民安信企业CA数字证书系统

密钥泄密或用户信息发生变动的情况下，需要废除客户证书。证书废除由CA管理端实现。

CRL发布

CRL（Certificate Revokation List），即证书注销列表，它包括已经被注销的证书的序列号和注销时间的列表，以及CRL签发时间和更新时间等信息，并包括CA私钥对它的签名。CRL用于证书应用系统验证证书的状态，以便应用系统允许或拒绝使用某一证书。

CRL发布是通过CA的WEB网站进行，用户可以手工到CA的WEB网站下载CRL文件，也可以在证书应用系统中通过HTTP协议得到该CRL文件。每一张证书中都有该CRL文件的URL信息。

企业CA和应用系统的集成

与C/S（客户端/服务器）的结合方式

在C/S（客户端/服务器）结构，客户端负责将所有业务处理和登录认证功能通过网络提交给应用系统服务器，由服务器集中进行处理和汇总。

建议通过提供安全开发包的方式，将安全模块内嵌入应用系统服务器和客户端中，从根本上解决访问控制、身份认证、数据安全和交易认证的安全隐患。具体部署时，需要给每个应用系统服务器发放一个证书，给每个操作员发放一个证书，在进行所有操作时必须持有合法的证书。

证书对应用系统的支持有如下几点：

身份认证

C/S客户端登录到服务器时，需要操作员插入自己的密钥设备(即证书的存储介质，如IC卡，USBKey等)，同时输入相应的密码，客户端用自己的私钥对登录信息签名，服务器在收到登录信息后，通过验证签名来鉴别操作员的身份。不仅服务器需要验证操作员的合法身份，而且操作员也可以通过同样的方法来确认服务器身份的合法性。

控制

访问控制的实现可采用访问控制列表(ACL)的方式实现。访问控制列表(ACL)与上节的身份认证相结合来控制用户的访问授权，这两种方式都需要数字证书的支持。

产品管理

系统通过在数据传输前，用公钥证书协商会话密钥来建立安全通道，达到保护传输数据的目的。

交易不可抵赖性控制

操作员在进行交易时使用自己的证书私钥对所做的操作进行数字签名，以便进行交易数据完整性和严格的不可抵赖性事后审计。

 

C/S各模块逻辑结构图如下图所示：

与B/S（浏览器/服务器）结构应用的结合

与B/S结构应用的结合方式主要采用SSL。

 

浏览Web页面或许是人们最常用的访问Internet 的方式。一般的浏览也许并不会让人产生不妥的感觉，可是如果通过Web 进行一些商业交易（如网上银行系统），那如何保证交易的安全呢？

为了透明地解决Web的安全问题，最合适的入手点是浏览器。现在，无论是Internet Explorer还是Netscape Navigator，都支持SSL协议（The Secure Sockets Layer）。这是一个在传输层和应用层之间的安全通信层，在两个实体进行通信之前，先要建立SSL连接，以此实现对应用层透明的安全通信。利用数字证书，SSL协议保证浏览器和服务器之间通信安全，这样在交易时，双方可以通过数字证书确认对方的身份。需要注意的是，SSL协议本身并不能提供对不可否认性的支持，这部分的工作必须由数字证书完成。

结合SSL协议和数字证书，可以保证Web 交易多方面的安全需求，使Web上的交易和面对面的交易一样安全。

安全电子邮件 

电子邮件凭借其易用、低成本和高效已经成为办公业务系统中的一种标准信息交换工具。但存在一些安全方面的问题，包括：
消息和附件可以不为通信双方所知的情况下被读取、篡改或截获。 没有办法可以确定一封电子邮件是否真的来自某人，也就是说，发信者的身份可能被人伪造。

利用数字证书和私钥，用户可以对他所发的邮件进行数字签名，这样就可以获得认证、完整性和不可否认性，收到邮件的人就可以信任该邮件的来源，无论他是否认识发邮件的人。

 2/3   首页 上一页 1 2 3 下一页 尾页