惟初太始道立於一造分天地化成萬物。

相信自己所判斷

今天上班時在公司電梯看到一對漂亮的母女!!

當場稱讚"你女兒好漂亮喔!!"

我想我是作了一件令母親高興的事!!

 

RA指前端註冊管理中心（Registration Authority），負責執行憑證申請、廢止及資料審核等作業，透過資料庫比對、臨櫃或書面資料審核等方式進行身分認證，以核發憑證。包含：RA : 註冊管理系統、RAO : 註冊管理操作員(Operator)、DS : 目錄伺服器 ( Directory Server )。

RA註冊中心主要任務：其中RA Server主要任務為轉送憑證申請訊息給CA、轉送憑證註銷訊息給CA、憑證到期通知發送、電腦機器安全及管理、列印寄發開卡密碼單、稽核RA client 是否有異常核發、憑證之情事、緊急應變處理 RA資料之備份，而RA Client主要任務為受理憑證申請、受理憑證註銷申請、驗證身份文件以識別憑證、申請者之身份、同意憑證。

 

 

一、前言
經由網路所傳送的敏感資料，可能遭受不法人員截聽、篡改、冒名等安全攻擊，造成權利義務上糾紛或財物上損失，對於這些潛在的安全威脅，目前最有效且最普遍的做法是使用加解密、數位簽章及電子認證(CA)等PKI(Public Key Infrastructure)技術做安全保護。
Public Key Infrastructure (PKI) 架構，其主要目的在於建立可信賴的安全作業環境，以確保資料在網路上傳遞時的安全性，儲存時的保密性，進而達到資料在使用時的正確性。
採用智慧卡好處具備可攜帶性(portability)、不易受攻擊(vulnerable)、不易受盜複製(copy)、資料內容不易損壞(crash)、延伸服務(bundling)。利用IC 卡特性，保護個人憑證資料，增加系統的安全功能，晶片卡憑證將成為新趨勢。
 
二、淺談現代密碼學
2.1密碼系統的作法
雜湊函數(MD5：128位元、SHA/SHA-1：160位元)，對稱式加密運算法則(加密、解密使用同一把密鑰Key)，非對稱式加密運算法則(加密、解密使用不同金鑰Key) 。PKI功能的確立則是基於以下的技術： 以現代密碼學為基礎的加解密技術、CA技術、數位簽章技術、數位信封技術。
2.2公開金鑰密碼系統之特性
密碼學上所謂金鑰（Key）指的是一組經由特殊方法產生的數字，公開金鑰密碼所使用的金鑰分為公鑰與私鑰兩種，公鑰對外公開，私鑰私密保存；每一對公鑰與私鑰都是唯一成對的，任何兩對金鑰對不會共用同一把公鑰或私鑰，具有唯一對應特性，利用某一把公鑰編碼過的資料唯有利用與其成對的私鑰才能解碼，利用某一把私鑰編碼過的資料唯有利用與其成對的公鑰才能解碼，公鑰與私鑰雖然具有數學上的對應關係，但其產生方法是不可逆的，即在實務上無法由公鑰推算得到其相對應的私鑰，具備安全特性。
2.3公開金鑰之運作
數位信封，利用某一把公鑰編碼過的資料唯有利用其相對應的私鑰才能解碼，而數位簽章，利用某一把私鑰編碼過的資料唯有利用其相對應的公鑰才能解碼。
2.4安全需求
(1)資料完整性（Integrity）：交易雙方透過數位簽章之驗證可確保交易資料的完整性，避免被竄改。
(2)資料來源辨識（Authentication）：交易雙方可確認交易傳送方的身分，避免被冒名傳送假資料。
(3)資料穩密性（Confidentiality）：交易資料可使用金鑰予以加密，以達到保密的安全功效。
(4)不可否認性（Non-repudiation）交易資料加蓋傳送方之數位簽章，具有法律效力，經接收方查驗確認後，即無法否認發送此交易的事實，可保障交易雙方，避免發生交易糾紛。
 
三、PKI(公開金鑰架構)介紹
3.1PKI組成架構
公開金鑰基礎建設（Public Key Infrastructure, PKI）係運用公開金鑰及電子憑證以確保網路交易的安全性及確認交易對方身分之機制。公開金鑰基礎建設係以網路認證之信任機制為基礎，交易雙方相互地信任其認證機構，搭配金鑰對之產製及數位簽章等功能，即可經由其認證機構核發之電子憑證確認彼此的身分，並提供資料完整性、資料來源辨識、資料隱密性、不可否認性等四種重要的安全保障。
PKI是以公私鑰密碼技術為基礎而衍生的資訊安全環境，其中組成架構，包含CA憑證機構(Certificate Authority)、RA註冊中心(Register Authority)、DS目錄服務(Directory Service)等。
 
(1)RA-註冊管理系統 (Registration Authority)
RA指前端註冊管理中心（Registration Authority），負責執行憑證申請、廢止及資料審核等作業，透過資料庫比對、臨櫃或書面資料審核等方式進行身分認證，以核發憑證。包含：RA : 註冊管理系統、RAO : 註冊管理操作員(Operator)、DS : 目錄伺服器 ( Directory Server )。
RA註冊中心主要任務：其中RA Server主要任務為轉送憑證申請訊息給CA、轉送憑證註銷訊息給CA、憑證到期通知發送、電腦機器安全及管理、列印寄發開卡密碼單、稽核RA client 是否有異常核發、憑證之情事、緊急應變處理 RA資料之備份，而RA Client主要任務為受理憑證申請、受理憑證註銷申請、驗證身份文件以識別憑證、申請者之身份、同意憑證。
 
(2)CA-憑證管理系統(CA- Certificate Authentication Server)：
CA指憑證管理中心（Certification Authority），負責執行憑證簽發、廢止、管理等核心作業，以及將簽發之憑證資料及憑證廢止清冊（Certificate Revocation List, CRL）公佈於目錄伺服器，以供外界查詢及下載。
憑證管理系統功能：憑證申請、憑證變更、憑證查詢、憑證展期功能、憑證中止作業、憑證下載功能、密碼變更、認證中心變更公鑰、廢止清單功能、系統設定作業、系統管理作業 ..等。
 
3.2PKI運作
(1)PKI架構的"金鑰對(Key pair)
PKI包含「公鑰」(Public Key)與「私鑰」(Private Key)，後者由「使用者」持有，公私鑰具有相對應的數位密碼，其中一支對訊息加密，另一則作為解密用途。
使用者在RA註冊申請憑證後，由CA發出憑證並公佈於DS中，憑證如同個人電子護照，其內容包括了序號、使用者名稱、公鑰等資訊。目前私鑰儲存的方式則有磁碟片、硬碟、智慧卡（Smart Card）等。
公開金鑰（Public Key）為一組電腦數字，經為認證機構（CA）認證後，放置於所發給的電子憑證內，可公諸大眾作為驗證私密金鑰的憑據。私密金鑰（電子印章，Private Key）為一組電腦數字，儲存時由客戶設定密碼予以保護，並由客戶自行妥善保管，不可洩漏他人，可與公開金鑰互相驗證，客戶以私密金鑰對電子資料壓蓋數位簽章。
(2)電子憑證（Electronic Certificate）
又稱電子印鑑證明，全名為公開金鑰電子憑證，其內容包括：憑證序號、客戶代號或名稱、公開金鑰、憑證有效期限、認證機構單位名稱及認證機構之數位簽章等。認證機構驗證客戶之身分與其公開金鑰後，發給電子憑證作為其公開金鑰的有效證明依據。電子憑證內容包含金鑰擁有人之基本資料及公開金鑰，並以認證中心之數位簽章保護、防止偽造及竄改。
(3)數位簽章（Digital Signature）
類似手寫簽名或蓋章，係以非對稱性之金鑰對演算法來達成，經由電腦程式將私密金鑰（電子印章）及將原網路交易訊息濃縮成訊息摘要予以運算，即可得出數位簽章，表示同意進行此網路交易，數位簽章賦予電子通訊之安全性，而提供如同書面文件簽名的法律效力。
(4)電子簽章（Electronic Signature）
是指以電子形式存在，依附在電子文件並與其邏輯相關，可用以辨識電子文件簽署者身分及表示簽署者同意電子文件內容。數位簽章（Digital Signature）則是專指以公開金鑰及私密金鑰之「非對稱型」密碼技術製作的電子簽章。
(5)簽章過程
將交易資料利用某種數學方程式(雜湊演算法)轉換為訊息摘要，再利用「私密金鑰(電子印章)」對訊息摘要進行亂碼化運算即可得到此筆交易資料之「數位簽章」。
所使用之雜湊演算法具備「單向不可逆運算」之特性，僅能由交易資料推算出訊息摘要，而無法由訊息摘要反向推算出交易資料之內容，因此交易資料與訊息摘要之內容具有關聯性，且不同之交易資料內容不會運算出相同之訊息摘要，可以將訊息摘要視為精簡版之交易資料特徵。
亂碼化運算是一個相當複雜之運算過程，由於其破解困難度非常高，只要私密金鑰(相當於電子印章)不外洩，他人即無法偽造代表交易資料之數位簽章，因此，數位簽章即可達到傳統印章之身分識別功能。
(6)驗證簽章過程
當網路上交易或資訊對方收到交易資料及數位簽章後，依其接收之交易資料經雜湊運算產生訊息摘要，利用私密金鑰配對之公開金鑰可將數位簽章以亂碼化運算還原為原來的訊息摘要，比對二個訊息摘要，若兩者相同即表示交易資料或數位簽章正確無誤。
公開金鑰與私密金鑰具有配對關係，經某私密金鑰簽章之資料，只能由其配對之公開金鑰才能正確完成驗證。
 
四、IC卡(Smart Card)介紹
4.1PKI與智慧卡(Smart Card)關連
目前私鑰儲存方式則有磁碟片、硬碟及 「智慧卡(Smart Card)」等，探討PKI應用Smart Card卡的趨勢不可擋。智慧卡相對於磁片或硬碟具有下列優點：可攜帶性(portability)、不易受攻擊(vulnerable)、不易受盜複製(copy)、資料內容不易損壞(crash)、延伸服務(bundling)
4.2智慧卡（Smart Card）IC卡片種類
目前半導體封裝技術成熟，因此可以藉著IC 提高儲存容量，若內建微處理器還可以增加資料處理能力，更可以提供多種層次的密碼保護。IC 卡就是在塑膠卡片上裝置積體電路（IC ）。IC 卡上的IC 可以包含記憶體與微處理機；因此IC 卡除了儲存資料還具有處理資料的能力。
IC 卡依照其封裝的IC 可分成兩大類；在IC 中只有記憶體的稱為記憶卡（Memory Card ），IC 中有微處理機的卡，因其具有資料處理的能力，又叫做主動卡（Active Card ）。主動式卡(active card)：此種卡片上具電池動力。有了電池Smart card有如一微小電腦，可進行複雜的運算，因此大大增強安全性及功能。被動式卡(passive card)：目前所使用Smart card大部份是屬不含電池被動式卡可細分為：接觸式(contact card)，非接觸式(contactless card)和混合式(同時含contact及contactless兩種介面)，混合式可再細分為：Combi-card (卡上只有一顆晶片，contact及contactless兩種介面共用)，Hybrid-card (卡上有兩顆晶片，contact及contactless兩種介面分別獨立使用)。例如 悠遊卡：非接觸式IC卡，健保卡：接觸式IC卡
4.3IC卡的主要優點
(1)IC 卡的資料可重複多次的寫入或更新，使其應用領域廣，具有發展為多目的、多功能卡的潛力。
(2)具備CPU：可執行各種邏輯運算，利用CPU 的指令組合成各種不同功能。
(3)資料控管功能：利用CPU 的邏輯運算能力，使檔案各具不同屬性、達到多層資料存取控制功能。
(4)安全性高：利用CPU 的指令實現所想要的各種安全演算法，達到安全無慮的要求。可執行驗證、認證等演算法，確認使用者、傳輸資料及介面裝置（讀寫機）的正確性。執行加密、解密等演算法達到安全通訊的目的。執行電子簽章演算法，達到交易保證功能。
(5)安全性高不易偽造：IC 卡從製造到發卡的過程相當嚴謹；且IC 卡是屬高科技的產品，一般人能偽造的機會不高，且其內部資料也是層層保護不易竊讀。
4.4智慧卡(Smart Card)-IC卡片應用於PKI
因IC卡功能具備儲存金鑰的功能、具備運算功能、具備硬體亂數產生器、具備電子簽章功能、可儲存電子憑證及使用者資料…等功能特性
採用智慧卡好處 ( 智慧卡VS磁片或硬碟 )具備可攜帶性(portability)、不易受攻擊(vulnerable)、不易受盜複製(copy)、資料內容不易損壞(crash)、延伸服務(bundling)。
 
五、晶片卡憑證新趨勢
電子憑證機制才是保障網路安全的最佳武器，隨著晶片卡憑證應用，將是未來應用的新趨勢，利用IC 卡特性，保護個人的憑證資料，增加系統的安全功能。對於使用者憑證的管理則採用IC 卡作為管理與儲存的工具。將用戶憑證儲存在IC 卡中，提供周全的保密措施，免去使用者保管憑證的麻煩，公開金鑰的系統可以應用更廣範圍，例如電子商務、電子資料交換…等，帶來更方便、更安全的網路環境，兼顧安全與便利之電子商務交易需求。

除了伺服器虛擬化及整合之外，其次常用的資料中心能源降低技術是使用具能源效率的CPU，有28%的受訪者表示這是他們認為可以降低能源消耗的兩種技術中的其中一項。而下列項目亦為受訪者所表示正計畫採行、或目前正進行實作的可能解決方案，包括：以較高能源效率的設備來取代舊式設備(44%)、回收棄置的硬體元件(39%)、監控能源消耗(38%)，以及減少伺服器使用的空間(37%)。

微軟在2005年推出名為Windows Server 2003 Compute Cluster Edition的新產品，旨在集結多台低階伺服器為一叢集，讓原本亟需高階伺服器才能處理的工作，特別是對處理器資源耗損甚鉅的作業，亦能透過低階伺服器叢集來運行；而伴隨此項訴諸運算叢集功能意涵的產品入列，連帶致使微軟叢集解決方案的供輸陣容趨於完備。

IT整合（IT Consolidation）定義，可分為5個項目，即包括集中化（Centralization）、實體整合（Physical Consolidation）、儲存整合（Storage Consolidation）、資料整合（Data Integration）及應用整合（Application Integration），而這5項定義之先後次序的串連，亦構成IT整合的流程步驟。

2008年執行MAP提供Microsoft進行分析及參考。

伺服器整合：五大廠商迷思
Meta集團分析師：Philip Dawson‧陳奭璁
 
歷年來，廠商總是誇口伺服器整合的好處多多，分析師亦是如此。但我們的研究顯示許多整合專案其實都有過度整合跡象，使得ROI(投資報酬率)出現負面效應，或造成成本的增加。IT部門對於整合節省應有正確的認識，看穿廠商的自利說法，達成真正的整體擁有成本(TCO)節省。

Meta趨勢：在2006年前，非大型主機(non-mainframe)基礎建設整合將由以價值為基礎的組合管理原則所驅動，但會因工具不成熟、高價高階伺服器、軟體價格太過僵硬、收費政策等問題而受到影響。基礎建設代管與網路儲存整合將在2004/05年間成為標準。最佳作法的基礎建設成本效益將由有效的軟體資產、廠商管理、支援成本控管與伺服器/儲存更新週期的延伸來加以定義。不過，成熟的伺服器分割與整合負載管理將對員工數與整體擁有成本影響不大。再加上過高的高階伺服器定器，這些議題將會阻礙了「大型主機」(big box)整合。

在2010年前，伺服器合理化(rationalization)的效益將遠超過伺服器整合，因為減少類別將會比減少數量更能降低成本。若IT部門(ITOs)不願降低複雜度，則整合專案僅會變成浪費錢的失敗案例。整合本身並非一個大主機技術現象，或功能全集。而是整個IT計畫中的一連串流程或步驟，並透過資源管理工具來增加效率與技能最佳化。雖然IBM、HP、Sun等主要IT大廠都信誓旦旦只要把整合交給他們執行就萬事OK，但我們還是得質疑這樣的說法。因為在整合過程中，廠商只會希望多賣出一些東些，少做一點事，或者增加更多軟硬體及服務，或以上皆是。

我們建議伺服器合理化的作法是降低複雜度，對於複雜利基(niche)/老舊的工作量必須加以瞭解、汰換或委外處理。或者直接移植到主流的平台上。從另一個角度來看，廠商會認為伺服器合理化就是趁機把別家產品改成我家產品的最好時機，這不是合理化，而是廠商更換而已。伺服器合理化可提供所有整合作法中最大的成本效益，減少利基/老舊平台的複雜度。

為了讓企業能更加瞭解整合的商業效應與潛在的成本節省，我們點出整合案例中常見的五大廠商迷思。IT部門可藉此瞭解廠商究竟只是要換掉別家的產品，還是有提供貴公司完整的IT整合方案。

迷思#1：整合=TCO節省

企業之所以進行伺服器整合是因為看中平台或營運的成本節省效益。但在考慮整合案例研究時，請不要拿蘋果跟橘子相比。許多整合案例研究的TCO效益並非僅靠整合就能達成，而是把舊版更新為新產品、把原本沒有管理的伺服器納入管理之中，以及整合環境中使用分散式環境。

若拿三年前的分散式Intel四顆Pentium Pro/微軟NT3.5伺服器機房來跟一個全新且有統一管理的Unix/RISC平台相比，這就不是公平的TCO比較。廠商往往喜歡宣稱使用面積的縮減與伺服器管理效益可達數倍。若客戶拿同樣的NT伺服器與新的Intel Xeon單一處理器Windows 2003伺服器相比，也可出現同樣的效益，根本連平台或架構的變更都不需要。

迷思#2：單一機器(大型主機伺服器)就可大小通吃

資源管理與分配過去一直是系統管理中控台中的功能之一，這是與大型主機平台相關的單一管理位置。現在資源管理則應該被視為所有平台的服務，不管新舊。刀鋒伺服器可考慮用在Web用途與部分應用上，但他們還是需要使用ARM工具。這些工具可改善系統管理比率，而非整合本身。16台管理機架式伺服器所能達成的整合效益跟單一大型主機解決方案的16個分割相同，前者的硬體成本甚至更低。僅有不到10%的資料庫工作量會需要用到大型主機的彈性與擴充性。大型主機解決方案不應該被視為是所有工作負載的整合平台，或當作通用工作負載或應用整合的平台。

迷思#3：單一廠商/作業系統可搞定一切

IT部門有可能會過度整合在同一家廠商的技術上。若某IT部門考慮將所有業務委外，這倒是無妨，但在大多數情況下並非如此。在所有的基礎建設服務中(伺服器、儲存、資料庫)，我們認為採用兩家廠商的策略最適宜。第一線或第二線廠商都可接受，但我們絕不相信有哪些伺服器廠商可對所有服務都全面領先。即使某家廠商真的有那麼厲害還是不宜僅靠一家廠商，因為企業雖然在短期內可獲得折扣，但長旗下來，僅靠一家廠商將降低客戶的談判籌碼。我們也強烈建議將作業系統作整合。所有新的Web或應用伺服器可採取兩套作業系統策略(Windows與Linux)；而DBMS平台的合理化則可採最高四種平台(大型主機、Unix、Windows與Linux)，這將有助於未來的組合合理化。隨著Linux在DBMS工作負載日趨成熟(2005/06)，企業可考慮將Unix與老舊OS負載逐漸轉移至Linux上。

迷思#4：伺服器虛擬化效益

由於現行平台效能之強大，市場都將重點放在虛擬化工作負載可增加平台使用率。在Intel x86平台上，VMware/EMC與微軟自家的Virtual Server都提供可增加使用率的工具。這些工具在測試與開發環境都相當好用，現在也逐漸用在生產方面。不過，由於硬體價格將持續下滑，虛擬軟體授權的價格未來有可能比添購一台刀鋒伺服器還貴，從資產與營運觀點來看，要分配一台刀鋒實在容易多了。我們的研究顯示，虛擬工具都能跟ARM工具搭配得不錯，但若要進一步評估虛擬工具與單獨部署ARM工具的效益則有困難，我們建議先部署ARM工具，但後再將刀鋒與虛擬工具軟體來進行硬體層的虛擬化。這可增加系統管理比率與所需工作量的使用。

迷思#5：企業可完全不用微軟產品

最大的迷思是伺服器整合後，IT部門就可把微軟掃出門。IT部門或許可減少一些微軟的檔案列印或基礎建設伺服器，但若IT部門有採用.Net應用、有部署Active Directory，或有SQL Server或Exchange軟體，那麼微軟的伺服器OS就少不了。這對95%的IT部門都是如此，老舊的微軟平台最適合當作伺服器整合的對象，但企業應優先考慮轉移至新的管理微軟平台，等而次之才考慮其他OS，因為前者的工具參考與環境都會比Linux/開放原始碼環境來得更受市場肯定。
http://fedora.tw/modules/news/article.php?storyid=49

重點：IT部門對於伺服器廠商的整合作法與預期應抱持務實態度，他們應該拋棄廠商一面倒的說詞，在比較個案研究上，更應以蘋果對蘋果的相同基礎來作比較。

商業影響：產品組合合理化所達成的節省效益最大，而非伺服器平台的整合。