1、1234567891011虛擬專用虛擬專用網網防火墻防火墻訪問控制訪問控制漏洞掃描漏洞掃描入侵檢測入侵檢測病毒防治病毒防治1213141516171819202122BOBALICE明文文件明文文件明文文件明文文件23242526明文Plaintext加密Encrypt EK1(M) Public Key密文Ciphertext private Key解密Decrypt DK2(M)明文Plaintext272829原 文數 字摘 要H a s h 函 數3031323334353637對稱密鑰明文密文加密后的對稱密鑰隨機生成加密接收方公鑰加密對稱密鑰明文解密接收方私鑰解密38對稱算法密鑰Ke

2、yA1簽名公鑰KeyA2簽名私鑰KeyA3加密公鑰KeyB1加密私鑰KeyB2HashKeyA3KeyA1 明文信息摘要數字簽名KeyB1數字簽名KeyA2 明文 明文信息摘要1信息摘要2比較數字信封KeyA1 密文數字信封 密文KeyB2KeyA1KeyA1Hash3940BOB加密加密+ +數字簽名的作用數字簽名的作用: : 完整性完整性 機密性機密性 身份認證身份認證 不可否認性不可否認性41應用應用密鑰類型密鑰類型密鑰所有者密鑰所有者發送加密數據發送加密數據公鑰公鑰接收方的公鑰接收方的公鑰簽名簽名私鑰私鑰發送方發送方解密收到數據解密收到數據私鑰私鑰接收方接收方驗證數字簽名驗證數字簽名公

3、鑰公鑰發送方發送方4243444546應 用 系 統安 全 中 間 件 模 塊加 解 密 服 務 調 度密 碼 服 務 單 元 1密 碼 服 務 單 元 2密 碼 服 務 單 元 n.474849505152535455下載證書和經加密的加密私鑰RA實體鑒別密碼器生成簽名密鑰對本地保存簽名私鑰KM取出加密密鑰對，對加密私鑰用簽名公鑰加密，并托管加密私鑰用戶信息及簽名公鑰提交CA將經加密的加密私鑰和公鑰下發CA將簽名公鑰和密鑰請求提交KM實體鑒別器密碼器LDAP發布證書CA對用戶信息和加密公鑰等進行簽名，生成證書56客戶端服務器端(1) 服務請求(3)驗證服務器證書的有效性(4)生成隨機數R1(

4、10)驗證簽名結果SS(R1)(11)用客戶端私鑰對R2簽名 得到簽名結果SC(R2)(2) 服務器端證書(5) 客戶端證書 + R1(6)驗證客戶端證書的有效性(7)用服務器端私鑰對R1簽名 得到簽名結果SS(R1)(8)生成隨機數R2(15)返回請求結果(12)SC( R2)(13)驗證簽名結果SC(R2)(14)對身份驗證情況 進行日志記錄(9) SS(R1) + R2LDAP服務器OCSP服務器57客戶端服務器端(1) 服務請求(3)驗證服務器證書的有效性(4)生成隨機數R1(5)用服務器端公鑰加密R1 得到加密結果ES(R1)(12)比較隨機數R1(13)解密EC(R2)(2) 服務器端證書(6) 客戶端證書 + ES(R1)(7)驗證客戶端證書的有效性(8)解密ES(R1)(9)生成隨機數R2(10)用客戶端公鑰加密R2 得到加密結果EC(R2)(17)返回請求結果(14) R2(15)比較隨機數R2(16)對身份驗證情況 進行日志記錄(11) R1 + EC(R2)LDAP服務器OCSP服務器585960SSSA硬件驅動程序61因特網APP ServerPKI Server防火墻62客戶端用戶APP服務器PKI服務器載入證書交換證書取得服務器證書驗證客戶證書雙方驗證證書數據通信數據通信63646566676869707172737475