第五章電子商務網(wǎng)站常用防御方法

第五章電子商務網(wǎng)站常用防御方法

1/15/20231

本章主要內(nèi)容：本章主要內(nèi)容：●防火墻(Firewall)工作原理●非軍事區(qū)域(DMZ)概念●虛擬專用網(wǎng)(VPN)●入侵檢測系統(tǒng)(IDS)●認證1/15/20232

一、防火墻(Firewan)(一)防火墻的工作原理所謂防火墻指的是一個由軟件和硬件設備組合而成、在內(nèi)部網(wǎng)和外部網(wǎng)之間、專用網(wǎng)與公共網(wǎng)之間的界面上構(gòu)造的保護屏障。防火墻主要有三種類型：包過濾防火墻、代理服務器防火墻和應用層網(wǎng)關(guān)防火墻。1/15/202331．包過濾防火墻包過濾防火墻主要有兩種實現(xiàn)方式：基于路由器的防火墻和基于獨立運行軟件(如PacketFilter)的防火墻。下面主要介紹基于路由器的防火墻。包是網(wǎng)絡上信息流動的單位。每個包有兩個部分：數(shù)據(jù)部分和包頭。包頭中含有源地址和目標地址的信息。優(yōu)點：透明性好，簡單易用，費用低。缺點：設置繁多，易留下安全漏洞。1/15/202341．包過濾防火墻包過濾路由器防火墻可能遇到的攻擊方式：(1)源IP地址欺騙(2)源路由攻擊(3)微小碎片攻擊包過濾防火墻

1/15/202352．代理服務器(ProxyServer)防火墻在Internet網(wǎng)絡和Intranet互連時，廣泛采用一種稱為代理服務的工作方式，使Internet用戶在訪問Intranet的同時，提供的是一種類似網(wǎng)關(guān)的代理服務器型防火墻。優(yōu)點：代理服務可提供詳細的日志(Log)和審計(Audit)記錄，提高了網(wǎng)絡的安全性和可靠性。缺點：不能處理高負荷通信量，且對用戶的透明性不好。1/15/202363．應用層網(wǎng)關(guān)防火墻應用層網(wǎng)關(guān)防火墻可使網(wǎng)絡管理員實現(xiàn)比包過濾路由器防火墻更嚴格的安全策略。應用層網(wǎng)關(guān)不使用包過濾工具來限制Internet服務進出防火墻系統(tǒng)，而是采用為每種所需服務在網(wǎng)關(guān)上安裝專用程序代碼，否則該服務就不被支持且不能通過防火墻來轉(zhuǎn)發(fā)。網(wǎng)絡的安全性比較高。過程復雜、費用比較高、透明性差、限制嚴格，使用帶來不便。1/15/20237(二)防火墻規(guī)則集設計規(guī)則集的基本過程：1．拒絕一切未特別允許的連接徹底分析每個系統(tǒng)和網(wǎng)段確定實現(xiàn)它們的功能所需要的服務和連接。2．常見通信的常用端口確定每個服務器和網(wǎng)段需要什么端口和協(xié)議。3．將偽代碼轉(zhuǎn)換成防火墻規(guī)則查看手冊，確定特定的方法和要求。4．協(xié)議和風險：作出最佳決策需要保證只允許了必要的協(xié)議，并且只能用于需要它們的服務器和網(wǎng)段。1/15/20238二、非軍事區(qū)域(DMZ)(一)DMZ的概念(二)非軍事區(qū)域的設置(三)電子商務非軍事區(qū)域的實現(xiàn)(四)多區(qū)網(wǎng)絡存在的問題1/15/20239(一)DMZ的概念DMZ(demilitarizedzone)的定義：是指為不信任系統(tǒng)提供服務的孤立網(wǎng)段，它是兩個防火墻之間的網(wǎng)段。DMZ網(wǎng)段的創(chuàng)建方法通常有兩種。1.兩個防火墻的DMZ

系統(tǒng)放置在有不同規(guī)則的兩個防火墻之間，這就能允許Internet上的系統(tǒng)連接到DMZ系統(tǒng)提供的服務，但不能連接到企業(yè)內(nèi)部網(wǎng)段(通常叫做受保護網(wǎng)絡)中的電腦。1/15/202310二、非軍事區(qū)區(qū)域(DMZ)圖示為：兩個個防火墻的DMZ12/31/202211二、非軍事區(qū)區(qū)域(DMZ)2.單個防火火墻的DMZ（如上圖））實現(xiàn)DMZ網(wǎng)網(wǎng)段的方法是是在防火墻上上實際增加第第三個接口，，并將DMZ系統(tǒng)放置在在那個網(wǎng)段。。允許同一個防防火墻管理Internet。降低低了硬件的花花費，集中了了網(wǎng)絡的規(guī)則則集，使管理理和處理問題題更容易?，F(xiàn)現(xiàn)在已成為創(chuàng)創(chuàng)建DMZ網(wǎng)網(wǎng)段的主要方方法。12/31/202212DMZ目的的：就是把把敏感的內(nèi)內(nèi)部網(wǎng)絡和和其他提供供訪問服務務的網(wǎng)絡分分離開，為為網(wǎng)絡層提提供深度的的防御。DMZ作用用：防火墻墻上的策略略和訪問控控制系統(tǒng)定定義限制了了通過DMZ的全部部通信數(shù)據(jù)據(jù)。相反，，在Internet和企業(yè)業(yè)內(nèi)部網(wǎng)之之間的通信信數(shù)據(jù)通常常是不受限限制的。12/31/202213(二)非軍軍事區(qū)域的的設置安全的DMZ配置12/31/202214(二)非軍軍事區(qū)域的的設置DMZ是放放置公共信信息的最佳佳位置，把把沒有包含含敏感數(shù)據(jù)據(jù)、擔當代代理數(shù)據(jù)訪訪問職責的的主機放置置于DMZ中，這樣樣用戶、潛潛在用戶和和外部訪問問者都可以以直接獲得得他們所需需的關(guān)于公公司的一些些信息，而而不用通過過內(nèi)部網(wǎng)。。企業(yè)的機密密和私人的的信息可以以安全地存存放在內(nèi)部部網(wǎng)中，即即DMZ的的后面。12/31/202215(二)非軍事事區(qū)域的設置置可以在下列系系統(tǒng)中裝入非非軍事區(qū)域(DMZ)安安全網(wǎng)絡：①載有公共信信息的網(wǎng)絡服服務器。②與電子商務務交易服務器器相連接的前前端機，該前前端機用來接接收客戶訂單單。存放客戶戶資料的后端端應置于防火火墻之后。③把外來電子子郵件中轉(zhuǎn)至至內(nèi)部的郵件件服務器。④可據(jù)此進入入內(nèi)部網(wǎng)絡的的證書服務及及服務器。⑤虛擬專用網(wǎng)網(wǎng)絡上的各端端點。⑥應用(層)網(wǎng)關(guān)。⑦測試及登錄錄服務器(根根據(jù)系統(tǒng)要求求或用戶請求求，使數(shù)據(jù)從從一個脫機或或優(yōu)先權(quán)低的的設備返回到到一個聯(lián)機的的或優(yōu)先權(quán)高高的設備的過過程)。12/31/202216(三)電子子商務務非軍軍事區(qū)區(qū)域的的實現(xiàn)現(xiàn)網(wǎng)絡存存儲顧顧客信信息和和金融融數(shù)據(jù)據(jù)與存存儲商商業(yè)處處理的的普通通信息息的需需求是是不同同的。。很多多網(wǎng)站站通過過實現(xiàn)現(xiàn)一個個多網(wǎng)網(wǎng)段結(jié)結(jié)構(gòu)來來更好好地管管理和和安全全化商商業(yè)信信息。。第一個個網(wǎng)段段是用用于信信息存存儲的的，第第二個個網(wǎng)段段則是是特別別用于于商業(yè)業(yè)信息息的處處理的的。電子商商務系系統(tǒng)中中DMZ的的實現(xiàn)現(xiàn)12/31/202217(四四)多多區(qū)區(qū)網(wǎng)網(wǎng)絡絡存存在在的的問問題題隨著著網(wǎng)網(wǎng)站站的的成成長長，，要要提提供供新新的的功功能能，，可可能能需需要要建建立立新新的的區(qū)區(qū)。。重重復復上上面面的的過過程程，，建建立立管管理理這這些些新新網(wǎng)網(wǎng)段段的的規(guī)規(guī)則則集集。。注意意事事項項：一一定定要要監(jiān)監(jiān)視視和和檢檢查查任任何何變變動動，，備備份份舊舊的的規(guī)規(guī)則則集集以以備備緊緊急急的的時時候候需需要要回回復復過過去去。。管理理原原則則：創(chuàng)創(chuàng)建建和和管管理理諸諸如如防防火火墻墻、、IDS入入侵侵檢檢測測系系統(tǒng)統(tǒng)（（即即IntrusionDetectionSystem））簽簽名名和和用用戶戶訪訪問問規(guī)規(guī)則則之之類類的的安安全全控控制制是是個個很很大大的的任任務務，，在不不損損害害安安全全和和可可用用性性的的前前提提下下要要盡盡可可能能地地簡簡化化這這些些過過程程。12/31/20221812/31/202219三、、虛虛擬擬專專用用網(wǎng)網(wǎng)(VPN)InternetIntranet內(nèi)部部網(wǎng)網(wǎng)信息息防火墻VPN12/31/202220三、虛擬擬專用網(wǎng)網(wǎng)(VPN)虛擬專用用網(wǎng)（VPN））目的：：通過Internet或其他他線路(如私有有網(wǎng)絡和和租用的的線路等等)在公公司外地地雇員、、駐外機機構(gòu)、公公司總部部及其相相關(guān)企業(yè)業(yè)和組織織機構(gòu)之之間建立一個個信息傳傳輸?shù)陌舶踩ǖ赖?，以保證證所傳輸輸信息的的安全性性和完整整性，并并設置用用戶對特特定資源源的訪問問權(quán)限。。12/31/202221三、虛虛擬專專用網(wǎng)網(wǎng)(VPN)(一)技術(shù)(二)IPSec協(xié)議議12/31/202222(一)VPN技術(shù)術(shù)VPN（VirtualPrivateNetwork，即虛虛擬專專用網(wǎng)網(wǎng)絡））概念：：通過一一個公公共網(wǎng)網(wǎng)絡(通常常是Internet)建立立一個個臨時時的、、安全全的與與內(nèi)網(wǎng)網(wǎng)的連連接。。作用：：①安全全連接接?？梢詭蛶椭h遠程用用戶與與公司司的內(nèi)內(nèi)部網(wǎng)網(wǎng)建立立可信信的安安全連連接，，并保保證數(shù)數(shù)據(jù)的的安全全傳輸輸。②成本本較低低。即大幅度度地減減少用用戶花花費在在WAN上上和遠遠程網(wǎng)網(wǎng)絡連連接上上的費費用。。③管理理方便便。使用VPN將簡化化網(wǎng)絡絡的設設計和和管理理，加加速連連接新新的用用戶和和網(wǎng)站站。④網(wǎng)絡絡結(jié)構(gòu)構(gòu)靈活活?？梢员１Ｗo現(xiàn)現(xiàn)有的的網(wǎng)絡絡投資資。12/31/202223(一)VPN技術(shù)術(shù)VPN的功功能：①加密密數(shù)據(jù)據(jù)。以保證證通過過公網(wǎng)網(wǎng)傳輸輸?shù)男判畔⒓醇词贡槐凰巳私孬@獲也不不會泄泄露。。②信息息認證證和身身份認認證。。保證信息的的完整性、、合法性，，并能鑒別別用戶的身身份。③提供訪問問控制。不同的用戶戶有不同的的訪問權(quán)限限。12/31/202224(一)VPN技術(shù)術(shù)VPN采用用了多種安安全技術(shù)和和網(wǎng)絡技術(shù)術(shù)：①安全隧道道技術(shù)(SecureTunnelingTechnology)。將待傳輸?shù)牡脑夹畔⑾⒔?jīng)過加密密和協(xié)議封封裝處理后后再嵌套裝裝入另一種種協(xié)議的數(shù)數(shù)據(jù)包送人人公共網(wǎng)絡絡(如Internet)中中，像普通通數(shù)據(jù)包一一樣傳輸。。經(jīng)過這樣的的處理，只只有源端和目標端的用戶對隧隧道中的嵌嵌套信息能進行解釋和處理理，其他用戶戶看到的只只是無意義義的信息，，就像是在在源端和目目標端的用用戶之間建建立了一個個安全的信信息專用隧隧道。12/31/202225(一一)VPN技技術(shù)術(shù)隧道道模模式式的的VPN框框架架12/31/202226(一一)VPN技技術(shù)術(shù)②用用戶戶認認證證技技術(shù)術(shù)(UserAuthenticationTechnology)。。在隧隧道道連連接接開開始始之之前前需需要要確確認認用用戶戶的的身身份份，，以以便便于于系系統(tǒng)統(tǒng)進進一一步步實實施施資資源源訪訪問問控控制制或或用用戶戶授授權(quán)權(quán)。。③訪訪問問控控制制技技術(shù)術(shù)(AccessControlTechnology)。由由VPN服服務的的提供供者與與最終終網(wǎng)絡絡信息息資源源的提提供者者共同同確定定特定定用戶戶對特特定資資源的的訪問問權(quán)限限，以以此實實現(xiàn)基基于用用戶訪訪問的的訪問問控制制，以以實現(xiàn)現(xiàn)對信信息資資源的的最大大限度度的保保護。。12/31/202227(一)VPN技術(shù)術(shù)隧道模模式的的VPN框框架示示意圖圖VPN隧道道組成成：①一個個隧道道啟動動器；；②②一一個路路由網(wǎng)網(wǎng)絡(Internet)；；③一個個可選選的隧隧道交交換機機；④④一一個或或多個個隧道道終結(jié)結(jié)器。。12/31/202228(二)IPSec協(xié)議IPsec主要提供供IP網(wǎng)絡絡層上的加加密通信能能力。IPsec組成：(1)IPsecurityProtocolproper，定義義IPsec報文格格式。(2)ISAKMP／Oakley，，負責加密密通信協(xié)商商。12/31/202229(二)IPSec協(xié)議IPsec采用的加加密通信手手段：(1)IPsecTunnel：整整個IP封封裝在Ipsec報報文。提供供IPsecgateway之間的通通信。(2)IPsectransport：對IP包內(nèi)的的數(shù)據(jù)進行行加密，使使用原來的的源地址和和目的地址址。12/31/202230四、入侵檢檢測系統(tǒng)(IDS)

（即即IntrusionDetectionSystem）(一)入侵檢測概概念(二)基于主機的的IDS(三)基于網(wǎng)絡的的IDS(四)入侵檢測技技術(shù)發(fā)展方方向12/31/202231(一)入侵侵檢測概念念概念:通過計算機機網(wǎng)絡或計計算機系統(tǒng)統(tǒng)中的若干干關(guān)鍵點收收集信息并并對其進行行分析，以以發(fā)現(xiàn)網(wǎng)絡絡或系統(tǒng)中中是否有違違反安全策策略的行為為和遭到襲襲擊的跡象象。作用：入侵檢測是是對防火墻墻的合理補補充，幫助助系統(tǒng)對付付網(wǎng)絡攻擊擊，擴展了了系統(tǒng)管理理員的安全全管理能力力(包括安安全審計、、監(jiān)視、攻攻擊識別和和響應)，，提高了信信息安全基基礎結(jié)構(gòu)的的完整性。。12/31/202232(一)入侵侵檢測概念念主要任務:①監(jiān)視、分分析用戶及及系統(tǒng)活動動；②系統(tǒng)構(gòu)造造和弱點的的審計；③識別反反映已知知進攻的的活動模模式并向向相關(guān)人人士報警警；④異常行行為模式式的統(tǒng)計計分析；；⑤評估重重要系統(tǒng)統(tǒng)和數(shù)據(jù)據(jù)文件的的完整性性；⑥操作系系統(tǒng)的審審計跟蹤蹤管理，，并識別別用戶違違反安全全策略的的行為。。12/31/202233(二)基基于主機機的IDS基于主機機的IDS主要要用于運行關(guān)鍵鍵應用層層的服務器器，它是是早期的入侵檢檢測系統(tǒng)統(tǒng)。主要目標標：是檢測主主機系統(tǒng)統(tǒng)是否受受到外部部或內(nèi)部部的攻擊擊以及系系統(tǒng)本地地用戶是是否有濫濫用或誤誤用行為為。檢測原理：是根據(jù)系統(tǒng)審審計記錄和系系統(tǒng)日志文件件、應用程序序日志、目錄錄和文件的不不期望改變、、程序執(zhí)行中中的非正常行行為等信息來來發(fā)現(xiàn)系統(tǒng)是是否存在可疑疑事件的。12/31/202234(二)基于于主機的IDS基于主機的的IDS之之優(yōu)點：①基于主機機的IDS可以從系系統(tǒng)審計和和事件日志志中提取攻攻擊信息，，從而判斷斷本地或遠遠程用戶是是否做了系系統(tǒng)的安全全規(guī)則。②基于主機機的IDS可以精確確地判斷入入侵事件，，并可對入入侵事件立立即進行反反應。③基于主機機的IDS還可以針針對不同的的操作系統(tǒng)統(tǒng)的特點判判斷應用層層的入侵事事件。12/31/202235(二)基于于主機的IDS基于主機的的IDS之之缺點：①占用主機機資源，在在服務器上上產(chǎn)生額外外的負載。。②缺乏跨平平臺支持，，可移植性性差，因而而應用范圍圍受到嚴重重限制。12/31/202236(三)基于于網(wǎng)絡的IDS網(wǎng)絡環(huán)境下下，單獨依依靠主機的的審計信息息進行入侵侵檢測難以以適應網(wǎng)絡絡安全的需需求。主要表現(xiàn)：：①主機的審計計信息容易易受到攻擊擊，入侵者者可通過使使用某些系系統(tǒng)特權(quán)或或調(diào)用比審審計本身更更低級的操操作來逃避避審計；②不能通過分分析主機審審計記錄來來檢測網(wǎng)絡絡攻擊(域域名欺騙、、端口掃描描等)；③基于主機的的IDS的的運行或多多或少地影影響服務器器的性能；；④只能能對對服服務務器器的的特特定定用用戶戶和和應應用用程程序序的的執(zhí)執(zhí)行行動動作作、、日日志志進進行行檢檢測測，，所所能能檢檢測測到到的的攻攻擊擊類類型型有有限限。。12/31/202237(三三)基基于于網(wǎng)網(wǎng)絡絡的的IDS基于于網(wǎng)網(wǎng)絡絡的的IDS原理理：：基于于網(wǎng)網(wǎng)絡絡的的入入侵侵檢檢測測IDS放放置置在在比比較較重重要要的的網(wǎng)網(wǎng)段段內(nèi)內(nèi)，，不不停停地地監(jiān)監(jiān)視視網(wǎng)網(wǎng)段段中中的的各各種種數(shù)數(shù)據(jù)據(jù)包包。。對對每每一一個個數(shù)數(shù)據(jù)據(jù)包包或或可可疑疑的的數(shù)數(shù)據(jù)據(jù)包包進進行行特特征征分分析析。。如如果果數(shù)數(shù)據(jù)據(jù)包包與與產(chǎn)產(chǎn)品品內(nèi)內(nèi)置置的的某某些些規(guī)規(guī)則則吻吻合合，，入入侵侵檢檢測測系系統(tǒng)統(tǒng)認認為為受受到到攻攻擊擊，，就就會會發(fā)發(fā)出出通通知知、、警警報報甚甚至至直直接接切切斷斷網(wǎng)網(wǎng)絡絡連連接接。?；诰W(wǎng)絡絡的IDS位置：基于網(wǎng)絡絡的入侵侵檢測IDS通通常放置置在防火墻的的后面。12/31/202238(三)基于于網(wǎng)絡絡的IDS探測器器可以安安裝在在網(wǎng)絡絡中重重要的的服務務器、、路由由器或或單獨獨的主主機上上。12/31/202239(三)基于于網(wǎng)絡絡的IDS優(yōu)點：：①實時時性強強。通過實實時監(jiān)監(jiān)視網(wǎng)網(wǎng)絡數(shù)數(shù)據(jù)包包和網(wǎng)網(wǎng)絡管管理信信息，，來尋尋找具具有網(wǎng)網(wǎng)絡供供給特特征的的活動動。②檢測測范圍圍廣。。可以檢檢測包包括協(xié)協(xié)議攻攻擊和和某些些特定定攻擊擊在內(nèi)內(nèi)的各各種攻攻擊。。③監(jiān)視視粒度度更細細。④可移移植性性強。?；诰W(wǎng)網(wǎng)絡的的入侵侵檢測測系統(tǒng)統(tǒng)通常常可以以適合合多種種網(wǎng)絡絡環(huán)境境。⑤具有服務務器平臺獨獨立性?；诰W(wǎng)絡的的入侵檢測測系統(tǒng)不會會對服務器器以及網(wǎng)絡絡整體性能能造成影響響。12/31/202240(三)基于網(wǎng)網(wǎng)絡的IDS基于網(wǎng)絡的入入侵檢測系統(tǒng)統(tǒng)存在的缺點：①只能監(jiān)視經(jīng)經(jīng)過本網(wǎng)段的的活動，精確確度不高。②在交換網(wǎng)絡絡環(huán)境下難以以配置。③防入侵欺騙騙的能力較差差，難以定位位入侵。12/31/202241(四)入侵檢檢測技術(shù)發(fā)展展方向入侵技術(shù)的發(fā)發(fā)展與演化主要反映在下下列幾個方面面：(1)入侵或或攻擊的綜合合化與復雜化化。(2)入侵主主體對象的間間接化，即實實施入侵與攻攻擊的主體的的隱蔽性。(3)人侵或或攻擊的規(guī)模模擴大。(4)入侵或或攻擊技術(shù)的的分布化。(5)攻擊對對象的轉(zhuǎn)移。。12/31/202242(四)入侵檢檢測技術(shù)發(fā)展展方向三個方向發(fā)展展：(1)分布式式入侵檢測。。含義一是針對對分布式網(wǎng)絡絡攻擊的檢測測方法；含義義二是使用分分布式的方法法來檢測分布布式的攻擊。。(2)智能化化入侵檢測。。使用智能化的的方法與手段段來進行入侵侵檢測。所謂謂的智能化方法，現(xiàn)階段常用用的有神經(jīng)網(wǎng)絡、遺傳算法、模糊技術(shù)、免疫原理等方法，這些些方法常用于于入侵特征的的辨識與泛化化。利用專家系統(tǒng)的思思想來構(gòu)建入侵檢檢測系統(tǒng)也是是常用的方法法之一。(3)全面的的安全防御方方案。即使用安全工工程風險管理理的思想與方方法來處理網(wǎng)網(wǎng)絡安全問題題，將網(wǎng)絡安安全作為一個個整體工程來來處理。從管理、網(wǎng)絡結(jié)構(gòu)、加密通道、防火墻、病毒防護、入侵檢測等多方位對所所關(guān)注的網(wǎng)絡絡作全面的評評估，然后提提出可行的解解決方案。12/31/202243五、認證(一)第三方認證(二)PKI組成(三)證書認證機構(gòu)構(gòu)CA12/31/202244(一一)第第三三方方認認證證在電電子子商商務務中中，，必必須須從從技技術(shù)術(shù)上上保保證證在在交交易易過過程程中中能能夠夠?qū)崒崿F(xiàn)現(xiàn)身身份份認認證證、、安安全全傳傳輸輸、、不不可可否否認認性性、、數(shù)數(shù)據(jù)據(jù)完完整整性性。。數(shù)字證書認證證技術(shù)采用了了加密傳輸和和數(shù)字簽名，，能夠?qū)崿F(xiàn)上上述要求，因因此在國內(nèi)外外電子商務中中，得到了廣廣泛的應用。。PKI采用用證書書進行行公鑰鑰管理理，通通過第第三方方的可可信任任機構(gòu)構(gòu)(認認證中中心，，即CA)，把把用戶戶的公公鑰和和用戶戶的其其他標標識信信息捆捆綁在在一起起，其其中包包括用用戶名名和電電子郵郵件地地址等等信息息，以以在Internet網(wǎng)網(wǎng)上驗驗證用用戶的的身份份。12/31/202245(二)PKI組成PKI（PublicKeyInfrastructure）即“公鑰基礎設設施”。PKI在實實際應用上上是一套軟軟硬件系統(tǒng)統(tǒng)和安全策策略的集合合，它提供供了一整套套安全機制制，使用戶戶在不知道道對方身份份或分布地地很廣的情情況下，以以證書為基基礎，通過過一系列的的信任關(guān)系系進行通信信和電子商商務交易。。12/31/202246(二)PKI組成PKI組成成：一個簡單的的PKI系系統(tǒng)包括證證書機構(gòu)CA、注冊冊機構(gòu)RA和相應的的PKI存存儲庫。其各部分作作用如下：：CA(CertificateAuthority)用于簽發(fā)發(fā)并管理證證書；RA(RegistrationAuthority)，數(shù)字字證書注冊冊審批機構(gòu)構(gòu)。RA系系統(tǒng)是CA的證書發(fā)發(fā)放、管理理的延伸。。它負責證證書申請者者的信息錄錄入、審核核以及證書書發(fā)放等工工作(安全全審計)。。同時，對對發(fā)放的證證書完成相相應的管理理功能(安安全管理)。PKI存儲儲庫包括LDAP目目錄服務器器和普通數(shù)數(shù)據(jù)庫，用用于對用戶戶申請、證證書、密鑰鑰、CRL和日志等等信息進行行存儲和管管理，并提提供一定的的查詢功能能。12/31/202247(三)證書書認證機構(gòu)構(gòu)CA1．數(shù)字證書基基礎2．發(fā)行證書的的CA簽名名3．CA框架模模型4．證書的申請請和撤消5．證書管理6．密鑰管理7．證書的使用用12/31/2022481．數(shù)字字證書基基礎CA(CertificateAuthority)是數(shù)字字證書認認證中心心的簡稱稱，是指指發(fā)放、、管理、、廢除數(shù)數(shù)字證書書的機構(gòu)構(gòu)。數(shù)字證書書是一個個經(jīng)證書書授權(quán)中中心數(shù)字字簽名的的包含公公開密鑰鑰擁有者者信息和和公開密密鑰的文文

件。。數(shù)字證書書是一種種數(shù)字標標識，是是Internet上上的安全全護照或或身份證證明。12/31/202249數(shù)字證書書的格式式12/31/2022502．發(fā)行證書書的CA簽名名證書第二部分分包括CA的的簽名和用來來生成數(shù)字簽簽名的簽名算算法。任何人收到證證書后都能使使用簽名算法法來驗證證書書是不是由CA的簽名密密鑰簽署的。。12/31/2022513．CA框框架模模型證書機機構(gòu)CA用用于創(chuàng)創(chuàng)建和和發(fā)布布證書書，它它通常常為一一個稱稱為安安全域域(SecuritvDomain)的的有限限群體體發(fā)放放證書書。創(chuàng)建證證書的的時候候，CA系系統(tǒng)首首先獲獲取用用戶的的請求求信息息，其其中包包括用用戶公公鑰(公鑰鑰一般般由用用戶端端產(chǎn)生生，如如電子子郵件件程序序或瀏瀏覽器器等)，CA將將根據(jù)據(jù)用戶戶的請請求信信息產(chǎn)產(chǎn)生證證書，，并用用自己己的私私鑰對對證書書進行行簽名名。其其他用用戶、、應用用程序序或?qū)崒嶓w將將使用用CA的公公鑰對對證書書進行行驗證證。如如果一一個CA系系統(tǒng)是是可信信的，，則驗驗證證證書的的用戶戶可以以確信信，他他所驗驗證的的證書書中的的公鑰鑰屬于于證書書所代代表的的那個個實體體。12/31/2022523．．CA框框架架模模型型CA還還負負責責維維護護和和發(fā)發(fā)布布證證書書廢廢除除列列表表CRL(CertificateRevocationLists，，又又稱稱為為證書書撤撤銷銷列列表表)。當一一個證書書，特別別是其中中的公鑰鑰因為其其他原因因無效時時(不是是因為到到期)，，CRL提供了了一種通通知用戶戶和其他他應用的的中心管管理方式式。CA系統(tǒng)統(tǒng)生成CRL以以后，要要么是放放到LDAP(目錄訪訪問協(xié)議議，LightweightDirectoryAccessProtocol)服務器器中供用用戶查詢詢或下載載，要么么是放置置在Web服務務器的合合適位置置，以頁頁面超級級鏈接的的方式供供用戶直直接查詢詢或下載載。12/31/2022533．CA框框架模模型典型CA框框架模模型12/31/2022544．證證書的的申請請和撤撤消證書的的申請請有兩兩種方方式，，一是是在線線申請請，另另外一一種就就是離離線申申請。。在線申申請就是通通過瀏瀏覽器器或其其他應應用系系統(tǒng)通通過在在線的的方式式來申申請證證書，，這種種方式式一般般用于于申請請普通通用戶戶證書書或測測試證證書。。離線方方式一般通通過人人工的的方式式直接接到證證書機機構(gòu)證證書受受理點點去辦辦理證證書申申請手手續(xù)，，通過過審核核后獲獲取證證書，，這種種方式式一般般用于于比較較重要要的場場合，，如服服務器器證書書和商商家證證書等等。12/31/2022554．證書的的申請和撤撤消在線申請步步驟如下：：用戶使用瀏瀏覽器通過過Internet訪問安全全服務器，，下載CA的數(shù)字證證書(又叫叫做根證書書)，然后后注冊機構(gòu)構(gòu)服務器對對用戶進行行身份審核核，認可后后便批準用用戶的證書書申請，然然后操作員員對證書申申請表進行行數(shù)字簽名名，并將申申請及其簽簽名一起提提交給CA服務器。。CA操作員員獲得注冊冊機構(gòu)服務務器操作員員簽發(fā)的證證書申請，，發(fā)行證書書或者拒絕絕發(fā)行證書書，然后將將證書通過過硬拷貝的的方式傳輸輸給注冊機機構(gòu)服務器器。注冊機構(gòu)服服務器得到到用戶的證證書以后將將用戶的一一些公開信信息和證書書放到LDAP服務務器上提供供目錄瀏覽覽服務，并并且通過電電子郵件的的方式通知知用戶從安安全服務器器上下載證證書。用戶根據(jù)郵郵件的提示示到指定的的網(wǎng)址下載載自己的數(shù)數(shù)字證書，，而其他用用戶可以通通過LDAP服務器器獲得他的的公鑰數(shù)字字證書。12/31/2022565．證書管管理實際中的證證書系統(tǒng)以以樹型結(jié)構(gòu)構(gòu)存在，并并根據(jù)需要要和系統(tǒng)級級別分為不不同的層次次。如一個全國國性的證書書系統(tǒng)，根CA集中中控制，每一個省級級單