信息平安技術綜述2003.4精選ppt信息平安的開展階段信息平安的根本內(nèi)容入侵與漏洞檢測技術PKI技術精選ppt信息平安的三個開展階段計算機出現(xiàn)之前，主要是解決通信的安全保密問題。此后發(fā)展出了各種加密技術〔密碼學〕，同時也出現(xiàn)了相應的解密技術〔密碼分析學〕。計算機出現(xiàn)后，計算機系統(tǒng)的安全成為突出問題。與通信安全保密相比，它的內(nèi)容更廣泛了，包括硬件、軟件和處理的數(shù)據(jù)安全。Internet開展以后，必須把整個信息網(wǎng)絡作為一個整體加以研究和解決。在系統(tǒng)內(nèi)部，涉及的內(nèi)容有通信安全、計算機安全、操作安全、數(shù)據(jù)安全、實體安全等；在系統(tǒng)的外部，涉及使用管理和法律兩方面，所以保障信息安全是一個復雜的系統(tǒng)工程。精選ppt信息平安的開展階段信息平安的根本內(nèi)容入侵與漏洞檢測技術PKI技術精選ppt信息平安的目標信息的保密性信息的完整性信息完整一致的，沒有被非授權用戶篡改。身份的真實性用戶身份不能被假冒或偽裝，可以有效鑒別用戶的身份精選ppt信息平安的目標〔續(xù)〕授權合法性平安管理人員能夠控制用戶的權限，分配或終止用戶的訪問、操作、接入等權利，被授權用戶的訪問不能被拒絕。不可抵賴性信息的發(fā)送方不能抵賴曾經(jīng)發(fā)送信息，不能否認自己的行為。精選ppt計算機平安的目標保密性〔Confidentiality〕-防止信息泄露給未授權用戶〔或攻擊者〕完整性〔Integrity〕-防止信息被未授權用戶修改可用性〔Availability〕-不拒絕授權用戶的訪問。拒絕效勞主要包括三個方面的含義：臨時降低系統(tǒng)的性能，系統(tǒng)崩潰而需要人工重新啟動，或因數(shù)據(jù)永久喪失而導致的較大范圍的系統(tǒng)崩潰。精選ppt精選ppt精選ppt計算機與網(wǎng)絡系統(tǒng)的平安威脅技術本身存在著平安弱點-以Unix和TCP/IP為例。Unix用戶具有通用編程能力，能夠向系統(tǒng)生成、安裝、控制和操作自己的程序；用戶可以通過遠程郵件和文件的傳送訪問其他用戶；用戶可通過uucp程序從一個系統(tǒng)拷貝文件到另一個系統(tǒng)等。TCP/IP協(xié)議集大多數(shù)低層協(xié)議為播送方式，網(wǎng)上的任何機器均有可能竊聽到情報；在協(xié)議規(guī)程中缺乏可靠的對通信雙方身份的認證手段，無法確定信息包地址的真?zhèn)?，有“假冒〞的可能；較易推測出系統(tǒng)中所使用的序號，從而較容易從系統(tǒng)的“后門〞進入系統(tǒng)；精選ppt系統(tǒng)的平安性差-主要是由于系統(tǒng)的軟硬件設計和配置及使用不當造成的。例如，使用過于復雜而不太平安的操作系統(tǒng)、應用軟件設計不高明、系統(tǒng)缺乏平安配置、使用能引起故障增生的雜亂的計算機聯(lián)網(wǎng)、系統(tǒng)構件〔包括用戶〕缺少健全的識別過程等因素。精選ppt缺乏平安性實踐-主要表現(xiàn)在平安協(xié)議標準不統(tǒng)一，平安產(chǎn)品處在初期開展階段，缺少網(wǎng)絡環(huán)境下用于產(chǎn)品評價的平安性準那么和評價工具，系統(tǒng)管理人員缺少平安意識和平安管理培訓等。在系統(tǒng)平安受到威脅時，缺少應有的完整的平安管理方法、步驟和平安對策，如事故通報、風險評估、改正平安缺陷、評估損失、相應的補救恢復措施等。精選ppt信息平安技術密碼技術〔加解密算法、認證〕訪問控制〔平安操作系統(tǒng)、防火墻〕入侵檢測和響應技術系統(tǒng)拯救、恢復技術平安評估、安全分析與模擬技術精選ppt信息平安的開展階段信息平安的根本內(nèi)容入侵與漏洞檢測技術PKI技術精選ppt 入侵檢測和漏洞檢測系統(tǒng)是網(wǎng)絡平安系統(tǒng)的一個重要組成局部，它不但可以實現(xiàn)復雜煩瑣的信息系統(tǒng)平安管理，而且還可以從目標信息系統(tǒng)和網(wǎng)絡資源中采集信息，分析來自網(wǎng)絡外部和內(nèi)部的入侵信號和網(wǎng)絡系統(tǒng)中的漏洞，有時還能實時地對攻擊作出反響。精選ppt入侵檢測具有監(jiān)視分析用戶和系統(tǒng)的行為、審計系統(tǒng)配置和漏洞、評估敏感系統(tǒng)和數(shù)據(jù)的完整、識別攻擊行為、對異常行為進行統(tǒng)計、自動地收集和系統(tǒng)相關的補丁、進行審計跟蹤識別違反平安法規(guī)的行為、使用誘騙效勞器記錄黑客行為等功能，使系統(tǒng)管理員可以較有效地監(jiān)視、審計、評估自己的系統(tǒng)。精選ppt漏洞檢測就是對重要計算機信息系統(tǒng)進行檢查，發(fā)現(xiàn)其中可被黑客利用的漏洞。這種技術通常采用兩種策略，即被動式策略和主動式策略。被動式策略是基于主機的檢測，對系統(tǒng)中不適宜的設置、脆弱的口令以及其他同平安規(guī)那么相抵觸的對象進行檢查；而主動式策略是基于網(wǎng)絡的檢測，通過執(zhí)行一些腳本文件對系統(tǒng)進行攻擊，并記錄它的反響，從而發(fā)現(xiàn)其中的漏洞。漏洞檢測的結果實際上就是系統(tǒng)平安性能的一個評估，它指出了哪些攻擊是可能的，因此成為平安方案的一個重要組成局部。精選ppt平安預警的復雜性來源的識別企圖的判定危害程度和潛在能力的判斷網(wǎng)絡技術的跟蹤軟件設計硬件的適應性精選ppt面對問題入侵技術在不斷開展入侵活動可以具有很大的時間跨度和空間跨度非線性的特征還沒有有效的識別模型

精選ppt入侵方法涉及到操作系統(tǒng)方方面面的漏洞，如系統(tǒng)設計缺陷、編碼缺陷、系統(tǒng)配置缺陷、運行管理缺陷，甚至系統(tǒng)中預留的后門等。在Internet上有大量的黑客站點，發(fā)布大量系統(tǒng)漏洞資料和探討攻擊方法。全世界的黑客都可以利用這些共享資源來進行攻擊方法的研究與傳播，使得新的攻擊方法能夠以最快的速度成為現(xiàn)實的入侵武器。更為令人擔憂的是有組織的活動，國外已將信息戰(zhàn)手段同核武器、生化武器并列在一起，作為戰(zhàn)略威懾加以討論，破壞者所具備的能力，對我們而言仍是一個很大的未知數(shù)。精選ppt有預謀的入侵活動往往有較周密的籌劃、試探性和技術性準備，一個入侵活動的各個步驟有可能在一段相對長的時間跨度和相當大的空間跨度之上分別完成，給預警帶來困難。一個檢測模型總會有一個有限的時間窗口，從而忽略滑出時間窗口的某些事實。同時，檢測模型對于在較大空間范圍內(nèi)發(fā)生的異?，F(xiàn)象的綜合、聯(lián)想能力也是有限的。精選ppt入侵檢測技術的難度不僅僅在于入侵模式的提取，更在于入侵模式的檢測策略和算法。因為入侵模式是一個靜態(tài)的事物，而現(xiàn)實的入侵活動那么是靈活多變的。有效的入侵檢測模型應能夠接受足夠大的時間跨度和空間跨度。從技術上說，入侵技術已經(jīng)開展到一定階段，而入侵檢測技術在理論上、模型上和實踐上還都沒有真正開展起來。在市場上能夠看得到的入侵檢測系統(tǒng)也都處在同一水平上。西方國家重要網(wǎng)絡上配置的入侵檢測系統(tǒng)應不是這一水平的技術，或者他們也在尋求其他更為有效的檢測手段。精選ppt入侵檢測技術類型一基于應用的監(jiān)控技術，使用監(jiān)控傳感器在應用層收集信息。由于這種技術可以更準確地監(jiān)控用戶某一應用的行為，所以這種技術在日益流行的電子商務中也越來越受到注意，其缺點在于有可能降低技術本身的平安。精選ppt入侵檢測技術類型二基于主機的監(jiān)控技術，主要特征是使用主機傳感器監(jiān)控本系統(tǒng)的信息。這種技術可以用于分布式、加密、交換的環(huán)境中監(jiān)控，把特定的問題同特定的用戶聯(lián)系起來；其缺點在于主機傳感器要和特定的平臺相關聯(lián)，對網(wǎng)絡行為不夠清楚，同時加大了系統(tǒng)的負擔。精選ppt入侵檢測技術類型三基于目標的監(jiān)控技術，主要特征是針對專有系統(tǒng)屬性、文件屬性、敏感數(shù)據(jù)、攻擊進程結果進行監(jiān)控。這種技術不依據(jù)歷史數(shù)據(jù)，系統(tǒng)開銷小，可以準確地確定受攻擊的部位，受到攻擊的系統(tǒng)容易恢復；其缺點在于實時性較差，對目標的檢驗數(shù)依賴較大。精選ppt入侵檢測技術類型四基于網(wǎng)絡的監(jiān)控技術，主要特征是網(wǎng)絡監(jiān)控傳感器監(jiān)控包監(jiān)聽器收集的信息。該技術不需要任何特殊的審計和登錄機制，只要配置網(wǎng)絡接口就可以了，不會影響其他數(shù)據(jù)源；其缺點在于如果數(shù)據(jù)流進行了加密，就不能審查其內(nèi)容，對主機上執(zhí)行的命令也感覺不到。此外，該技術對高速網(wǎng)絡不是特別有效。精選ppt入侵檢測技術類型五綜合以上四種方法進行監(jiān)控其特點是可提高偵測性能，但會產(chǎn)生非常復雜的網(wǎng)絡平安方案，嚴重影響網(wǎng)絡的效率，而且目前還沒有一個統(tǒng)一的業(yè)界標準。精選ppt入侵檢測技術的選用信息收集分析時間：可分為固定時間間隔和實時收集分析兩種。精選ppt采用固定時間間隔方法，通過操作系統(tǒng)審計機制和其他基于主機的登錄信息，入侵檢測系統(tǒng)在固定間隔的時間段內(nèi)收集和分析這些信息，這種技術適用于對平安性能要求較低的系統(tǒng)，對系統(tǒng)的開銷影響較小；但這種技術的缺點是顯而易見的，即在時間間隔內(nèi)將失去對網(wǎng)絡的保護。精選ppt采用實時收集和分析技術可以實時地抑制攻擊，使系統(tǒng)管理員及時了解并阻止攻擊，系統(tǒng)平安管理員也可以記錄黑客的信息；缺點是加大了系統(tǒng)開銷。精選ppt入侵檢測技術的選用〔續(xù)〕采用的分析類型：可分為簽名分析、統(tǒng)計分析和完整性分析。精選ppt簽名分析就是同攻擊數(shù)據(jù)庫中的系統(tǒng)設置和用戶行為模式匹配。在許多入侵檢測系統(tǒng)中，都建有這種攻擊的數(shù)據(jù)庫。這種數(shù)據(jù)庫可以經(jīng)常更新，以對付新的威脅。簽名分析的優(yōu)點在于能夠有針對性地收集系統(tǒng)數(shù)據(jù)，減少了系統(tǒng)的開銷，如果數(shù)據(jù)庫不是特別大，那么簽名分析比統(tǒng)計分析更為有效，因為它不需要浮點運算。精選ppt統(tǒng)計分析用來發(fā)現(xiàn)偏離正常模式的行為，通過分析正常應用的屬性得到系統(tǒng)的統(tǒng)計特征，對每種正常模式計算出均值和偏差，當偵測到有的數(shù)值偏離正常值時，就發(fā)出報警信號。這種技術可以發(fā)現(xiàn)未知的攻擊，使用靈活的統(tǒng)計方法還可以偵測到復雜的攻擊。當然，如果高明的黑客逐漸改變?nèi)肭帜Ｊ剑敲催€是可以逃避偵測的，而且統(tǒng)計傳感器發(fā)出虛警的概率就會變大。精選ppt完整性分析主要關注某些文件和對象的屬性是否發(fā)生了變化。完整性分析通過被稱為消息摘錄算法的超強加密機制，可以感受到微小的變化。這種分析可以偵測到任何使文件發(fā)生變化的攻擊，彌補了簽名分析和統(tǒng)計分析的缺陷，但是這種分析的實時性較差。精選ppt入侵檢測技術的選用〔續(xù)〕檢測系統(tǒng)對攻擊和誤用的反響：有些基于網(wǎng)絡的偵測系統(tǒng)可以針對檢測到的問題作出反響，這一特點使得網(wǎng)絡管理員對付諸如拒絕效勞一類的攻擊變得非常容易。這些反響主要有改變環(huán)境、效用檢驗、實時通知等。當系統(tǒng)檢測到攻擊時，一個典型的反響就是改變系統(tǒng)的環(huán)境通常包括關閉聯(lián)接，重新設置系統(tǒng)。由于改變了系統(tǒng)的環(huán)境，因此可以通過設置代理和審計機制獲得更多的信息，從而能跟蹤黑客。精選ppt入侵檢測技術的選用〔續(xù)〕檢測系統(tǒng)的完整性：所謂完整性就是系統(tǒng)自身的平安性，鑒于檢測系統(tǒng)的巨大作用，系統(tǒng)設人員要對系統(tǒng)本身的自保性能有足夠的重視，黑客在發(fā)動攻擊之前首先要對平安機制有足夠的了解后才會攻擊，所以檢測系統(tǒng)完整性就成為必須解決的問題，經(jīng)常采用的手段有認證、超強加密、數(shù)字簽名等，確保合法使用，保證通信不受任何干擾。精選ppt入侵檢測技術的選用〔續(xù)〕設置誘騙效勞器：有的偵測系統(tǒng)還在平安構架中提供了誘騙效勞器，以便更準確地確定攻擊的威脅程度。誘騙效勞器的目的就是吸引黑客的注意力，把攻擊導向它，從敏感的傳感器中發(fā)現(xiàn)攻擊者的攻擊位置、攻擊路徑和攻擊實質(zhì)，隨后把這些信息送到一個平安的地方，供以后查用。這種技術是否采用可根據(jù)網(wǎng)絡的自身情況而定。精選ppt漏洞檢測技術類型一基于應用的檢測技術，它采用被動的、非破壞性的方法檢查應用軟件包的設置，發(fā)現(xiàn)平安漏洞。精選ppt漏洞檢測技術類型二基于主機的檢測技術，它采用被動的、非破壞性的方法對系統(tǒng)進行檢測。通常，它涉及到系統(tǒng)的內(nèi)核、文件的屬性、操作系統(tǒng)的補丁等問題。這種技術還包括口令解密，把一些簡單的口令剔除。因此，這種技術可以非常準確地定位系統(tǒng)存在的問題，發(fā)現(xiàn)系統(tǒng)漏洞。它的缺點是與平臺相關，升級復雜。精選ppt漏洞檢測技術類型三基于目標的檢測技術，它采用被動的、非破壞性的方法檢查系統(tǒng)屬性和文件屬性，如數(shù)據(jù)庫、注冊號等。通過消息文摘算法，對文件的加密數(shù)進行檢驗精選ppt漏洞檢測技術類型四基于網(wǎng)絡的檢測技術，它采用積極的、非破壞性的方法來檢驗系統(tǒng)是否有可能被攻擊崩潰。它利用了一系列的腳本對系統(tǒng)進行攻擊，然后對結果進行分析。網(wǎng)絡檢測技術常被用來進行穿透實驗和平安審計。這種技術可以發(fā)現(xiàn)平臺的一系列漏洞，也容易安裝。但是，它容易影響網(wǎng)絡的性能，不會檢驗不到系統(tǒng)內(nèi)部的漏洞。精選ppt漏洞檢測技術類型五綜合的技術，集中了以上四種技術的優(yōu)點，極大地增強了漏洞識別的精度。精選ppt實現(xiàn)模型入侵檢測和漏洞檢測系統(tǒng)的實現(xiàn)是和具體的網(wǎng)絡拓撲密切相關的，不同的網(wǎng)絡拓撲對入侵檢測和漏洞檢測系統(tǒng)的結構和功能有不同的要求。通常情況下該系統(tǒng)在網(wǎng)絡系統(tǒng)中可設計為兩個局部：平安效勞器〔Securityserver〕和檢測代理〔Agent〕。精選ppt平安效勞器平安效勞器中包含網(wǎng)絡平安數(shù)據(jù)庫、通信管理器、聯(lián)機信息處理器等部件，它的主要功能是和每一個代理進行相互通信，實時處理所有從各代理發(fā)來的信息，作出響應的反映，同時對本網(wǎng)的各平安參數(shù)進行審計和記錄日志，為完善網(wǎng)絡的平安性能提供參數(shù)。精選ppt檢測代理主機檢測代理網(wǎng)絡設備檢測代理，主要完本錢網(wǎng)段的入侵檢測公用效勞器檢測代理精選ppt典型的入侵檢測系統(tǒng)ISS公司的RealSecure，包括基于主機的SystemAgent以及基于網(wǎng)絡的NetworkEngine兩個套件。支持與CheckPoint防火墻的交互式控制，支持由Cisco等主流交換機組成的交換環(huán)境監(jiān)聽，可以在需要時自動切斷入侵連接。精選pptAxent公司的ITA、ESM，ITA(IntrusionAlert)是標準的基于網(wǎng)絡的入侵檢測系統(tǒng)。全部支持分布式的監(jiān)視和集中管理模式。NAI的CyberCopMonitor，可以同時在基于主機和基于網(wǎng)絡兩種模式下工作。精選ppt信息平安的開展階段信息平安的根本內(nèi)容入侵與漏洞檢測技術PKI技術精選pptPKI〔PublicKeyInfrastructure，公鑰根底設施〕就是利用公鑰理論和技術建立的提供平安效勞的根底設施。PKI技術是信息平安技術的核心，也是電子商務的關鍵和根底技術。精選ppt信息保密信息的保密性是信息平安的一個重要方面。保密的目的是防止第三方通過監(jiān)聽、非法截取等手段非法獲取機密信息，而加密是保護機要信息的一個重要手段。所謂加密，就是用數(shù)學方法重新組織數(shù)據(jù)，使得除了合法的接受者外，任何其他人要想恢復原先的“消息〞〔將原先的消息稱作“明文〞〕或讀懂變化后的“消息〞〔將變化后的消息稱為“密文〞〕都是非常困難的。通常，我們把將密文恢復成明文的過程稱作解密。加密和解密操作分別是在一組密鑰控制下進行的，它們被分別稱為加密密鑰和解密密鑰。精選ppt密碼體制根據(jù)加密密鑰和解密密鑰在性質(zhì)上的差異，可以將密碼體制分為兩類：單密鑰體制和公鑰體制。精選ppt加密密鑰和解密密鑰相同或本質(zhì)相同的體制被稱為單〔對稱〕密鑰加密體制。這種加密算法運算速度快，適合于加解密傳輸中的信息。其中最為著名的單密鑰算法是美國的數(shù)據(jù)加密標準〔DES算法〕。該標準由IBM公司研制，美國商業(yè)部所屬的國家標準局于1977年正式批準并作為美國聯(lián)邦信息處理的標準。雖然美國已經(jīng)宣布這種算法不再作為美國加密的標準，但這種算法已經(jīng)廣泛應用于世界各地〔包括中國〕的商業(yè)中。單密鑰密碼體制的缺陷是通信雙方在進行通信前必須通過一個平安信道事先交換密鑰，這在網(wǎng)絡應用中是不現(xiàn)實的，而且單密鑰體制無法保證信息的不可抵賴性。精選ppt公鑰體制就是加密密鑰和解密密鑰不相同，并且從其中一個很難推斷出另一個。這樣，我們可以將其中一個密鑰公開〔稱為公鑰〕，另一個密鑰由用戶自己保存〔稱為私鑰〕。公鑰密碼體制可以使通信雙方無須事先交換密鑰就可以建立平安通信。公鑰密碼體制可用于身份認證、數(shù)字簽名和密鑰交換。公鑰體制一般是建立在某些的數(shù)學難題之上，是計算機復雜性理論開展的必然結果。最為典型的代表是RSA公鑰密碼體制。精選pptRSA算法RSA算法是Rivest、Shamir和Adleman于1977年提出的第一個完善的公鑰密碼體制，其平安性是基于分解大整數(shù)的困難性。在RSA體制中使用了這樣一個根本領實：到目前為止，無法找到一個有效的算法來分解兩個大素數(shù)之積。利用目前已經(jīng)掌握的知識和理論，分解2048bit的大整數(shù)已經(jīng)超過了64位計算機的運算能力，因此在目前和可預見的將來，它是足夠平安的。精選ppt公開密鑰：n=pq(p、q分別為兩個互異的大素數(shù)，p、q必須保密)

----e與(p－1)(q－1)互素

----私有密鑰：d=e－1(mod(p－1)(q－1))

----加密：c=me(modn)，其中m為明文，c為密文。

----解密：m=cd(modn)精選ppt信息可認證性信息的可認證性是信息平安的另一個重要方面。認證的目的有兩個：一個是驗證信息發(fā)送者的真實性，確認他沒有被冒充；另一個是驗證信息的完整性，確認被驗證的信息在傳遞或存儲過程中沒有被篡改、重組或延遲。認證是防止敵手對系統(tǒng)進行主動攻擊〔如偽造、篡改信息等〕的一種重要技術。認證技術主要包括數(shù)字簽名、身份識別和信息的完整性校驗等技術。精選ppt數(shù)字簽名數(shù)字簽名是防止網(wǎng)上交易時進行偽造和欺騙的一種有效手段。發(fā)送者在自己要公布或發(fā)送的電子文檔上“簽名〞，接收者通過驗證簽名的真實性確認文檔是否被篡改正。目前數(shù)字簽名技術的研究主要是基于公鑰密碼體制。比較著名的數(shù)字簽名算法包括RSA數(shù)字簽名算法和DSA。精選ppt數(shù)字簽名的簽名算法至少要滿足以下條件：--簽名者事后不能否認；--接受者只能驗證；--任何人不能偽造〔包括接受者〕；--雙方對簽名的真?zhèn)伟l(fā)生爭執(zhí)時，有第三方進行仲裁。

精選ppt信息的完整性和認證是指信息的接受者能夠檢驗收到的消息是否真實。檢驗的內(nèi)容包括：消息的來源、消息的內(nèi)容是否被篡改、消息是否被重放。消息的完整性經(jīng)常通過雜湊技術來實現(xiàn)。雜湊〔Hash〕函數(shù)可以把任意長度的輸入串變化成固定長度的輸出串，它是一種單向函數(shù)，根據(jù)輸出結果很難求出輸入值，并且可以破壞原有數(shù)據(jù)的數(shù)據(jù)結構。因此，雜湊函數(shù)不僅應用于信息的完整性，而且經(jīng)常應用于數(shù)字簽名。精選ppt在公布一份電子文檔時，發(fā)送者首先對要公布的文檔進行雜湊運算，然后發(fā)送者就可以用自己的簽名私鑰對雜湊運算得出的簡潔數(shù)據(jù)進行加密簽名；接收者收到簽名文檔后，用發(fā)送者的公鑰進行解密，得到解密后的雜湊運算結果和文檔。此時，接收者只需要計算出該文檔的雜湊運算結果并與解密得到的雜湊運算結果進行比較，即可知道該文檔的真?zhèn)?。在?shù)字簽名應用中，發(fā)送者的公鑰可以很方便地得到，而他的私鑰那么需要嚴格的保密。精選ppt PKI的核心是信任關系的管理。第三方信任和直接信任是所有網(wǎng)絡平安產(chǎn)品實現(xiàn)的根底。所謂第三方信任是指兩個人可以通過第三方間接地到達彼此信任。精選pptPKI的功能模塊

CA〔CertificationAuthority〕是確保信任度的權威實體，它的主要職責是頒發(fā)數(shù)字證書、驗證用戶身份的真實性。數(shù)字包含用戶身份的局部信息及用戶所持有的公共密鑰，然后CA利用本身的密鑰為數(shù)字證書加上數(shù)字簽名。CA目前采用的標準是X.509V3。精選pptX.509證書格式證書格式的版本證書序列號主體的X.500名字〔由名字機關賦予〕主體的公鑰和相應的算法信息有效期〔起止日期〕證書頒發(fā)者的X.500名字〔CA〕確保主體和頒發(fā)者名字唯一的可操作域擴展域〔版本3〕CA的數(shù)字簽名精選pptRA〔RegistrationAuthority〕是用戶和CA的接口，它所獲得的用戶標識的準確性是CA頒發(fā)證書的根底。RA不僅要支持面對面的登記，也必須支持遠程登記，如通過電子郵件、瀏覽器等方式登記。要確保整個PKI系統(tǒng)的平安、靈活，就必須設計和實現(xiàn)網(wǎng)絡化、平安的且易于操作的RA系統(tǒng)。精選ppt撤銷機制，數(shù)字證書綁定證書持有者身份和其相應公鑰的，通常，這種綁定在已頒發(fā)證書的整個生命周期里都是有效的。但是，有時也會出現(xiàn)一個已頒發(fā)證書不再有效的情況，如果這個證書還沒有到期，就需要進行證書撤銷。證書撤銷的理由是各種各樣的，可能包括從工作變動到對密鑰的疑心等一系列原因。因此，需要采取一種有效和可信的方法，能在證書自然過期之前撤銷它。證書撤銷的實現(xiàn)方法一種是利用周期性的發(fā)布機制撤銷證書；另一種方法采用在線查詢機制，隨時查詢被撤銷的證書。精選pptPKI系統(tǒng)的信任模型

選擇信任模型〔TrustModel〕是構筑和運作PKI所必需的一個環(huán)節(jié)。選擇正確的信任模型以及與它相應的平安級別是非常重要的，同時也是部署PKI所要做的較早和根本的決策之一。精選ppt信任模型主要闡述的問題一個PKI用戶能夠信任的證書是怎樣被確定的這種信任是怎樣被建立的在一定的環(huán)境下，這種信任如何被控制精選pptX.509標準中的信任定義 Entity“A"trustsentity“B"when“A"assumesthat“B"willbehaveexactlyas“A"expects?！伯攲嶓wA假定實體B嚴格地按A所期望的那樣行動，那么A信任B?！尘xppt常見的信任模型分類認證機構的嚴格層次結構模型分布式信任結構模型Web模型用戶為中心的信任模型精選ppt認證機構的嚴格層次結構模型CA0CA1CA2CAiCAk+nCAkCAk+1…………U1UjU1Um……精選ppt在這個模型中，層次結構中的所有實體都信任唯一的根CA。這個層次結構按如下規(guī)那么建立：根CA認證直接連接在它下面的CA。每個CA都認證零個或多個直接連接在它下面的CA，一個給定的CA要么認證終端實體要么認證其他CA，但不能兩者都認證。倒數(shù)第二層的CA認證終端實體。精選ppt一個持有根CA公鑰的終端實體A可以通過下述方法檢驗另一個終端實體B的證書。假設B的證書是由CA2簽發(fā)的，而CA2的證書是由CA1簽發(fā)的，CA1的證書又是由根CA簽發(fā)的。A〔擁有根CA的公鑰KR〕能夠驗證CA1的公鑰K1，因此它可以提取出可信的CA1的公鑰。然后，這個公鑰可以被用作驗證CA2的公鑰，類似地就可以得到CA2的可信公鑰K2。公鑰K2能夠被用來驗證B的證書，從而得到B的可信公鑰KB。A現(xiàn)在就可以根據(jù)密鑰的類型來使用密鑰KB，如對發(fā)給B的消息加密或者用來驗證據(jù)稱是B的數(shù)字簽名，從而實現(xiàn)A和B之間的平安通信。精選ppt分布式信任結構模型與在PKI系統(tǒng)中的所有實體都信任唯一一個CA的嚴格層次結構相反，分布式信任結構把信任分散在兩個或多個CA上。所有的CA實際上都是相互獨立的同位體精選pptWeb模型We