網絡安全監(jiān)管第三講-信息安全技術與產品

密碼服務技術——作用為密碼的有效應用提供技術支持一般密碼服務系統(tǒng)由密碼芯片、密碼模塊、密碼機或軟件、密碼服務接口構成密碼服務系統(tǒng)以獨立的形式，提供各種安全服務，并具備完善的安全機制以及規(guī)范的編程接口密碼服務技術——要求安全要求采用可信計算機具備設別安全和敏感信息保護機制關鍵設備的真實性鑒別具備完善的密鑰管理機制符合工業(yè)標準提供日志審計及統(tǒng)計服務支持檢測響應系統(tǒng)的統(tǒng)一檢測支持安全管理系統(tǒng)的統(tǒng)一管理密碼服務技術——要求功能要求密鑰管理服務數(shù)字證書管理服務數(shù)字證書運算：提供證書簽發(fā)和驗證等基本的證書運算服務功能數(shù)據(jù)加解密運算數(shù)字簽名運算數(shù)字信封消息摘要和完整性驗證密碼服務技術——組成密碼芯片密碼運算單元，通常支持單一或組合的密碼運算及密鑰輸入，具有專有的通信接口協(xié)議或口令等安全保護措施，并具備基本的自身防護機制。密碼模塊具備完整安全功能及服務的加密卡、高度集成的安全芯片等，通常集成了密碼運算單元、噪聲源、密碼協(xié)議、密鑰管理等功能，能夠提供一種或多種安全中間件下層密碼服務接口接入。通常用于VPN、鏈路密碼機、客戶端密碼服務設備等各種密碼服務設備。密碼服務技術——組成客戶端密碼服務設備提供終端密碼服務。具有便攜式、功能齊全、成本低等特點，便于大規(guī)模使用和移動辦公。通常具備通用的密碼運算單元、密鑰管理、用戶證書管理、安全管理等部件，能夠支持應用系統(tǒng)客戶端的各項安全應用服務器端密碼服務設備為密鑰管理基礎設施（KMI）、公開密鑰基礎設施（PKI）、安全管理設備、安全防護設備等提供性能穩(wěn)定、功能強大的安全服務設備。具備完善的自身防護、密鑰管理、證書管理以及安全管理機制。密碼服務技術——使用密碼服務系統(tǒng)所使用的安全模塊和密碼設備，均應嚴格按照國家相關主管部門的有關規(guī)定，采用經國家相關部門批準的密碼產品各種密碼服務系統(tǒng)提供不同的算法和協(xié)議支持，策略庫根據(jù)國家密碼主管部門要求設置，用戶可以在策略庫的規(guī)定范圍內，靈活地選擇并配置合適的密碼算法及其協(xié)議。對關鍵的密碼服務系統(tǒng)，必須采用統(tǒng)一的安全管理策略密碼服務技術——使用一般地，一個實際的應用系統(tǒng)會涉及以下幾個方面的密碼應用：數(shù)字證書運算：提供對數(shù)字證書的產生、簽發(fā)和驗證運算密鑰加密運算：提供密鑰的安全傳輸和存儲的加解密運算數(shù)據(jù)傳輸加密運算：提供數(shù)據(jù)安全傳輸加密和解密運算數(shù)據(jù)存儲：提供數(shù)據(jù)安全存儲的加密和解密運算數(shù)字簽名：提供對數(shù)據(jù)的簽名和簽名驗證等運算消息摘要與驗證：提供對消息進行摘要運算及完整性驗證運算數(shù)字信封：提供對數(shù)據(jù)的數(shù)字信封封裝和解封裝等運算密碼服務技術——密鑰的配用與管理所有的密鑰都要遵循嚴格的配用原則，包括最小特權原則、特權分散原則、最小設備原則、不影響系統(tǒng)正常工作的原則密鑰管理涉及密鑰生命周期的全過程，對不同的密鑰類型采用不同的管理辦法。密碼服務技術——密碼服務系統(tǒng)接口CPI為密碼服務相關的應用開發(fā)提供標準化的安全接口平臺，根據(jù)不同密碼載體，其提供形式多種多樣。CPI主要以標準C/C++/C#提供一、商用密碼的涵義商用密碼是指對不涉及國家秘密的信息進行加密保護或者安全認證所使用的密碼技術和密碼產品，是為確保商用信息安全而使用的一種技術措施。商用密碼概述二、商用密碼的特征

(一)商用密碼的標準化特征商用密碼作為實現(xiàn)網絡安全的重要技術措施，廣泛使用于商業(yè)和個人信息領域，考慮到商用密碼的廣泛適用性，要求加以標準化。標準化的商用密碼具有以下特征：

(1)信息的加密(置亂)能力。

(2)密碼算法和密碼協(xié)議需經過嚴格論證和科學設計，具備抗攻擊、抗破解能力。商用密碼概述

(二)商用密碼的專利保護一般意義上，商用密碼的研發(fā)和生產需要通過申請專利加以保護。DES建立在IBM開發(fā)并擁有專利(Lucifer)的密碼基礎上。同樣，在數(shù)字簽名領域廣泛使用的RSA箅法也是通過專利保護的，這一算法的專利保護已于2000年9月20日到期。商用密碼概述

(3)商用密碼和國家秘密內容的密碼有不同的設計要求，商用密碼要求具有互通性。

(4）考慮到商用密碼的可控性，商用密碼算法設計和實現(xiàn)的商用應用應當公示，采用登記制度。

(5)在某些必要或特定情形下，要求商用密碼的解密

(6)現(xiàn)存商用密碼的兼容性和擴充性。主要是考慮密碼升級后，以前用戶的繼續(xù)使用和密鑰長度及算法強化的需要。商用密碼概述

(三)商用密碼的廣泛用途商用密碼是用于信息加密保護和安全認證的密碼技術和密碼產品，其主要用途在于：1.信息加密保護2.安全認證：數(shù)字簽名商用密碼概述一、商用密碼的研發(fā)商用密碼產品是保護不涉及國家秘密的信息安全又為國家?？氐奶厥猱a品。這個特殊產品要求由指定單位按照統(tǒng)一的技術規(guī)范研制，以確保商用密碼產品的安全性、可靠性和互通性。商用密碼的研制開發(fā)體現(xiàn)國家密碼管理部門與商用密碼科研單位之間的“指定”關系。所謂“指定”關系，是指商用密碼的研究開發(fā)項目只能由國家密碼管理部門所認可的單位承擔，未經國家密碼管理部門指定，任何單位不能從事商用密榪的研究開發(fā)。商用密碼的研發(fā)管理根據(jù)《商用密碼管理條例》第五條的規(guī)定，被指定的商用密碼科研單位必須具備以下條件：

(1)具有相應的技術力量和設備；

(2)具有先進的編碼理論和技術；

(3)編制的商用密碼算法具有較高的保密強度和抗攻擊能力。商用密碼的研發(fā)管理商用密碼科研定點單位

1、信息產業(yè)部數(shù)據(jù)通信科學技術研究所

2、北京數(shù)安科技有限公司

3、北京電子科技學院

4、中國科學院數(shù)據(jù)與通信保護研究教育中心

5、江南計算技術研究所

6、成都衛(wèi)士通信息產業(yè)股份有限公司

7、濟南得安計算機技術有限公司……商用密碼的研發(fā)管理二、商用密碼成果的審核、鑒定商用密碼的科研成果，必須經過由國家密碼管理部門組織專家按照商業(yè)密碼技術標準和技術規(guī)范進行的審查、鑒定。未經審核、鑒定的商用密碼科研成果不得進行生產和銷售(《商用密碼管理條例》第六條)。商用密碼的研發(fā)管理二、商用密碼成果的審核、鑒定

(一)鑒定組織者

國家密碼管理部門組織商用密碼的審核鑒定。審核鑒定的組織者應當負責聘請國家信息安全專家，制定商用密碼審核鑒定的技術標準、明確審核鑒定的法律依據(jù)、制定鑒定的程序和原則。商用密碼的組織者對于鑒定結果應當作出明確的審核決定。商用密碼的研發(fā)管理二、商用密碼成果的審核、鑒定

(二)鑒定人員鑒定人員由國家信息安全專家，特別是密碼專家組成信息安全專家參加商用密碼鑒定應當取得國家密碼管理部門的相應資格。鑒定資格表明鑒定人的信息安全技術能力，反映鑒定人的權利、義務和責任。商用密碼的研發(fā)管理二、商用密碼成果的審核、鑒定

(二)鑒定人員信息安全專家參加商用密碼的鑒定活動，與一般意義的“技術咨詢”不同。咨詢者就具體技術所提出的咨詢意見僅供委托人決策參考，委托人是否采納咨詢建議，由委托人自主決定，技術咨詢者對委托人采納咨詢建議的法律后果，一般不承擔任何責任。而商用密碼的鑒定人取得鑒定資格，接受密碼管理部門的委托，應當堅持誠實信用，積極、謹慎、忠實地對商用密碼作出正確的鑒定。因鑒定人的過錯，對“缺陷”商用密碼作出肯定的結論，應當承擔相應的法律責任。商用密碼的研發(fā)管理二、商用密碼成果的審核、鑒定

(三)鑒定原則商用密碼的鑒定結論關系到國家安全和社會公共安全，也關系到信息系統(tǒng)使用單位的合法利益，因此國家密碼管理部門組織商用密碼的審核鑒定，必須遵循一定的“鑒定原則”。商用密碼的研發(fā)管理二、商用密碼成果的審核、鑒定

(三)鑒定原則

1法制原則

法制原則是商用密碼審核鑒定的基本原則。審核鑒定必須嚴格依照法律的規(guī)定，對商用密碼的科技成果進行審核鑒定。法制原則既包括審核鑒定程序的臺法性，也包括審核鑒定人員資格的合法性，還包括商用密碼審核鑒定組織活動的合法性。商用密碼的研發(fā)管理二、商用密碼成果的審核、鑒定

(三)鑒定原則

2不公開原則不公開原則是商用密碼審核鑒定的基本要求。商用密碼由國家?？兀瑢儆趪颐孛?，商用密碼審核鑒定過程中必然要了解商用密碼的技術細節(jié)。審核鑒定過程的不公開原則，符合國家秘密保護的基本要求。商用密碼的研發(fā)管理二、商用密碼成果的審核、鑒定

(三)鑒定原則

3利益規(guī)避的原則商用密碼不僅屬于國家秘密，商用密碼還涉級到商用密碼科研單位的商業(yè)利益。因此，鑒定成員不能為擔任其他商用密碼科研單位的主要技術人員和主要領導人。(四)審核決定國家密碼管理部門根據(jù)鑒定的結論，應當及時作出“批準生產”和“不許生產”的決定商用密碼的研發(fā)管理一、商用密碼的生產國家對商用密碼的生產實行?？毓芾怼Ｉ逃妹艽a產品由國家密碼管理機構指定的單位生產，未經指定，任何單位或者個人不得生產商用密碼產品(《商用密碼管理條例》第七條)商用密碼的生產管理被指定的商用密碼生產單位應當具備下列條件：

(一)商用密碼生產單位必須取得生產商用密碼的資格商用密碼的生產單位為國家密碼管理部門的指定單位，只有經過國家密碼管理部門的指定，才能從事商用密碼的生產指定生產單位生產的商用密碼產品的品種和型號，必須經國家密碼管理機構批準．并不得超過批準范圍生產商用密碼產品(《商用密碼管理條例》第八條)。(二)商用密碼生產單位必須具有相應技術力量商用密碼的生產管理二、商用密碼的檢測檢測是商用密碼產品進入流通銷售之前的關鍵環(huán)節(jié)。檢測是對商用密碼產品質量的認可，是商用密碼產品質量控制的法律要求。根據(jù)我國《商用密碼管理條例》第九條的規(guī)定，商用密碼產品必須經國家密碼管理機構指定的產品質量檢測機構檢測合格，未經檢測合格，不得銷售。商用密碼的生產管理二、商用密碼的檢測

(一)商用密碼檢測機構商用密碼檢測機構必須取得國家密碼管理部門的檢測資格。檢測機構應當具備下列條件：

(1)具有商用密碼產品的檢測接術設備；

(2)具有商用密碼產品的檢測技術人員。商用密碼的生產管理二、商用密碼的檢測

(二)檢測報告商用密碼檢測機構對于所檢測分析的商用密碼必須出具檢測報告。檢測報告應當作出所檢測商用密碼產品是否“合格”的結論。商用密碼的生產管理二、商用密碼的檢測

(三)商用密碼產品檢測機構的義務商用密碼產品檢測機構應當以誠實信用為原則，積極、謹慎、忠實地履行職責。對于檢測申請人的商用密碼技術秘密負有保密的義務。商用密碼的生產管理一、商用密碼銷售許可證制度概述銷售許可證制度是我國互聯(lián)網絡信息系統(tǒng)安全的重要保障制度。商用密碼作為特殊的安全專用產品，國家對商用密碼的管理實行?？毓芾怼Ｉ逃妹艽a產品由國家密碼管理機構許可的單位銷售。未經許可，任何單他或者個人不得銷售商用密碼產品(《商用密碼管理條例》第十條)。

進口密碼產品以及含有密碼技術的設備或者出口商用密碼產品，必須報經國家密碼管理機構批準，任何單位或者個人不得銷售境外的密碼產品(《商用密碼管理條例》第十三條)。商用密碼的銷售管理二、商用密碼銷售許可證的申請商用密碼銷售單位取得銷售許可證，必須向國家密碼管理機構進行申請。申請人應當遞交下列文件：

(1)申請人有獨立的法人資格，并提交法人營業(yè)執(zhí)照副本；

(2)商用密碼產品的檢測結果報告；

(3)申請人具有熟悉商用密碼產品知識和承擔售后服務人員的資質證明；

(4)申請人有完善地銷售服務和安全管理規(guī)章制度(《商用密碼管理條例》第十一條)。商用密碼的銷售管理三、商用密碼銷售許可證的審核、頒發(fā)

密碼管理機構對于申請人遞交的文件進行審核。經審查合格的單位，由密碼管理機構發(fā)給商用密碼產品銷售許可證。商用密碼的銷售管理四、商用密碼產品的銷售商用密碼產品銷售者必須履行以下義務：

(1)用戶登記。如實登記直接使用商用密碼產品的用戶名稱(姓名)、地址(住址)、組織機構代碼(居民身份證號碼)以及該商用密碼產品的用途。

(2)備案。將登記情況報國家密碼管理機構備案(《商用密碼管理條例》第十二條商用密碼的銷售管理一、商用密碼使用者范疇發(fā)展商用密碼的目的是為了滿足交易安全和私密信息安全的需要，國家允許各行業(yè)單位及個人使用商用密碼，保護本組織或公民個人的不涉及國家秘密的敏感信息安全?！渡逃妹艽a管理條例》中對使用商用密碼的主體資格沒有做出嚴格的限制。也就是說，一切經濟、文化、科技、商貿、金融、行政等部門、企業(yè)事業(yè)單位、社嘗團體和公民個人，只要是因工作需要或出于合理、正當?shù)睦碛桑伎梢允褂蒙逃妹艽a商用密碼的使用管理

二、商用密碼使用者的義務

(1)任何單位及個人只能使用經國家密碼管理機構認可的商用密碼產品，不得使用自行研制的或者境外生產的密碼產品。使用境外生產的密碼產品，存在安全隱患，不僅可能危害使用者的利益，甚至會危害到國家的利益和安全。從維護國家利益和安全的高度考慮，同時也為防止非法使用密碼或利用密碼從事危害國家、社會安全的犯罪活動，《商用密碼管理條例》明確規(guī)定不得使用自行研制的或者境外生產采經認可的密碼產品是完全必要的。商用密碼的使用管理

二、商用密碼使用者的義務(2)不得自由轉讓商用密碼。商用密碼產品的用戶不得轉讓其使用的商用密碼產品(《商用密碼管理條例》第十六條)。(3)境外組織和個人的特別規(guī)定。境外組織或者個人在中國境內使用密碼產品或者含有密碼技術的設備，必須報經國家密碼管理機構批準；但是，外國駐華外交代表機構、領事機構除外(《商用密碼管理條例》第十五條)。商用密碼的使用管理

二、商用密碼使用者的義務

(4)商用密碼產品的維修。商用密碼產品發(fā)生故障，必須由國家密碼管理機構指定的單位維修(《商用密碼管理條例》第十六條，。

(5)商用密碼產品的報廢、銷毀。報廢、銷毀商用密碼產品，應當向國家密碼管理機構備案(《商用密碼管理條例》第十六條)。

(6)商用密碼使用者的注意義務。是指使用者在購買商用密碼產品時，負有審核銷售者資格、所購買商用密碼產品是否具有“許可銷售”標志的義務。商用密碼的使用管理

二、商用密碼使用者的義務

(7)商用密碼使用者應當符合法律規(guī)定的適時性要求。在《商用密碼管理條例》頒布前，已自行研制、使用密碼及其產品或已購買使用境外密碼設備的單位，要如實向國家密碼管理機構報告，國家密碼管理機構根據(jù)實際情況作出適當?shù)陌才?，限期更換經國家認可的商用密碼產品。同樣未經批準進行商用密碼研制、銷售的單位也要如實向國家密碼管理機構報告，辦理申報審批手續(xù)。違反《商用密碼管理條例》隱瞞不報，并繼續(xù)從事商用密碼產品經營、使用的，將按《商用密碼管理條例》的有關規(guī)定進行查處。商用密碼的使用管理此外，上述各個環(huán)節(jié)都涉及到商用密碼的安全保密問題。商用密碼作為計算機信息系統(tǒng)安全的特殊專用產品，其安全保密管理制度應包括以下幾個方面：

(1)商用密碼產品的科研、生產環(huán)境；商用密碼產品的科研、生產，應當在符合安全、保密要求的環(huán)境中進行。

(2)商用密碼的銷售、運輸和保管要求。銷售、運輸、保管商用密碼產品，應當采取相應的安全措施。

(3)商用密碼產品科研、生產和銷售的保密要求。從事商用密碼產品的科研、生產和銷售商用密碼產品的單位和人員，必須對所接觸和掌握的商用密碼技術承擔保密義務。商用密碼的安全保密

(4)對使用商用密碼產品的單位和個人的要求。使用商用密碼產品的單位和人員，必須對所接觸和掌握的商用密碼技術承擔保密義務。

(5)對商用密碼產品宣傳、公開展覽的要求。宣傳、公開展覽商用密碼產品，必須事先報國家密碼管理機構批準。

(6)禁止對商用密碼產品的攻擊。任何單位和個人不得非法攻擊商用密碼。

(7)禁止利用商用密碼危害國家安全、社會公共秩序。任何單位和個人不得利用商用密碼危害國家的安全和利益，危害社會治安或者進行其他違法犯罪活動商用密碼的安全保密密鑰管理技術作用體系結構密鑰管理技術——作用為應用系統(tǒng)提供集中和統(tǒng)一的密鑰支持和密鑰管理服務，通常由密鑰管理基礎設施（KMI）提供。主要包括：用戶注冊功能密鑰下載功能密鑰管理功能（生成和裝載、分發(fā)、存儲、銷毀、更新）密鑰協(xié)商功能（跨管理域的加密通信）系統(tǒng)日志和審計功能密鑰管理技術——體系結構KMI體系結構通常采用樹狀結構，各節(jié)點均設置密鑰管理系統(tǒng)，相鄰層的結點之間采用加密通信的方式進行密鑰管理和管理信息傳輸密鑰管理技術——體系結構密鑰管理系統(tǒng)組成密鑰管理技術——體系結構密鑰管理系統(tǒng)邏輯結構圖密鑰管理技術——體系結構從邏輯上看，密鑰管理系統(tǒng)包括：密鑰生成子系統(tǒng)密鑰庫子系統(tǒng)：包括預生成、已使用、歸檔庫三個庫密鑰恢復子系統(tǒng)密鑰管理子系統(tǒng)管理終端：包括KMADMIN終端和AUDIT審計終端。KMADMIN終端通過C/S結構的方式訪問密鑰管理服務器，實現(xiàn)對密鑰管理系統(tǒng)的具體操作；AUDIT審計終端提供記錄、跟蹤密鑰管理服務的各項操作記錄和相關的系統(tǒng)操作。認證技術作用基本模型體系結構其他認證技術安全認證管理認證技術——作用當前最流行的認證技術是PKI技術。在某些情況下，也可以依據(jù)具體應用環(huán)境的安全需求，采用口令認證或基于生物特征識別的認證技術。實際應用中，上述幾種認證技術往往結合起來使用，也稱多因子認證技術。一般地，認證體系包括：數(shù)字證書認證機構(CA)數(shù)字證書審核注冊中心(RA)密鑰管理中心(KMC)目錄服務系統(tǒng)可信時間戳系統(tǒng)組成。由于這種認證體系以CA為核心，通常又稱電子證書認證系統(tǒng)。該體系的作用主要是證書查詢驗證服務。認證技術——作用

CA是認證體系的核心，提供的服務主要包括：發(fā)放和管理證書證書認證服務管理證書撤銷列表設立、審核和管理注冊中心。它負責對證書的整個生命周期進行管理。利用CA所簽發(fā)的證書能夠實現(xiàn)身份鑒別、實體認證、數(shù)字簽名、數(shù)據(jù)加密和密鑰協(xié)商等安全功能。認證技術——作用RA是CA的延伸，是用戶注冊審核機構。注冊中心由認證中心授權運作，提供的服務主要包括：證書申請的注冊受理審核用戶真實身份下載證書設立、審核和管理證書受理核發(fā)點。認證技術——作用密鑰管理中心是電子證書認證系統(tǒng)的一個重要組成部分，主要負責向CA提供密鑰管理服務。密鑰管理中心按照國家有關密碼管理政策和法規(guī)為證書管理提供加密密鑰的產生、登記、認證、分發(fā)、查詢、注銷、歸檔及恢復等管理服務，按照與認證中心統(tǒng)一規(guī)劃、同步建設、有機結合、獨立設置、分別管理的原則建設和管理。認證技術——作用目錄服務是一種專門的數(shù)據(jù)庫，是軟件、硬件、策略以及管理的合成體，服務于各種應用程序。目錄服務至少應包括以下幾方面內容：

(1)包含在目錄中的信息。

(2)保存信息的軟件服務端。

(3)扮演存取信息的軟件客戶端。(4)支持服務端，客戶端軟件的硬件。

(5)支撐系統(tǒng)，如操作系統(tǒng)、設備驅動等。

(6)連接客戶端到服務端以及各個服務端之間的網絡基礎設施。

(7)策略，規(guī)定誰能訪問，誰能更新，誰能存取等。

(8)維護和監(jiān)視目錄服務的軟件。認證技術——作用

認證體系中的目錄服務涉及輕量級目錄訪問協(xié)議(LightweightDirectoryAccessProtoc01，LDAP)和基于X．500的目錄。這些目錄都是通用的、標準的目錄，不適合特定的操作系統(tǒng)和應用。其中，LDAP輕量級目錄訪問協(xié)議，對x．500目錄訪問協(xié)議進行了簡化，并且在功能、數(shù)據(jù)表示、編碼和傳輸?shù)确矫娑歼M行了相應的修改。目前，LDAPv3已經在PKI體系中被廣泛應用于證書信息發(fā)布、CRL信息發(fā)布、CA策略以及與信息發(fā)布相關的各個方面

認證技術——作用可信時間戳服務基于國家權威時間源和公開密鑰基礎設施PKI技術，為實際應用提供精確可信的時間戳，以保證系統(tǒng)處理的數(shù)據(jù)在某一時間(之前)的存在性及相關操作的相對時間順序，為應用服務的不可否認性和可審計性提供支持?？尚艜r間戳服務系統(tǒng)必須從國家權威的時間源獲得全系統(tǒng)統(tǒng)一的時間，即從國家授時中心獲取權威的時間。認證技術——作用

證書查詢驗證服務系統(tǒng)為應用系統(tǒng)提供證書認證服務，包括目錄查詢服務和證書在線狀態(tài)查詢服務。證書查詢驗證服務系統(tǒng)主要包括LDAP服務器和OCSP（在線證書狀態(tài)協(xié)議）服務器，提供包括各類證書發(fā)布、CRL發(fā)布和證書狀態(tài)在線查詢服務。認證技術——基本模型

對于上述認證體系，通常認為它有三種基本的信任模型：樹狀模型信任鏈模型網狀模型認證技術——基本模型樹狀模型

在樹狀模型中，各結點按照一定的層次關系(即上下級關系)組織在一起，任意兩個結點之間都可以通過它們共同的上級結點或者根結點(在整個樹狀模型中是唯一的)建立一條信任路徑。這種模型對于層次結構關系明確的應用非常實用。例如，采用層次結構的機構(例如同一行業(yè)的中央級、省部級和地市級機構)所需的電子政務應用。

認證技術——基本模型樹狀模型優(yōu)點

(1)具有樹狀模型的PKI證書便于許多應用的處理。

(2)證書處理過程簡單。

(3)只需要安全地傳遞一個根證書就可以對子CA簽發(fā)的證書進行認證。

(4)撤銷子CA的操作方便。

(5)可以在一個規(guī)模很大的組織中通過組織證書策略，簡單并且快速地撤銷某個具有不同策略的子CA簽發(fā)的所有證書。

(6)信任傳遞關系簡單。

(7)可以用少量的CA證書管理大量的用戶證書。

(8)基于樹狀模型的PKI的應用能夠與基于信任鏈模型PKI的應用之間進行互操作。認證技術——基本模型樹狀模型缺點

(1)必須仔細保護根CA的密鑰，因為根CA的密鑰一旦丟失(或被破壞)將使整個系統(tǒng)的所有用戶受到威脅(這些用戶必須全部加載新的根CA證書)。

(2)樹狀結構可能與某些機構的實際結構情況不符。

(3)基于樹狀結構PKI的機構可能不具有交叉認證能力，不能與基于網狀PKI的應用進行互操作。認證技術——基本模型信任鏈模型

在信任鏈模型中，各結點彼此間具有某種單一的信任關系，但并不具備層次關系。這種模型適用于形式松散，但又彼此間存在信任關系的機構，例如商業(yè)聯(lián)盟、政府機構與企業(yè)的合作，以及某些情況下的電子政務外網認證技術——基本模型信任鏈模型的優(yōu)點

(1)廣泛應用于商業(yè)環(huán)境中。

(2)證書處理應用軟件相對簡單。

(3)可以由每一個使用公鑰的應用自行確定是否信任某個CA。

(4)不需要集中管理。

(5)靈活性好。

(6)與基于樹狀模型的PKI保持兼容，支持相互問的互操作。

(7)信任關系錯誤傳遞的可能性較小。認證技術——基本模型信任鏈模型的缺點

(1)對信任關系的管理依賴于本地的網絡管理員(可能不理解PKI或者不具備判斷是否應該信任某個CA的能力)

(2)許多應用軟件中預裝有多種CA證書，用戶雖然并不清楚這些CA所簽發(fā)的證書的安全級別，卻通常都信任這些證書。

(3)缺少一種簡單的證書撤銷機制。

(4)基于此類模型開發(fā)的PKI組件可能無法處理交叉認證，無法支持有關的互操作。認證技術——基本模型網狀模型在網狀模型中，各結點相互之間存在的信任關系比較復雜，不是嚴格的層次關系，也不是單一的信任鏈關系，而是呈現(xiàn)為錯綜復雜的網狀關系。在電子政務的認證體系建設中，這種信任模型通常被用于不同行業(yè)的多個機構之間。認證技術——基本模型網狀模型優(yōu)點(1)CA的信任關系符合現(xiàn)實的信任關系(例如，商業(yè)中的信任關系或其他非層次的信任關系)。(2)個人用戶和網絡管理員不用維護信任鏈表。(3)不受分布式管理信任鏈中的安全隱患的影響。(4)某個CA證書失效僅影響該CA的直接用戶，不存在影響整個認證系統(tǒng)的根CA。(5)如果存在與基于樹狀模型的CA之間的交叉認證，在網狀模型基礎上開發(fā)的應用一般可以對基于樹狀模型的CA的證書進行驗證。認證技術——基本模型網狀模型缺點(1)在規(guī)模龐大的網狀PKI中建立、驗證信任鏈需要復雜的軟件，并可能會影響處理的效率。

(2)任一個CA都可以信任其他的CA，受信任的CA也可以信任組織之外的其他任何CA，網絡結構的管理和證書的安全擴展必須仔細使用，以防證書鏈反映了錯誤的信任關系。

(3)基于樹狀模型或信任鏈模型的PKI應用不能直接和基于網狀模型的PKI進行互操作。認證技術——體系結構CA結構

1)證書管理模塊：CA系統(tǒng)的核心模塊，用于生成／簽發(fā)并管理公鑰證書和證書撤銷列表，負責證書庫的維護。

2)密鑰管理模塊：用于生成、管理CA系統(tǒng)所需的密鑰，管理、維護密鑰庫。

3)注冊管理模塊：CA系統(tǒng)面向最終實體(用戶、服務器等)的接口，負責接受證書申請，管理最終實體申請信息，審核和執(zhí)行對最終實體的相關操作。

4)證書發(fā)布及實時查詢系統(tǒng)：可集中存儲所有最終實體的證書信息，并向全系統(tǒng)發(fā)布可以公開的證書信息和證書撤銷信息，提供證書狀態(tài)在線查詢服務。上述四部分根據(jù)重要程度不同分別采用網絡隔離或其他訪問控制措施將其劃分開來。CA系統(tǒng)的邏輯結構認證技術——體系結構其中，CA的結構設計通常遵循兩種思路：集中式和分層式。集中式CA通過一個統(tǒng)一的CA中心進行集中管理和負責統(tǒng)一維護，結構簡單，但是工程實施難度較大。分層式CA采用分層設計(例如，在電子政務應用中，按照行政級別分為部級、廳級和局級這三層)進行分散管理和統(tǒng)一協(xié)調，結構比較復雜，但是工程實施比較容易，并且和電子政務中許多機構自身的層次化組織形式相符。

認證技術——體系結構CA結構

CA的具體結構設計需要結合實際應用需求的特點。一般認為，這主要取決于應用機構的規(guī)模大小和業(yè)務量的大小。對于規(guī)模和業(yè)務量小的機構，集中式的CA簡單易行，成本也較低。對于規(guī)模和業(yè)務量大的機構，尤其是對于自身具有層次化組織特點的機構，建立統(tǒng)一的CA中心管理和維護困難并且成本較高，采用分層式CA則能夠明顯降低工程實施的復雜程度，同時也能夠調動下級機構參與管理的積極性。認證技術——體系結構RA結構RA結構主要有兩種，即獨立式RA和嵌入式RA。獨立式RA

在獨立式RA體系結構中，RA中心由證書審核注冊服務器、數(shù)據(jù)庫服務器、各類終端、基本安全防護系統(tǒng)和密碼服務系統(tǒng)組成。如果是本地RA，則RA與后面交換機相連的證書認證系統(tǒng)進行交互，如果是遠程RA，則RA與網絡上的證書認證系統(tǒng)進行相連

嵌入式RA

嵌入式RA的體系結構是根據(jù)機構的業(yè)務特點并通過采用RA前置機系統(tǒng)。其工作原理是：首先，通過在機構原有的業(yè)務系統(tǒng)中嵌入證書注冊服務代理模塊，接收用戶證書管理請求；接著，證書管理請求通過這些業(yè)務系統(tǒng)將數(shù)據(jù)傳入RA前置機；最后，RA前置機通過安全的模式將數(shù)據(jù)格式轉換為認證系統(tǒng)能夠識別的數(shù)據(jù)，從而完成數(shù)據(jù)的上傳和下載過程嵌入式RA體系結構的特點是：減少投資、節(jié)省人力；容易實現(xiàn)數(shù)據(jù)共享；便于管理；具有良好的靈活性；系統(tǒng)更加友好，使用者不需要另行培訓。嵌入式RA認證技術——體系結構可信目錄服務的結構：核心是目錄樹的結構設計。目錄樹提供了一種對目錄數(shù)據(jù)進行組織的方法。目錄樹的結構設計為目錄數(shù)據(jù)的命名和應用訪問提供基本框架。這種設計應符合LDAP層次模型，并且遵循以下原則：（1）有利于簡化目錄數(shù)據(jù)的管理（2）可以靈活的創(chuàng)建數(shù)據(jù)復制和訪問策略（3）支持應用系統(tǒng)對目錄數(shù)據(jù)的訪問要求認證技術——體系結構可信目錄服務的結構設計認證技術——體系結構可信時間戳的體系結構可信時間戳服務系統(tǒng)的各主要組成元素的作用分別是：

(1)時間服務器：通過國家授時中心為時間戳服務提供可信時間服務，監(jiān)控并校準時間戳服務器的時間。

(2)時間戳證據(jù)存儲服務器：安全存儲時間戳及其相關數(shù)據(jù)。

(3)時間戳服務器：為請求數(shù)據(jù)簽發(fā)可信的時間戳。

(4)密碼服務系統(tǒng)：為時間戳服務提供基本的密碼操作?？尚艜r間戳的體系結構認證技術——體系結構證書查詢驗證服務系統(tǒng)的應用模式當客戶端訪問服務端應用時．需要向服務器證明其合法身份。此時，客戶端會提交能夠證明用戶身份的身份證書，證書查詢驗證服務就會驗證用戶證書的頒發(fā)機構是否可信、證書的簽名是否有效、證書是否過期。當這些驗證都通過后，證書查詢驗證服務系統(tǒng)就會去LDAP服務器或者OCSP服務器請求驗證用戶證書是否已經被吊銷。LDAP里存儲了CRL(證書黑名單列表)，所有被系統(tǒng)吊銷的用戶證書信息都被登記在CRL中，而OCSP則需要有應用程序調用OCSPAPI訪問OCSP服務器，查詢用戶證書此時的狀態(tài)。OCSP會返回“有效、無效、未知”三種狀態(tài)，應用服務器根據(jù)返回結果來驗證用戶的真實身份。認證技術——其他認證技術口令認證：是最簡單，使用最為普及的認證機制，有明顯地脆弱性基本的口令管理方法：

(1)實施嚴格、有效地口令管理措施。

(2)對口令使用者進行培訓，增強其安全意識。

(3)定期更新口令。

(4)確保口令的使用者的唯一性。

(5)嚴格限制從一個口令認證終端一次連續(xù)針對同一口令的認證次數(shù)。

(6)及時更改系統(tǒng)預設的口令。

認證技術——其他認證技術口令認證口令系統(tǒng)的設計必須與具體應用環(huán)境的安全認證要求相結合。一次性口令認證是口令認證的特殊形式。它通過采用隨機口令和同步技術確保任何兩次認證中使用的口令都不相同，能夠有效防范口令重放攻擊。認證技術——其他認證技術生物特征識別認證生物特征識別也是一種非密碼的認證方式。目前可以采用的生物特征主要有：指紋、聲音、虹膜、視網膜、手形、面部等。其中，指紋識別技術、聲音識別技術和虹膜識別技術的發(fā)展相對成熟，已經被用于一些認證環(huán)境，例如門禁、網上銀行等。其他幾類生物特征識別技術的使用目前仍相當有限。由于生物特征識別具有其他認證機制不具備的優(yōu)勢，例如使用的方便性(無需攜帶或保存專門的認證信息)、嚴格的唯一性等，它具有很好的應用前景。一、數(shù)字證書的申請需提供的資料申請不同級別的數(shù)字證書需要提供不同的資料數(shù)字證書申請人的義務數(shù)字證書申請者必須使用可信計算機信息系統(tǒng)，以安全的方式保管其私鑰，并且保持必要的謹慎和注意，避免私鑰遭到破壞、盜用、遺失、泄露、更改或未經授權的使用。安全認證管理：申請、簽發(fā)和撤銷二、數(shù)字證書申請的審核接到數(shù)字證書申請書后，安全認證機構應確認：

(1)數(shù)字證書申請人確為申請書所記載的個人或企業(yè)；

(2)數(shù)字證書申請人合法持有數(shù)字證書中載明的公鑰所對應的私鑰(3)除未經證實的使用者資料(NSI)外，數(shù)字證書中所記載的資料均正確無誤；

(4)任何數(shù)字證書申請代理人都必須取得合法授權。除安全認證機構獲知數(shù)字證書遭受破壞或盜用的通知外，數(shù)字證書一經簽發(fā)，安全認證機構有義務繼續(xù)監(jiān)督或調查證書信息的正確性安全認證管理：申請、簽發(fā)和撤銷三、數(shù)字證書的簽發(fā)一般數(shù)字證書數(shù)字證書申請一經核準，安全認證機構即簽發(fā)數(shù)字證書。用戶接受一般數(shù)字證書后，該數(shù)字證書即生效。臨時數(shù)字證書臨時數(shù)字證書是在確認用戶地址前所簽發(fā)的數(shù)字證書。如果臨時數(shù)字證書在臨時期間結束前未遭到廢止，即成為一般數(shù)字證書。安全認證管理：申請、簽發(fā)和撤銷三、數(shù)字證書的簽發(fā)用戶對CA簽發(fā)的數(shù)字證書的同意：未經數(shù)字證書申請人的同意，安全認證機構不得簽發(fā)數(shù)字證書。申請人提出數(shù)字證書申請視為同意簽發(fā)數(shù)字證書。安全認證管理：申請、簽發(fā)和撤銷三、數(shù)字證書的簽發(fā)：拒絕簽發(fā)數(shù)字證書安全認證機構可以自行作出拒絕簽發(fā)數(shù)字證書的決定，并且對于拒絕簽發(fā)數(shù)字證書所產生的損失或費用，不負賠償責任。除數(shù)字證書申請人提供不真實信息外，安全認證機構拒絕簽發(fā)數(shù)字證書的，應當立即退還申請人已支付的注冊費用。安全認證管理：申請、簽發(fā)和撤銷三、數(shù)字證書的簽發(fā)：安全認證機構的意思表示

1對用戶的表示’

(1)除本安全認證機構CPS另有規(guī)定，或者安全認證機構與用戶在經過鑒別的記錄中表示同意外，安全認證機構對數(shù)字證書中所確定的用戶作以下承諾：①在安全認證機構簽發(fā)的數(shù)字證書中，無不實表示；②安全認證機構所簽發(fā)的數(shù)字并無由于安全認證機構在制作數(shù)字證書過程中未盡合理的注意義務，而導致的安全認證機構向數(shù)字證書申請人取得資料時產生的錯誤；③此數(shù)字證書符合安全認證機構CPS所有實質要件。安全認證管理：申請、簽發(fā)和撤銷三、數(shù)字證書的簽發(fā)：安全認證機構的意思表示

1對用戶的表示’

(2)除安全認證機構CPS另有規(guī)定，或安全認證機構與用戶對經由鑒別的記錄互表同意外，安全認證機構應向用戶承諾將在遵守安全認證機構CPS的情況下，在合理范圍內盡力完成下列事項：

①依該機構CPS規(guī)定立即中止數(shù)字證書或廢止數(shù)字證書，②如獲悉任何對用戶數(shù)字證書的有效性與可信度有重大影響的事實，應當立即通知用戶。安全認證管理：申請、簽發(fā)和撤銷三、數(shù)字證書的簽發(fā)：安全認證機構的意思表示

2安全認證機構對依賴的一方的表示對于依賴數(shù)字簽名者，并且該數(shù)字簽名可由數(shù)字證書所列公鑰加以確認的，安全認證機構通過簽發(fā)數(shù)字證書作以下表示：(1)除未經證實的使用者資料(NSI)以外，數(shù)字證書中所有信息均正確無誤；(2)安全認證機構在簽發(fā)數(shù)字證書時，確實遵守該機構CPS的規(guī)定。安全認證管理：申請、簽發(fā)和撤銷三、數(shù)字證書的簽發(fā)：證書簽發(fā)的時間安全認證機構應竭盡合理的努力以確認數(shù)字證書申請書所載的信息，并在限定期間內簽發(fā)展終使用者用戶數(shù)字證書。根據(jù)VeriSignCPS的規(guī)定，安全認定機構應當在下列期間內決定簽發(fā)數(shù)字證書：

(1)第一級數(shù)字證書的簽發(fā)期為2小時；

(2)第二級數(shù)字證書的簽發(fā)期為1個工作日；

(3)第三級數(shù)字證書的簽發(fā)期為l至5個工作日。安全認證管理：申請、簽發(fā)和撤銷三、數(shù)字證書的簽發(fā)：證書的合法性與效期所有數(shù)字證書一經安全認證機構簽發(fā)，并經用戶接受后,即為有效數(shù)字證書。除數(shù)字證書因中止或廢止而導致有效期提前終止外，按照CPS的規(guī)定的各等級數(shù)字證書的標準有效期安全認證管理：申請、簽發(fā)和撤銷四、數(shù)字證書的接受用戶以安全認證機構CPS所定的申請方法，并以下述方式表示同意，則視為已接受數(shù)字證書：

(1)個人第一級數(shù)字證書申請者可以通過國際網絡，輸入其PIN以取得并接受其數(shù)字證書。數(shù)字證書申請者也可以通過電子郵件向安全認證機構發(fā)出數(shù)字證書簽名請求(CSR)。一旦完成所指定的確認程序后，安全認證機構即將數(shù)字證書回復到寄出數(shù)字證書申請書的電子郵件帳號中。

應當注意．在取得數(shù)字證書時．數(shù)字證書申請者發(fā)現(xiàn)數(shù)字證書有任何資料錯誤或瑕疵，必須立即通知發(fā)證安全認證機構。安全認證管理：申請、簽發(fā)和撤銷四、數(shù)字證書的接受

(2)個人第二級數(shù)字證書申請者可以通過國際網絡，或者電子郵件以與第一級數(shù)字證書相同的方式取得數(shù)字證書。但是，數(shù)字證書申請者在收到安全認證機構發(fā)出的確認信時，必須詳細閱讀信件內容，一旦發(fā)現(xiàn)錯誤，應通知發(fā)證安全認證機構。

(3)個人第三級數(shù)字證書接受的方式與第二級數(shù)字證書接受的方式相同。安全認證管理：申請、簽發(fā)和撤銷

四、數(shù)字證書的接受：用戶在接受證書時所做的表示用戶在接受安全認證機構所簽發(fā)的數(shù)字證書后，除非經其另行通知，用戶應向發(fā)證的安全認證機構，以及在數(shù)字證書生效期間內合理信賴該數(shù)字證書的第三人保證：

(1)使用與數(shù)字證書中所含公鑰相對應的私鑰所產生的數(shù)字簽名，皆為該用戶的數(shù)字簽名，且當該數(shù)字簽名產生并在有效期間內時，表明用戶已接受該數(shù)字證書。

(2)無任何未經授權的人獲取過該用戶的私鑰。

(3)用戶就數(shù)字證書所含信息而向安全認證機構所做的表示都是真實的。安全認證管理：申請、簽發(fā)和撤銷

四、數(shù)字證書的接受：用戶在接受證書時所做的表示

(4)數(shù)字證書中所含內容都是真實的信息，用戶了解或知悉這些信息內容(5)本數(shù)字證書依照安全認證機構CPS的規(guī)定，只用于經授權且合法的用途，用戶接受數(shù)字證書，即表示同意安全認證機構CPS的規(guī)定以及相關用戶合同安全認證管理：申請、簽發(fā)和撤銷

四、數(shù)字證書的接受：用戶防止私鑰泄漏的義務用戶接受數(shù)字證書，必須使用可信計算機信息系統(tǒng)，承擔妥善保管其私鑰的義務，并且就私鑰可能遺失、泄漏、修改或未經授權的使用等情形，采取臺理的防范措施。安全認證管理：申請、簽發(fā)和撤銷

四、數(shù)字證書的接受：用戶的賠償用戶接受數(shù)字證書，就下列過失行為對安全認證機構造成的損失承擔責任：(1)由于用戶隱瞞事實或作不實表示；(2)用戶未能使用可信計算機信息系統(tǒng)以妥善保管其私鑰，也未就該私鑰可能遭受的破壞、盜用、遺失、泄漏、修改或未經授權的使用等情形，采取必要的防范措施。對于應用戶代理人請求而簽發(fā)數(shù)字證書的．則該代理人與用戶應對安全認證機構的損失承擔連帶責任安全認證管理：申請、簽發(fā)和撤銷五、數(shù)字證書的中止、廢除撤銷數(shù)字證書可以有許多理由，如私鑰被泄密、身份信息更新或者終止使用數(shù)字證書。撤銷數(shù)字證書，安全認證機構應當向數(shù)字證書使用人發(fā)出撤銷數(shù)字證書的通知。數(shù)字證書撤銷后，安全認證機構仍然負有對數(shù)字證書使用人的保密義務。安全認證管理：申請、簽發(fā)和撤銷五、數(shù)字證書的中止、廢除:數(shù)字證書中止與廢除的一般原因

(1)數(shù)字證書主體的私鑰遺失、被竊、被修改、未經授權的被泄露或遭受破壞、盜用；

(2)數(shù)字證書主體(無論是安全認證機構還是用戶)違反發(fā)證安全認證機構CPS中所規(guī)定的重要義務；

(3)因自然災害、計算機或電信故障、法律修改、政府的行為、延遲或者無法履行CPS所規(guī)定的義務，或因不可抗拒事由，給他人信息安全造成嚴重威脅。安全認證管理：申請、簽發(fā)和撤銷五、數(shù)字證書的中止、廢除:安全認證機構數(shù)字證書中止或廢除不管下級安全認證機構是否同意，安全認證機構確認有下列事情發(fā)生，則應盡合理的努力中止或廢除該下級安全認證機構的數(shù)字證書的義務

(1)安全認證機構知道并有充分理由相信數(shù)字證書中所表示的某重要資料不真實；

(2)未履行或者取消簽發(fā)數(shù)字證書的重要先決條件；安全認證管理：申請、簽發(fā)和撤銷五、數(shù)字證書的中止、廢除:安全認證機構數(shù)字證書中止或廢除(3)該下級安全認證機構的私鑰或可信計算機信息系統(tǒng)遭受破壞或濫用，已嚴重影響該數(shù)字證書的可信度；

(4)安全認證機構數(shù)字證書違反CPS中所規(guī)定的重要義務(5)安全認證機構必須就任何中止或廢除的事由通知該下級管理中心。安全認證管理：申請、簽發(fā)和撤銷五、數(shù)字證書的中止、廢除:依下級安全認證機構的要求而中止認證下級安全認證機構的合法授權代表知悉該下級安全認證機構的私鑰遭受破壞或盜用事情后，可提出數(shù)字證書中止的要求，安全認證機構應即刻中止該下級安全認證機構的數(shù)字證書。安全認證管理：申請、簽發(fā)和撤銷五、數(shù)字證書的中止、廢除:中止的安全認證機構數(shù)字證書的恢復安全認證機構在下列情況下可恢復中止數(shù)字證書的效力：

(1)依用戶要求而終止數(shù)字證書的中止，且該安全認證機構已確認該用戶的身份；

(2)安全認證機構發(fā)現(xiàn)該數(shù)字證書中止的決定違反法律規(guī)定，或者未取得合法授權。安全認證管理：申請、簽發(fā)和撤銷五、數(shù)字證書的中止、廢除:依用戶要求而廢除在用戶的要求下，安全認證機構一旦確認要求廢除數(shù)字證書的人為用戶本人，則安全認證機構必須應用戶要求廢除數(shù)字證書。安全認證管理：申請、簽發(fā)和撤銷五、數(shù)字證書的中止、廢除:因簽發(fā)錯誤而廢除發(fā)現(xiàn)未依據(jù)安全認證機構CPS所規(guī)定的程序而簽發(fā)數(shù)字證書時，安全認證機構必須立即廢除該數(shù)字證書。在安全認證機構為確認廢除該數(shù)字證書的理由而進行調查的期間，可以中止數(shù)字證書的使用。安全認證管理：申請、簽發(fā)和撤銷五、數(shù)字證書的中止、廢除:數(shù)字證書中止或廢除的通知與確認在廢除或中止數(shù)字證書時，安全認證機構必須在其檔案庫中，有公開中止或廢除的記錄安全認證管理：申請、簽發(fā)和撤銷一、數(shù)字簽名的確認數(shù)字簽名的確認包括兩項內容：①數(shù)字簽名作為簽名人數(shù)字證書中所列公鑰的相應私鑰產生；②經數(shù)字簽名后的信息未被非法變更。安全認證管理：數(shù)字簽名一、數(shù)字簽名的確認VeriSignCPS詳述數(shù)字簽名的確認過程：(1)為該數(shù)字簽名建立認證鏈。數(shù)字簽名應由經過成功確認的認證鏈確認。

(2)確保經鑒定的認證鏈最適合于該數(shù)字簽名。從一特定認證到一可接受的根節(jié)點之間，可能有數(shù)個有效的認證鏈。如可接受的根節(jié)點下有一個以上的認證鏈，則確認數(shù)字簽名可以有不同選擇。安全認證管理：數(shù)字簽名一、數(shù)字簽名的確認VeriSignCPS詳述數(shù)字簽名的確認過程：

(3)向VeriSign(或其他)檔案庫查證認證鏈中數(shù)字證書的中止或廢除情形。

(4)為進行數(shù)字簽名的資料劃定范圍。確認數(shù)字簽名，必須先了解哪些資料中加入了數(shù)字簽名。安全認證管理：數(shù)字簽名一、數(shù)字簽名的確認VeriSignCPS詳述數(shù)字簽名的確認過程：

(5)標明數(shù)字簽名產生的時間。數(shù)字簽名具有“不可否認性”的功能，數(shù)字簽名的資料必須包含或提供時間戳記以供鑒別。該時間戳記應反映出數(shù)字簽名的時間。

(6)建立簽名人所意圖的保證。不同的技術方法可用以決定數(shù)字簽名人使用數(shù)字簽名的目的安全認證管理：數(shù)字簽名一、數(shù)字簽名的確認VeriSignCPS詳述數(shù)字簽名的確認過程：

(7)確保所有認證鏈中的數(shù)字證書對最終使用者私鑰的使用權。安全認證機構可限制與其所簽發(fā)的數(shù)字證書相對應的私鑰的用途。該限制必須在數(shù)字證書中加以說明，并警告數(shù)字簽名的接受者依賴該數(shù)字證書的合理范圍。接受數(shù)字證書者必須詳細閱讀數(shù)字證書的內容，了解警告或限制的內容，以確保認證鏈中的所有數(shù)字證書對最終使用者數(shù)字證書的適當使用。安全認證管理：數(shù)字簽名一、數(shù)字簽名的確認VeriSignCPS詳述數(shù)字簽名的確認過程：

(8)認證鏈的確認。安全認證機構由上級安全認證機構簽發(fā)數(shù)字證書(有自行簽名的公鑰的根節(jié)點除外)，因此安全機構具有與其上級安全認證機構相關的信托關系。在確認一認證鏈的有效性之后，最終使用者的數(shù)字證書即得到確認。安全認證管理：數(shù)字簽名授權技術

作用

基本結構和應用模型

體系結構與主要功能

授權技術——作用

目前我們所見到的授權技術，主要是為應用(包括用戶和應用程序)提供針對各種資源的授權管理和訪問控制服務的技術。例如，訪問控制列表等常見的訪問控制技術都屬于授權技術的范圍。由于在真正的應用中，這些授權技術往往被解決方案的設計者加以綜合運用，因此通常稱為“授權管理基礎設施(PMI)”。授權技術——作用

PMI將針對應用系統(tǒng)資源的訪問控制權限交由授權機構進行統(tǒng)一管理，與具體應用系統(tǒng)的開發(fā)和管理模式無關。PMI能夠極大地簡化業(yè)務應用中權限管理和訪問控制系統(tǒng)的開發(fā)與維護過程，降低管理工作的復雜性，降低管理成本。此外，通過將授權管理系統(tǒng)與身份認證系統(tǒng)相結合，PMI補充了PKI的弱點，并提供了PKI與應用計算環(huán)境的二者間的集成模式。授權技術——基本結構和應用模型

PMI基本結構和應用模型授權技術——基本結構和應用模型

(1)訪問者和目標：均是實體(可以是人或其他計算機實體)(2)策略實施點(PolicyEnforcementPoints，PEPs)：介于訪問者和目標之間，當訪問者申請訪問目標時，策略實施點向策略決策點申請授權，并根據(jù)授權決策的結果確定允許訪問目標或拒絕訪問。PEP對每一個具體應用可能不同。在具體的應用中，它可能是應用程序內部中進行訪問控制的一段代碼、安全應用服務器(例如web服務器及其上增加的一個訪問控制插件)，或者安全應用網關

授權技術——基本結構和應用模型

(3)策略決策點(PolicyDecisionPoint，PDP)：又稱授權策略服務器，負責接收和評價授權請求。它是一個通用處理邏輯，根據(jù)具體策略做出不同的決策，與具體的應用無關。當接收到一個授權請求時，它從策略倉庫中獲得策略數(shù)據(jù)，并依據(jù)策略邏輯、訪問者的安全屬性和當前條件進行決策，然后將決策結果返回給策略實施點。在具體應用中，策略決策點是一個判斷邏輯,它可以與策略實施點結合在一起，也可以單獨運行于一個獨立的服務器上。最簡單的實現(xiàn)方式是：策略決策點根據(jù)訪問控制列表(AccessControlList，ACL)進行查表操作，判斷用戶的權限。授權技術——基本結構和應用模型(4)安全授權策略：說明授權遵循的原則和具體的授權信息。具體而言，策略包含應用系統(tǒng)中的所有用戶信息、資源信息．以及這些信息的組織管理方式、用戶和資源之間的權限關系、安全的管理授權約束、系統(tǒng)安全的其他約束。授權技術——基本結構和應用模型(5)屬性權威(AttributeAuthority，AA)：屬性證書(AC)的簽發(fā)者。屬性權威的根稱為SOA。(6)屬性庫：實際是一個獨立的LDAP服務器，主要用來存放屬性證書和其他相關信息，并提供檢索服務。(7)策略庫：主要用來存儲安全授權策略數(shù)據(jù)、用戶和資源信息，以及PMI所需的相關數(shù)據(jù)。策略庫可以是一個數(shù)據(jù)庫，也可以使用LDAP存放這些信息。對于某些應用，可以將AA簽發(fā)的屬性證書直接存放在策略庫，并將屬性庫和策略庫統(tǒng)稱為策略庫

授權技術——基本結構和應用模型授權技術——體系結構與主要功能

一般地，根據(jù)資源的具體特點和應用的實際需要的不同，授權管理基礎設施的授權管理服務有兩種工作模式：集中式與分布式。兩種工作模式下的授權管理系統(tǒng)應該支持X.509v4屬性證書格式。授權技術——體系結構與主要功能

1．集中式授權管理服務系統(tǒng)基于相對固定的授權模型，提供集中式管理，通過在數(shù)字證書的擴展項中增加用戶的屬性或權限信息，在服務器端構建授權管理(PrivilegeManagement,PM)服務系統(tǒng)提供授權管理。PM服務系統(tǒng)提供用戶管理、審核管理、資源管理和角色管理。主要特點是權限獨立下載至用戶公鑰證書中，即CA和屬性權威(AA)緊密結合在一起，權限代碼／權限屬性嵌入公鑰證書的擴展項中。授權技術——體系結構與主要功能集中式授權管理體系結構圖授權技術——體系結構與主要功能

(1)授權管理模塊：完成資源訪問授權、撤銷授權、授權委托

(2)授權信息目錄服務器：發(fā)布授權信息。

(3)資源管理模塊：接收用戶請求，驗證用戶的數(shù)字證書，向策略引擎發(fā)出訪問控制判斷請求，將訪問控制列表提交給策略引擎

(4)策略引擎：根據(jù)資源管理模塊的請求，訪問授權信息目錄服務器，取得用戶的授權。根據(jù)資源的訪問控制列表和用戶的授權，做出訪問控制判斷。(5)密碼服務系統(tǒng)：提供基礎的密碼服務．主要包括加解密、數(shù)字簽名、數(shù)字信封等。授權技術——體系結構與主要功能

集中式權限管理服務系統(tǒng)的主要功能是：用戶管理、審核管理、資源管理、角色管理、操作員管理和日志管理。

(1)用戶管理：提供管理用戶信息功能，包括用戶注冊、用戶信息修改、用戶注銷。

(2)審核管理：主要完成用戶授權申請的審核功能。

(3)資源管理：制定資源訪問控制列表，即根據(jù)實際的應用，把資源和用戶角色關聯(lián)起來，標識用戶角色對資源的訪問權限。授權技術——體系結構與主要功能

(4)角色管理：包括角色的制定、編輯、更新。根據(jù)具體應用實際，制定出恰當?shù)慕巧畔?，以便和用戶的實際身份相映射。權限管理中心制定出完整的角色信息，并把角色信息同步到資源管理中心。

(5)操作員管理：功能包括增加操作員、注銷操作員、操作員權限設置、修改操作員權限等。

(6)日志管理：對操作員的所有操作活動等信息進行日志記錄。日志管理的功能包括日志參數(shù)設置、日志查詢、日志備份。授權技術——體系結構與主要功能

2．分布式授權管理服務系統(tǒng)采用靈活的授權方式，提供分布式管理服務，通過在客戶端根據(jù)用戶具體情況進行個性化定制，靈活設置有效地授權信息，由資源所有者自行分配資源的訪問權限，并通過采用數(shù)字簽名技術使授權信息具備不可否認性。授權技術——體系結構與主要功能

2．分布式授權管理服務系統(tǒng)在分布式授權管理服務系統(tǒng)中，權限同樣獨立下載至用戶公鑰證書中，但該系統(tǒng)與集中式授權管理服務系統(tǒng)的不同點在于：以業(yè)務應用系統(tǒng)劃分權限管理域，屬性權威(AA)把用戶權限證書獨立地下載于用戶的公鑰證書載體上，由不同業(yè)務應用系統(tǒng)分別簽發(fā)、下載本系統(tǒng)的權限證書。授權技術——體系結構與主要功能

分布式授權管理體系結構圖授權技術——體系結構與主要功能(1)客戶端授權模塊：完成用戶對資源的個性化授權并簽名(2)應用資源服務器：接收訪問請求，并向授權管理服務器發(fā)出訪問授權請求。(3)授權管理服務器：存儲資源的授權信息，接收應用資源服務器的請求，根據(jù)資源的訪問授權，計算訪問權限值并將該值返回給應用資源服務器，同時提供相應的資源管理功能。(4)密碼服務系統(tǒng)：提供基礎的密碼服務，主要包括加解密、數(shù)字簽名、數(shù)字信封等。授權技術——體系結構與主要功能分布式授權管理服務系統(tǒng)的主要功能是：資源訪問授權、操作員管理、權限管理、日志管理。

(1)資源訪問授權：根據(jù)用戶的資源授權信息等數(shù)據(jù)制定訪問授權列表，并完成用戶對列表的簽名。

(2)操作員管理：功能包括增加操作員、注銷操作員、操作員權限設置、修改操作員權限等。

(3)權限管理：包括授權更改和授權刪除。授權更改完成對用戶制定的授權信息列表修改功能；授權刪除完成對授權信息進行刪除的功能。

(4)日志管理：對操作員的所有操作活動的時間、事件等信息進行日志記錄。日志管理的功能包括：日志參數(shù)設置、日志查詢、日志備份。容災備份與故障恢復技術作用

體系結構容災備份的策略

本地備份

異地備份

恢復

容災備份與故障恢復技術——作用

容災備份包括系統(tǒng)備份和數(shù)據(jù)備份。容災備份通常采取本地備份和異地備份這兩種方式實現(xiàn)。容災備份與故障恢復技術的目標是：確保應用系統(tǒng)、關鍵數(shù)據(jù)具有很強的穩(wěn)定性與可靠性。在災難或故障發(fā)生后，仍然能夠維持正常運行或及時恢復，確保系統(tǒng)或關鍵數(shù)據(jù)的可用性。容災備份與故障恢復技術——體系結構

為了應對各種可能出現(xiàn)的災難和故障，容災備份和故障恢復系統(tǒng)必須依據(jù)安全策略，采取多種措施相結合。

(1)本地備份：本地系統(tǒng)關鍵設備的雙機熱備份，本地系統(tǒng)關鍵數(shù)據(jù)的冷備份。

(2)異地備份：異地備份中心。

(3)系統(tǒng)恢復。

(4)數(shù)據(jù)恢復。容災備份與故障恢復技術——體系結構容災備份與故障恢復技術——體系結構其運作過程如下：

(1)正常情況下，業(yè)務處理只在主中心運行；業(yè)務系統(tǒng)對數(shù)據(jù)的任何修改，實時同步地復制到備份中心。

(2)當主中心的某些子系統(tǒng)發(fā)生故障時，系統(tǒng)會自動地快速切換到主中心的其他設備，確保系統(tǒng)正常運行。

(3)當災難發(fā)生，導致主中心整個系統(tǒng)癱瘓時，能實時監(jiān)測到這種異常情況，及時向管理員發(fā)送各種警報，并按照預定的規(guī)則在備份中心啟動整個業(yè)務應用系統(tǒng)。(4)主中心系統(tǒng)修復后，可將備份中心的當前數(shù)據(jù)復制回主中心，然后將業(yè)務處理從備份中心切換回主中心，備份中心重新回到備份狀態(tài)。容災備份與故障恢復技術——容災備份的策略

制定具體的備份策略需根據(jù)各種應用和業(yè)務處理的特點，并遵循以下原則：

(1)對所有關鍵的應用，應至少保證各種必要的熱備份機制，包括雙機熱備、磁盤鏡像等。

(2)對于所有應用，應提供磁帶備份和恢復機制，保證系統(tǒng)能根據(jù)備份策略恢復至指定時間的狀態(tài)。

(3)對于操作系統(tǒng)和應用程序代碼，在每次系統(tǒng)更新或安裝新軟件和做一次全備份。對于一些日常數(shù)據(jù)更新量大，但總體數(shù)據(jù)量不是非常大的關鍵應用數(shù)據(jù)，可每天在用戶使用量較小的時候安排全備份。對于日常更新量相對于總體數(shù)據(jù)量較小，而總體數(shù)據(jù)量非常大的關鍵應用數(shù)據(jù)，可每隔一個月或一周安排一次全備份，在此基礎上，每隔一個較短的時間間隔做增量備份。容災備份與故障恢復技術——容災備份的策略

(4)對一些關鍵數(shù)據(jù)，預先定義備份窗口大小，再根據(jù)備份數(shù)據(jù)量計算所需的備份速度。

(5)保存有過時數(shù)據(jù)的介質可重新覆蓋使用，輪換頻率可根據(jù)備份類型和備份的要求來確定。

(6)根據(jù)介質容量、全備份、增量備份和每種介質的保留時間或輪換頻率計算出所需的介質數(shù)目。

(7)備份好的介質，要放到保險柜或運輸?shù)絺浞葜行慕y(tǒng)一保存。為了更好地管理介質，對所有磁帶需按統(tǒng)一的規(guī)則來命名容災備份與故障恢復技術——本地備份

本地備份包括系統(tǒng)備份和數(shù)據(jù)備份。系統(tǒng)備份包括設備硬件備用和軟件備份。在設備的使用過程中，由于不可抗力和硬件設備本身的使用壽命有限，設備難免會發(fā)生故障或損壞。為了及時應對這類故障，必須依據(jù)具體的應用需求建立一套硬件設備備用機制。此外，可以利用有關軟件將整個硬盤備份成一個鏡像，在系統(tǒng)被嚴重破壞時，就可以很快把資料完全復原。因此，可以將剛安裝好應用程序的系統(tǒng)做一個備份的映像，以后安裝系統(tǒng)只要極短時間就可以完成，達到快速恢復系統(tǒng)的目的。容災備份與故障恢復技術——本地備份

數(shù)據(jù)備份是確保重要數(shù)據(jù)不丟失和具有抗毀性的最主要措施。數(shù)據(jù)備份的目的是：

(1)對網絡內部的重要業(yè)務資料進行自動化存儲管理。

(2)簡化備份復雜性，節(jié)省人力資源，提高工作效率。

(3)確保數(shù)據(jù)存放安全，并有效集中管理。

(4)避免人為錯誤及自然災害的破壞，提高數(shù)據(jù)資料的正確性。

(5)縮短備份／恢復工作的時間。

(6)協(xié)助實現(xiàn)異地備份／恢復、系統(tǒng)災難恢復。容災備份與故障恢復技術——本地備份

數(shù)據(jù)備份有三種類型：

(1)完全備份：定期對系統(tǒng)中每個數(shù)據(jù)庫文件制作備份

(2)特別備份：在系統(tǒng)進行大的改動后進行的備份。

(3)增量備份：在系統(tǒng)的日常應用中，只對系統(tǒng)新增數(shù)據(jù)進行備份，即只備份上次全盤備份之后更改過的所有文件。容災備份與故障恢復技術——本地備份

數(shù)據(jù)備份的實現(xiàn)方式主要有以下三種，可以根據(jù)具體業(yè)務的應用情況進行選擇

1)磁盤陣列2)磁(光)介質備份／恢復系統(tǒng)

3)本地雙機熱備份系統(tǒng)：為了避免主機系統(tǒng)中存在單點故障，需要用兩臺主機形成集群環(huán)境，保證其高可靠性。支持集群環(huán)境的軟件應該能夠識別單一的主機故障．并能夠在極短的時間內將故障主機上運行的應用程序以及數(shù)據(jù)庫切換到備用主機上。同時，集群軟件應該能夠將故障主機的IP服務地址遷移到備用主機，以便所有的客戶機能夠繼續(xù)使用原來的IP地址對數(shù)據(jù)庫進行訪問。

容災備份與故障恢復技術——本地備份

數(shù)據(jù)備份系統(tǒng)應該具備兩個特點。首先，該系統(tǒng)應該在災難發(fā)生情況下進行快速可靠的數(shù)據(jù)恢復操作，盡可能地減少管理和人員成本、提高效率其次，該系統(tǒng)應該具有很好的伸縮性，能夠在不斷更新系統(tǒng)數(shù)據(jù)的過程中進行方便、高效、可靠的擴展。容災備份與故障恢復技術——異地備份

異地備份的主要實現(xiàn)方式是設立異地備份中心。該中心不僅要實現(xiàn)本地的切換保護外，更要實現(xiàn)數(shù)據(jù)的實時異地復制，以及業(yè)務系統(tǒng)(包括數(shù)據(jù)庫和應用軟件)的實時遠程切換。

容災備份與故障恢復技術——異地備份

異地備份中心的建立需要滿足的要求主要有：

(1)備份中心與主中心之間的距離不小于500km。

(2)備份中心具備足夠的網絡帶寬，以便確保與主中心的數(shù)據(jù)保持同步。

(3)備份中心要有足夠的處理能力，以便成功接管主中心的業(yè)務。

(4)備份中心與主中心的應用切換必須快速可靠。

容災備份與故障恢復技術——恢復

為保證應用系統(tǒng)具有最高程度的可靠性，必須建立故障恢復系統(tǒng)，包括系統(tǒng)恢復和數(shù)據(jù)恢復。此外，在必要的情況下，還應該通過高速的網絡專線實現(xiàn)對信息網絡中心數(shù)據(jù)的遠程復制，即建立遠程災難恢復系統(tǒng)。這樣，當主系統(tǒng)不能正常運轉時，恢復系統(tǒng)的遠程監(jiān)控軟件能夠及時識別故障情況，并且能夠根據(jù)不同業(yè)務的特點，自動地將故障系統(tǒng)上的數(shù)據(jù)庫業(yè)務轉移到備份系統(tǒng)環(huán)境中正常運行容災備份與故障恢復技術——恢復

故障恢復包括系統(tǒng)恢復和數(shù)據(jù)恢復。對關鍵應用系統(tǒng)，必須能夠有效規(guī)避任何單點故障，以便確保在發(fā)生上述故障的情況下系統(tǒng)依然能夠正常運轉。這些故障包括：應用程序錯誤、數(shù)據(jù)庫系統(tǒng)故障、網絡端口故障、網線接入故障、磁盤系統(tǒng)介質故障、系統(tǒng)癱瘓等。容災備份與故障恢復技術——恢復

系統(tǒng)恢復的措施主要有：

(1)集群配置：由多臺計算機組成集群結構，盡可能消除整個系統(tǒng)可能存在的單點故障。

(2)雙機熱備份：在任何一臺設備失效的情況下，按照預先定義的規(guī)則快速切換至相應的備份設備，維持業(yè)務的正常運行。

(3)磁盤鏡像：部署兩臺服務器，通過光纖連接其共享的磁盤陣列，實現(xiàn)主機系統(tǒng)到磁盤系統(tǒng)的高速連接。’

(4)故障恢復管理：由專門的集群軟件進行管理和監(jiān)控，使應用系統(tǒng)在任何軟硬件組成單元發(fā)生故障時，能夠根據(jù)故障情況重新分配任務。容災備份與故障恢復技術——恢復

數(shù)據(jù)恢復需要考慮的兩個關鍵因素是數(shù)據(jù)恢復的過程和數(shù)據(jù)恢復所需的成本。數(shù)據(jù)恢復過程涉及參與人員、管理制度和操作規(guī)程。它們的具體內容需要依據(jù)應用需求來確定。數(shù)據(jù)恢復所需的成本主要和進行數(shù)據(jù)恢復操作的時間代價與空間代價有關。惡意代碼防范技術防范策略

功能要求

惡意代碼防范技術——防范策略

由于近年來惡意代碼破壞性不斷增加，危害性大，影響范圍廣，以及病毒、蠕蟲、黑客程序等惡意代碼又有相互融合的趨勢，病毒防治已經不是一項簡單的任務，而是需要依據(jù)整個網絡的體系結構來制定相應的解決方案。一般地，建議采用集中控制、分級管理、多層防護的體系結構，為應用系統(tǒng)提供統(tǒng)一的病毒防護和監(jiān)控服務。這樣，不僅可以減輕管理員的工作負擔，還可以確保廣域網中每一臺計算機(包括服務器和客戶端)具有相同的防病毒能力惡意代碼防范技術——防范策略

集中控制：指各級管理中心負責本級系統(tǒng)的防病毒工作，以各級管理中心為防病毒控管中心，對本級系統(tǒng)各個部分進行集中控制，實時監(jiān)測全網內的病毒情況。在全網范圍內，各級系統(tǒng)實施統(tǒng)一的防病毒策略(包括同時更新病毒定義碼和掃描引擎，根據(jù)實際情況及時調整防病毒策略和力度等)。惡意代碼防范技術——防范策略

分級管理：指各級管理中心負責管理所轄區(qū)域內的病毒防治工作，并定期向上級管理中心匯報。多層防護：指各級防病毒管理中心從網關、服務器到客戶端層層設防，防止病毒的傳播和擴散。惡意代碼防范技術——防范策略

一般地，可以從以下三個層次實施惡意代碼防范

1)網絡邊界防護在網絡邊界(例如網關)處進行病毒過濾和防護。這是阻止病毒入侵網絡的最有效措施之一。因為病毒主要是通過SMTP、HTTP、FTP三個協(xié)議通道進行入侵，需要針對這三個協(xié)議進行內容掃描和殺毒。惡意代碼防范技術——防范策略

2)集群服務器／郵件系統(tǒng)防護集群服務器是辦公的基本平臺，很容易成為病毒的集中地。由于集群服務器往往采用特有的內部協(xié)議進行工作，需要使用針對每種系統(tǒng)對應的防毒軟件，幫助實現(xiàn)對整個集群系統(tǒng)的全面保護。3)主機病毒防護在各個主機系統(tǒng)上安裝防病毒軟件并定期升級。惡意代碼防范技術——防范策略

必須通過以下方式對應用系統(tǒng)病毒定義碼和掃描引擎進行更新、升級：

(1)對各級管理中心防病毒服務器，采用升級工具與生產廠商病毒庫連接，對病毒定義碼和掃描引擎進行更新、升級，然后再將其分發(fā)給各自的下屬部門。

(2)由管理網絡中心統(tǒng)一更新、升級病毒定義碼和掃描引擎，各子系統(tǒng)要到相應的上級管理中心進行升級工作。惡意代碼防范技術——功能要求

本節(jié)主要介紹病毒查殺、網關防毒系統(tǒng)、群件防毒系統(tǒng)和集中管理系統(tǒng)的基本功能要求。

1．病毒查殺系統(tǒng)基本功能要求是：

(1)實時病毒查殺的能力。

(2)對已知病毒完整的查殺能力。

(3)對未知病毒強大的清查預警能力。

(4)在網絡的各個結點處，如網關、群件系統(tǒng)、服務器和個人機上，都能提供相應的病毒查殺能力。

(5)對受感染的系統(tǒng)能夠提供病毒清除和系統(tǒng)恢復能力。

(6)防病毒產品應通過指定機構的權威檢測認證，并獲得銷售許可證惡意代碼防范技術——功能要求

網關防毒系統(tǒng)的基本功能要求：

1)高度的穩(wěn)定性在網關處的防毒系統(tǒng)需要高度的穩(wěn)定性。產品應提供24小時不間斷運行的能力，以保證整個網絡的出口不受影響。

2)靈活的部署方式和能力網關防毒系統(tǒng)能夠支持各類復雜的網關環(huán)境和平臺，能夠與諸如防火墻、代理服務器、郵件網關等設備的協(xié)作能力3)附帶內容過濾和緊急處理能力網關的緊急處理能力是指使用內容過濾技術，在從病毒出現(xiàn)到防毒廠商送出新的病毒碼這段“空窗期’’內，對可疑內容實行緊急隔離措施，以保證整個網絡在第一時間將新病毒拒之門外，或是抵御DDOS攻擊。惡意代碼防范技術