信息技术--赵泽茂--第十章.pptVIP

　　另外，VeriSign也提供对外的CA服务，包括证书的发布和管理等功能，并且同一些大的生产商(如Microsoft、Netscape和JavaSoft等)保持了伙伴关系，以在Internet上提供代码签名服务。Entrust作为北方电讯(Northern Telecom)的控股公司，从事PKI的研究与产品开发已经有很多年的历史了，且一直在业界保持领先地位，拥有许多成熟的PKI及配套产品，并提供了有效的密钥管理功能。　　另外，一些大的厂商(如Microsoft、Netscape和Novell等)都开始在自己的网络基础设施产品中增加了PKI功能。 10.4.2 PKI的组成　　PKI系统由认证中心(Certificate Authority，CA)、证书库、密钥备份及恢复系统、证书作废处理系统和应用接口等部分组成，如图10-4-1所示。 图 10-4-1 PKI系统的组成 　　1. CA　　CA是PKI的核心，它是数字证书的签发机构。构建PKI平台的核心内容是如何实现密钥管理。公钥密码体制包括公钥和私钥，其中私钥由用户秘密保管，无需在网上传送，公钥则是公开的，可以在网上传送。因此，密钥管理实质上是指公钥的管理，目前较好的解决方案是引入数字证书(Certificate)。　　CA的功能有证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书。CA主要由注册服务器、注册机构RA (Registry Authority，负责证书申请受理审核)和认证中心服务器3部分组成。 　　2. 证书库　　证书库就是证书的集中存放地，包括LDAP目录服务器和普通数据库，用于对用户申请、证书、密钥、CRL和日志等信息进行存储和管理，并提供一定的查询功能。一般来说，为了获得及时的服务，证书库的访问和查询操作时间必须尽量的短，证书和证书撤销信息必须尽量小，这样才能减少总共要消耗的网络带宽。 　　3. 密钥备份及恢复系统　　如果用户丢失了用于解密数据的密钥，则密文数据将无法被解密，造成数据的丢失。为了避免这种情况的出现，PKI应该提供备份与恢复解秘密钥的机制。密钥的备份与恢复应该由可信的机构来完成，认证中心(CA)可以充当这一角色。 　　4. 证书作废处理系统　　证书作废处理系统是PKI的一个重要的组件。同日常生活中的各种证件一样，证书在CA为其签署的有效期以内也可能需要作废。为实现这一点，PKI必须提供作废证书的一系列机制。作废证书一般通过将证书列入作废证书列表(CRL)来完成。证书的作废处理必须在安全及可验证的情况下进行，系统还必须保证CRL的完整性。 　　5. 应用接口　　PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此，一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保所建立起来的网络环境的可信性，同时降低管理维护成本。 10.4.3 数字证书　　数字证书是网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。　　1978年Kohnfelder在其学士论文《发展一种实用的公钥密码系统》中第一次引入了数字证书的概念。数字证书包含ID、公钥和颁发机构的数字签名等内容。　 数字证书的形式主要有X.509公钥证书、简单PKI(Simple Public Key Infrastructure)证书、PGP(Pretty Good Privacy)证书和属性(Attribute)证书。 　　1. 数字证书的格式　 为保证证书的真实性和完整性，证书均由其颁发机构进行数字签名。X.509公钥证书是专为Internet的应用环境而制定的，但很多建议都可以应用于企业环境。第3版的证书结构如图10-4-2所示。 图 10-4-2 第3版的证书结构 　　2. 加密、签名技术　 在邮件传输过程中，必须采用加密和签名措施来保障重要邮件的机密性和完整性。目前，电子邮件已渐渐成为商务信函的重要形式，因此，必要时还要进行发送和接收签名，以防止否认。　　在这方面已有成熟的安全协议PGP和S/MIME等。　　3. 协议过滤技术　 为了防止邮件帐号远程查询，要对SMTP的协议应答进行处理，如对VERY、EXPN等命令不予应答或无信息应答。 　　4. 防火墙技术　 设立内、外邮件服务器，在内、外服务器间设立防火墙。外服务器负责对外邮件的传输收发，而内服务器才是真正的用户邮件服务器。所有来自公网上的邮件操作均止于外服务器，再由外服务器转发，这样可以将真正的邮箱服务器与公网隔离。　　5. 邮件病毒过滤技术　　在邮件服务器上安装邮件病毒过滤软件，使大部分邮