电子商务安全保密6-13讲452

电子商务安全保密技术与应用第6—13讲主讲徐兰芳华中科技大学计算机学院信息安全系2010/8/281第6章

安全协议与安全标准

安全协议原则1.匿名性（anonymity）2.安全性(security)3.不可否认性(nonrepudiation)4.原子性(atomicity)

①钱原子性②商品原子性:③确认发送原子性5.交易规模(transactionsize)2[本章要点]1.电子商务安全服务支撑协议：安全套接层协议SSL、安全电子传输规范SET协议、安全通信协议S-HTTP、Internet电子数据交换协议、互联网安全协议IPSec2.电子支付协议：Netbill协议、FirstVirtual协议、iKP协议3.电子邮件协议：PEM和S/MIME4.Windows2000的IPSec策略和SSL配置策略5.国际安全评估的6个准则3第6章安全协议与安全标准引例6匿名汇票“双重花费”问题6.1商务安全协议概述6.2安全套接层协议SSL6.3安全电子交易规范SET6.4电子支付专用协议NetBill和iKP6.5安全超文本传输协议S-HTTP6.6安全电子邮件协议6.7Internet电子数据交换协议EDI6.8IPSec安全协议6.9安全技术评估标准46.1商务安全协议概述

作用：用于加强Internet通信安全性分类：目前国际上流行的电子商务所采用的协议(1)通信安全协议(2)支付安全协议(3)邮件安全协议包括：用于接入控制的SSL、基于信用卡交易的安全电子协议SET、安全超文本传输协议S-HTTP、公对公交易的InternetEDI、专用小型支付安全协议Netbill、FirstVirtual和iKP协议、安全电子邮件协议PEM和S/MIME等。56.2安全套接层协议SSL

1.背景由美国Netscape公司1995年开发和倡导的安全套接层协议SSL，是国际上最早应用于电子商务的一种网络安全协议，至今仍然有很多网上商店使用，是目前安全电子商务交易中使用最多的协议之一。SSL主要用于提高应用程序之间的数据的安全系数。SSL协议的实现属于SOCKET层，在Internet网络层次中的位置处于应用层和传输层之间。SSL安全协议被许多世界知名厂商的Intranet和Internet网络产品所支持，其中包括Netscape、Microsoft、IBM、OpenMarket等公司提供的支持SSL的客户机和服务器产品，如IE和Netscape浏览器，IIS、DominoGoWebServer、NetscapeEnterpriseServer和Appache等WebServer等66.2安全套接层协议SSL（续）6.2.1SSL提供的安全服务6.2.2SSL协议的运行步骤6.2.3SSL体系结构6.2.4SSL的安全措施6.2.5Windows2000中SSL的配置与应用

76.2.1SSL提供的安全服务1.用户和服务器的合法性认证用户和服务器分别有自己的识别码，由SSL的握手协议进行数字认证实现2.加密数据以隐藏被传送的数据

采用对称密钥、公开密钥技术，保证机密性和完整性，用数字证书鉴别，防止破译3.保护数据的完整性采用Hash函数和机密共享方式，对服务器、客户认证，保证机密性，防止窃听，，

8SSL的两个概念SSL连接（connection)一个连接是一个提供一种合适类型服务的传输（OSI分层的定义）。SSL的连接是点对点的关系。连接是暂时的，每一个连接和一个会话关联。SSL会话（session）一个SSL会话是在客户与服务器之间的一个关联。会话由HandshakeProtocol创建。会话定义了一组可供多个连接共享的加密安全参数，被多个连接共享。会话用以避免为每一个连接提供新的安全参数所需昂贵的谈判代价。96.2.2SSL协议的运行步骤

①接通阶段：客户通过网络向服务商打招呼，服务商回应；②密钥交换阶段：客户与服务器之间交换双方认可的密钥，一般选用RSA密码算法，也有的选用Diffie-Hellmanf和Fortezza-KEA密码算法；③协商密钥阶段：客户与服务商间产生彼此交谈的会话密钥；④检验阶段：检验服务商取得的密钥；⑤客户认证阶段：验证客户的可信度；⑥结束阶段，客户与服务商之间相互交换结束的信息。106.2.2SSL协议的运行步骤分析SSL基点：商家对客户承诺保密商家对客户认证，缺乏客户对商家的认证116.2.3SSL体系结构

HTTPSSL握手协议SSL更改密文规范协议SSL警告协议SSL记录协议TCPIPSSL协议是两层协议：1套接层SSL记录协议；2应用层SSL握手协议、SSL更改秘文规范协议和SSL警告协议126.2.3SSL体系结构1.SSL记录协议（1）记录头格式是2-3字节的编码，包括：记录头长度、数据长度、数据中包括的填充数据（满足加密算法）（2）记录数据格式

MAC数据（16字节）+实际数据+填充数据MAC数据=Hash[密钥，实际数据，填充数据，序号]2.更改密文规范协议CCSP作用：使挂起状态被复制到当前状态，改变连接将要使用的密码算法组成：一个报文，值=1136.2.3SSL体系结构3.警告协议作用：传送警告给对方实体组成：报文是2个字节第一字节：警告值（1警告；2致命，SSL终止连接）第二字节：特定警告代码4.握手协议144.握手协议第一阶段通信初始化确认是否需要新密码需要2对4个密钥，客户和服务器的公、私钥第二阶段对客户认证由服务器向客户发出认证请求，客户收到请求时发出自己的证书，注意监听认证结果，返回是或否消息154.握手协议166.2.4SSL的安全措施

SSL采用对称密码技术和公开密码技术相结合，采用密码和证书实现通信数据完整性、认证性等安全服务.1.加密算法和会话密钥

算法：RC4（流加密），RC2（块加密），RSA，IDEA，DES密钥：由MD5产生,RC4/RC2由RSA产生2.认证算法

服务器认证和客户认证176.2.4SSL的安全措施2.认证算法用X.509标准，用RSA数字签名(1)服务器认证

客户服务器(2)客户认证客户服务器UKSRKSRK公钥UK私钥RKCUKC186.2.4SSL的安全措施3.应用【商用密码管理条例】：不能使用国外密码算法安全强度：受出口限制，SSL仅提供512bit的RSA公钥、40bit对称密钥的加密196.2.5Windows2000中SSL的配置与应用SSL的应用：1客户端，如浏览器等；2服务器端，如Web服务器和应用服务器等。目前，一些主流浏览器（如IE和Netscape等）和IIS、DominoGoWebServer、NetscapeEnterpriseServer、Appache等Web服务器都提供了对SSL的支持。要实现浏览器（或其他客户端应用）和Web服务器（或其他服务器）之间的安全SSL信息传输，必须在Web服务器端安装支持SSL的Web服务器证书，在浏览器端安装支持SSL的客户端证书（可选），然后把URL中的“http://”更换为“https://”。206.2.5Windows2000中SSL的配置与应用（续）SSL安全协议要求基于客户机/服务器模型的安全通信对服务器进行认证，所以，必须对服务器（如Web服务器）配置证书。以Windows2000种提供的Internet信息服务器IIS5.0（以后简称IIS）为例1.在Web服务器中请求和安装服务器证书的基本原理，2.配置安全通信（如SSL）的一般方法。216.2.5Windows2000中SSL的配置与应用（续）第一步：请求证书利用IIS申请服务器证书的时候，IIS本身先产生公私钥对，并产生相应的证书请求信息，最后把该信息提交给CA（该CA只能为Windows2000企业CA或其他商业CA，Windows2000独立CA不能签发服务器证书），由CA签发以后形成证书。在Windows2000中，通过IIS管理下的“默认Web站点”的属性“属性”菜单（如图6－4所示），根据提示可完成配置和证书申请工作。226.2.5Windows2000中SSL的配置与应用（续）第二步，对IIS安全配置单击图所示的“安全通信”中的“查看”按钮，可以查看前面申请的Web服务器证书，也可在此对话框中设置安全Web服务器的一些属性，如在访问该服务器时是否需要SSL通道、是否使用128位强加密、是否需要验证客户端证书、是否把证书映射到用户账号，以使用客户证书来控制对资源的方式等。如图6－5所示。236.3安全电子交易规范SET6.3.1SET提供的安全服务6.3.2SET协议的运行步骤6.3.3SET的体系结构6.3.4SET的安全措施6.3.5SET和SSL的比较

246.3安全电子交易规范SETSET是Visa和MasterCard于1997年5月联合开发的一个加密和安全规范，具有很强的安全性。SET由若干以前发表的协议形成，包括：STT(Visa/Microsoft)、SEPP(MasterCard)和iKP协议族(IBM)。SET及其适合的诸协议是基于安全信用卡协议的一个例子。由于得到了IBM、HP、Microsoft、Netscape、VeriFone、GTE、Terisa和VeriSign等很多大公司的支持，已成为事实上的工业标准，已获得IETF标准的认可。

256.3.1SET提供的安全服务

1.SET主要安全目标（1）信息在Internet上安全传输，保证网上传输的数据不被黑客窃取；（2）定单信息和个人帐号信息的隔离，当包含持卡人帐号信息的定单送到商家时，商家只能看到定货信息，而看不到持卡人的帐户信息；（3）持卡人和商家相互认证，以确定通信双方的身份，一般由第三方机构负责为在线通信双方提供信用担保；（4）要求软件遵循相同协议和报文格式，使不同厂家开发的软件具有兼容和互操作功能，并且可以运行在不同的硬件和操作系统平台上。266.3.1SET提供的安全服务2.SET提供的安全服务①确保在支付系统中支付信息和订购信息的安全性；②确保数据在传输过程中的完整性，即确保数据在传输过程中不被破坏；③对持卡者身份的合法性进行检查；④对商家身份的合法性进行检查；⑤提供最优的安全系统，以保护在电子贸易中的合法用户；⑥确保该标准不依赖于传输安全技术，也不限定任何安全技术的使用；⑦使通过网络和相应的软件所进行的交互作业简便易行

276.3.2SET协议的运行步骤

286.3.2SET协议的运行步骤接安全模型第6讲PPT第33页296.3.3SET的体系结构

SET支付系统的主要参与方（1）持卡人，即消费者。通过web浏览器或客户端软件购物。（2）商家。提供在线商店或商品光盘给消费者。（3）发卡人。是一金融机构，为持卡人开帐户，并且发放支付卡。（4）收款银行。为商家建立帐户，并且处理支付卡的认证和支付事宜。（5）支付网关。是由受款银行或指定的第三方操纵的设备，处理商家的支付信息，同时也包括来自消费者的支付指令。此外，SET支付系统还涉及到认证机构CA，但是不参与SET的支付流程。CA的主要功能包括：接收注册请求，处理、批准/拒绝请求，颁发证书。

306.3.4SET的安全措施

通过加密保证信息机密性

应用数字签名技术进行鉴别

使用X.509v3数字证书来提供信任

应用散列函数保证数据完整性

316.3.5SET和SSL的比较

SSL协议SET协议工作层次传输层与应用层之间应用层是否透明透明不透明过程简单复杂效率高低安全性商家掌握消费者PI消费者PI对商家保密认证机制双方认证多方认证是否专为EC设计否是326.3.5SET和SSL的比较（续）SET与SSL相比具有如下优点：①SET为商家提供了保护自己的手段，使商家免受欺诈的困扰，使商家的运营成本降低。②对消费者而言，SET保证了商家的合法性，并且用户的信用卡号不会被窃取，SET替消费者保守了更多的秘密使其在线购物更加轻松。③银行和发卡机构以及各种信用卡组织来说，因为SET可以帮助它们将业务扩展到Internet这个广阔的空间，从而使得信用卡网上支付具有更低的欺骗概率，这使得它比其他支付方式具有更大的竞争力。④SET对于参与交易的各方定义了互操作接口，一个系统可以由不同厂商的产品构筑。⑤SET可以用在系统的一部分。例如，一些商家正在考虑在与银行连接中使用SET，而与顾客连接时仍然使用SSL。这种方案既回避了在顾客机器上安装钱夹软件；同时又获得了SET提供的很多优点。336.3.5SET和SSL的比较（续）相比SSL而言，SET的安全度更高，但从1997年5月31日SET协议1.0版正式发布以来，大量的现场实验和实施效果获得了业界的支持，促进了SET良好的发展趋势，SET协议同样存在一些问题，这些问题包括：①协议没有说明收单银行给在线商店付款前，是否必须收到消费者的货物接收证书。如果在线商店提供的货物不符合质量标准，消费者提出异议，责任由谁承担；②协议没有担保“非拒绝行为”，这意味着在线商店没有办法证明订购是由签署证书的、讲信用的消费者发出的；③SET技术规范没有提及在事务处理完成后，如何安全地保存或销毁此类数据，是否应当将数据保存在消费者、在线商店或收单银行的计算机里。这种漏洞可能是这些数据以后受到潜在的攻击。346.4电子支付专用协议6.4.1NetBill协议6.4.2FirstVirtual协议6.4.3iKP协议

356.4.1NetBill协议图6-7NetBill协议流程

NetBill协议是由卡耐基——梅隆大学开发的一个网络支付协议。NetBill支付协议包括八个主要步骤(如图6-7)，在此之前，客户与商家相互交换公钥证书彼此验证身份，随即建立一个对称密钥用于以下的交易步骤。36转NetBill协议PPT376.4.2FirstVirtual协议

FirstVirtual协议是美国FirstVirtual公司提出的支付协议，它也是用于网上信用卡的安全交易协议，它与其它协议不同，采用了非密码学的方法来解决安全性问题。客户先在FirstVirtual建立一个ID号，并把自己的信用卡号注册，当需要支付信息费用时，其支付过程是：（1）户把在FirstVirtual的ID号发给商家；（2）商家联结FirstVirtual服务器验证ID号的合法性，如果合法，商家把客户所需的信息直接发送给客户；（3）FirstVirtual服务器向客户以E－mail形式发送询问信息，征询客户是否愿意为其付费，客户同样以E－mail形式回复“是”或“否”。如果客户的回复为“是”，FirstVirtual通过用户信用卡的代理获得相应的款项；（4）在90天的延时后，FirstVirtual服务器将款项转给相应的商家。

38(实际应用系统的支付模型,基于信用卡方式)

FV系统(FirstVirtual)用户银行第三方商家⑤订货确认要求是你订货吗？

⑥确认信息是。

支付确认①信用卡系统②帐号③订货单及帐号④帐号⑧确认订货⑦授权同意支付39FV系统的使用步骤:

①用户将信用卡信息→第三方②第三方加密，提供加密代码(或帐号)③用户向商家订货并送帐号到商家④商家帐号、购买金额第三方⑤第三方向用户询问确认买方帐号及订货要求⑥用户回答:同意支付/拒绝支付，若同意⑦第三方通知商家发货⑧用户收到产品，由第三方在帐号上划款，若拒绝，交易中止。406.4.3iKP协议（续）iKP协议是最简单的协议，仅要求支付网关拥有一对公私钥，用户和商户仅需拥有支付网关认证了的公钥或经一个权威机构认证了的支付网关公钥(该机构通过签名证书来使支付网关的公钥合法化)。这就涉及到了CA基础设施，用户通过信用卡号和相关的PIN来认证。通过交换用支付网关的公钥加了密的信用卡号和PIN以及限定的相关信息(诸如交易量、ID号等)来认证支付，iKP协议不能对用户和商户发送的消息提供非否认性，这就意味着不容易解决支付订购的争端。

416.4.3iKP协议（续）2KP协议要求支付网关和商户都拥有公钥对和公钥证书。协议对来自商户发送的消息能提供非否认性。该协议能使用户无需和任何在线第三方联系，就能通过检测证书来验证与之进行交易的商户的真实性。与1KP协议一样，支付订购是通过用户的信用卡号和PIN来认证的(在传输之前要求加密)。426.4.3iKP协议（续）iKP协议要求支付网关、顾客和商人三方都拥有公钥对，并提供完全的多方安全。对各方涉及到的所有的消息提供非否认性，支付订购是通过顾客的信用卡号和PIN以及顾客的数字签名来认证。协议要求基础设施提供顾客的公钥证书。特别:iKP协议只关心支付而未涉及订货和价格协商，假定这些方面已由商人和顾客事先决定好了，协议也没有明确地提供对订购信息的加密，这种保护被假定由已存在的机构来完成，诸如SHTTP，SSL(注意：SSL不支持非否认性)等。

436.5安全超文本传输协议S-HTTP6.5.1S-HTTP协议概述6.5.2SSL与S-HTTP的比较

446.5.1S-HTTP协议概述S-HTTP是用于互联网进行安全信息传输的协议，S－HTTP建立在HTTP之上，S－HTTP好似HTTP规范之外的一个封闭层，旨为HTTP事务提供身份认证和加密手段。所谓封闭是指全部HTTP请求和响应都经过加密并作为S－HTTP请求和响应的实体主体。S-HTTP使用HTTP的MIME网络数据包进行签名、验证和加密，数据加密可以采用对称或非对称加密。S-HTTP提供了文件级的安全机制。S-HTTP提供了对多种单向散列（Hash）函数的支持，如：MD2、MD5和SHA；对多种单钥体制的支持，如：DES、三元DES、RC2、RC4和CDMF；对数字签名体制的支持，如：RSA和DSS。456.5.2SSL与S-HTTP的比较

S-HTTP和SSL是从不同角度提供Web的安全性的。S－HTTP建立在HTTP之上，旨为HTTP事务提供身份认证和加密手段。SSL则建立在HTTP的下一层，并可用于FTPGopher等其他协议。S-HTTP对单个文件作“私人/签字”之区分，而SSL则把参与相应进程之间的数据通道接“私用”和“已认证”进行监管。目前SSL基本取代了S-HTTP。大多数Web贸易均采用传统的Web协议，并使用SSL加密的HTTP来传输敏感的账单信息。466.6安全电子邮件协议6.6.1保密增强邮件（PEM）6.6.2安全多功能Internet电子邮件扩充（S/MIME）6.6.3OutlookExpress下的安全电子邮件传送

476.6.1保密增强邮件（PEM）保密增强邮件(PrivateEnhancedMail,PEM)是增强Internet电子邮件隐秘性的标准草案,是美国RSA实验室基于RSA和DES算法而开发的产品,其目的是为了增强个人的隐私功能。它在Internet电子邮件的标准格式上增加了加密、鉴别和密钥管理的功能，允许使用公开密钥和专用密钥的加密方式,并能够支持多种加密工具。对于每个电子邮件报文可以在报文头中规定特定的加密算法、数字鉴别算法、散列功能等安全措施。PEM是通过Internet传输安全性商务邮件的非正式标准。

486.6.1保密增强邮件（PEM）(续）PEM对报文的处理包含如下过程:（1）规范化处理。为了使PEM与MTA(报文传输代理)兼容,按SMTP协议对报文进行规范化处理。（2）消息完整性编码(MessageIntegrityCode，MIC)计算。（3）把处理过的报文转化为适于SMTP系统传输的格式。496.6.2安全多功能Internet电子邮件扩充（S/MIME）

S/MIME是Secure/MultipurposeInternetMailExtensions的简称，它是Internet中用来发送安全电子邮件的协议。S/MIME为电子邮件提供了数字签名和加密功能。该标准允许不同的电子邮件客户程序彼此之间收发安全电子邮件。S/MIME是从PEM（PrivacyEnhancedMail）和MIME(Internet邮件的附件标准)发展而来的。

506.6.3OutlookExpress下的安全电子邮件传送

Microsoft公司的OutlookExpress是目前功能较完善、使用较方便的一个电子邮件管理软件，其中所提供的安全特性就支持前述的加密与数字签名，使用户在Internet上可以发送和接收安全的电子邮件，其基本使用原理。一、获取数字标识二、使用数字标识三、备份数字标识四、安全电子邮件516.7Internet电子数据交换协议6.7.1EDI系统面临的安全威胁6.7.2EDI系统的安全策略6.7.3InternetEDI安全服务的实现

526.7.1EDI系统面临的安全威胁

CCITTX.435建议中列出EDI系统面临的主要威胁和攻击，有以下六种：一、冒充二、篡改数据三、偷看、窃取数据四、文电丢失五、抵赖或失口否认六、拒绝服务

536.7.2EDI系统的安全策略

安全策略（1）他人无法冒充合法用户利用网络及其资源。（2）他人无法篡改、替换和扰乱数据。（3）与文电交换的各种活动及其发生时间均有精确、完整的记录和审计。（4）确保文电在交换过程中不丢失。（5）确保商业文件(合同、契约、协议书……)不被无关者或竞争对手知悉。（6）防止因自然灾害、人为原因和机器故障而引起的系统拒绝服务。

546.7.2EDI系统的安全策略(续）EDI安全服务的内容有：（1）鉴别。包括对等实体鉴别和数据源鉴别。（2）访问控制。保护网络资源免受非法访问和使用。（3）数据保密。保护数据不被第三者获悉。（4）数据完整性。保护数据不被篡改、乱序、删除和重复。（5）抗抵赖。防止发送者否认发送信息，接收者否认收到信息。556.7.3InternetEDI安全服务的实现

一、数字签名二、文电加密三、源点不可抵赖四、接收不可抵赖。五、访问控制六、文电丢失七、防拒绝服务566.8IPSec安全协议6.8.1IPSec组成6.8.2IPSec的工作原理6.8.3IP认证协议6.8.4IP安全封装负载协议（ESP）6.8.5Windows2000的IPSec策略

576.8IPSec安全协议为了改善现有IPv4协议在安全等方面的不足，IETF的下一代网络协议(IPng)工作组于1995年底确定了IPng协议规范，称为IP版本6(IPv6)。IPv6利用新的网络安全体系结构IPSec，通过AH和ESP两个安全协议分别为IP协议提供了基于无连接的数据完整性和数据保密性，加强了IP协议的安全，克服了原有IPv4协议安全的不足。IPv6为IP数据在IP层上实现数据完整性、数据保密性、认证、访问控制和不可否认性等安全服务，并保证网络上层应用程序不被改，同时实现IP网络的通信安全。586.8.1IPSec组成

IPSec安全协议有：ESP(EncapsulatingSecurityPayload)和AH(AuthenticationHeader)两个安全协议。还有一系列与IPSec相关的技术标准，如加密算法及实现数据完整性的Hash算法的规范、密钥的交换标准IKE(InternetKeyExchange)、安全关联(SA)等。

596.8.2IPSec的工作原理

IPSec既可以在网关上实现，也可以在主机上实现。无论是哪种情况，对进入和出去IPSec接口的IP数据包，IPSec模块均将根据SPD决定对该IP包进行相应的处理(见图6-9)。IP包的处理方式有：抛弃、绕过、根据SA进行IPSec处理三种，从而很容易地就实现IP数据包的安全处理。606.8.3IP认证协议（AH）AH协议是为IP数据报文提供数据源认证、无连接数据完整性检测，同时也提供重放攻击的保护。AH可以单独使用，也可以与ESP结合一起使用，提供相连的主机之间、相连的安全网关之间和主机与网关之间的安全服务。AH还能维护数据的完整性，在传输过程中只要数据发生一点改变，数据包的认证和验证都能将其检测出来，从而保证数据的完整性验证。AH不支持数据包的加密，因而AH无机密性保护。在AH标准中最普遍使用的认证算法是MD5和SHA-1，MD5使用最高到128位的密钥，而SHA-1通过最高到160位密钥提供更强的保护。616.8.4IP安全封装负载协议（ESP）

ESP同AH一样是提供IP的安全性，但它比AH有更强的安全性。ESP除了有AH对数据源的认证，数据完整性和反重放攻击外，还提供数据保密和有限数据流保密服务。ESP的认证服务是通过使用消息认证码(MAC)来实现，这与AH认证的使用一样通过使用HMAC来达到对数据包的认证和完整性检测。ESP协议可以单独使用也可以与AH结合使用。在IPSec的规范中ESP协议的加密和认证是可选的，但为保证操作的交互性，规范中规定了强制实现的算法，如加密算法是使用CBC模式的DES和NULL加密算法；认证算法是使用HMAC-MD5、HMAC-SHA-1和NULL认证算法。加密NULL算法和认证NULL算法就是不加密和不认证选项，但不能同时使用NULL加密和NULL认证。626.8.5Windows2000的IPSec策略

在Windows2000安全结构和框架中，除了能够保护网络资源和硬盘资源的合法使用以外，还应该提供多种技术措施来保证网络传输数据的安全性。为满足这种需求，Windows2000中集成了对Internet协议安全IPSec的支持。63在Win2000的计算机中，有三种预定的策略：①安全服务器(必须安全性)：如果采用这条策略，表示与这台计算机进行通信的计算机必须采用IPSec安全策略，如果对方计算机没有采用安全策略，将不能与本机进行通信；②服务器(请求安全设置)：如果采用这条策略，表示这台计算机与其他计算机进行通信时，首先要求进行安全通信，如果对方计算机不支持安全通信，这台计算机也可以与对方计算机进行通信，但这一通信是不可靠的；③客户机(只用于响应)：如果采用这种策略，只有当对方计算机要求进行安全通信时，本机才会应用IPSec安全策略，如果对方计算机没有要求，则采用正常方法进行通信，这一策略是最不安全的设置。6.8.5Windows2000的IPSec策略（续）646.8.5Windows2000的IPSec策略（续）Windows2000中IPSec身份验证方法①Win2000默认值②使用由证书颁发机构(CA)颁发的证书③预共享密钥Windows2000中IPSec可选择加密算法①56位DES加密算法②40位DES加密算法；③3DES。为身份验证选择加密算法：在身份验证的时候要传输身份验证密钥，为了保证密钥的安全，可以选用两种加密算法加密传输的密钥，一种是SHA加密算法，采用160位二进制，另一种是MD5加密算法，采用128位二进制。当对安全性要求不是很高时，可以选用MD5身份验证加密技术和40位DES数据加密算法，这种选择占用处理器资源有限。Windows2000中IPSec模式选择如果将IPSec用在局域网中，则应该选择“传送模式”；如果将IPSec用于广域网中，则应该选择“隧道模式”，并且指出对方计算机的IP地址。IPSec的默认模式是“传送模式”。656.9安全技术评估标准6.9.1典型安全评估标准6.9.2电子商务安全标准研究进展666.9.1典型安全评估标准（1）美国TCSEC（桔皮书）：该标准是美国国防部于1985年制定的，为计算机安全产品的评测提供了测试和方法，指导信息安全产品的制造和应用。它将安全分为4个方面（安全政策、可说明性、安全保障和文档）和7个安全级别（从低到高依次为D、C1、C2、B1、B2、B3和A级）。（2）欧洲ITSEC（3）美国联邦准则FC（4）联合公共准则CC（5）系统安全工程能力成熟模型（SSE-CMM）（6）ISO安全体系结构标准

676.9.2电子商务安全技术标准研究进展电子商务安全标准发展主要分3阶段（1）第一阶段---电子商务实施初期（2）第二阶段---与金融行业的融合发展（3）第三阶段---公共基础设施的应用68第7章

公钥基础设施与应用

69[本章要点]PKI的基础技术：加密技术和认证技术；PKI的核心机构：认证中心（CA）；PKI和CA的核心元素：数字证书。PKI的基本概念、基本组成、基本服务、相关标准四个常用的PKI信任模型：层次模型、分布式模型、Web模型和以用户中心的模型CA的五个主要功能和四大基本组成。数字证书：基本类型、基本功能和证书管理过程等。PKI的五大应用方案：虚拟专用网、安全电子邮件、WEB安全、电子商务应用、电子政务应用，以及Windows2000的PKI/CA服务案例。PKI五大服务新技术：密钥托管技术、时间戳技术、数据验证功能增强技术、用户漫游技术及支持WPKI及有线网络的互操作技术。PKI存在的风险与缺陷：公钥技术风险、使用风险、X.509缺陷、政策缺陷70主要内容引例7电子商务安全：怎么迈过这道槛？7.1公钥基础设施概述7.2PKI系统的常用信任模型7.3PKI管理机构—认证中心7.4PKI核心产品—数字证书7.5PKI应用方案7.6PKI服务新技术7.7PKI存在的风险与缺陷717.1公钥基础设施概述7.1.1PKI基本概念7.1.2PKI的基本组成7.1.3PKI的基本服务7.1.4PKI的相关标准727.1.1PKI基本概念公共密钥基础设施（PublicKeyInfrastructure，PKI）是从技术上解决网上身份认证、电子信息的完整性和不可抵赖性等安全问题，PKI为网上电子商务、电子政务提供一整套安全的基础平台。从理论上讲，只要PKI具有友好的接口，那么普通用户就只需要知道如何接入PKI就能获得安全服务，完全无需理解PKI如何实现安全服务。PKI是一个包括硬件、软件、人员、政策和手续的集合，用来实现基于公钥密码体制的公钥身份证书产生、管理存储、发行和作废等功能。它使众多的CA具有一个开放性的标准，使CA之间能够互联，以及实现一个安全的CA管理、应用体系。加密技术和认证技术是PKI的基础技术，PKI的核心机构是认证中心，数字证书是PKI最关键的产品和服务。737.1.1PKI基本概念(续）在PKI中，把一般普通证书用户称作终端实体（endEntity,EE），以和认证中心、注册机构等PKI管理实体区分开来。认证中心负责数字证书和证书作废表(CertificateRevocationList,CRL)的颁发，CRL又称作证书黑名单。CA可把用户注册审核工作授权给一个可选的注册机构（RegistrationAuthority,RA）来完成，终端实体向注册机构提交证书申请，注册通过后由认证中心为终端实体颁发数字证书，并将数字证书发布到证书库重。认证中心还可以把自己颁发CRL的功能授权给独立的CRL颁发者来完成。CRL也被发布并存储在证书和CRL库重。终端实体可以到证书和CRL库中检索、下载所需要的证书和CRL。另外，CA还能给其他CA颁发数字证书，或根CA相互之间进行交叉认证。747.1.1PKI基本概念(续）757.1.2PKI的基本组成完整的PKI系统必须具有权威认证机构(CA)、数字证书库、密钥备份及恢复系统、证书作废系统、应用接口（API）等基本构成部分，如图7－2所示，构建PKI也将围绕着这五大系统来着手构建。PKI基本组成认证机构（CA）数字证书库密钥备份及恢复系统证书作废系统应用接口（API）767.1.2PKI的基本组成（续）认证机构（CA）：即数字证书的申请及签发机关，CA必须具备权威性的特征。数字证书库：用于存储已签发的数字证书及公钥，用户可由此获得所需的其他用户的证书及公钥。密钥备份及恢复系统：如果用户丢失了用于解密数据的密钥，则数据将无法被解密，这将造成合法数据丢失。为避免这种情况，PKI提供备份与恢复密钥的机制。但须注意，密钥的备份与恢复必须由可信的机构来完成。并且，密钥备份与恢复只能针对解密密钥，签名私钥为确保其唯一性而不能够作备份。证书作废系统：证书作废处理系统是PKI的一个必备的组件。与日常生活中的各种身份证件一样,证书有效期以内也可能需要作废，原因可能是密钥介质丢失或用户身份变更等。为实现这一点,PKI必须提供作废证书的一系列机制。应用接口（API）：PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务，因此一个完整的PKI必须提供良好的应用接口系统，使得各种各样的应用能够以安全、一致、可信的方式与PKI交互，确保安全网络环境的完整性和易用性。777.1.3PKI的基本服务PKI作为安全基础设施，能为不同的用户实体提供多种安全服务，主要包括1.认证。确认实体是自己所申明的实体，鉴别身份真伪。2．完整性服务。确认数据没有被修改3．保密性服务。确保数据的秘密，它的含义是除了指定的实体外，无人能读出这段数据4．不可否认性服务。指从技术上用于保证实体对他们的行为的诚实性787.1.4PKI的相关标准从历史上看，PKI自身的标准大致可以分为两代。第一代PKI标准主要包括国际电信联盟的ITU2TX.509、美国RSA公司的PKCS系列、IETF组织的X.509标准系列、无线应用协议论坛的WPKI标准等。第一代PKI标准主要是基于抽象语法符号编码的，实现起来比较困难，而且成本高昂，因此难以得到广泛的应用2001年，由Microsoft、Versign和webMethods三家公司共同发布了XML密钥管理规范XKMS，被称为第二代PKI标准。它通过向PKI提供XML接口使用户从繁琐的配置中解脱出来，开创了一种新的信任服务。目前，XKMS已经成为W3C的推荐标准，并被Microsoft、Versign等公司集成于他们的产品中。我国GB/T20518-2006《信息安全技术公钥基础设施数字证书格式》、GB/T20519-2006《信息安全技术公钥基础设施特定权限管理中心技术规范》和GB/T20520-2006《信息安全技术公钥基础设施时间戳规范》三项信息安全国家标准，作为公钥基础设施的关键基础标准，已于2007年年2月1日正式实施797.2PKI系统的常用信任模型7.2.1认证机构的严格层次结构模型7.2.2分布式信任结构模型7.2.3Web模型7.2.4以用户为中心的信任模型80信任模型主要阐述了以下几个问题：●一个PKI用户能够信任的证书是怎样被确定的？●这种信任是怎样被建立的？●在一定的环境下，这种信任如何被控制？817.2.1认证机构的严格层次结构模型认证机构（CA）的严格层次结构可以被描绘为一棵倒转的树，根在顶上，树枝向下伸展，树叶在下面。在这棵倒转的树上，根代表一个对整个PKI系统的所有实体都有特别意义的CA——通常叫做根CA，它充当信任的根或“信任锚”——也就是认证的起点或终点。在根CA的下面是零层或多层中介CA，也被称作子CA，因为它们从属于根CA。子CA用中间节点表示，从中间节点再伸出分支。与非CA的PKI实体相对应的树叶通常被称作终端实体或被称作终端用户。在这个模型中，层次结构中的所有实体都信任唯一的根CA。这个层次结构按如下规则建立：①根CA认证直接连接在它下面的CA。②每个CA都认证零个或多个直接连接在它下面的CA。③倒数第二层的CA认证终端实体。

827.2.2分布式信任结构模型与在PKI系统中的所有实体都信任唯一一个CA的严格层次结构相反，分布式信任结构把信任分散在两个或多个CA上。也就是说，A把CA1作为他的信任锚，而B可以把CA2做为他的信任锚。因为这些CA都作为信任锚，因此相应的CA必须是整个PKI系统的一个子集所构成的严格层次结构的根CA（CA1是包括A在内的严格层次结构的根，CA2是包括B在内的严格层次结构的根）。837.2.3Web模型Web模型是在环球网WWW上诞生的，而且依赖于流行的浏览器，如Netscape公司的Navigator和Microsoft公司的InternetExplorer。在这种模型中，许多CA的公钥被预装在标准的浏览器上。这些公钥确定了一组浏览器用户最初信任的CA。这种模型似乎与分布式信任结构模型相似，但从根本上讲，它更类似于认证机构的严格层次结构模型。Web模型在方便性和简单互操作性方面有明显的优势，但是也存在许多安全隐患。847.2.4以用户为中心的信任模型

在以用户为中心的信任模型中，每个用户自己决定信任哪些证书。通常，用户的最初信任对象包括用户的朋友、家人或同事，但是否信任某证书则被许多因素所左右。著名的安全软件PGP最能说明以用户为中心的信任模型。在PGP中，一个用户通过担当CA（签署其他实体的公钥）并使其公钥被其他人所认证来建立或参加所谓的“信任网”。

857.3PKI管理机构—认证中心7.3.1CA的功能7.3.2CA的组成7.3.3CA体系结构86CA/RA简介CA是PKI的核心执行机构，是PKI的主要组成实体。CA是电子商务和网上银行等应用中所有合法注册用户所信赖的具有权威性、信赖性及公正性的第三方机构，负责为电子商务环境中各个实体颁发数字证书，以证明各实体身份的真实性，并负责在交易中检验和管理证书；用户拥有自己的公钥/私钥对。

RA系统是CA的证书发放、管理的延伸。它负责证书申请者的信息录入、审核以及证书发放等工作；同时，对发放的证书完成相应的管理功能。发放的数字证书可以存放于IC卡、硬盘或软盘等介质中。RA系统是整个CA中心得以正常运营不可缺少的一部分。877.3.1CA的功能

一、证书的颁发二、证书的更新三、证书的查询四、证书的作废五、证书的归档887.3.2CA的组成

认证中心组成注册服务器认证中心服务器证书申请受理和审核机构CA由三部分组成：注册服务器、CA服务器、证书申请证书申请受理和审核机构897.3.3CA体系结构

MCAMCACCAPCAPCA商户CA(MCA)持卡人CA(CCA)支付网关CA(MCA)地域政策CA品牌CA根CACA有严格的层次结构，按SET协议要求其体系结构如图7-4907.4PKI核心产品—数字证书7.4.1数字证书概念7.4.2X.509证书类型7.4.3数字证书功能7.4.4证书格式7.4.5证书管理

7.4.5数字证书应用实例917.4.1数字证书概念数字证书是标志网络用户身份信息的一系列数据，用来在网络通讯中识别通讯各方的身份，即在Internet上解决"我是谁"的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。

92图9－4身份证和证书的比较937.4.2X.509证书类型

X.509主要提供5中类型的数字证书：一、个人数字证书二、机构数字证书

三、个人签名证书

四、机构签名证书

五、设备数字证书

947.4.3数字证书功能

数字安全证书主要有四大功能：一、信息的保密性二、交易者身份的确定性三、不可否认性四、不可修改性957.4.4证书格式

一个标准的X.509数字证书包含以下一些内容：①版本号：标示证书的版本(v1,v2,或是v3)；②序列号：由证书颁发者分配的本证书的唯一标识符；③签名算法：签名算法标识符(对OID加上相关参数组成)，；④颁发者：证书颁发者的可识别名(DN)，这是必须说明的；⑤有效期：证书有效的时间段，本字段由”NotValidBefore”和”NotValidAfter”两项组成；⑥主体：证书拥有者的可识别名，此字段必须是非空的，除非使用了其它的名字形式；⑦主体公钥信息：主体的公钥(以及算法标识符)–这是必须说明的；⑧颁发者唯一标识符：证书颁发者的唯一标识符；⑨主体唯一标识符：证书拥有者的唯一标识符；⑩扩展：可选的标准和专用扩展(仅在版本3中使用)。967.4.5证书管理

数字证书管理包含：证书颁发证书使用证书验证证书存放977.4.6数字证书应用实例数字证书申请：用户想获得数字证书，首先要向CA提出申请，说明自己身份；CA在证实用户身份后，向用户发放相应的数字证书。广东CA个人数字证书使用如下：登录广东数字认证中心主页：下载并安装根证书申请证书将个人身份信息连同证书序号一起邮寄到中国数字认证网安装了数字证书并获得认证后，就可以进行电子商务活动987.5PKI的应用方案7.5.1虚拟专用网络（VPN)7.5.2安全电子邮件7.5.3WEB安全7.5.4电子商务应用7.5.5电子政务应用7.5.6Windows的PKI/CA

997.5.1虚拟专用网络（VPN）VPN是一种构架在公用通信基础设施上的专用数据通信网络,同租用线路相比,具有既节省开销又易于安装和使用的特点,已成为企业构架Intranet和Extranet的首选方案。以往的VPN常利用防火墙和访问控制技术来提高VPN的安全性,但这种安全技术存在很多漏洞。首先,它很难防范来自公司内部的攻击,因为在公司内部,口令系统是非常脆弱的。其次,数据在网络上传播时,无论是内部网还是外部网,任何一个人都可以进行非法截取或篡改,而通信双方却可能对此一无所知。此外,如果企业要进行网上交易,还会遇到更多安全问题,如认证、机密、完整、不可否认性等,对这类问题,防火墙和口令是束手无策的。现在,基于PKI技术的IPSec协议已经成为构架VPN的基础,它可以在路由器之间、防火墙之间或在路由器与防火墙之间提供经过加密和认证的通信。IPSec协议不仅具有非常好的通用性,而且还支持面向未来的协议IPv6,因而具有广阔的发展前景。1007.5.2安全电子邮件电子邮件的安全需求可以利用PKI技术来获得。具体来说,利用数字证书和私钥,用户可以对他所发的邮件进行数字签名,这样就可以获得认证、完整性和不可否认性,如果证书是由其所属公司或某一可信第三方颁发的,收到邮件的人就可以信任该邮件的来源,无论他是否认识发邮件的人;另一方面,在政策和法律允许的情况下,用加密的方法就可以保障信息的保密性。目前发展很快的安全电子邮件协议是SMIME，这是一个允许发送加密和有签名邮件的协议。该协议的实现需要依赖于PKI技术。1017.5.3WEB安全一般来讲,Web上的交易可能带来的安全问题有：诈骗、泄漏、篡改和攻击。为了透明地解决Web的安全问题，最合适的入手点是浏览器。现在，无论是InternetExplorer还是NetscapeNavigator，都支持SSL协议。这是一个在传输层和应用层之间的安全通信层，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用PKI技术，SSL协议允许在浏览器和服务器之间进行加密通信。此外还可以利用数字证书保证通信安全，服务器端和浏览器端分别由可信的第三方颁发数字证书，这样在交易时，双方可以通过数字证书确认对方的身份。结合SSL协议和数字证书，PKI技术可以保证Web交易多方面的安全需求1027.5.4电子商务应用PKI技术是解决电子商务安全问题的关键，它本身就是为实现安全电子商务而生。综合PKI的各种应用，我们可以建立一个可信任和足够安全的电子商务网络。用PKI可建立不同实体间的“信任”关系，它的基础是加密技术，核心是证书服务。用户使用由证书授权认证中心CA签发的数字证书，结合加密与签名技术，可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性，并进行用户身份的识别，从而有效地解决电子商务应用中的机密性、真实性、完整性、不可否认性和存取控制等安全问题。1037.5.5电子政务应用近几年，随着电子政务的快速发展，大规模、分布式的应用系统越来越多，对于用户跨地域、跨部门和跨应用系统进行业务交互的需求越来越旺盛，仅靠单一的密码技术和分散的用户管理已经不能适应形式的发展。安全机制成为制约电子政务发展的最大障碍。由于PKI基础设施是目前解决网络信任问题的最佳方案，因此，PKI技术的使用范围已逐渐覆盖了电子政务、电子商务及企业信息化等众多领域。各国政府和许多民间机构都在积极研究开发PKI相关技术和产品，许多企业和个人已经从PKI技术的使用中获得了巨大的效益。目前，美国联邦PKI体系、加拿大政府PKI体系、韩国和日本的PKI体系已经发展比较完善，为用户提供了一系列的客户端和服务器端的安全产品，为网络和电子商务的发展以及政府办公网和EDI等提供了安全保证。1047.5.6Windows的PKI/CAWindows2000作为Microsoft新推出的操作系统，对PKI做了全面支持。PKI在提供高强度安全性的同时，还与操作系统进行了紧密集成，并作为操作系统的一项基本服务而存在，避免了购买第三方PKI所带来的额外开销。Windows2000PKI由一组服务组成，这组服务由一组相互连接的组件提供，为用户和应用程序提供基于公共密钥的安全服务。Windows2000PKI并没有替换掉基于域控制器DC（domaincontroller）和Kerberos密钥分配中心KDC的WindowsNT域信任和认证机制，相反，Windows2000PKI反而对这些服务进行了增强，适合于Extranet和Internet的不同应用，并可应用于具有可伸缩性和分布式环境下，提供身份识别、认证、完整性验证和机密性等安全服务。1057.5.6Windows的PKI/CA(续）Windows2000PKI的体系结构如图6-7所示，其中最核心的为微软的CryptoAPI。该API为公钥安全机制提供了加密服务和证书管理服务。加密服务执行诸如密码生成、数字签字等功能。加密服务的上层为证书管理服务，采用X.509Vv3标准格式的证书，提供存储和管理证书功能。另外还有一些处理工业标准的服务，主要是支持PKCS（公钥密码服务）标准。安全通道支持使用工业标准TLS和SSL协议进行网络验证和加密。这可通过使用HTTP协议或其它协议通过SSPI接口实现。PKI还支持智能卡服务。最后通过安装CSP为加密功能提供标准的接口。1067.5.6Windows的PKI/CA(续）应用程序网络APISSPI安全通道认证后的代码CryproAPIMsgtcls(PKCS)证书管理CryptoService硬件CSP基于RSACSP服务卡阅读器1077.5.6Windows的PKI/CA(续）Windows2000PKI建立在微软久经考验的PKI组件基础之上，其基本组件包括如下几种：（1）证书服务（CertificateServices）。证书服务作为一项核心的操作系统级服务，允许组织和企业建立自己的CA系统，并发布和管理数字证书。（2）活动目录。活动目录服务作为一项核心的操作系统级服务，提供了查找网络资源的唯一位置，在PKI中为证书和CRL等信息提供发布服务。（3）基于PKI的应用。Windows本身提供了许多基于PKI的应用，如InternetExplorer、MicrosoftMoney、InternetInformationServer、Outlook和OutlookExpress等。另外，一些其它第三方PKI应用也同样可以建立在Windows2000PKI基础之上。（4）Exchange密钥管理服务KMS（ExchangeKeyManagementService）。KMS是MicrosoftExchange提供的一项服务，允许应用存储和获取用于加密e-mail的密钥。在将来版本的Windows系统中，KMS将作为Windows操作系统的一部分来提供企业级的KMS服务1087.5.6Windows的PKI/CA(续）Windows2000中的集成PKI系统提供了证书服务功能，可以让用户通过Internet/extranets/intranets安全地交互敏感信息。证书服务验证一个电子商务交易中参与各方的有效性和真实性，并使用智能卡等提供的额外安全措施来使域用户登录到某个域。Windows2000通过创建一个证书机构CA来管理其公钥基础设施PKI，以提供证书服务。一个CA通过发布证书来确认用户公钥和其他属性的绑定关系，以提供对用户身份的证明。Windows2000证书服务创建的CA可以接收证书请求、验证请求信息和请求者身份、发行和撤销证书，以及发布证书废除列表CRL（CertificateRevocationList）。证书服务是通过内置的证书管理单元来实现的。1097.6PKI服务新技术

7.6.1密钥托管技术7.6.2时间技术7.6.3数据验证功能增强技术7.6.4用户漫游技术7.6.5支持WPKI及优先网络的互操作技术7.6.6对授权管理基础设施的支持

1107.6.1密钥托管技术密钥托管领域的研究包括Shamir提出的部分密钥托管思想，以及北京邮电大学信息安全中心宋荣功等对可验证部分密钥托管系统的广泛深入研究，提出了一个新的门限密钥托管方案，该方案不仅有效地解决了“一次监听，永久监听”问题，而且每个托管代理能够验证他所托管的子密钥的正确性。并且在监听阶段，监听机构能够确切地知道门限密钥托管方案中哪些托管代理伪造或窜改子密钥，由于该方案是门限密钥托管方案，因此在各托管代理中有一个或几个托管代理不愿合作或无法合作时，监听机构仍能很容易地重构出会话密钥。此外，该方案还具有抵抗LEAFFeedback攻击的特性。111支持防否认服务的一个关键因素就是在PKI中使用安全时间戳。原来的数字签名方案虽然能确认某个数字签名与公钥证书实体的私钥之间的联系。但数字签名产生者仍然可以在事后抵赖：该数字签名是在证书作废之后由其他人伪造产生的，根本就不是他/她产生的，所以也就不该由他/她来为该数字签名负责。时间戳服务的引入，有效地解决了该问题.时间戳服务器以C/S模式提供时间戳服务，它根据客户端所发出的时间戳服务请求，根据请求中的单项散列值产生时间戳令牌，这里请求中的单项散列值用客户端的私钥加密就是文档的数字签名。时间戳和数字签名都是只针对某一特定的文档。7.6.2时间戳技术1127.6.2时间戳技术（续）PKI中必须存在用户可信信任的权威时间源，就是能被PKI用户验证证书的安全时间戳服务器。在很多环境中，支持防否认服务是时间戳的主要目的，时间戳服务构成PKI扩展服务的一个组成部分。对时间戳服务的一些需求如下：（1）引进安全可靠的时间源代替目前的本地系统时间，可供选择的可信设备有全球卫星定时系统、原子钟等；（2）对时间戳策略的支持，包括时间戳安全策略、发布、使用和验证等；（3）多时间戳密钥对的支持，能对一个时间戳请求颁发一到多个时间戳令牌；（4）支持对成功回复的时间戳请求和时间戳令牌的备份、归档和回复，PKI数字签名有效公证服务需要用到备份时间戳令牌。113数据验证包括数字签名有效性验证，而数字签名有效性验证又必然包括数字证书的有效性验证。对数字证书的有效性验证是个递归的过程。可以采用如下两种方式：（1）客户端自己验证；（2）将证书或数据验证交给可信第三方验证这主要包括数据验证和认证服务器DVCS服务以及OCSP新提供的委托证书路径验证。这些都是为满足特定的应用需求，提高PKI客户端透明性而新增的服务。DVCS是能被用作组建防否认服务的组建的可信第三方。它目前定义四类服务：（1）拥有数据的证实（2）对拥有数据声称的这个女士（也就是时间戳服务）；（3）数字签名文档的有效性验证；（4）公钥证书的有效性验证，DVCS的验证结果是产生一个数据验证证书7.6.3数据验证功能增强技术114用户漫游的目的是无论在何时何地，使用何种设备，只要他能够连接到因特网上，都能够获取自己的证明（指可被用来证实一个实体的身份，或帮助实体安全通信的信息），从而实现用户证明的可移动性和可移植性。用户证明包括诸如私钥、可信根CA证书、票据，或个人安全环境的私密部分等信息。为支持用户漫游，Arsenault和Gustafson等人提出了一种SACRED方案的需求和框架模型，提出至少有两种可行的提供用户证明可移植性的解决方案。第一种解决方案涉及使用“证明服务器”，用户可以从一个设备中把证明上载到证明服务器，通过帐户管理把证明保存在证书服务器，在任何需要的时候可以被用户指定的设备下在和使用。当然，在上载和下载的过程中需要用到单向和双向身份认证，支持基于公钥密码体制的认证和基于口令的强身份认证（如RFC2945中介绍的SRP认证和密钥交换系统。第二种解决方案涉及从一个设备到另一个设备的证明“直接”传输（如从一个手机到一个PDA）。

7.6.4用户漫游技术115现在的E-COMMERCE今后将会有很大部分由移动商务来完成。鉴于移动设备存储容量小、运算能力低等特点，在部署证书应用时必须考虑这些特点，但安全性不能降低。由于无线通信采用WAP协议，而在Internet中广泛采用的则是TCP/IP协议，两者相应的传输层安全协议则分别为WTLS和TLS。为使无线设备能够访问Internet中的商务网站，必须解决它们间的互操作性问题。这主要通过一个嵌入在WAP网关中的WAP连接器来实现，WAP连接器为无线用户提供专用的WAP证书服务。WAP连接器位于CA认证中心与WTLS网关之间，起到一个桥梁的作用，可以无缝实现无线用户和网络用户之间的端到端安全性。组织结构如图7-7所示7.6.5支持WPKI及优先网络的互操作技术116无线应用服务端WAP网关Internet网站CA认证中心WAP连接器WTLS1177.6.6对授权管理基础设施的支持授权管理基础设施PMI是属性证书、属性中心、属性证书库等部件的集合体。基于PKI的公钥身份证书，认证中心CA身份认证系统和基于PMI的授权系统间相互协作，而PMI可以看成是PKI体系的扩展。业务应用系统可通过PMI来实施授权策略，即：对不同用户、不同的信息设置不同的访问权限。PMI特别适合基于角色的访问控制，在属性证书的属性可以包括用户的属性、组或角色等信息。118将公钥身份证书和属性证书绑定可有不同方法，特别有整体式、自制式的和连锁式签名三种方式：（1）整体式签名是指身份证书和属性证书信息绑定在单独一张公钥证书中，而包含序列号，颁发者，有效期等的信息则能被共享。这通过使用X.509V3证书和它的主体目录属性扩展项很容易实现；（2）自制式签名支持多个CA和身份及属性的不同的使用期限，身份和属性间是一种松偶合绑定机制；（3）连锁式签名像自制式签名一样支持多个CA和身份及属性的不同的使用期限，但它提供一种在身份和属性间的紧偶合绑定机制。使用某张具体公钥身份证书的数字签名代替真正的身份信息，换句话说，一张属性证书必须引用一张具体的公钥身份证书，该证书的数字签名和属性证书相结合。1197.7PKI存在的风险与缺陷7.7.1公钥技术风险7.7.2使用风险7.7.3X.509的缺陷7.7.4政策缺陷1207.7.1公钥技术风险基于PKI的公钥技术是建立在一些难解的数学问题之上的，如大数分解、离散对数、椭圆曲线等问题，其安全性将以不能避免选票买卖；选票转发点FTP可以把选票和投票者IP联系起来，进而通过IP获取投票者相关信息，这在一定程度上破坏了投票者的匿名性。在进一步的研究中，我们将寻找这两个问题的解决方案。1217.7.2使用风险（1）用户使用智能卡或其他载体保存私钥和证书时，通常选择口令保护方式并且还会长期使用，当攻击者利用字典程序攻击时，这些口令可能会泄露。（2）对于证书的验证和证书撤销列表CRL（CertificateRevocationList）的检查，用户很可能因为其比较枯燥和耗时而省略。（3）存储在用户计算机上的根公钥和其他证书可能会被攻击程序篡改或替换。（4）PKI没有提供一种机制来保护私钥，用户很难发现、检测私钥是否泄漏，以致于无法确定应在何时紧急撤销证书。（5）用户端的物理访问控制也是非常薄弱的，普通用户计算机很容易染上病毒或攻击程序，它们可以对存储的加密数据或内存、交换区和硬盘中存留的处理器释放的信息进行截获从而偷取私钥。（6）由于难以保证数字证书的验证装置或系统的安全，在这些不安全的装置和系统上，一个非法的证书有可能冒充合法的证