854復(fù)習(xí)材料信息安全概論4pki技術(shù)

1、PKI體系與CA技術(shù)PKI體系與CA技術(shù)概述主要內(nèi)容PKI定義基礎(chǔ)設(shè)施基本安全需求安全基礎(chǔ)設(shè)施公鑰基礎(chǔ)設(shè)施PKI公鑰基礎(chǔ)設(shè)施PKIPublic Key Infrastructure保障大型開(kāi)放式網(wǎng)絡(luò)環(huán)境下網(wǎng)絡(luò)和信息系統(tǒng)安全的可行、有效的措施用非對(duì)稱(chēng)密碼學(xué)原理和技術(shù)實(shí)現(xiàn)并提供安全服務(wù)、具有通用性的安全基礎(chǔ)設(shè)施遵循標(biāo)準(zhǔn)的、利用公鑰技術(shù)為電子商務(wù)、電子政務(wù)的開(kāi)展提供一整套安全的基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施普適性基礎(chǔ)，在大環(huán)境中起基本框架的作用電力基礎(chǔ)設(shè)施網(wǎng)絡(luò)基礎(chǔ)設(shè)施實(shí)現(xiàn)“應(yīng)用支撐”的功能具有通用性和實(shí)用性基礎(chǔ)設(shè)施的特性具有易于使用和眾所周知的接口提供的服務(wù)可以預(yù)測(cè)且有效應(yīng)用設(shè)備無(wú)需了解基礎(chǔ)設(shè)施如何提供服務(wù)基本安

2、全需求鑒別（identification）認(rèn)證（authentication）授權(quán)（authorization）完整性（integrity）機(jī)密性（confidentiality）反拒認(rèn)（non-repudiation）轉(zhuǎn)帳請(qǐng)往123公司的帳號(hào)22511轉(zhuǎn)款5000萬(wàn)元。2004，8，8abc公司 Mary安全基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施，提供基礎(chǔ)服務(wù)為整體應(yīng)用系統(tǒng)提供安全基本框架可被應(yīng)用系統(tǒng)中任何需要安全的應(yīng)用和對(duì)象使用接口要求統(tǒng)一、標(biāo)準(zhǔn)、便于使用適用于多種環(huán)境通用性和實(shí)用性安全基礎(chǔ)設(shè)施作用增強(qiáng)應(yīng)用程序的數(shù)據(jù)和資源的安全保證與其他數(shù)據(jù)和資源交換中的安全安全基礎(chǔ)設(shè)施提供的服務(wù)安全登錄將本地成功登陸的結(jié)果安

3、全傳遞給遠(yuǎn)程的應(yīng)用程序避免口令在不安全的網(wǎng)絡(luò)中傳輸安全單點(diǎn)登錄終端用戶(hù)透明全面的安全性保證數(shù)目不受限制的應(yīng)用程序無(wú)縫協(xié)調(diào)工作，安全訪(fǎng)問(wèn)和傳輸數(shù)據(jù)保證大范圍的組織實(shí)體和設(shè)備采用統(tǒng)一的方式使用、理解和處理密鑰公鑰基礎(chǔ)設(shè)施PKI公鑰體制PKI系統(tǒng)主要組成PKI應(yīng)用系統(tǒng)構(gòu)成PKI協(xié)議PKI應(yīng)用領(lǐng)域公鑰體制公私密鑰對(duì)兩個(gè)密鑰同時(shí)生成一個(gè)密鑰加密的密文只能用另外一個(gè)密鑰解密一個(gè)公開(kāi)，一個(gè)秘密保存用途數(shù)字簽名私鑰簽名，公鑰驗(yàn)證私鑰不能備份，公鑰需要存檔加密信息公鑰加密，私鑰解密私鑰需要備份，存檔基于公鑰的安全通信機(jī)制公鑰加密通信數(shù)據(jù)私鑰在通信對(duì)方用戶(hù)手中采用證書(shū)管理公鑰：公鑰證書(shū)公鑰證書(shū)是用戶(hù)的公鑰和用戶(hù)的

4、其他標(biāo)識(shí)信息（名字、身份證號(hào)等）的結(jié)合第三方的可信任機(jī)構(gòu)頒發(fā)證書(shū)第三方的可信任機(jī)構(gòu)核實(shí)用戶(hù)身份第三方的可信任機(jī)構(gòu)對(duì)公鑰證書(shū)數(shù)字簽名PKI系統(tǒng)主要組成認(rèn)證機(jī)構(gòu)CA（Certificate Authority）證書(shū)的簽發(fā)機(jī)構(gòu)證書(shū)庫(kù)證書(shū)的集中存放地，提供公眾查詢(xún)密鑰備份和恢復(fù)系統(tǒng)備份用戶(hù)的解密密鑰，以便在丟失后恢復(fù)證書(shū)撤銷(xiāo)處理系統(tǒng)根據(jù)需要作廢證書(shū)PKI應(yīng)用程序接口為各種應(yīng)用提供訪(fǎng)問(wèn)PKI的方式認(rèn)證機(jī)構(gòu)CA權(quán)威的、可信任的、公正的第三方機(jī)構(gòu)認(rèn)證中心PKI的核心數(shù)字證書(shū)的簽發(fā)機(jī)構(gòu)證書(shū)的產(chǎn)生、管理、存檔、發(fā)放、以及作廢管理CA的任務(wù)驗(yàn)證并標(biāo)識(shí)證書(shū)申請(qǐng)者的身份審批、發(fā)放、更新、驗(yàn)證證書(shū)證書(shū)資料信息的管理（公

5、鑰證書(shū)序列號(hào)、CA標(biāo)識(shí)）產(chǎn)生和發(fā)布撤銷(xiāo)證書(shū)列表證書(shū)的歸檔密鑰歸檔歷史數(shù)據(jù)歸檔CA的職責(zé)確保CA用于簽名證書(shū)的非對(duì)稱(chēng)密鑰的質(zhì)量確保整個(gè)簽證過(guò)程的安全性，確保簽名私鑰的安全性確保證書(shū)主體標(biāo)識(shí)的唯一性，防止重名CA的密鑰是整個(gè)證書(shū)機(jī)制的得以運(yùn)行的基礎(chǔ)CA私鑰由CA保管，必須確保CA私鑰的高度機(jī)密性CA公鑰在網(wǎng)上公開(kāi)，必須保證CA公鑰的完整性認(rèn)證中心的組成注冊(cè)服務(wù)器方便用戶(hù)在網(wǎng)上提出證書(shū)申請(qǐng)證書(shū)申請(qǐng)受理和審核機(jī)構(gòu)接受客戶(hù)證書(shū)申請(qǐng)并審核認(rèn)證中心服務(wù)器證書(shū)的生成、發(fā)放實(shí)體，同時(shí)管理證書(shū)以及證書(shū)的撤銷(xiāo)證書(shū)公鑰體制的一種密鑰管理媒介權(quán)威性的電子文檔，網(wǎng)絡(luò)身份證證明主體身份及其公鑰的合法性含有主體的身份和公鑰用

6、CA的私鑰簽名證書(shū)主體公鑰的產(chǎn)生方式主體用戶(hù)自己生成密鑰對(duì)將公鑰傳送給CA要保證公鑰的可驗(yàn)證性和完整性CA替用戶(hù)生成密鑰對(duì)將私鑰傳遞給用戶(hù)要保證私鑰的機(jī)密性、可驗(yàn)證性和完整性證書(shū)的簽發(fā)離線(xiàn)方式面對(duì)面發(fā)放申請(qǐng)人申請(qǐng)-RA將申請(qǐng)信息給CA- CA產(chǎn)生參照號(hào)和認(rèn)證碼給RA-RA通過(guò)可靠途徑將參照碼和認(rèn)證號(hào)給用戶(hù)-用戶(hù)用參照碼和認(rèn)證號(hào)在RA面對(duì)面取證書(shū)到軟盤(pán)或者IC卡在線(xiàn)方式通過(guò)internet在目錄服務(wù)器上下載申請(qǐng)人填寫(xiě)信息- CA產(chǎn)生參照號(hào)和認(rèn)證碼給RA- RA打印參照碼和認(rèn)證號(hào)當(dāng)面給申請(qǐng)人-申請(qǐng)人回到自己的PC機(jī)，登錄網(wǎng)站，通過(guò)瀏覽器安裝Root CA證書(shū)-申請(qǐng)人在網(wǎng)頁(yè)上填入?yún)⒄仗?hào)和授權(quán)碼，下載

7、自己的證書(shū)證書(shū)的撤銷(xiāo)證書(shū)廢止原因私鑰泄密從屬變更終止使用CA出現(xiàn)問(wèn)題撤銷(xiāo)證書(shū)原因CA知道證書(shū)細(xì)節(jié)不真實(shí)證書(shū)持有者沒(méi)有履行職責(zé)和登記人協(xié)議證書(shū)持有者死亡、違反電子交易規(guī)則或者犯罪為什么需要公鑰基礎(chǔ)設(shè)施？可信賴(lài)的身份是一切交互活動(dòng)的基礎(chǔ)結(jié)交朋友貿(mào)易往來(lái)可信電子身份是電子網(wǎng)絡(luò)交互的基礎(chǔ)電子商務(wù)電子郵件可信賴(lài)身份的獲得朋友的介紹權(quán)威機(jī)構(gòu)頒發(fā)的身份證明公安局頒發(fā)的身份證工商局頒發(fā)的營(yíng)業(yè)執(zhí)照為什么僅僅有公鑰/私鑰還不夠？?jī)H僅公鑰/私鑰并不能保證可信賴(lài)身份數(shù)字簽名：公布虛假公鑰，用虛假私鑰簽名加密數(shù)據(jù)：用非法公鑰替換合法公鑰，竊聽(tīng)數(shù)據(jù)需要一種安全有效的發(fā)布公鑰的機(jī)制提供可信身份保證公鑰和可信身份的對(duì)應(yīng)關(guān)系保

8、證公鑰沒(méi)有被篡改PKI基礎(chǔ)PKI的任務(wù)PKI要處理的問(wèn)題PKI應(yīng)該有的特性認(rèn)證機(jī)構(gòu)CAPKI的任務(wù)確立可信賴(lài)的數(shù)字身份數(shù)字身份和密碼機(jī)制結(jié)合提供認(rèn)證、授權(quán)、或數(shù)字簽名驗(yàn)證服務(wù)完成任務(wù)的機(jī)構(gòu)：認(rèn)證機(jī)構(gòu)（CA）負(fù)責(zé)創(chuàng)建或證明身份以證書(shū)的形式驗(yàn)證申請(qǐng)注冊(cè)證書(shū)的申請(qǐng)者的身份頒發(fā)可用于證明該身份的數(shù)字證書(shū)撤銷(xiāo)已頒發(fā)證書(shū)并通知使用者認(rèn)證機(jī)構(gòu)CAPKI的核心負(fù)責(zé)確認(rèn)身份和創(chuàng)建數(shù)字證書(shū)，建立一個(gè)身份和一對(duì)公私密鑰之間的聯(lián)系由這一過(guò)程用到的軟件和硬件以及服務(wù)集合構(gòu)成包括人、操作過(guò)程、環(huán)境、規(guī)定如何確認(rèn)身份和頒發(fā)什么格式數(shù)字證書(shū)的策略CA的組件構(gòu)成認(rèn)證操作管理規(guī)范CPS注冊(cè)機(jī)構(gòu)RA證書(shū)服務(wù)器證書(shū)庫(kù)密鑰恢復(fù)服務(wù)時(shí)間

9、服務(wù)器簽名服務(wù)器認(rèn)證操作管理規(guī)范CPS控制證書(shū)申請(qǐng)者登記和證書(shū)生成的業(yè)務(wù)規(guī)則描述CA在各個(gè)方面受的約束情況及運(yùn)作方式的規(guī)則如何確保CA密鑰的安全哪些信息放到證書(shū)中撤銷(xiāo)信息多長(zhǎng)時(shí)間生成一次頒發(fā)證書(shū)的CA必須將其認(rèn)證操作管理規(guī)范提供給證書(shū)用戶(hù)注冊(cè)機(jī)構(gòu)RA負(fù)責(zé)申請(qǐng)者的登記和初始鑒別將具有合法資格并且經(jīng)過(guò)認(rèn)證的實(shí)體的證書(shū)請(qǐng)求提交上去可由一個(gè)人擔(dān)任操作者來(lái)執(zhí)行證書(shū)撤銷(xiāo)以及申請(qǐng)者在同PKI交互時(shí)需要的其他服務(wù)RA及其接口可實(shí)現(xiàn)為證書(shū)服務(wù)器的一部分也可形成獨(dú)立的組件證書(shū)服務(wù)器和證書(shū)庫(kù)證書(shū)服務(wù)器根據(jù)注冊(cè)過(guò)程中提供的信息生成證書(shū)的機(jī)器或者服務(wù)證書(shū)庫(kù)發(fā)布證書(shū)的地方目錄X.500目錄LDAP目錄描述在目錄中定位信息

10、的訪(fǎng)問(wèn)方法和協(xié)議時(shí)間服務(wù)器可驗(yàn)證的時(shí)間戳可靠的審計(jì)日志接收確認(rèn)系統(tǒng)電子合同發(fā)布可驗(yàn)證的時(shí)間戳條件一個(gè)單調(diào)增加的精確的時(shí)間源時(shí)間戳的安全傳輸時(shí)間戳的簽名，以便驗(yàn)證時(shí)間的發(fā)布者作為PKI的一部分或使用可信的第三方時(shí)間戳提供者密鑰恢復(fù)服務(wù)和簽名服務(wù)器密鑰恢復(fù)服務(wù)存檔加密密鑰密鑰丟失或執(zhí)法部門(mén)需要時(shí)提供簽名服務(wù)器專(zhuān)門(mén)為用戶(hù)事務(wù)執(zhí)行集中的簽名和驗(yàn)證沒(méi)有提供數(shù)字簽名，但應(yīng)用了數(shù)字簽名的事務(wù)處理或文件管理的應(yīng)用程序數(shù)字公證人數(shù)字證書(shū)證實(shí)一個(gè)有效身份的電子文件在一個(gè)身份和該身份持有者所擁有的公/私密鑰對(duì)之間建立聯(lián)系現(xiàn)實(shí)世界的證書(shū)護(hù)照電子世界的證書(shū)數(shù)字證書(shū)證書(shū)驗(yàn)證使用證書(shū)的應(yīng)用程序現(xiàn)實(shí)世界的證書(shū)護(hù)照姓名：標(biāo)識(shí)護(hù)

11、照持有者或者主體的名字出生日期和出生地：附加標(biāo)識(shí)信息照片和簽名：用來(lái)比較發(fā)放國(guó)：頒發(fā)者的名字，標(biāo)識(shí)擔(dān)保該主體身份的國(guó)家唯一編號(hào)：唯一標(biāo)識(shí)此護(hù)照的序列號(hào)有效期起始日期有效期終止日期官方標(biāo)記：頒發(fā)者的簽名以及一個(gè)全息的防偽圖章頁(yè)號(hào)：每頁(yè)都被編號(hào)，且刻上此護(hù)照的序列號(hào)附加信息X.509證書(shū)格式序列號(hào)頒發(fā)者X.500唯一標(biāo)識(shí)名有效期主體X.500唯一標(biāo)識(shí)名主體公鑰信息密鑰/證書(shū)用法擴(kuò)展認(rèn)證機(jī)構(gòu)數(shù)字簽名簽名生成 認(rèn)證機(jī)構(gòu)私鑰電子世界的證書(shū)數(shù)字證書(shū)電子世界的證書(shū)數(shù)字證書(shū)電子世界的證書(shū)數(shù)字證書(shū)電子世界的證書(shū)數(shù)字證書(shū)電子世界的證書(shū)數(shù)字證書(shū)主題/體（subject）：證書(shū)所標(biāo)識(shí)的個(gè)人或者實(shí)體公鑰：和該主體的私鑰

12、對(duì)應(yīng)的公鑰頒發(fā)者：生成并對(duì)該證書(shū)簽名的可信的信任源序列號(hào)：唯一標(biāo)識(shí)證書(shū)的號(hào)碼有效期起始日期：證書(shū)可用的起始日期有效期終止日期密鑰/證書(shū)用途：公私密鑰對(duì)的合法用途數(shù)字簽名：證實(shí)主體的身份，用頒發(fā)者的私鑰生成的頒發(fā)者的數(shù)字簽名證書(shū)驗(yàn)證護(hù)照的驗(yàn)證查對(duì)照片、簽名檢查全息防偽圖片，確認(rèn)護(hù)照真假檢查護(hù)照的有效期核實(shí)條形碼中的信息和護(hù)照的物理信息是否一致在計(jì)算機(jī)上調(diào)出記錄檢查護(hù)照是否作廢或被撤銷(xiāo)數(shù)字證書(shū)驗(yàn)證驗(yàn)證證書(shū)簽名者的簽名檢查證書(shū)的有效期檢查證書(shū)的預(yù)期用途是否符合CA在該證書(shū)中指定的策略限制確認(rèn)證書(shū)沒(méi)有被CA撤銷(xiāo)使用證書(shū)的應(yīng)用程序安全套接字層SSL 安全的電子郵件虛擬專(zhuān)用網(wǎng)安全套接字層SSL 將Web瀏

13、覽器定向到Web服務(wù)器的一個(gè)另外不同的端口上會(huì)話(huà)中所有信息都被加密用證書(shū)確定身份服務(wù)器端認(rèn)證：Web服務(wù)器發(fā)送一個(gè)證書(shū)給Web瀏覽器供其認(rèn)證客戶(hù)端認(rèn)證：Web服務(wù)器請(qǐng)求用戶(hù)的證書(shū)進(jìn)行認(rèn)證安全的電子郵件數(shù)字簽名發(fā)送者用自己的私鑰創(chuàng)建簽名，將相應(yīng)的證書(shū)同郵件一起發(fā)送保密發(fā)送者先獲得接收者的證書(shū)，檢驗(yàn)合格后用其中的公鑰加密郵件發(fā)送虛擬專(zhuān)用網(wǎng)像使用私有網(wǎng)絡(luò)一樣使用公共網(wǎng)絡(luò)信息必須加密必須確定與之通信的機(jī)器的身份每個(gè)終端實(shí)體向?qū)Ψ教峤蛔约旱淖C書(shū)并證明自己確實(shí)擁有相應(yīng)的私鑰證書(shū)中含有作為主體標(biāo)識(shí)的網(wǎng)絡(luò)地址PKI服務(wù)主要內(nèi)容頒發(fā)證書(shū)撤銷(xiāo)證書(shū)認(rèn)證證書(shū)分發(fā)證書(shū)基本需求護(hù)照申請(qǐng)過(guò)程（澳大利亞）填寫(xiě)注冊(cè)表單出生日期

14、、家庭地址、婚姻狀況、是否有過(guò)犯罪歷史提供附加證明文件出生證、結(jié)婚證、證明居住處的征稅記錄提供幾張近期照片一個(gè)著名人物在申請(qǐng)和照片上簽名，聲明認(rèn)識(shí)申請(qǐng)者至少5年以上遵守秩序地等候3個(gè)小時(shí)一個(gè)可信的登記員面對(duì)申請(qǐng)人核對(duì)照片及其相關(guān)細(xì)節(jié)付錢(qián)幾個(gè)星期以后，得到護(hù)照證書(shū)申請(qǐng)過(guò)程（RSA Keon證書(shū)服務(wù)器）1、訪(fǎng)問(wèn)RA提供的Web界面，選擇注冊(cè)個(gè)人證書(shū)2、填寫(xiě)注冊(cè)信息包括選擇的密鑰長(zhǎng)度3、提交表單4、收到郵件包含一個(gè)獲取證書(shū)的URL、一個(gè)證書(shū)獲取號(hào)碼5、點(diǎn)擊URL，輸入證書(shū)獲取號(hào)碼，證書(shū)被下載到瀏覽器中6、安裝證書(shū)，將證書(shū)和私鑰存儲(chǔ)到密鑰存儲(chǔ)區(qū)提交表單后瀏覽器生成密鑰對(duì)構(gòu)造素?cái)?shù)的隨機(jī)輸入來(lái)源于機(jī)器上的

15、參數(shù)，或用戶(hù)的隨機(jī)擊鍵，或隨機(jī)移動(dòng)鼠標(biāo)所形成的輸入私鑰存儲(chǔ)在一個(gè)本地應(yīng)用程序的密鑰存儲(chǔ)區(qū)內(nèi)如果是第一次構(gòu)造密鑰存儲(chǔ)區(qū)，則根據(jù)提示輸入口令來(lái)構(gòu)造一個(gè)加密/解密密鑰存儲(chǔ)區(qū)的對(duì)稱(chēng)密鑰提交表單后公鑰與注冊(cè)表單中的信息一起發(fā)送給注冊(cè)機(jī)構(gòu)的Web服務(wù)器接口注冊(cè)機(jī)構(gòu)檢查申請(qǐng)信息并驗(yàn)證用戶(hù)提供的身份信息注冊(cè)機(jī)構(gòu)向證書(shū)服務(wù)器提交申請(qǐng)證書(shū)服務(wù)器根據(jù)證書(shū)操作管理規(guī)范定義的頒發(fā)規(guī)則在證書(shū)中插入附加信息并設(shè)置各個(gè)字段證書(shū)撤銷(xiāo)原因密鑰泄露軟件實(shí)現(xiàn)中存在錯(cuò)誤對(duì)硬件密鑰存儲(chǔ)區(qū)的分析密鑰擁有者對(duì)密鑰保護(hù)訪(fǎng)問(wèn)時(shí)不夠認(rèn)真社會(huì)工程擁有者身份變化撤銷(xiāo)機(jī)制CA公布撤銷(xiāo)證書(shū)列表CRL被撤銷(xiāo)證書(shū)的序列號(hào)撤銷(xiāo)日期撤銷(xiāo)原因撤銷(xiāo)證書(shū)列表CRL由C

16、A私鑰簽名保證完整性保證權(quán)威性CRL公布在目錄中CRL公布周期由CA決定撤銷(xiāo)證書(shū)列表CRL內(nèi)容格式證書(shū)序列號(hào)撤銷(xiāo)日期撤銷(xiāo)原因CRL頒發(fā)者本次更新下次更新CRL擴(kuò)展CRL頒發(fā)者數(shù)字簽名簽名生成 CRL頒發(fā)者私鑰證書(shū)序列號(hào)撤銷(xiāo)日期撤銷(xiāo)原因證書(shū)認(rèn)證驗(yàn)證證書(shū)簽名者的簽名檢查證書(shū)的有效期檢查證書(shū)的預(yù)期用途是否符合CA在該證書(shū)中指定的策略限制確認(rèn)證書(shū)沒(méi)有被CA撤銷(xiāo)存在許多認(rèn)證機(jī)構(gòu)原因?qū)е碌膯?wèn)題每個(gè)CA必須設(shè)法使證書(shū)用戶(hù)信任它解決方案以某種方式建立CA之間的信任關(guān)系一個(gè)CA證明另外一個(gè)CA身份的合法性認(rèn)證路徑（證書(shū)鏈）認(rèn)證路徑（證書(shū)鏈）根證書(shū)存在許多認(rèn)證機(jī)構(gòu)的原因需要存在許多認(rèn)證機(jī)構(gòu)特殊應(yīng)用領(lǐng)域可能有特殊需

17、要一個(gè)行業(yè)部門(mén)可能需要獨(dú)特的安全規(guī)定一個(gè)獨(dú)立的實(shí)體可能需要實(shí)行對(duì)頒發(fā)的身份和使用機(jī)制的直接控制使用單一認(rèn)證機(jī)構(gòu)的問(wèn)題開(kāi)銷(xiāo)大、復(fù)雜高度統(tǒng)一的應(yīng)用通常會(huì)失敗用戶(hù)過(guò)多會(huì)使CA過(guò)于繁忙驗(yàn)證所有身份和頒發(fā)所有證書(shū)用戶(hù)接受的證書(shū)困難證書(shū)分發(fā)在協(xié)議內(nèi)部分發(fā)證書(shū)使用庫(kù)分發(fā)證書(shū)在協(xié)議內(nèi)部分發(fā)證書(shū)電子郵件簽名與簽名者私鑰相應(yīng)的證書(shū)、公鑰和電子郵件消息一起發(fā)送在認(rèn)證路徑中證書(shū)的其余部分也被發(fā)送客戶(hù)端SSL (secure socket layer)認(rèn)證瀏覽器或者其他客戶(hù)應(yīng)用在服務(wù)器要求下通過(guò)協(xié)議發(fā)送客戶(hù)證書(shū)使用庫(kù)分發(fā)證書(shū)電子郵件加密訪(fǎng)問(wèn)LDAP目錄地址薄中的每個(gè)用戶(hù)條目連接與用戶(hù)對(duì)應(yīng)的LDAP目錄項(xiàng)服務(wù)器端SSL認(rèn)

18、證在本地證書(shū)庫(kù)中找到CA證書(shū)使用目錄服務(wù)器查詢(xún)CA證書(shū)PKI的基礎(chǔ)依賴(lài)于兩個(gè)概念存在一些可信實(shí)體可以創(chuàng)建一個(gè)身份，該身份是可證實(shí)的并與一個(gè)公共可共享的密鑰相連存在某個(gè)私鑰，可以信賴(lài)假定該私鑰僅僅被數(shù)字證書(shū)決定的用戶(hù)所占有IPSecIPSecIP SecureRFC2401、RFC2402、RFC2406總是要求加密功能，不是可選項(xiàng)，允許使用空算法（null algorithm）RFC2410，簡(jiǎn)單，易于實(shí)現(xiàn)、速度極高多服務(wù)、多算法和多粒度的框架多服務(wù)服務(wù)可選不是每個(gè)人需要和愿意為所有服務(wù)、所有時(shí)間付費(fèi)主要服務(wù)保密、數(shù)據(jù)完整保護(hù)、針對(duì)重放攻擊的保護(hù)建立在對(duì)稱(chēng)密鑰基礎(chǔ)上獲得高性能多算法算法無(wú)關(guān)，算

19、法被攻破，框架仍然可以幸存多粒度既能保護(hù)單個(gè)TCP連接，也能夠保護(hù)一對(duì)主機(jī)之間的所有流量，或者一對(duì)安全路由器之間的所有流量，以及其他一些可能使用模式傳輸模式IPSec頭直接插在IP頭后面，在TCP頭前面兩個(gè)端點(diǎn)必須實(shí)現(xiàn)IPSec，中介系統(tǒng)不對(duì)數(shù)據(jù)包進(jìn)行IPSec處理隧道模式整個(gè)IP分組（IP頭和數(shù)據(jù)）都被封裝到一個(gè)新的IP分組的數(shù)據(jù)體中，有一個(gè)全新的IP頭IPSec服務(wù)由中介系統(tǒng)實(shí)現(xiàn)，端節(jié)點(diǎn)不知道隧道模式數(shù)據(jù)包新IP報(bào)頭IP數(shù)據(jù)IP報(bào)頭IP報(bào)頭IPSec報(bào)頭IP數(shù)據(jù)IPSec數(shù)據(jù)隧道模式數(shù)據(jù)包IP數(shù)據(jù)IP報(bào)頭新IP報(bào)頭IP報(bào)頭IPSec報(bào)頭IP數(shù)據(jù)IPSec數(shù)據(jù)IP數(shù)據(jù)IP報(bào)頭IPSec網(wǎng)關(guān)I

20、PSec網(wǎng)關(guān)傳輸模式數(shù)據(jù)包IP數(shù)據(jù)IP報(bào)頭IP報(bào)頭IPSec報(bào)頭IP數(shù)據(jù)IPSec數(shù)據(jù)傳輸模式數(shù)據(jù)包網(wǎng)關(guān)網(wǎng)關(guān)IP報(bào)頭IPSec報(bào)頭IP數(shù)據(jù)IPSec數(shù)據(jù)IP報(bào)頭IPSec報(bào)頭IP數(shù)據(jù)IPSec數(shù)據(jù)IP報(bào)頭IPSec報(bào)頭IP數(shù)據(jù)IPSec數(shù)據(jù)位于IP層上面向連接的服務(wù)一個(gè)連接：一個(gè)安全關(guān)聯(lián)SA（Security Association）兩個(gè)端點(diǎn)之間的單工連接由一個(gè)安全標(biāo)識(shí)符表示用來(lái)查詢(xún)相關(guān)密鑰和其他信息SA定義了一個(gè)安全的“環(huán)境”，包含了IP封包加密，解密，和認(rèn)證的相關(guān)訊息密碼功能:提供加密或認(rèn)證或兩者同時(shí)。密碼算法:例如加/解密使用DES(或 Triple-DES)認(rèn)證使用MD5 (或SHA-1)密碼算法中所使用的金鑰，金鑰的生命周期等是否有啟始化向量SA的生命周期密鑰管理密鑰確定和密鑰分發(fā)最多需要四個(gè)密鑰：AH和ESP各兩個(gè)發(fā)送和接收密鑰兩種方式手工自動(dòng)人工手動(dòng)管理方式管理員使用自己的密鑰及其它系統(tǒng)的密鑰手工設(shè)置每個(gè)系統(tǒng)密鑰由管理站點(diǎn)確定然后分發(fā)到所有的遠(yuǎn)程用戶(hù)真實(shí)的密鑰可以用隨機(jī)數(shù)字生成器或簡(jiǎn)單的任意拼湊計(jì)算出來(lái)，每一個(gè)密鑰可以根據(jù)集團(tuán)的安全政策進(jìn)行修改 在小型網(wǎng)絡(luò)環(huán)境中使用比較實(shí)際手工管理系統(tǒng)在有限的安全需要可以工作得很好自動(dòng)管理系統(tǒng)能滿(mǎn)足其他所有