校园网络实施方案

PAGE4校园网络实施方案TOC\o"1-3"\h\u29766一、论文概述； 223220二、如何评价网络系统的整体安全性 316698（一）网络系统设计原则 318146（二）主要网络设备的选择原则 313868（三）如何检测出当前系统的漏洞、以及扫描器的使用 49146三、应用系统如何保证安全性 613374（一）防止黑客对网络、主机、服务器等的入侵 653421、控制技术 690632、防火墙技术 6291213、入侵检测技术 6141484、安全扫描 7147755、安全审计 719289（二）防范Windows的漏洞 821933四、在连接Internet时，如何在网络层实现安全性 96773（一）防火墙的定义 931877（二）防火墙的作用 929202（三）如何使用防火墙 930565五、实现远程访问的安全性 1018925（一）提高远程访问的安全性 1011650（二）针对特定服务攻击的防范 1110539六访问控制如何布置 1123334（一）实现高效安全的网络访问控制 11199031、选择一个网络访问控制方法和一种客户端技术 12138292、选择一个网络架构设备 12286573、选择RADIUS服务器 1243824、选择EAP方法（如果使用802.1x的话） 1228735、布置并安排网络分段 12257816、集成所有的网络段 1378797、考虑采用身份驱动管理 13822（二）建立证书管理中心 13111141、证书认证机构CA 13189342、认证中心CA的主要功能 1386453、CA认证-认证、数字证书和PKI解决的几个问题 1421807（三）加密技术 1419170七总结 15一、论文概述；随着信息技术的不断发展和网络信息的海量增加，校园网的安全形势日益严峻，目前校园网安全防护体系还存在一些问题，但是在高校网络建设的过程中，由于对技术的偏好和运营意识的不足，普遍都存在"重技术、轻安全、轻管理"的倾向，主要体现在：网络的安全防御能力较低，受到病毒、黑客的影响较大，对移动存储介质的上网监测手段不足，缺少综合、高效的网络安全防护和监控手段，削弱了网络应用的可靠性。校园网在学校的信息化建设中已经在扮演了至关重要的角色，作为数字化信息的最重要传输载体，因此，急需建立一套多层次的安全管理体系，加强校园网的安全防护和监控能力，为校园信息化建设奠定更加良好的网络安全基础。目前校园网络中存在的安全问题学校的上网场所管理较混乱由于缺乏统一的网络出口、网络管理软件和网络监控、日志系统，是学校的网络管理各自为政，缺乏上网的有效监控和日志，上网用户的身份无法唯一识别，存在极大的安全隐患。电子邮件系统极不完善，无任何安全管理和监控的手段电子邮件既是互联网必不可少的一个应用之一，同时也是病毒和垃圾的重要传播手段。目前绝大多数校园网邮件系统依然采用互联网上下载的免费版本的邮件系统，不能提供自身完善的安全防护，更没有提供任何针对用户来往信件过滤、监控和管理的手段，完全不符合国家对安全邮件系统的要求，出现问题时也无法及时有效的解决3、网络病毒的肆虐传播，极大的消耗了网络资源；造成网络性能下降，单纯单机杀毒软件已经不能满足用户的需求，迫切需要集中管理、统一升级、统一监控的针对网络的防病毒体系。4、网络安全意识淡薄，没有指定完善的网络安全管理制度校园网络上的用户安全意识淡薄，大量的非正常访问导致网络资源的浪费，同时也为网络的安全带来了极大的安全隐患。综上所述，校园网络安全的形势非常严峻，为解决以上安全隐患和漏洞，结合校园网特点和现今网络安全的典型解决方案和技术，提出了以下校园网络安全实施方案。1如何评价网络系统的整体安全性（如何检测出当前系统的漏洞、以及扫描器的使用）2应用系统如何保证安全性(如何防止黑客对网络、主机、服务器等的入侵、如何防范Windows的漏洞）3在连接Internet时，如何在网络层实现安全性（防火墙的作用、如何使用）4如何实现远程访问的安全性（远程控制的要求）5访问控制如何布置，包括建立证书管理中心、应用系统集成加密等（简要地讲述证书的作用）/dat/*.dic--用户名/密码字典文件，用于检测弱口令用户/plugins--用于存放所有插件(后缀名为.xpn)/scripts--用于存放所有NASL脚本(后缀名为.nasl)/scripts/desc--用于存放所有NASL脚本多语言描述(后缀名为.desc)/scripts/cache--用于缓存所有NASL脚本信息，以便加快扫描速度(该目录可删除)检测范围“指定IP范围”-可以输入独立IP地址或域名，也可输入以“-”和“,”分隔的IP范围，如“-20,0-54”，或类似“/24”的掩码格式。“从文件中获取主机列表”-选中该复选框将从文件中读取待检测主机地址，文件格式应为纯文本，每一行可包含独立IP或域名，也可包含以“-”和“,”分隔的IP范围。全局设置“扫描模块”项-选择本次扫描需要加载的插件。“并发扫描”项-设置并发扫描的主机和并发线程数，也可以单独为每个主机的各个插件设置最大线程数。“网络设置”项-设置适合的网络适配器，若找不到网络适配器，请重新安装WinPCap3.1beta4以上版本驱动。“扫描报告”项-扫描结束后生成的报告文件名，保存在LOG目录下。扫描报告目前支持TXT、HTML和XML三种格式。其他设置“跳过没有响应的主机”-若目标主机不响应ICMPECHO及TCPSYN报文，X-Scan将跳过对该主机的检测。“跳过没有检测到开放端口的主机”-若在用户指定的TCP端口范围内没有发现开放端口，将跳过对该主机的后续检测。“使用NMAP判断远程操作系统”-X-Scan使用SNMP、NETBIOS和NMAP综合判断远程操作系统类型，若NMAP频繁出错，可关闭该选项。“显示详细信息”-主要用于调试，平时不推荐使用该选项。“插件设置”模块：该模块包含针对各个插件的单独设置，如“端口扫描”插件的端口范围设置、各弱口令插件的用户名/密码字典设置等。三、应用系统如何保证安全性（一）防止黑客对网络、主机、服务器等的入侵网络管理人员应认真分析各种可能的入侵和攻击形式，制定符合实际需要的网络安全策略，防止可能从网络和系统内部或外部发起的攻击行为，重点防止那些来自具有敌意的国家、企事业单位、个人和内部恶意人员的攻击。防止入侵和攻击的主要技术措施包括访问控制技术、防火墙技术、入侵检测技术、安全扫描、安全审计和安全管理。1、控制技术访问控制是网络安全保护和防范的核心策略之一。访问控制的主要目的是确保网络资源不被非法访问和非法利用。访问控制技术所涉及内容较为广泛，包括网络登录控制、网络使用权限控制、目录级安全控制，服务器安全控制、以及属性安全控制等多种手段。2、防火墙技术防火墙技术最初是针对Internet网络不安全因素所采取的一种保护措施。顾名思义，防火墙就是用来阻挡外部不安全因素影响的内部网络屏障，其目的就是防止外部网络用户未经授权的访问。它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问政策、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件(其中硬件防火墙用的很少只有国防部等地才用,因为它价格昂贵)。该计算机流入流出的所有网络通信均要经过此防火墙。3、入侵检测技术入侵检测技术（IDS）可以被定义为对计算机和网络资源的恶意使用行为进行识别和相应处理的系统。包括系统外部的入侵和内部用户的非授权行为,是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。入侵检测技术是为保证计算机系统的安全而设计与配置的一种能够及时发现并报告系统中未授权或异常现象的技术，是一种用于检测计算机网络中违反安全策略行为的技术。进行入侵检测的软件与硬件的组合便是入侵检测系统（IntrusionDetectionSystem，简称IDS）。入侵检测通过执行以下任务来实现：监视、分析用户及系统活动；系统构造和弱点的审计；识别反映已知进攻的活动模式并向相关人士报警；异常行为模式的统计分析；评估重要系统和数据文件的完整性；操作系统的审计跟踪管理，并识别用户违反安全策略的行为。4、安全扫描安全扫描技术主要分为两类：主机安全扫描技术和网络安全扫描技术。网络安全扫描技术主要针对系统中不合适的设置脆弱的口令，以及针对其它同安全规则抵触的对象进行检查等；而主机安全扫描技术则是通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。网络安全扫描技术是一类重要的网络安全技术。安全扫描技术与防火墙、入侵检测系统互相配合，能够有效提高网络的安全性。通过对网络的扫描，网络管理员可以了解网络的安全配置和运行的应用服务，及时发现安全漏洞，客观评估网络风险等级。网络管理员可以根据扫描的结果更正网络安全漏洞和系统中的错误配置，在黑客攻击前进行防范。如果说防火墙和网络监控系统是被动的防御手段，那么安全扫描就是一种主动的防范措施，可以有效避免黑客攻击行为，做到防患于未然。5、安全审计安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。安全审计是一个新概念,它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权,对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证,并作出相应评价。安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。安全审计跟踪的功能是：帮助安全人员审计系统的可靠性和安全性;对妨碍系统运行的明显企图及时报告给安全控制台，及时采取措施。一般要在网络系统中建立安全保密检测控制中心，负责对系统安全的监测、控制、处理和审计。所有的安全保密服务功能、网络中的所有层次都与审计跟踪系统有关。（二）防范Windows的漏洞Windows操作系统作为使用最广泛的操作系统，其漏洞和针对它的攻击也是最多的。根据目前的软件设计水平(微软的几千名软件设计人员应该代表了目前最高的软件设计水准)和开发工具，特别是操作系统这么一个庞大的"代码累积，据了解，WindowsXP的代码有4000万行之多，能让超级黑客攻击的地方太多了，毕竟超复杂的软件设计，就越代表了具有更多的功能，这么多的功能说绝对安全是不可能的，例如UPNP漏洞就可略窥冰山一角。WindowsXP作为一种具有可扩展性能的系统，这种设计固然有它的优越之处，但恰恰是这种优越也极有可能带来巨大的安全隐患。特别是在视窗XP为防止侵权盗版的"激活"功能上争议很多，很多人认为这为用户信息安全带来了潜在的威胁，反对大量安装这一系统，这正是所谓"有得必有失"。（三）账号锁定功能漏洞

WindowsXP设计了账号快速切换功能，可以使用户快速地在不同的账号之间切换，而不需要先退出再登录。但是快速账号切换功能目前也被证实在设计方面存在严重问题。当系统在用户利用账号快速切换功能快速地重试登录一个用户名时，系统会认为是一个有暴力猜解的攻击，从而造成全部非管埋员账号的锁定，从而其他用户没有管理员的解禁不能登录主机。

该漏洞在进行如下测试方法后将被证实：

(1)设置最多错误口令尝试为3次。

(2)以一般用户权限创建10个账户(User1-User10).

(3)用Useri账号登录。

(4)使用快速账号切换登录到User2账号。

(5)用快速账号切换从User1账号登录User2账号连续失败3次。

(6)试着丢登录User3账号。

这时你会发现所有非管理员账号均已经锁定。

解决方法：目前，微软还没有提供相应的补了程序，用户如果想避免上述的漏洞，必须暂时禁止账户快速切换功能。

（四）WindowsXP远程桌面漏洞

WindowsXP提供了远程桌面功能，目前也被证实存在设计缺陷，可能导致攻击者得到系统远程桌面的账户信息，有助于其进一步攻击。当连接建立的时候，用WindowsXP远程桌面把账户名以明文发送给连接它的客户端。发送的账户名不一定是远端主机的用户账号，而是最常被客户端使用的账户名，网络上的嗅探程序可能会捕获到这些账户信息。

解决方法：到微软主页下载相应的补丁程序，并暂时停止远程桌面的使用

（五）GD1拒绝服务漏洞

GraphicsDeviceInterface(GDI)是一套应用程序接口，用于显示图形输出。但是它存在一个安全问题，可能导致系统拒绝服务。这是由于GDI无法正确处理畸形或无效的参数和标志位造成的，系统表现为蓝屏，只有重新启动才能恢复正常功能。

解决方法：禁止不可信用户登录系统。四、在连接Internet时，如何在网络层实现安全性（一）防火墙的定义所谓防火墙指的是一个由软件和硬件设备组合而成、在内部网和外部网之间、专用网与公共网之间的界面上构造的保护屏障.是一种获取安全性方法的形象说法，它是一种计算机硬件和软件的结合，使Internet与Intranet之间建立起一个安全网关（SecurityGateway），从而保护内部网免受非法用户的侵入，防火墙主要由服务访问规则、验证工具、包过滤和应用网关4个部分组成，防火墙就是一个位于计算机和它所连接的网络之间的软件或硬件。该计算机流入流出的所有网络通信和数据包均要经过此防火墙。在网络中，所谓“防火墙”，是指一种将内部网和公众访问网(如Internet)分开的方法，它实际上是一种隔离技术。防火墙是在两个网络通讯时执行的一种访问控制尺度，它能允许你“同意”的人和数据进入你的网络，同时将你“不同意”的人和数据拒之门外，最大限度地阻止网络中的黑客来访问你的网络。（二）防火墙的作用防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线，才能接触目标计算机。你可以将防火墙配置成许多不同保护级别。高级别的保护可能会禁止一些服务，如视频流等，但至少这是你自己的保护选择。防火墙最基本的功能就是控制在计算机网络中，不同信任程度区域间传送的数据流。例如互联网是不可信任的区域，而内部网络是高度信任的区域。以避免安全策略中禁止的一些通信，与建筑中的防火墙功能相似。它有控制信息基本的任务在不同信任的区域。典型信任的区域包括互联网(一个没有信任的区域)和一个内部网络(一个高信任的区域)。最终目标是提供受控连通性在不同水平的信任区域通过安全政策的运行和连通性模型之间根据最少特权原则。防火墙对流经它的网络通信进行扫描，这样能够过滤掉一些攻击，以免其在目标计算机上被执行。防火墙还可以关闭不使用的端口。而且它还能禁止特定端口的流出通信，封锁特洛伊木马。最后，它可以禁止来自特殊站点的访问，从而防止来自不明入侵者的所有通信。（三）如何使用防火墙如果是windows操作系统自带的防火墙，默认状态下都会自动开启的（关闭的话系统会报警）。如果是另外安装的其他防火墙，安装后也会自动开启（即在桌面右下角的任务栏中有防火墙图标显示）。一般情况下，防火墙最好使用一个就行了，也就是你必须关闭其中之一。

防火墙的主要目的就是保证上网安全，对系统没有什么影响，可以放心使用。为了便于上网浏览网页，最好把防火墙的安全级别设置为“中级”。

有些防火墙在开启后，对电脑中的某些应用程序的运行、更新、修改甚至卸载等，会弹出是否“允许或同意以及不允许或不同意”的询问框，这时你要根据具体情况进行相应操作，才能保证系统的正常运行，如果是电脑内你所知的应用程序运行而出现的询问框，你都可以选择“允许或同意”，并在询问框下方的“以后都按此方法处理”前面的小方框中打上小勾，这样当下次再运行此程序时，询问框将不会再出现。注意事项1.防火墙实现了你的安全政策2.一个防火墙在许多时候并不是一个单一的设备防火墙并不是现成的随时获得的产品4.防火墙并不会解决你所有的问题5.使用默认的策略。正常情况下你的手段是拒绝除了你知道必要和安全的服务以外的任何服务。但是新的漏洞每天都出现，关闭不安全的服务意味着一场持续的战争。6.有条件的妥协，而不是轻易的。7.使用分层手段。并在一个地点以来单一的设备。使用多个安全层来避免某个失误造成对你关心的问题的侵害。8.只安装你所需要的。作为防火墙一部分的机器必须保持最小的安装。9.使用可以获得的所有资源10.只相信你能确定的11.不断的重新评价决定。更改你的防火墙，就像搬新家一样，需要明显的努力和仔细的计划。12.防火墙不是万能的,对一些新出现的病毒和木马可能没有反映,要时常的更新.机器可能会停止运行，现在病毒发展迅速，而且品种繁多，防为墙不可能全部都能阻拦，所以要加强自身的安全防护。五、实现远程访问的安全性随着信息化办公的普及，远程访问的需求也水涨船高。越来越多的学校，已经不再只满足于信息化系统只能够在学校内部使用。由于员工出差、客户要求访问等原因，近几年远程访问的热度不断升高。一些远程访问工具，也纷纷面世。如电子邮件、FTP、远程桌面等工具为流离在外的学校员工，提供了访问学校内部网络资源的渠道。

但是，毋庸置疑的，对学校内部网络资源的远程访问增加了学校网络的脆弱性，产生了许多安全隐患。因为大多数提供远程访问的应用程序本身并不具备内在的安全策略，也没有提供独立的安全鉴别机制。或者说，需要依靠其他的安全策略，如IPSec技术或者访问控制列表来保障其安全性。所以，远程访问增加了学校内部网络被攻击的风险。笔者在这里试图对常见的远程入侵方式进行分析总结，跟大家一起来提高远程访问的安全性。（一）提高远程访问的安全性一是只需要知道用户名与口令，就可以开始一个远程控制会话。也就是说，远程控制软件只会根据用户名与密码来进行身份验证。所以，如果在一些关键服务器上装有远程控制软件，最好能够采取一些额外的安全措施。如Windows服务器平台上有一个安全策略，可以设置只允许一些特定的MAC地址的主机可以远程连接到服务器上。通过这种策略，可以让只有网络管理人员的主机才能够进行远程控制。无疑这个策略可以大大提高远程控制的安全性。二是采用一些安全性比较高的远程控制软件。一些比较成熟的远程控制软件，如PCAnyWhere，其除了远程控制的基本功能之外，还提供了一些身份验证方式以供管理员选择。管理员可以根据安全性需求的不同，选择合适的身份验证方式。另外，其还具有加强的审计与日志功能，可以翔实的纪录远程控制所做的一些更改与访问的一些数据。当我们安全管理人员怀疑远程控制被入侵者利用时，则可以通过这些日志来查询是否有入侵者侵入。三是除非有特殊的必要，否则不要装或者开启远程控制软件。即使采取了一些安全措施，其安全隐患仍然存在。为此，除非特别需要，才开启远程控制软件。如笔者平时的时候，都会把一些应用服务器的远程控制软件关掉。而只有在笔者出差或者休假的时候，才会把他们开起来，以备不时之需。这么处理虽然有点麻烦，但是可以提高关键应用服务器的安全。这点麻烦还是值得的。（二）针对特定服务攻击的防范针对一些特定服务的攻击，如HTTP服务、FTP服务，比较难于防范。但是，并不是一点对策都没有。采取一些有效的防治措施，仍然可以在很大程度上避免远程访问的入侵。如采取如下措施，可以起到一些不错的效果。

1、是采用一些更加安全的服务。就拿WEB服务器来说吧。现在支持WEB服务器的协议主要有两种，分别为HTTP与HTTPS。其中HTTP协议的漏洞很多，很容易被入侵者利用，成为远程入侵学校内部网络的跳板。而HTTPS则相对来说安全的多。因为在这个协议中，加入了一些安全措施，如数据加密技术等等。在一定程度上可以提高WEB服务器的安全性。所以，网络安全人员在必要的时候，可以采用一些比较安全的协议。2、是对应用服务器进行升级。其实，很多远程服务攻击，往往都是因为应用服务器的漏洞所造成的。如常见的WEB服务攻击，就是HTTP协议与操作系统漏洞一起所产生的后果。如果能够及时对应用服务器操作系统进行升级，把操作系统的漏洞及时补上去，那么就可以提高这些服务的安全性，防治他们被不法之人所入侵。

3、是可以选择一些有身份鉴别功能的服务。如TFTP、FTP都是用来进行文件传输的协议。可以让学校内部用户与外部访问者之间建立一个文件共享的桥梁。可是这两个服务虽然功能类似，但是安全性上却差很远。TFTP是一个不安全的协议，他不提供身份鉴别贡呢功能。也就是说，任何人只要能够连接到TFTP服务器上，就可以进行访问。而FTP则提供了一定的身份验证功能。虽然其也允许用户匿名访问，但是只要网络安全人员限制用户匿名访问，那么就可以提高文件共享的安全性。六访问控制如何布置（一）实现高效安全的网络访问控制一个有效的NAC（网络访问控制）方案，应该可以提供一个可信任网络架构，这个架构对威胁具有免疫性，以及恰当使用的可控制性并能够为所有用户保护数据和完整性。NAC的一个关键特性是访问的安全性，可以通过限制哪些用户拥有对系统的访问以及他们如何通过有线或无线的方法连接，来前摄性地防止安全性受到破坏。网络访问控制帮助你保证只有授权的用户可以获得对网络的访问权。而且，它保证用户只能访问被授权使用的资源。下面我们看一些实现有效的网络访问控制的具体措施：1、选择一个网络访问控制方法和一种客户端技术●IEEE802.1X●Web身份验证●MAC身份验证2、选择一个网络架构设备网络架构设备，如交换机、接入点和WAN路由器可以提供对RADIUS验证的支持，并且支持上述全部的验证形式。这些设备可以直接控制客户端与网络的连接。考虑到不同边缘设备的不同性能，任何增强安全策略的特定设备的能力都依赖于所用的访问控制方法以及客户端是否在寻求一个有线或无线的连接。3、选择RADIUS服务器远程身份验证拨入用户服务(RADIUS)是一个工业标准协议，可以提供身份验证、授权和账户服务;它用在提供用户网络访问的设备与对进入的用户进行身份验证的设备之间。RADIUS定义了三种公共的部件：●访问客户●网络接入（访问）服务器●RADIUS服务器即使有多种多样的应用环境，也只能在网络中使用一种类型的RADIUS服务器（例如，你可以使用微软的IAS服务器或者FreeRADIUS）。在这方面，应该根据网络中的所用的应用环境选择自己的RADIUS服务器。这也是对一个中央用户数据库进行投资（LDAP或者活动目录）的时机。4、选择EAP方法（如果使用802.1x的话）只有在使用802.1x访问控制方法时，可扩展身份验证协议（EAP）的方法才具有重要意义。需要考虑两个因素：客户对网络的验证和网络对客户的验证。5、布置并安排网络分段要设计网络分段，这些分段应适合于网络的各种各样的应用环境。在网络中的一个有限区域内引入访问控制。6、集成所有的网络段一旦你部署了网络中各种不同的分段，就可以通过将所有的分段集成到一个统一的总体中来实施优化。7、考虑采用身份驱动管理身份驱动管理（IDM）提供了基于用户身份而不是网络设备的网络访问控制，它允许在网络的中心设置一个网络访问策略的实施，并将它动态地运用于网络的边缘。（二）建立证书管理中心CA是证书的签发机构,它是PKI的核心。CA是负责签发证书、认证证书、管理已颁发证书的机关。它要制定政策和具体步骤来验证、识别用户身份，并对用户证书进行签名，以确保证书持有者的身份和公钥的拥有权。1、证书认证机构CA在PKI体系中，为了确保用户的身份及他所持有密钥的正确匹配，公钥系统需要一个可信的第三方（TrustedThirdPart,TTP）充当认证中心（CertificationAuthority,CA）来确认公钥拥有者的真正身份，签发并管理用户的数字证书。认证中心保证了数字证书中列出的用户名称与证书中列出的公开密钥一一对应关系，解决了公钥体系中公钥的合法性问题。认证中心对数字证书的数字签名操作使得攻击者不能伪造和篡改数字证书。认证中心CA是PKI体系的核心。2、认证中心CA的主要功能接收并验证最终用户数字证书的申请；证书审批确定是否接受最终用户数字证书的申请；证书签发，向审批者颁发、拒绝颁发数字证书；证书更新，接收、处理最终用户的数字证书更新请求；接收最终用户数字证书的查询、撤消；产生和发布证书废止列表（CRL），验证证书状态；提供OCSP在线证书查询服务，验证证书状态；提供目录服务，可以查询用户证书的相关信息；下级认证机构证书及账户管理；数字证书归档；认证中心CA及其下属密钥的管理；历史数据归档。3、CA认证-认证、数字证书和PKI解决的几个问题保密性-只有收件人才能阅读信息。认证性-确认信息发送者的身份。完整性-信息在传递过程中不会被篡改。不可抵赖性-发送者不能否认已发送的信息。（三）加密技术随着网络技术的发展，网络安全也就成为当今网络社会的焦点中的焦点，几乎没有人不在谈论网络上的安全问题，病毒、黑客程序、邮件炸弹、远程侦听等这一切都无不让人胆战心惊。病毒、黑客的猖獗使身处今日网络社会的人们感觉到谈网色变，无所适从。现代的电脑加密技术就是适应了网络安全的需要而应运产生的，它为我们进行一般的电子商务活动提供了安全保障，如在网络中进行文件传输、电子邮件往来和进行合同文本的签署等。1、加密的由来

近期加密技术主要应用于军事领域，如美国独立战争、美国内战和两次世界大战。最广为人知的编码机器是GermanEnigma机，在第二次世界大战中德国人利用它创建了加密信息。此后，由于AlanTuring和Ultra计划以及其他人的努力，终于对德国人的密码进行了破解。随着计算机的发展，运算能力的增强，过去的密码都变得十分简单了，于是人们又不断地研究出了新的数据加密方式，如利用ROSA算法产生的私钥和公钥就是在这个基础上产生的。2、加密的概念

数据加密的基本过程就是对原来为明文的文件或数据按某种算法进行处理，使其成为不可读的一段代码，通常称为“密文”，使其只能在输入相应的密钥之后才能显示出本来内容，通过这样的途径来达到保护数据不被非法人窃取、阅读的目的。该过程的逆过程为解密，即将该编码信息转化为其原来数据的过程。

3、加密的理由

加密在网络上的作用就是防止有用或私有化信息在网络上被拦截和窃取。一个简单的例子就是密码的传输，计算机密码极为重要，许多安全防护体系是基于密码的，密码的泄露在某种意义上来讲意味着其安全体系的全面崩溃。

数字签名就是基于加密技术的，它的作用就是用来确定用户是否是真实的。在这里需要强调一点的就是，文件加密其实不只用于电子邮件或网络上的文件传输，其实也可应用静态的文件保护，如PIP软件就可以对磁盘、硬盘中的文件或文件夹进行加密，以防他人窃取其中的信息。

4、两种加密方法

加密技术通常分为两大类：“对称式”和“非对称式”。

对称式加密就是加密和解密使用同一个密钥，通常称之为“SessionKey”这种加密技术目前被广泛采用，如美国政府所采用的DES加密标准就是一种典型的“对称式”加密法，它的SessionK