI標(biāo)準(zhǔn)簡(jiǎn)介 ? PMI（ Privilege Management Infrastructure， 特權(quán)管理基礎(chǔ)設(shè)施） 指能夠支持全面授權(quán)服務(wù)的進(jìn)行特權(quán)管理的基礎(chǔ)設(shè)施。 ? 2022年版（ v4） 定義的 PMI模型中包括 PMI的一般模型、控制模型、委托模型和角色模型。 l 權(quán)限聲明者 （ privilege asserter） ： 擁有某些權(quán)限 ， 并能通過(guò)該權(quán)限訪問(wèn)訪問(wèn)特定的資源的實(shí)體 。 控制模型 ? 定義了五種成份： 權(quán)限聲明者、權(quán)限驗(yàn)證者、目標(biāo)對(duì)象方法（ object method）、 權(quán)限策略和環(huán)境變量。 授信源（S O A ）終端實(shí)體權(quán)限擁有者屬性認(rèn)證機(jī)構(gòu)AA權(quán)限驗(yàn)證者權(quán)限聲明權(quán)限分配權(quán)限委托權(quán)限聲明信任角色模型 ? 角色提供了一種間接指派權(quán)限的方式。 第四篇 應(yīng)用案例 第 11章 PKI應(yīng)用 主要內(nèi)容： ? Web安全問(wèn)題范圍以及使用 PKI系統(tǒng)的對(duì)策 ? 安全電子郵件實(shí)現(xiàn)原理與方案 ? VPN實(shí)現(xiàn)原理與方案 167。 ?SSL主要提供三方面的服務(wù) ?認(rèn)證用戶和服務(wù)器 ?加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù) ?維護(hù)數(shù)據(jù)的完整性 使用 PKI系統(tǒng)的對(duì)策 SSL/TLS ? 由 Netscape， IETF TLS工作組開(kāi)發(fā) ? SSL/TLS在源和目的實(shí)體間建立了一條安全通道 (在傳輸層之上 )，提供基于證書(shū)的認(rèn)證、信息完整性和數(shù)據(jù)保密性 ? SSL體系結(jié)構(gòu)： SSL協(xié)議棧 IP TCP SSL記錄協(xié)議 SSL握手 協(xié)議 SSL修改 密文協(xié)議 SSL告警 協(xié)議 HTTP 協(xié)議 167。發(fā)送方是在電子郵件的附件中增加發(fā)信者的數(shù)字簽字，同時(shí)也可將郵件內(nèi)容用對(duì)方的公鑰加密。 安全電子郵件實(shí)現(xiàn)原理 S/MIME amp。 ? 保證機(jī)密性，因?yàn)樾畔⒅皇窃诒匾臅r(shí)候、必要的地方才對(duì)交易各方可用 ? 交易過(guò)程：購(gòu)買(mǎi)請(qǐng)求、支付認(rèn)可和支付獲取 167。 ? IPSec IPSec ? IP層的安全包括了 3個(gè)功能域：鑒別、機(jī)密性和密鑰管理 ? IPSec的重要概念 ? 鑒別報(bào)頭 (AH), 封裝安全有效負(fù)載 (ESP), 傳輸模式 , 隧道模式 , 安全關(guān)連 (SA), 安全關(guān)連組 (SA Bundle), ISAKMP. ? IPSec， IPv6將使互聯(lián)網(wǎng) (尤其是網(wǎng)絡(luò)安全)發(fā)生巨大變化 IPSec ? IPSec安全服務(wù) ? IPSec密鑰管理 ? 人工，自動(dòng)， ISAKMP/Oakley AH ESP(只加密 ) ESP(加密并鑒別 ) 訪問(wèn)控制 * * * 無(wú)連接完整性 * * 數(shù)據(jù)源的鑒別 * * 拒絕重放的分組 * * * 機(jī)密性 * * 有限的通信量的機(jī)密性 * * 體系結(jié)構(gòu) ESP協(xié)議 AH協(xié)議 DOI 密鑰管理 加密算法 鑒別算法 IPSec文檔結(jié)構(gòu)概況 第 12章 PKI案例 主要內(nèi)容： ?電子稅務(wù) ?網(wǎng)上銀行 ?網(wǎng)上證券 167。 網(wǎng)上銀行 ? 安全需求 ? 身份認(rèn)證 ? 通信安全 ? 訪問(wèn)控制 ? 審記安全 ? 實(shí)施方案 通過(guò)配置 PKI來(lái)實(shí)現(xiàn) 167。 商業(yè)應(yīng)用 ? VeriSign ( ? Entrust ( ? Baltimore ( ? RSA Security ( VeriSign PKI層次圖 167。 電子商務(wù)認(rèn)證機(jī)構(gòu)的管 理 ? 中國(guó)電子商務(wù)認(rèn)證機(jī)構(gòu)管理中心的主要職能有： ? 國(guó)內(nèi) PKI認(rèn)證體系的統(tǒng)籌規(guī)劃； ? 國(guó)內(nèi)認(rèn)證機(jī)構(gòu)的安全性評(píng)估； ? 規(guī)范國(guó)內(nèi)認(rèn)證機(jī)構(gòu)的服務(wù)； ? 對(duì)國(guó)內(nèi)各認(rèn)證機(jī)構(gòu)的管理人員進(jìn)行培訓(xùn) 167。而對(duì)于一個(gè)提供信任服務(wù)的認(rèn)證機(jī)構(gòu) CA來(lái)說(shuō)，安全性則是其經(jīng)營(yíng)的奠基石。技術(shù)手段和管理手段缺一不可。 （ 1） ? CA系統(tǒng)安全 ? 物理安全 ? 操作系統(tǒng)安全 ? 密碼安全 ? 密碼算法安全 ? 密碼設(shè)備安全 認(rèn)證機(jī)構(gòu)的安全需求（ 2） ? 密鑰管理安全 ? 密鑰安全需求 ? 密鑰安全管理需求 ? 通信安全 ? 通信保密性 ? 通信完整性 ? 通信不可否認(rèn)性 認(rèn)證機(jī)構(gòu)的安全需求（ 3） ? 信息系統(tǒng)安全 ? 訪問(wèn)控制 ? 防范入侵 ? 防范病毒 ? 安全審計(jì) ? 數(shù)據(jù)安全 ? 數(shù)據(jù)備份 ? 數(shù)據(jù)庫(kù)冗余 167。 物理安全實(shí)現(xiàn) ? 物理安全的目 ? 物理安全系統(tǒng)的六個(gè)層次 密碼安全實(shí)現(xiàn) ? 密碼算法 ? 硬件加密設(shè)備 ? 密碼和算法的安全保護(hù) ? 加密卡密鑰管理 ? 加密卡可靠性設(shè)計(jì) ? 加密卡物理安全 密鑰安全實(shí)現(xiàn) ? CA密鑰管理 ? RA管理員證書(shū)密鑰管理 ? 最終用戶密鑰管理 通信安全實(shí)現(xiàn) ? 安全策略 ? 實(shí)現(xiàn)原理 ? 安全目標(biāo) 信息系統(tǒng)安全實(shí)現(xiàn) ? 信息系統(tǒng)安全目標(biāo) ? 數(shù)據(jù)備份與恢復(fù) ? 系統(tǒng)冗余 人員安全實(shí)現(xiàn) ? 專職安全管理人員 ? 可信雇員策略 ? 人員安全性要求 ? 身份鑒別 環(huán)境安全實(shí)現(xiàn) ? 認(rèn)證機(jī)構(gòu) CA系統(tǒng)所在的建筑物必須抗震性能良好，并安裝防雷裝置。 ? 認(rèn)證機(jī)構(gòu)工作場(chǎng)所還應(yīng)具備良好的排水系統(tǒng)，以防止水災(zāi)或由于給排水系統(tǒng)出現(xiàn)問(wèn)題而帶來(lái)的危害。 用戶數(shù)據(jù)保護(hù) ? 用戶申請(qǐng)資料的保護(hù) ? 用戶證書(shū)的保護(hù) 安全審計(jì)實(shí)現(xiàn) ? 安全審計(jì)內(nèi)容 ? 審計(jì)日志 ? CA運(yùn)行審計(jì) ? 管理員審計(jì) 第 15章 電子商務(wù)認(rèn)證機(jī)構(gòu)可信評(píng)估 主要內(nèi)容： ? CA系統(tǒng)安全性評(píng)估 ?認(rèn)證機(jī)構(gòu)安全評(píng)估流程 167。 ? 內(nèi)部風(fēng)險(xiǎn)主要來(lái)自于管理員和操作員越權(quán)操作和不當(dāng)操作。 認(rèn)證機(jī)構(gòu)安全評(píng)估流程 著名的 PKI實(shí)現(xiàn) (open source) ? OpenCA Project ( ? OSCAR PKI Project ( ? Jonah PKIX ( ? pyCA ( ? Mozilla Open Source PKI Project(cts/security/pki/) 著名的密碼算法 Toolkit ? OpenSSL Project (Open Source) ? ? CDSA (Open Source) ? ? RSA BSAFE (Commercial Version) ? e