應(yīng)用安全PKI技術(shù)分析魏利明陳相寧南京大學(xué)電子科學(xué)與工程系江蘇 210093摘要:隨著Internet的發(fā)展:網(wǎng)絡(luò)的安至間題變得越來(lái)趣突出。PKI為基于Internet的保密性應(yīng)用提供了一個(gè)真正可靠、穩(wěn)定、安全的平臺(tái)。本文就PKI的概念、組成及其面臨的挑戰(zhàn)進(jìn)行了分析，為部署和應(yīng)用PKI提供了指導(dǎo)。關(guān)鍵詞: PKI; CA系統(tǒng)模型，信任模型1.2 PKI組件0引言PKI在實(shí)際應(yīng)用上是-套軟硬件系統(tǒng)和安全策略的集合,它隨著網(wǎng)絡(luò)和信息技術(shù)的發(fā)展,電子商務(wù)已經(jīng)逐步被人們所接提供了 -整套安全機(jī)制，使用戶在不知道對(duì)方身份或分布地點(diǎn)的受，并得到不斷普及。在電子商務(wù)中，必須從技術(shù)上保證在交易情況下， 以證書為基礎(chǔ)，通過(guò)一系列的信任關(guān)系進(jìn)行通訊和電子過(guò)程中能夠?qū)崿F(xiàn)身份認(rèn)證、安全傳輸、不可否認(rèn)性、數(shù)據(jù)完整性。商務(wù)交易。在采用數(shù)字證書認(rèn)證體系之前，交易安全一直未能真正得到解決。-個(gè)典型的PKI系統(tǒng)如圖1所示，其中包括PKI策略、軟硬數(shù)字證書認(rèn)證技術(shù)的出現(xiàn)很好地解決了上述問(wèn)題,因此在國(guó)內(nèi)外件 系統(tǒng)、證書機(jī)構(gòu)CA.注冊(cè)機(jī)構(gòu)RA.證書發(fā)布系統(tǒng)和PKI應(yīng)用。電子商務(wù)中得到了廣泛的應(yīng)用.PKI(Public Key Infrastructure)KI座利用證書的功能，為安全的電子商務(wù)提供了-種基于信任和加密基礎(chǔ)_上的架構(gòu)，使電子商務(wù)的安全性得到了保證。證書機(jī)構(gòu)4CA][讓冊(cè)機(jī)構(gòu)RA書發(fā)布系規(guī)1 PKI 的概念和構(gòu)成分析1.1 PKI基本概念PXI策略[軟硬件系統(tǒng) ]公鑰基礎(chǔ)設(shè)施PKI (Public Key Infrastructure) 是解決信任和加密問(wèn)題的基本解決方案?；贗nternet的保密性應(yīng)用要求圖1典型PKI系統(tǒng)組成有一個(gè)真正可靠、穩(wěn)定、高性能、安全、互操作性強(qiáng)、完全支持(1)PKI策略:建立和定義了一個(gè)組織信息安全方面的指導(dǎo)方交叉認(rèn)證的PKI系統(tǒng)。PKI的本質(zhì)就是實(shí)現(xiàn)了大規(guī)模網(wǎng)絡(luò)中的公針，同時(shí)也定義了密碼系統(tǒng)使用的處理方法和原則。它包括- -個(gè)鑰分發(fā)問(wèn)題，建立了大規(guī)模網(wǎng)絡(luò)中的信任基礎(chǔ)。概括地說(shuō)，PKI組織怎樣根據(jù)風(fēng)險(xiǎn)的級(jí)別定義安全控制的級(jí)別;是創(chuàng)建、管理、存儲(chǔ)、分發(fā)和撤消基于公鑰加密的公鑰證書所需(2)證書機(jī)構(gòu)CA:是PKI的信任基礎(chǔ)，它管理公鑰的整個(gè)生要的一套硬件.軟件、策略和過(guò)程的集合。PKI為開放的Internet命周期，其作用包括:發(fā)放證書、規(guī)定證書的有效期和通過(guò)發(fā)布(或Intranet)環(huán)境提供了四個(gè)基本的安全服務(wù):證書廢除列表(CRL)確保必要時(shí)可以廢除證書:(1)認(rèn)證，確認(rèn)發(fā)送者和接收者的真實(shí)身份;(3)注冊(cè)機(jī)構(gòu)RA:提供用戶和CA之間的一一個(gè)接口,它獲取并(2)數(shù)據(jù)完整性,確保數(shù)據(jù)在傳輸過(guò)程中不能被有意或無(wú)意地認(rèn)證用戶的身份,向CA提出證書請(qǐng)求。對(duì)于- -個(gè)規(guī)模較小的PKI修改;應(yīng)用系統(tǒng)，可以把注冊(cè)管理的職能由認(rèn)證中心CA來(lái)完成，而不(3)不可抵賴性,通過(guò)驗(yàn)證,確保發(fā)送方不能否認(rèn)其發(fā)送消息設(shè)立獨(dú)立運(yùn)行的RA。PKI 國(guó)際標(biāo)準(zhǔn)推薦由一個(gè)獨(dú)立的RA來(lái)完(4)機(jī)密性，確保數(shù)據(jù)不能被非授權(quán)的第三方訪問(wèn)。成注冊(cè)管理的任務(wù)，可以增強(qiáng)應(yīng)用系統(tǒng)的安全;另外，PKI還提供了其他的安全服務(wù)，主要包括以下兩個(gè):(3)證書發(fā)布系統(tǒng);負(fù)責(zé)證書的發(fā)放，如可以通過(guò)用戶自己，(1)授權(quán),確保發(fā)送者和接收者被授予訪問(wèn)數(shù)據(jù)、系統(tǒng)或應(yīng)用也可中國(guó)煤化工程序的權(quán)力，和瀏覽器之間的通訊、電子(2)可用性，確保合法用戶能正確訪問(wèn)信息和資源。郵件.TYHCNMHGnet上的信用卡交易和虛擬作者簡(jiǎn)介: 魏利明(1976-), 男，南京大學(xué)碩士研究生， 研究方向:網(wǎng)絡(luò)通信。陳相寧(1967-).男，博士后、副教授，IEEE會(huì)員， 研究方向:網(wǎng)絡(luò)通信。2005.3網(wǎng)絡(luò)安全技術(shù)與應(yīng)用 19BeuAYISO/EC和ANSI X9發(fā)展了x.509 V3版本證書格式,該版本私有網(wǎng)(VPN) 等。證:書通過(guò)增加標(biāo)準(zhǔn)擴(kuò)展項(xiàng)對(duì)V1和V2證書進(jìn)行了擴(kuò)展。另外，根2 CA系統(tǒng)模型據(jù)實(shí)際需要，各個(gè)組織或團(tuán)體也可以增加自己的私有擴(kuò)展。證書機(jī)構(gòu)CA用于創(chuàng)建和發(fā)布證書，它向一個(gè)稱為安全城x.509 VI和V2證書所包含的主要內(nèi)容如下:(Seurity Domain)的有限群體發(fā)放證書。創(chuàng)建證書的時(shí)候，CA()證書版本號(hào)(Version): 指明X.509 證書的版本:系統(tǒng)首先獲取用戶的請(qǐng)求信息，其中包括用戶公鑰，CA將根據(jù)(2)證書序列號(hào)(SerialNumber): 指定由CA分配給證書的用戶的請(qǐng)求信息產(chǎn)生證書，并用自己的私鑰對(duì)證書進(jìn)行簽名。其惟一的數(shù)字型標(biāo)識(shí)符。 當(dāng)證書被取消時(shí)，實(shí)際上是將此證書的序他用戶、應(yīng)用程序或?qū)嶓w將使用CA的公鋼對(duì)證書進(jìn)行驗(yàn)證。如列號(hào)放入由CA簽發(fā)的CRL中:果-個(gè)CA系統(tǒng)是可信的，則驗(yàn)證證書的用戶可以確信，他所驗(yàn)(3)簽名算法標(biāo)識(shí)符(Signature);簽名算法標(biāo)識(shí)用來(lái)指定由證的證書中的公鑰屬于證書所代表的那個(gè)實(shí)體。CA還負(fù)責(zé)維護(hù)CA簽發(fā)證書時(shí)所使用的簽名算法:和發(fā)布證書撤消列表CRL (erilicate Revocation Lists)。 當(dāng)(4)簽發(fā)機(jī)構(gòu)名(ser);此域用來(lái)標(biāo)識(shí)簽發(fā)證書的CA的X.00一個(gè)證書，特別是其中的公鑰因?yàn)槠渌驘o(wú)效時(shí)(不一定是因DN 名字。包括國(guó)家、省市、地區(qū).組織機(jī)構(gòu)、單位部[和通用名:為到期), CRL提供了一種通知用戶和其他應(yīng)用的中心管理方式。(S)有效期(alidity):指定證書的有效期，包括證書開始生CA系統(tǒng)生成CRL以后，要么是放到LDAP服務(wù)器中供用戶查詢效的日期和時(shí)間以及失效的日期和時(shí)間:或下載，要么是放置在Web服務(wù)器的合適位置。以頁(yè)面超級(jí)連接(6)證用戶名(Subjet):指定證書持有者的X.500惟- 名的方式供用戶直接查詢或下載。字。包括國(guó)家、省市、地區(qū)、組織機(jī)構(gòu)、單位部門和通用名等個(gè)一個(gè)典型的CA系統(tǒng)包括安全服務(wù)器.注冊(cè)機(jī)構(gòu)RA. CA服人信息:務(wù)器、LDAP目錄服務(wù)器和數(shù)據(jù)庫(kù)服務(wù)器等。如下圖2所示。(7)證書持有者公開密鑰信息(subject Public Key Info);包含兩個(gè)重要信息:證書持有者的公開密鑰的值:公開密鑰使用的算法標(biāo)識(shí)符。此標(biāo)識(shí)符包含公開密鑰算法和hash算法，=>注冊(cè)機(jī)構(gòu)歐配CA服務(wù)器(8)簽發(fā)者惟-標(biāo)識(shí)符 (ssuer Unique denifer):此城用在當(dāng)同一4個(gè)X.500名字用于多個(gè)認(rèn)證機(jī)構(gòu)時(shí)，用-比特字符串來(lái)惟一標(biāo)識(shí)簽發(fā)者的X.500名字?？蛇x:(9)證書持有者惟一標(biāo)識(shí)符 (Subjet Unique Ieneifir):此數(shù)據(jù)庫(kù)服務(wù)器/LDAP服務(wù)器城用在當(dāng)同- -個(gè)X.500名字用于多個(gè)證書持有者時(shí)，用- -比特字符串來(lái)惟一標(biāo)識(shí)證書持有者的X.500名字?？蛇x，圖2典型CA系統(tǒng)組成(10)簽名值(ssuer's Signature):證書簽發(fā)機(jī)構(gòu)對(duì)證書上安全服務(wù)器面向普通用戶，用于提供證書申請(qǐng)、瀏覽、證書述內(nèi)容的簽 名值。撒消列表以及證書下載等安全服務(wù)。安全服務(wù)器與用戶的的通信x. so9 V3證書是在V2的基礎(chǔ)上增加了擴(kuò)展項(xiàng)，以使證書采取安全信道方式(如SSL的方式，不需要對(duì)用戶進(jìn)行身份認(rèn)證)。能夠附帶額外信息。標(biāo)準(zhǔn)擴(kuò)展是指由X.509 V3版本定義的對(duì)V2LDAP服務(wù)器提供目錄瀏覽服務(wù)，負(fù)責(zé)將注冊(cè)機(jī)構(gòu)服務(wù)器傳輸過(guò)版 本增加的具有廣泛應(yīng)用前景的擴(kuò)展項(xiàng)，任何人都可以向一- 些權(quán)來(lái)的用戶信息以及數(shù)字證書加入到服務(wù)器上。這樣其他用戶通過(guò)威機(jī)構(gòu) (如ISO)來(lái)注冊(cè)- - 些其他擴(kuò)展，如果這些擴(kuò)展項(xiàng)應(yīng)用廣訪向LDAP服務(wù)器就能夠得到其他用戶的數(shù)字證書。數(shù)據(jù)庫(kù)服務(wù)泛，也許以后會(huì)成為標(biāo)準(zhǔn)擴(kuò)展項(xiàng)。器是認(rèn)證機(jī)構(gòu)中的核心部分，用于認(rèn)證機(jī)構(gòu)中數(shù)據(jù)(如密鑰和用4 PKI 信任模型戶信息等).日志和統(tǒng)計(jì)信息的存儲(chǔ)和管理。選擇正確的信任模型以及與它相應(yīng)的安全級(jí)別是非常重要的，3數(shù)字證書的格式同時(shí)也是部署PKI時(shí)所要做的基本的決策之一.目前常用的有四數(shù)字證書是-一個(gè)經(jīng)證書授權(quán)中心數(shù)字簽名的包含公開密鑰擁種信任模型認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型(trit Hierardly of有者信息和公開密鑰的文件。數(shù)字證書是一種數(shù)字標(biāo)識(shí)， 是Certification Authorities Model). 分布式信任結(jié)構(gòu)模型Internet上的安全護(hù)照或身份證明，數(shù)字證書提供的是網(wǎng)絡(luò)上的(isribuled Tust Arcitecure Mode). Web模型(Web Mode)身份證明。和以用戶為中心的信任模型(User Centric Trust Mode),X.509數(shù)字證書目前有三個(gè)版本: VI. V2和V3。X.09由(1)認(rèn)rTu-T x.509 或ISO/EC 9594-8定義，最早以X.500日錄建證書中國(guó)煤化工被描繪為一棵倒置的議的一部分發(fā)表于 1988年，并作為VI版本的證書格式。X.500樹，根在YHCNMHG.在這棵樹上,根代于1993年進(jìn)行了修改，并在V1基礎(chǔ)上增加了兩個(gè)額外的城，用表一個(gè)對(duì)整個(gè) PKI系統(tǒng)的所有實(shí)體都有特別意義的CA-通常叫于支持目錄存取控制，從而產(chǎn)生了V2版本。為了適應(yīng)新的需求做根CA (Root CA). 它充當(dāng)信任的根或“信任錨(Trust20風(fēng)略安全技術(shù)與用20.3Anchor)" -也就是認(rèn)證的起點(diǎn)或終點(diǎn)。在根CA的下面是零層概念) 中是不現(xiàn)實(shí)的。而且，這種模型-般不適合用在貿(mào)易、金或多層中介CA (Intermediate CA)， 也被稱作子CA融或政府環(huán)境中, 因?yàn)樵谶@些環(huán)境下，通常希望或需要對(duì)用戶的(Subordinate CA)，因?yàn)樗鼈儚膶儆诟鵆A。與子CA相連的信任實(shí)行 某種控制，顯然這樣的信任策略在以用戶為中心的模型樹葉通常被稱作終端實(shí)體(End Entities) 或終端用戶(End中 是不可能實(shí)現(xiàn)的。Users).在這種模型中，層次結(jié)構(gòu)中的所有實(shí)體都信任惟一的根5 PKI技術(shù)面臨的挑戰(zhàn)CA。在認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)中,每個(gè)實(shí)體(包括中介CA和5.1產(chǎn)品互操作性終端實(shí)體)都必須擁有根CA的公鑰。目前，PKI 標(biāo)準(zhǔn)化主要有兩個(gè)方面:一是RSA公司的公鑰(2)分布式信任結(jié)構(gòu)模型與在PKI系統(tǒng)中的所有實(shí)體都信任惟- -一個(gè)CA的嚴(yán)格層次 加密 標(biāo)準(zhǔn)PKCS (Pubic Key Cryotgraphly Slandards),它定結(jié)構(gòu)相反，分布式信任結(jié)構(gòu)把信任分散在兩個(gè)或多個(gè)CA上。也義了許多基本PKI部件， 包括數(shù)字簽名和證書請(qǐng)求格式等。二是就是說(shuō)，A把CA1作為他的信任錨，而B可以把CA2作為他的由Internet工程任務(wù)組IETF(Internet Engineering Task Force)信任錨。因?yàn)檫@些CA都作為信任錨，因此相應(yīng)的CA必須是整和PKI工作組(Public Key Infrastructure W orking Group)個(gè)PKI系統(tǒng)的一-個(gè)子集所構(gòu)成的嚴(yán)格層次結(jié)構(gòu)的根CA(CAI是所定義的一-組具有互操作性的公鑰基礎(chǔ)設(shè)施協(xié)議PKIX。另外還包括A在內(nèi)的嚴(yán)格層次結(jié)構(gòu)的根，CA2是包括B在內(nèi)的嚴(yán)格層x有PGP. SPKI等PKI技術(shù)，由于這些標(biāo)準(zhǔn)采用了不同的數(shù)據(jù)處理格式,所以這些系統(tǒng)之間的互操作性是PKI發(fā)展過(guò)程中面臨的結(jié)構(gòu)的根)。如果這些嚴(yán)格層次結(jié)構(gòu)都是可信頒發(fā)者層次結(jié)構(gòu)，那么該總最大的挑戰(zhàn)。體結(jié)構(gòu)被稱作完全同位體結(jié)構(gòu)(ully Pered Areiteture。另5.2 對(duì)基于XML應(yīng)用程序的支持-方面，如果所有的嚴(yán)格層次結(jié)構(gòu)都是多層結(jié)構(gòu)(Multi Level傳統(tǒng)PKI應(yīng)用程序處理和產(chǎn)生的主要為二進(jìn)制數(shù)據(jù),隨著基Hierarchy),那么最終的結(jié)構(gòu)就被叫做滿樹結(jié)構(gòu)(Fully Treed于XML和Web Services的應(yīng)用大量部署和對(duì)安全性的日益的需Architecture)。混合結(jié)構(gòu)(Hybrid Treed Architecture) 也是求， 傳統(tǒng)PKI已經(jīng)不能滿足以XML為數(shù)據(jù)格式的安全需求。可能的(具有若干個(gè)可信頒發(fā)者層次結(jié)構(gòu)和若干個(gè)多層樹型結(jié)5.3 客戶應(yīng)用程序的依賴性構(gòu))。-般說(shuō)來(lái)，完全同位體結(jié)構(gòu)部署在某個(gè)組織內(nèi)部,而滿樹結(jié)傳統(tǒng)PKI應(yīng)用程序客戶端和PKI提供商API緊密耦合，不構(gòu)和混合結(jié)構(gòu)則是在原來(lái)相互獨(dú)立的PKI系統(tǒng)之間進(jìn)行互聯(lián)的結(jié)但使 客戶端程序變得很龐大，而且客戶端程序很難切換到其他果。盡管"PKI網(wǎng)絡(luò)(PKI Networking)” 一詞用得越來(lái)越多(特PKI 提供商。別是對(duì)滿樹結(jié)構(gòu)和混合結(jié)構(gòu)),但是同位體根CA(Peer Root CA) 5.4 對(duì)移動(dòng)和手持設(shè)備的支持的互連過(guò)程通常被稱為“交叉認(rèn)證(Cross Certification)".基于傳統(tǒng)PKI技術(shù)開發(fā)的PKI應(yīng)用客戶端比較“胖“,無(wú)法(3)Web模型有效支持這些低能耗、資源相對(duì)緊張的移動(dòng)和手持設(shè)備，而移動(dòng)Web模型誕生于Internet,而且依賴于流行的瀏覽器，在這和手持設(shè)備應(yīng)用的安全性是對(duì)PKI提出的新的要求。種模型中，許多CA的公鑰被預(yù)裝在標(biāo)準(zhǔn)的瀏覽器上。這些公鑰6總結(jié)確定了一組瀏覽器用戶最初信任的CA。這種模型似乎與分布式由于PKI為安全的電子商務(wù)提供了一套完善的基礎(chǔ)設(shè)施，大信任結(jié)構(gòu)模型相似，但從根本上講，它更類似于認(rèn)證機(jī)構(gòu)的嚴(yán)格層次結(jié)構(gòu)模型。因?yàn)樵趯?shí)際上,瀏覽器廠商起到了根CA的作用，大地提高了工作效率，因此，得到了大量的應(yīng)用和快速發(fā)展。但而與被嵌入的密鑰相對(duì)應(yīng)的CA就是它所認(rèn)證的CA.當(dāng)然這種是， 由于PKI標(biāo)準(zhǔn)的不統(tǒng)-,隨著PKI應(yīng)用的增多，互操作性的認(rèn)證并不是通過(guò)頒發(fā)證書實(shí)現(xiàn)的，而只是物理地把CA的密鑰嵌需求會(huì)不斷增加，再加上移動(dòng)設(shè)備應(yīng)用等新的應(yīng)用需求的出現(xiàn)，入瀏覽器。Web模型在方便性和簡(jiǎn)單互操作性方面有明顯的優(yōu)必然會(huì)對(duì)PKI提出許多新的要求。當(dāng)前PKI發(fā)展的關(guān)鍵是解決互勢(shì)，但是也存在許多安全隱患。操作性問(wèn)題和研究如何在新的應(yīng)用領(lǐng)域中使用PKI來(lái)提供安全保障。隨著技術(shù)的發(fā)展，這些問(wèn)題終究會(huì)得到解決。(4)以用戶為中心的信任模型在以用戶為中心的信任模型中,每個(gè)用戶自己決定信任哪些[I]Carisle Adams,Steve Lloyd著.馮登國(guó)等譯。公開密鑰基礎(chǔ)設(shè)參考文獻(xiàn)證書。著名的安全軟件PGP (Pretty Good Privacy) 最能說(shuō)明施-概念標(biāo)準(zhǔn)和實(shí)施.人民郵電出版社.2001.以用戶為中心的信任模型。在PGP中，一個(gè)用戶通過(guò)擔(dān)當(dāng)CA(簽(2]Andrew Nash, wililan Duane, Celia Joeph,等著.張玉清等署其他實(shí)體的公鑰)并使其公鑰被其他人所認(rèn)證來(lái)建立(或參加)譯. 公鑰基礎(chǔ)設(shè)施(PKI);實(shí)現(xiàn)和管理電子安全.清華大學(xué)出版社.2002.所謂的“信任網(wǎng)(Web of Trust)"。[3]卯|中國(guó)煤化工KI技術(shù).西南交通大學(xué)出版因?yàn)橐蕾囉谟脩糇陨淼男袨楹蜎Q策能力，因此以用戶為中社YHCNMH GSolo.ntermet x.509 Pub-心的模型在技術(shù)水平較高和利害關(guān)系高度-致的群體中是可行的，lic Key Infrastructure Certificate and CRL Profile. RFC2459.但是在- -般的群體(它的許多用戶有極少或者沒有安全及PKI的1999-1.[下轉(zhuǎn)18頁(yè)]205.3 網(wǎng)駱安全技術(shù)與應(yīng)用 21量應(yīng)用安全SEEURIY在/var/spool/ cron/ Ccrontabs/root文件中加入:(4)刪除restoresymtable0 23 * * * /data2/snapcron# rm restoresymtable也就是系統(tǒng)在每天的23點(diǎn)都對(duì)/datal的SnapShot進(jìn)行更(5)修改原系統(tǒng)文件vfstab新。這樣，由于用戶的誤操作而導(dǎo)致丟失的用戶數(shù)據(jù)，可以恢復(fù)#vi /mnt/etc/vfstab到頭一-天的狀態(tài)。把/dev/dsk/clt2d0s0/dev/ rdsk/clt2d0s0/ufs 1 no對(duì)用戶誤刪除數(shù)據(jù)的恢復(fù)改為:例如由于用戶的誤操作，刪除了/datal/seisdata/ anda2d,/dev/ dsk/c1t6d0s0/ dev/ 'rdsk/c1t6d0s0/ufs 1 noanda2d這個(gè)工作區(qū)將無(wú)法打開，我們可利用前一天所生 成的(6)shutdown系統(tǒng)SnapShot來(lái)恢復(fù)它。#init 0(7)修改eepromn參數(shù)th master xJe2d 5n2den h Iusterok>nvalias bootdisk /devices/ pci@lf, 4000/scsi@3,1/的Aatat/seisdatsd@6,042dn snatpri2d Liv EINster jer2d 5n2dP h Mstr7用SnapShot恢復(fù)系統(tǒng)的一個(gè)實(shí)例ok>setenv boot- -device bootdisk(8)安裝引導(dǎo)塊問(wèn)題的提出:ok> boot cdrom -sKg602為sun ultra60, 分別在兩個(gè)分區(qū)裝有Solaris8操作系#cd /usr/ platform/ 'uname. m' /lib/fs/ufs統(tǒng)。一個(gè)系統(tǒng)分區(qū)為內(nèi)置盤的cOt0d0s0分區(qū),另一個(gè)為外掛的#installboot bootblk /dev/rdsk/c1t6d0s0clt2d0s0。在c1t2d0s0.上裝有OW2003軟件。cIt2d0s0 文件系統(tǒng)(9)重啟系統(tǒng)受到破壞，裝有ow2003的系統(tǒng)無(wú)法啟動(dòng)。# reboot解決辦法:用SnapShot所做的系統(tǒng)備份來(lái)恢復(fù)這樣，系統(tǒng)重啟成功，恢復(fù)到對(duì)原系統(tǒng)作snapshot時(shí)的狀態(tài)?；謴?fù)過(guò)程:(1)用另一個(gè)系統(tǒng)分區(qū)啟動(dòng)系統(tǒng): (也可用系統(tǒng)光盤啟動(dòng)到單8總結(jié)用戶模式)本文通過(guò)對(duì)sapshot技術(shù)的應(yīng)用，解決了系統(tǒng)備份、用戶數(shù)Ok> boot disk或0k>boot cdrom -s據(jù)備份及長(zhǎng)期困擾辦公系統(tǒng)Domino數(shù)據(jù)庫(kù)的在線備份問(wèn)題。同.(2)新創(chuàng)建一-個(gè) 文件系統(tǒng)，用來(lái)恢復(fù)系統(tǒng):時(shí)編寫了shell程序，由人工操作變?yōu)橄到y(tǒng)自動(dòng)執(zhí)行，提高了工作# newfs /dev/ rdsk/c1t6d0s0效事。在線數(shù)據(jù)庫(kù)備份,避免了關(guān)閉服務(wù)及系統(tǒng)對(duì)用戶的影響，保井mount /dev/dsk/clt6d0s0 /mnt證了備份時(shí)用戶數(shù)據(jù)庫(kù)的正常使用，提高了工作效率。(3)把以前用SnapShot所做的系統(tǒng)備份恢復(fù)到此分區(qū)上參考文獻(xiàn)# cd /mnt[]Jntermediate System Administration for the SolarisTM 9 Oper-# ufsrestore rf / data/ 'root snap. dumpating Environment Student Guide .Sun Microsystems, inc.2002.SnapShot's application in database security managementTang Hao Shi MinghongDaqing Oilfield Research Institute of Exploration and Development, Hei Long jiang163712Abstract:In this paper, first introduced the utility of snapshot,then accomplished system backup,user data backupand OA domino database's online backup,ensured their security Accomplished E program for automatic execute,finally gave an instance for recovery system.Keywords:snapshot;OA;backup;database[上接21頁(yè)]PKI technology analyseWei Liming Chen XiangningDepartment of Electron Science and Engineering, NanJing Univers中國(guó)煤化工Abstract:Along with Internet developing,the security problem of nF)re outstanding.PKI provide a real credible,steady, secure platform for secrecy appYHC N M H Gpaper analysconcept,buildup and facing challenge of PKl,and provide guidance for disposing and applying PKI.Keywords:PKI;CA system model; credit model18 網(wǎng)絡(luò)安金技術(shù)與應(yīng)用2005.3