网络安全基础教程_05.pdf

第3 章 基于公钥的安全服务基础设施PKI 81 Web 服务器通过 SSL 连接建立过程。在此过程中，客户要求服务器出示服务器证书（此证 书只是用于建立浏览器的 SSL 连接）。同时，站点服务器向客户端发送认证请求，客户从 浏览器的证书列表中选择零件仓库客户证书，发送给站点服务器。 服务器检验客户证书的有效性，包括验证用户证书，检查证书是否过期或被撤销，并 且确认证书的签名者是否在站点的可信签名列表中。 2．验证客户身份，确定客户购买权限，返回应答请求，用户进入购买状态 为确定用户是否被授权消费，电子商务应用程序从客户证书中获取用户身份，检查证 书中命名的用户 ID （Customer-ID ）是否有权访问电子订单应用程序。然后查询站点的用 户组成员中央 LDAP （轻量级目录访问协议）库找到用户消费权限。 服务器将用户消费权限信息（CR ）通过Hash 函数得到数字摘要Hs （CR ），然后用服 务器私匙加密摘要形成数字签名 Signature （Hs （CR ）），最后用客户端公匙加密客户消费 权限信息 P （CR ），将它们一起发送给客户。 客户收到信息对其进行验证，首先用客户的公匙解密信息，得到信息原文，然后用 Hash 函数获得原文摘要 Hc （CR ），比较 Hc （CR ）与 Hs （CR ）是否匹配，如果相等，客户进 入购买状态。如图 3-10 所示： 图3 -10 客户身份验证 3．完成购物，发送订单 客户选择购买的商品后，通过电子订单应用程序完成订单。发送订单这一过程对安全 性要求很高。客户首先对订单作用一个 Hash 函数，形成订单摘要 Hc （OI ），保证其传输 过程中的完整性。然后通过客户的私匙形成数字签名 SIGNc[Hc （OI ）] 。客户还要用对称 82 网络安全基础教程 密匙（DES ）加密订单 Key （OI ），同时用服务器公匙加密对称密匙 Ps （Key ），将二者合 在一起形成数字信封 Envelope[Ps （Key ），Key （OI ）] 。客户将数字签名、数字信封，一 起发送给电子商务站点。 4．服务器收到订单，请求获取安全时间戳，记录交易信息 服务器收到订单后，通过客户公匙获得订单摘要，站点服务器用外部时间戳加密摘要， 发送给时间戳服务器以获取一个安全时间戳。安全时间戳是一个对订单数据、当前日期和 时间的摘要H （OI，Date ，Time ），通过它确定交易的具体时间，实现交易的不可否认性。 时间戳服务器用其私匙对摘要签名，连同证书发送给站点服务器。 站点服务器验证时间戳服务器证书，获得时间戳。在日志文件中对订单及安全时间戳 进行记录。接着验证交易签名，即用 Hash 函数获取订单摘要 Hs （OI ），验证Hs （OI ）与 Hc （OI ）是否匹配。如果匹配，则在订单数据库中记录交易。至此客户完成了与电子商务 网站之间的交易活动。如图3-11 所示。 图3-11 订单的发送与确认 5．向商家发送订单通知，确认交易成功信息 电子商务站点生成新的订单通告，以签名并加密的 S/MIME 电子邮件形式发送订单通 告给生产者。接着，站点生成一个带有交易确认信息的经签名并加密的 E-mail ，用 S/MIME 协议把它发送给企业客户，整个网上交易活动结束。 3.5 习 题 1．描述PKI 在电子商务系统中的作用？ 2 ．在Windows 2000 Server 中建立一个CA，实现教材中的操作过程。 第4 章 防火墙技术 防火墙作为网络安全的一种防护手段得到了广泛的应用，已成为各企业网络中实施安 全保护的核心，安全管理员可以通过其选择性地