課件16 第8章 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施
《課件16 第8章 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施》由會(huì)員分享,可在線閱讀,更多相關(guān)《課件16 第8章 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施(55頁(yè)珍藏版)》請(qǐng)?jiān)谘b配圖網(wǎng)上搜索。
1、第第8 8章章 網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施網(wǎng)絡(luò)安全基礎(chǔ)設(shè)施 PKI的組件的組件 PKI信任框架信任框架 認(rèn)證標(biāo)準(zhǔn)與認(rèn)證過(guò)程認(rèn)證標(biāo)準(zhǔn)與認(rèn)證過(guò)程 PMI介紹介紹 PKI的組件的組件 PKI信任框架信任框架 認(rèn)證標(biāo)準(zhǔn)與認(rèn)證過(guò)程認(rèn)證標(biāo)準(zhǔn)與認(rèn)證過(guò)程 PMI介紹介紹 數(shù)字證書(shū) 證書(shū)簽發(fā)機(jī)構(gòu)(CA)注冊(cè)權(quán)威機(jī)構(gòu)(RA)證書(shū)管理協(xié)議 證書(shū)的注銷 目錄服務(wù)與證書(shū)存儲(chǔ)庫(kù) 時(shí)間戳頒發(fā)機(jī)構(gòu) 目前使用的是目前使用的是X509 v3X509 v3標(biāo)準(zhǔn)的證書(shū)樣式。證書(shū)標(biāo)準(zhǔn)的確標(biāo)準(zhǔn)的證書(shū)樣式。證書(shū)標(biāo)準(zhǔn)的確定經(jīng)歷了一個(gè)較長(zhǎng)的過(guò)程。早在定經(jīng)歷了一個(gè)較長(zhǎng)的過(guò)程。早在19881988年,年,ISO/IEC/ITU ISO/IEC/ITU 95
2、94-89594-8發(fā)布了發(fā)布了X509 v1X509 v1證書(shū)標(biāo)準(zhǔn),到證書(shū)標(biāo)準(zhǔn),到19931993年又修訂為年又修訂為X509 v2X509 v2,同年,同年,InternetInternet增強(qiáng)型私用電子郵件小組增強(qiáng)型私用電子郵件小組(PEMPEM)發(fā)布了基于發(fā)布了基于X509 v1X509 v1證書(shū)的證書(shū)的PKIPKI規(guī)范,針對(duì)該標(biāo)規(guī)范,針對(duì)該標(biāo)準(zhǔn)中的不足,準(zhǔn)中的不足,ISO/IEC/ITUISO/IEC/ITU和和ANSI X9ANSI X9小組在小組在19961996年年6 6月正月正式發(fā)布了式發(fā)布了X509 v3X509 v3的標(biāo)準(zhǔn)證書(shū)格式,的標(biāo)準(zhǔn)證書(shū)格式,PKIXPKIX小組以此
3、為標(biāo)小組以此為標(biāo)準(zhǔn)創(chuàng)建了準(zhǔn)創(chuàng)建了InternetInternet上的配置文件。上的配置文件。證書(shū)簽發(fā)機(jī)構(gòu)(證書(shū)簽發(fā)機(jī)構(gòu)(CACA)是公鑰基礎(chǔ)設(shè)施中受信任的第三方實(shí)是公鑰基礎(chǔ)設(shè)施中受信任的第三方實(shí)體,體,CACA負(fù)責(zé)向主體發(fā)行證書(shū),并通過(guò)主體親自簽署的證書(shū)負(fù)責(zé)向主體發(fā)行證書(shū),并通過(guò)主體親自簽署的證書(shū)表明主體的身份和主體使用的公開(kāi)密鑰的真實(shí)性,這在使表明主體的身份和主體使用的公開(kāi)密鑰的真實(shí)性,這在使用公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)環(huán)境中是至關(guān)重要的措施。用公鑰基礎(chǔ)設(shè)施的網(wǎng)絡(luò)環(huán)境中是至關(guān)重要的措施。CACA是實(shí)是實(shí)現(xiàn)現(xiàn)PKIPKI的核心組件,負(fù)責(zé)證書(shū)的發(fā)行、注銷、更新和續(xù)用的核心組件,負(fù)責(zé)證書(shū)的發(fā)行、注銷、更新
4、和續(xù)用等管理任務(wù),證書(shū)與等管理任務(wù),證書(shū)與CRLCRL的發(fā)布、以及圍繞證書(shū)的簽發(fā)與的發(fā)布、以及圍繞證書(shū)的簽發(fā)與維護(hù)管理過(guò)程中的事件的日志工作。維護(hù)管理過(guò)程中的事件的日志工作。在某些實(shí)現(xiàn)中,在某些實(shí)現(xiàn)中,CACA將某些責(zé)任委派給注冊(cè)權(quán)威機(jī)構(gòu)將某些責(zé)任委派給注冊(cè)權(quán)威機(jī)構(gòu)RARA(Registry AuthorityRegistry Authority)擔(dān)負(fù)。根據(jù)擔(dān)負(fù)。根據(jù)RFC 2510RFC 2510的的InternetInternet公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議(CMPCertificate CMPCertificate Management Protocols)Manag
5、ement Protocols)規(guī)定的規(guī)定的RARA功能包括個(gè)人認(rèn)證、令功能包括個(gè)人認(rèn)證、令牌分發(fā)、注銷報(bào)告、名稱指定、密鑰生成、存儲(chǔ)密鑰對(duì)等牌分發(fā)、注銷報(bào)告、名稱指定、密鑰生成、存儲(chǔ)密鑰對(duì)等內(nèi)容,在多數(shù)情況下,內(nèi)容,在多數(shù)情況下,RARA負(fù)責(zé)在證書(shū)登記過(guò)程中核實(shí)證書(shū)負(fù)責(zé)在證書(shū)登記過(guò)程中核實(shí)證書(shū)申請(qǐng)者的身份。申請(qǐng)者的身份。證書(shū)管理協(xié)議包括公鑰加密系統(tǒng)標(biāo)準(zhǔn)證書(shū)管理協(xié)議包括公鑰加密系統(tǒng)標(biāo)準(zhǔn)PKCSPKCS、證書(shū)管理協(xié)議證書(shū)管理協(xié)議CMPCMP和證書(shū)管理消息和證書(shū)管理消息CMCCMC等協(xié)議,這幾個(gè)證書(shū)管理協(xié)議定義等協(xié)議,這幾個(gè)證書(shū)管理協(xié)議定義了證書(shū)登記的某些細(xì)節(jié)(如加密算法),在某些情況下,了證書(shū)登
6、記的某些細(xì)節(jié)(如加密算法),在某些情況下,這些協(xié)議也有助于定義證書(shū)注銷過(guò)程,有一些供應(yīng)商甚至這些協(xié)議也有助于定義證書(shū)注銷過(guò)程,有一些供應(yīng)商甚至提供了諸如密鑰恢復(fù)和證書(shū)自動(dòng)續(xù)用等附加能力,更加擴(kuò)提供了諸如密鑰恢復(fù)和證書(shū)自動(dòng)續(xù)用等附加能力,更加擴(kuò)展了這些協(xié)議的作用。展了這些協(xié)議的作用。公鑰加密系統(tǒng)標(biāo)準(zhǔn)公鑰加密系統(tǒng)標(biāo)準(zhǔn)PKCSPKCS 證書(shū)管理協(xié)議證書(shū)管理協(xié)議CMPCMP 證書(shū)管理消息證書(shū)管理消息CMCCMC 公鑰加密系統(tǒng)標(biāo)準(zhǔn)公鑰加密系統(tǒng)標(biāo)準(zhǔn)PKCSPKCS(Public Key Cryptographic Public Key Cryptographic StandardsStandards)是由
7、是由RSA SecurityRSA Security開(kāi)發(fā)的一組標(biāo)準(zhǔn)協(xié)議,用開(kāi)發(fā)的一組標(biāo)準(zhǔn)協(xié)議,用以定義安全信息交換的方法。這一族協(xié)議的編號(hào)為從以定義安全信息交換的方法。這一族協(xié)議的編號(hào)為從PKCS PKCS#1#1到到PKCS#15PKCS#15,其中除其中除PKCS#13PKCS#13和和PKCS#14PKCS#14是已提交待批是已提交待批的標(biāo)準(zhǔn)外,其他幾個(gè)標(biāo)準(zhǔn)都已經(jīng)正式發(fā)布,而的標(biāo)準(zhǔn)外,其他幾個(gè)標(biāo)準(zhǔn)都已經(jīng)正式發(fā)布,而PKCS#2PKCS#2和和PKCS#4PKCS#4兩個(gè)協(xié)議都包含在兩個(gè)協(xié)議都包含在PKCS#1PKCS#1中。中。證書(shū)管理協(xié)議證書(shū)管理協(xié)議CMP(Certificate Ma
8、nagement Protocol)CMP(Certificate Management Protocol)是是由由PKIXPKIX工作組根據(jù)工作組根據(jù)RFC2510RFC2510(Internet Internet 公鑰基礎(chǔ)設(shè)施證書(shū)公鑰基礎(chǔ)設(shè)施證書(shū)管理協(xié)議)和管理協(xié)議)和RFC2511RFC2511(InternetInternet公鑰基礎(chǔ)設(shè)施證書(shū)請(qǐng)求公鑰基礎(chǔ)設(shè)施證書(shū)請(qǐng)求管理框架)兩個(gè)標(biāo)準(zhǔn)而制定的。在處理證書(shū)的請(qǐng)求和響應(yīng)管理框架)兩個(gè)標(biāo)準(zhǔn)而制定的。在處理證書(shū)的請(qǐng)求和響應(yīng)消息方面可替代消息方面可替代PKCSPKCS中相應(yīng)協(xié)議。中相應(yīng)協(xié)議。CMPCMP協(xié)議的功能比較強(qiáng),協(xié)議的功能比較強(qiáng),可以支持
9、許多不同的證書(shū)管理功能,如交叉證明的請(qǐng)求與可以支持許多不同的證書(shū)管理功能,如交叉證明的請(qǐng)求與響應(yīng)消息,注銷證書(shū)的請(qǐng)求和響應(yīng)消息,恢復(fù)密鑰的請(qǐng)求響應(yīng)消息,注銷證書(shū)的請(qǐng)求和響應(yīng)消息,恢復(fù)密鑰的請(qǐng)求與響應(yīng)消息,以及證書(shū)和與響應(yīng)消息,以及證書(shū)和CRLCRL的分發(fā)消息等。雖然的分發(fā)消息等。雖然CMPCMP的功的功能豐富,而且也得到了很多能豐富,而且也得到了很多CACA產(chǎn)品的支持,但在同產(chǎn)品的支持,但在同CACA交互交互的應(yīng)用程序和設(shè)備中,的應(yīng)用程序和設(shè)備中,CMPCMP協(xié)議并未得到廣泛的支持。協(xié)議并未得到廣泛的支持。CMPCMP的大而全與復(fù)雜性在一定程度上影響了的大而全與復(fù)雜性在一定程度上影響了CMPC
10、MP的推廣應(yīng)用。的推廣應(yīng)用。為了替代為了替代CMPCMP,PKIXPKIX工作組又發(fā)布了基于加密系統(tǒng)消息語(yǔ)工作組又發(fā)布了基于加密系統(tǒng)消息語(yǔ)法的證書(shū)管理消息協(xié)議法的證書(shū)管理消息協(xié)議CMC(Certificate Management CMC(Certificate Management Messages over CMS)Messages over CMS),該協(xié)議的總體目標(biāo)是在保持簡(jiǎn)潔性該協(xié)議的總體目標(biāo)是在保持簡(jiǎn)潔性的同時(shí),提供高級(jí)證書(shū)管理功能,并且能夠支持廣泛使用的同時(shí),提供高級(jí)證書(shū)管理功能,并且能夠支持廣泛使用的的PKCSPKCS協(xié)議族。在協(xié)議族。在CMCCMC中,使用中,使用PKCS#1
11、0PKCS#10處理證書(shū)請(qǐng)求消處理證書(shū)請(qǐng)求消息,使用息,使用PKCS#7PKCS#7處理證書(shū)的響應(yīng)消息。處理證書(shū)的響應(yīng)消息。CMCCMC還引用還引用RFC2511RFC2511來(lái)支持由來(lái)支持由CMPCMP定義的更高級(jí)的證書(shū)請(qǐng)求格式。定義的更高級(jí)的證書(shū)請(qǐng)求格式。負(fù)責(zé)證書(shū)注銷功能的系統(tǒng)是負(fù)責(zé)證書(shū)注銷功能的系統(tǒng)是PKIPKI的一個(gè)重要組件。的一個(gè)重要組件。在有的情況下,一個(gè)證書(shū)的繼續(xù)存在會(huì)對(duì)主體或在有的情況下,一個(gè)證書(shū)的繼續(xù)存在會(huì)對(duì)主體或單位的信息安全造成威脅單位的信息安全造成威脅.注銷證書(shū)的管理注銷證書(shū)的管理 實(shí)時(shí)證書(shū)注銷檢測(cè)實(shí)時(shí)證書(shū)注銷檢測(cè) 一個(gè)證書(shū)一旦被注銷,就要為其建立一張證書(shū)注銷表一個(gè)證書(shū)
12、一旦被注銷,就要為其建立一張證書(shū)注銷表CRLCRL(Certificate Revocation ListCertificate Revocation List)。)。證書(shū)注銷系統(tǒng)要負(fù)證書(shū)注銷系統(tǒng)要負(fù)責(zé)為被注銷的證書(shū)創(chuàng)建和維護(hù)一張及時(shí)更新的責(zé)為被注銷的證書(shū)創(chuàng)建和維護(hù)一張及時(shí)更新的CRLCRL,并把并把它放入它放入CRLCRL列表內(nèi),當(dāng)一個(gè)用戶需要使用某證書(shū)時(shí),首先列表內(nèi),當(dāng)一個(gè)用戶需要使用某證書(shū)時(shí),首先應(yīng)該檢查該證書(shū)是否在應(yīng)該檢查該證書(shū)是否在CRLCRL列表中,列表中,CRLCRL一般用目錄系統(tǒng)的一般用目錄系統(tǒng)的形式存放在公共存儲(chǔ)庫(kù)中。一個(gè)證書(shū)一旦被注銷,就要為形式存放在公共存儲(chǔ)庫(kù)中。一個(gè)證書(shū)
13、一旦被注銷,就要為其建立一張證書(shū)注銷表其建立一張證書(shū)注銷表CRLCRL(Certificate Revocation Certificate Revocation ListList)。)。對(duì)于某些涉及高敏感級(jí)數(shù)據(jù)(如公司之間往來(lái)的財(cái)務(wù)數(shù)據(jù))對(duì)于某些涉及高敏感級(jí)數(shù)據(jù)(如公司之間往來(lái)的財(cái)務(wù)數(shù)據(jù))的的PKIPKI設(shè)施,注銷證書(shū)和使該注銷生效之間是不允許有時(shí)設(shè)施,注銷證書(shū)和使該注銷生效之間是不允許有時(shí)間間隔的。如果一個(gè)被注銷的證書(shū)不能立刻失去效用,就間間隔的。如果一個(gè)被注銷的證書(shū)不能立刻失去效用,就有可能被惡意用戶再次利用。有可能被惡意用戶再次利用。關(guān)鍵問(wèn)題是能夠讓用戶及時(shí)查詢證書(shū)當(dāng)前的狀態(tài)(有效關(guān)鍵
14、問(wèn)題是能夠讓用戶及時(shí)查詢證書(shū)當(dāng)前的狀態(tài)(有效/注銷),在線證書(shū)狀態(tài)協(xié)議注銷),在線證書(shū)狀態(tài)協(xié)議OCSP(Online Certificate OCSP(Online Certificate Status Protocol)Status Protocol)就是解決這一問(wèn)題的一種實(shí)時(shí)證書(shū)注銷就是解決這一問(wèn)題的一種實(shí)時(shí)證書(shū)注銷檢查機(jī)制。終端實(shí)體向檢查機(jī)制。終端實(shí)體向OSCPOSCP響應(yīng)程序發(fā)出證書(shū)狀態(tài)查詢請(qǐng)響應(yīng)程序發(fā)出證書(shū)狀態(tài)查詢請(qǐng)求,求,OCSPOCSP響應(yīng)程序?qū)Σ樵冋?qǐng)求將給出證書(shū)是否處于注銷狀響應(yīng)程序?qū)Σ樵冋?qǐng)求將給出證書(shū)是否處于注銷狀態(tài)的回答,在回答返回給終端之前,證書(shū)是不能被使用的。態(tài)的回答,
15、在回答返回給終端之前,證書(shū)是不能被使用的。OCSPOCSP響應(yīng)程序通常作為一種由響應(yīng)程序通常作為一種由CACA提供的或被提供的或被CACA委派的服務(wù)委派的服務(wù)的形式提供。的形式提供。證書(shū)和證書(shū)和CRLCRL是一種經(jīng)常受到用戶查詢的電子文檔,需要采是一種經(jīng)常受到用戶查詢的電子文檔,需要采用適當(dāng)?shù)男问竭M(jìn)行存儲(chǔ)與管理。雖然利用電子郵件也可以用適當(dāng)?shù)男问竭M(jìn)行存儲(chǔ)與管理。雖然利用電子郵件也可以完成完成CACA與用戶之間的證書(shū)與與用戶之間的證書(shū)與CRLCRL交換,而且也是一種簡(jiǎn)單交換,而且也是一種簡(jiǎn)單可行的方案,但是當(dāng)涉及的證書(shū)數(shù)量很大(成千上萬(wàn))的可行的方案,但是當(dāng)涉及的證書(shū)數(shù)量很大(成千上萬(wàn))的時(shí)候,
16、這種方式的負(fù)擔(dān)會(huì)很重,并且不能滿足終端直接檢時(shí)候,這種方式的負(fù)擔(dān)會(huì)很重,并且不能滿足終端直接檢索證書(shū)與索證書(shū)與CRLCRL的要求。的要求。比較常用的方法是把證書(shū)與比較常用的方法是把證書(shū)與CRLCRL集中存放在連網(wǎng)的證書(shū)存集中存放在連網(wǎng)的證書(shū)存儲(chǔ)庫(kù)中,這樣就可以支持所有終端用戶與儲(chǔ)庫(kù)中,這樣就可以支持所有終端用戶與CACA可隨時(shí)訪問(wèn)證可隨時(shí)訪問(wèn)證書(shū)庫(kù)的要求。但需要為證書(shū)存儲(chǔ)庫(kù)定義良好的存儲(chǔ)結(jié)構(gòu)和書(shū)庫(kù)的要求。但需要為證書(shū)存儲(chǔ)庫(kù)定義良好的存儲(chǔ)結(jié)構(gòu)和訪問(wèn)協(xié)議。訪問(wèn)協(xié)議。PKIPKI利用證書(shū)機(jī)制保護(hù)網(wǎng)絡(luò)用戶間交換信息的保密性,利利用證書(shū)機(jī)制保護(hù)網(wǎng)絡(luò)用戶間交換信息的保密性,利用數(shù)字簽名可以保證數(shù)據(jù)的來(lái)源認(rèn)
17、證和數(shù)據(jù)的完整性。為用數(shù)字簽名可以保證數(shù)據(jù)的來(lái)源認(rèn)證和數(shù)據(jù)的完整性。為了保證通信雙方都不能否認(rèn)自己已經(jīng)做過(guò)的事情,了保證通信雙方都不能否認(rèn)自己已經(jīng)做過(guò)的事情,PKIPKI還還必須提供不可抵賴服務(wù)。實(shí)現(xiàn)不可抵賴服務(wù)服務(wù),除了數(shù)必須提供不可抵賴服務(wù)。實(shí)現(xiàn)不可抵賴服務(wù)服務(wù),除了數(shù)字簽名機(jī)制外,還要幾種附加組件字簽名機(jī)制外,還要幾種附加組件 其一是提供某種形式的數(shù)字收條,其一是提供某種形式的數(shù)字收條,S/MIME v3S/MIME v3支持使用數(shù)支持使用數(shù)字簽名的收條;字簽名的收條;其二是提供時(shí)間戳服務(wù),防止否認(rèn)接收方對(duì)所接收信息的其二是提供時(shí)間戳服務(wù),防止否認(rèn)接收方對(duì)所接收信息的時(shí)間的否認(rèn)。時(shí)間的否
18、認(rèn)。在數(shù)字簽名中附加時(shí)間戳還可以防止網(wǎng)絡(luò)中在數(shù)字簽名中附加時(shí)間戳還可以防止網(wǎng)絡(luò)中發(fā)生重放攻擊的事件。發(fā)生重放攻擊的事件。PKI的組件的組件 PKI信任框架信任框架 認(rèn)證標(biāo)準(zhǔn)與認(rèn)證過(guò)程認(rèn)證標(biāo)準(zhǔn)與認(rèn)證過(guò)程 PMI介紹介紹 有關(guān)信任的概念 信任模型 信任信任 信任域信任域 信任被定義為:信任被定義為:“一般說(shuō)來(lái),如果一個(gè)實(shí)體假一般說(shuō)來(lái),如果一個(gè)實(shí)體假定另一個(gè)實(shí)體會(huì)嚴(yán)格地象它期望的那樣行動(dòng),定另一個(gè)實(shí)體會(huì)嚴(yán)格地象它期望的那樣行動(dòng),那么就稱它信任那個(gè)實(shí)體。那么就稱它信任那個(gè)實(shí)體。”信任域是在公共控制下或執(zhí)行一組公同策信任域是在公共控制下或執(zhí)行一組公同策略的系統(tǒng)集。如果一個(gè)組織中的所有用戶略的系統(tǒng)集。如果
19、一個(gè)組織中的所有用戶都遵守同樣的策略,那么就稱該組織是在都遵守同樣的策略,那么就稱該組織是在單信任域中運(yùn)作,否則這個(gè)組織就是在多單信任域中運(yùn)作,否則這個(gè)組織就是在多信任域中運(yùn)作。信任域中運(yùn)作。嚴(yán)格層次信任模型嚴(yán)格層次信任模型分布式信任模型分布式信任模型WEBWEB信任模型信任模型 以用戶為中心的信任模型以用戶為中心的信任模型 在嚴(yán)格層次信任模型中,一個(gè)認(rèn)證機(jī)構(gòu)(在嚴(yán)格層次信任模型中,一個(gè)認(rèn)證機(jī)構(gòu)(CACA)及其子機(jī)構(gòu)及其子機(jī)構(gòu)和它們的用戶嚴(yán)格按照倒置的樹(shù)的層次結(jié)構(gòu)定義它們之間和它們的用戶嚴(yán)格按照倒置的樹(shù)的層次結(jié)構(gòu)定義它們之間的信任關(guān)系。樹(shù)根在上,樹(shù)葉在下。的信任關(guān)系。樹(shù)根在上,樹(shù)葉在下。位于樹(shù)
20、根的位于樹(shù)根的CACA代表整個(gè)代表整個(gè)PKIPKI最高權(quán)利的認(rèn)證機(jī)構(gòu),稱為根最高權(quán)利的認(rèn)證機(jī)構(gòu),稱為根CACA,也整個(gè)結(jié)構(gòu)中各個(gè)實(shí)體的信任錨。也整個(gè)結(jié)構(gòu)中各個(gè)實(shí)體的信任錨。分布式信任模型中,把信任分布到兩個(gè)以上的分布式信任模型中,把信任分布到兩個(gè)以上的CACA上。分布上。分布式信任模型可以通過(guò)逐步擴(kuò)展的方式把原來(lái)是分散孤立的式信任模型可以通過(guò)逐步擴(kuò)展的方式把原來(lái)是分散孤立的CACA互相通過(guò)交叉認(rèn)證的方式建立起信任關(guān)系?;ハ嗤ㄟ^(guò)交叉認(rèn)證的方式建立起信任關(guān)系。個(gè)交叉信任模型是指多個(gè)對(duì)等個(gè)交叉信任模型是指多個(gè)對(duì)等CACA機(jī)構(gòu)之間通過(guò)互相承認(rèn)證機(jī)構(gòu)之間通過(guò)互相承認(rèn)證書(shū)的有效性而建立起來(lái)的橫向信任關(guān)系,
21、通過(guò)交叉認(rèn)證方書(shū)的有效性而建立起來(lái)的橫向信任關(guān)系,通過(guò)交叉認(rèn)證方式,可以建立起更大范圍內(nèi)的式,可以建立起更大范圍內(nèi)的PKIPKI認(rèn)證系統(tǒng),這一過(guò)程稱認(rèn)證系統(tǒng),這一過(guò)程稱為為PKIPKI連網(wǎng)(連網(wǎng)(PKI NetworkingPKI Networking)。)。在相互比較熟悉的小型社交或商務(wù)活動(dòng)圈內(nèi)的用戶,可以在相互比較熟悉的小型社交或商務(wù)活動(dòng)圈內(nèi)的用戶,可以在安全軟件在安全軟件PGPPGP的支持下,建立以用戶為中心的信任關(guān)系。的支持下,建立以用戶為中心的信任關(guān)系。在在PGPPGP中,一個(gè)用戶可以自愿承擔(dān)中,一個(gè)用戶可以自愿承擔(dān)CACA的義務(wù),為其他用戶的義務(wù),為其他用戶簽署公鑰證書(shū),同時(shí)他自己
22、的公鑰也被其他用戶所認(rèn)證,簽署公鑰證書(shū),同時(shí)他自己的公鑰也被其他用戶所認(rèn)證,通過(guò)這種方式可以建立起一個(gè)信任網(wǎng),參加這個(gè)網(wǎng)的用戶通過(guò)這種方式可以建立起一個(gè)信任網(wǎng),參加這個(gè)網(wǎng)的用戶互相之間就可以交換機(jī)密信息。互相之間就可以交換機(jī)密信息。PKI的組件的組件 PKI信任框架信任框架 認(rèn)證標(biāo)準(zhǔn)與認(rèn)證過(guò)程認(rèn)證標(biāo)準(zhǔn)與認(rèn)證過(guò)程 PMI介紹介紹 簡(jiǎn)單認(rèn)證標(biāo)準(zhǔn)強(qiáng)認(rèn)證標(biāo)準(zhǔn) 明文傳送驗(yàn)證數(shù)據(jù) 利用單向散列函數(shù)傳送密碼 二次散列與對(duì)稱加密傳送 在這種驗(yàn)證方式中,用戶的密碼與在這種驗(yàn)證方式中,用戶的密碼與IDID以明文的形以明文的形式從客戶端傳送給服務(wù)器端的驗(yàn)證程序,驗(yàn)證程式從客戶端傳送給服務(wù)器端的驗(yàn)證程序,驗(yàn)證程序檢查
23、傳送來(lái)的用戶密碼與序檢查傳送來(lái)的用戶密碼與IDID是否存儲(chǔ)在服務(wù)端是否存儲(chǔ)在服務(wù)端上的該用戶的密碼與上的該用戶的密碼與IDID是否一致,如果一致,驗(yàn)是否一致,如果一致,驗(yàn)證程序就向終端用戶回送認(rèn)可的信息,并允許該證程序就向終端用戶回送認(rèn)可的信息,并允許該用戶進(jìn)行下一步的操作。用戶進(jìn)行下一步的操作。為了防止攻擊者半路竊聽(tīng)用戶的密碼(口令)與為了防止攻擊者半路竊聽(tīng)用戶的密碼(口令)與IDID,X509X509建議了這種利用單向散列函數(shù)的傳送建議了這種利用單向散列函數(shù)的傳送方式。方式。這種傳送方式又分為兩種,一種是采用直接單向這種傳送方式又分為兩種,一種是采用直接單向散列函數(shù)傳送密碼,另一種是基于隨
24、機(jī)或時(shí)間數(shù)散列函數(shù)傳送密碼,另一種是基于隨機(jī)或時(shí)間數(shù)據(jù)的單向散列函數(shù)傳送密碼。據(jù)的單向散列函數(shù)傳送密碼。為了防范對(duì)散列值的窮舉攻擊,除了可以通過(guò)勤為了防范對(duì)散列值的窮舉攻擊,除了可以通過(guò)勤換口令的方式來(lái)降低這類攻擊的威脅外,還可以換口令的方式來(lái)降低這類攻擊的威脅外,還可以使用二次散列法增加系統(tǒng)的安全性。二次散列是使用二次散列法增加系統(tǒng)的安全性。二次散列是將散列值再次散列,使反向恢復(fù)原值更困難,增將散列值再次散列,使反向恢復(fù)原值更困難,增加了窮舉攻擊的難度。但這種改進(jìn)對(duì)系統(tǒng)的安全加了窮舉攻擊的難度。但這種改進(jìn)對(duì)系統(tǒng)的安全性增加有限,最主要的還是對(duì)用戶口令的選擇。性增加有限,最主要的還是對(duì)用戶口令
25、的選擇。單向認(rèn)證過(guò)程 雙向認(rèn)證過(guò)程 三向認(rèn)證過(guò)程 私鑰的保存問(wèn)題 用戶身份三因素鑒別 單向認(rèn)證方式只需發(fā)送者向接收者發(fā)送一條身份認(rèn)證數(shù)據(jù)單向認(rèn)證方式只需發(fā)送者向接收者發(fā)送一條身份認(rèn)證數(shù)據(jù)就可以確定發(fā)送者與接收者的身份,并能防止攻擊者的重就可以確定發(fā)送者與接收者的身份,并能防止攻擊者的重放攻擊。放攻擊。在這種認(rèn)證方式中,發(fā)送者利用數(shù)字簽名把自己的身份識(shí)在這種認(rèn)證方式中,發(fā)送者利用數(shù)字簽名把自己的身份識(shí)別數(shù)據(jù)發(fā)送給接收者,用以證實(shí)自己的身份;發(fā)送者利用別數(shù)據(jù)發(fā)送給接收者,用以證實(shí)自己的身份;發(fā)送者利用接收方的公鑰加密自己的身份識(shí)別信息,確定該認(rèn)證信息接收方的公鑰加密自己的身份識(shí)別信息,確定該認(rèn)證信
26、息確實(shí)是要給接收者的(因?yàn)橹挥薪邮照叩乃借€才能解密發(fā)確實(shí)是要給接收者的(因?yàn)橹挥薪邮照叩乃借€才能解密發(fā)送者的身份信息)。這種方式可以確保發(fā)送者身份識(shí)別數(shù)送者的身份信息)。這種方式可以確保發(fā)送者身份識(shí)別數(shù)據(jù)的完整性,接收者也可以確認(rèn)數(shù)據(jù)是發(fā)送者發(fā)出的(由據(jù)的完整性,接收者也可以確認(rèn)數(shù)據(jù)是發(fā)送者發(fā)出的(由單向散列與簽名提供保證),而且也能防止重放式攻擊單向散列與簽名提供保證),而且也能防止重放式攻擊(由隨機(jī)數(shù)(由隨機(jī)數(shù)r rA A提供保證)。提供保證)。雙向認(rèn)證過(guò)程需要在通信雙方之間進(jìn)行兩次信息交換,一雙向認(rèn)證過(guò)程需要在通信雙方之間進(jìn)行兩次信息交換,一次是上述單向認(rèn)證方法中由發(fā)送方發(fā)出的信息,另一
27、次是次是上述單向認(rèn)證方法中由發(fā)送方發(fā)出的信息,另一次是接收方回送給發(fā)送方的信息。雙向認(rèn)證除了可完成單向認(rèn)接收方回送給發(fā)送方的信息。雙向認(rèn)證除了可完成單向認(rèn)證所能完成的認(rèn)證功能外,接收方可以回送由接收方簽名證所能完成的認(rèn)證功能外,接收方可以回送由接收方簽名的發(fā)送方的身份識(shí)別數(shù)據(jù),可以確認(rèn)數(shù)據(jù)是接收方產(chǎn)生的,的發(fā)送方的身份識(shí)別數(shù)據(jù),可以確認(rèn)數(shù)據(jù)是接收方產(chǎn)生的,可以確定此信息的接收方是原數(shù)據(jù)的發(fā)送方。在雙向認(rèn)證可以確定此信息的接收方是原數(shù)據(jù)的發(fā)送方。在雙向認(rèn)證過(guò)程中,接收方可以通過(guò)回送信息表明發(fā)送方數(shù)據(jù)的完整過(guò)程中,接收方可以通過(guò)回送信息表明發(fā)送方數(shù)據(jù)的完整性,雙方可以共享身份識(shí)別數(shù)據(jù)中的秘密部分(
28、可選項(xiàng))。性,雙方可以共享身份識(shí)別數(shù)據(jù)中的秘密部分(可選項(xiàng))。三次認(rèn)證的過(guò)程的前兩次通信與雙向認(rèn)證的步驟三次認(rèn)證的過(guò)程的前兩次通信與雙向認(rèn)證的步驟類似,只是所傳送的時(shí)間標(biāo)記參數(shù)為類似,只是所傳送的時(shí)間標(biāo)記參數(shù)為0 0或不傳送,或不傳送,而接收方則不檢查時(shí)間標(biāo)記。第三次通信是當(dāng)發(fā)而接收方則不檢查時(shí)間標(biāo)記。第三次通信是當(dāng)發(fā)送方送方A A收到接收方收到接收方B B的回復(fù)信息后,的回復(fù)信息后,A A再給再給B B回復(fù)一回復(fù)一次信息。次信息。私鑰保存的安全性問(wèn)題是利用證書(shū)機(jī)制實(shí)現(xiàn)身份私鑰保存的安全性問(wèn)題是利用證書(shū)機(jī)制實(shí)現(xiàn)身份認(rèn)證時(shí)應(yīng)該重點(diǎn)考慮的問(wèn)題。由于網(wǎng)絡(luò)攻擊技術(shù)認(rèn)證時(shí)應(yīng)該重點(diǎn)考慮的問(wèn)題。由于網(wǎng)絡(luò)攻擊
29、技術(shù)的不斷發(fā)展,把證書(shū)對(duì)應(yīng)的私鑰存儲(chǔ)在計(jì)算機(jī)硬的不斷發(fā)展,把證書(shū)對(duì)應(yīng)的私鑰存儲(chǔ)在計(jì)算機(jī)硬盤中有可能失竊。即使采用加密存儲(chǔ)的方式,也盤中有可能失竊。即使采用加密存儲(chǔ)的方式,也有可能被惡意用戶刪除。采用口令加密會(huì)因口令有可能被惡意用戶刪除。采用口令加密會(huì)因口令的長(zhǎng)度有限而使這種方法的安全強(qiáng)度不夠。相比的長(zhǎng)度有限而使這種方法的安全強(qiáng)度不夠。相比較之下,采用令牌形式存儲(chǔ)密鑰,可以提高驗(yàn)證較之下,采用令牌形式存儲(chǔ)密鑰,可以提高驗(yàn)證的安全強(qiáng)度。的安全強(qiáng)度。三因素是指依據(jù)用戶知道什么、用戶擁有什么和用戶本身三因素是指依據(jù)用戶知道什么、用戶擁有什么和用戶本身是什么(生物特征)等三因素對(duì)用戶身份進(jìn)行認(rèn)證與鑒別。
30、是什么(生物特征)等三因素對(duì)用戶身份進(jìn)行認(rèn)證與鑒別。三因素認(rèn)證是目前強(qiáng)認(rèn)證(基于密鑰的驗(yàn)證)中使用最多三因素認(rèn)證是目前強(qiáng)認(rèn)證(基于密鑰的驗(yàn)證)中使用最多的手段。在安全性要求較高的系統(tǒng)中,認(rèn)證必須必須能對(duì)的手段。在安全性要求較高的系統(tǒng)中,認(rèn)證必須必須能對(duì)用戶身份進(jìn)行鑒別。用戶身份進(jìn)行鑒別。把認(rèn)證的三因素結(jié)合起來(lái)使用,可以對(duì)認(rèn)證的密鑰(證書(shū)把認(rèn)證的三因素結(jié)合起來(lái)使用,可以對(duì)認(rèn)證的密鑰(證書(shū)的私鑰或?qū)ΨQ密鑰)進(jìn)行保護(hù),其中用戶知道什么,決定的私鑰或?qū)ΨQ密鑰)進(jìn)行保護(hù),其中用戶知道什么,決定了用戶在使用時(shí)的保護(hù);用戶擁有什么,對(duì)用戶使用的密了用戶在使用時(shí)的保護(hù);用戶擁有什么,對(duì)用戶使用的密鑰進(jìn)行了物理
31、保護(hù);用戶本身是什么,用于直接對(duì)用戶的鑰進(jìn)行了物理保護(hù);用戶本身是什么,用于直接對(duì)用戶的身份進(jìn)行鑒別。認(rèn)證的強(qiáng)度取決于密鑰的長(zhǎng)度,應(yīng)該根據(jù)身份進(jìn)行鑒別。認(rèn)證的強(qiáng)度取決于密鑰的長(zhǎng)度,應(yīng)該根據(jù)不同的安全需求選擇合適的密鑰長(zhǎng)度。在要求比較高的系不同的安全需求選擇合適的密鑰長(zhǎng)度。在要求比較高的系統(tǒng)中一般都使用多因素認(rèn)證方式,以便增強(qiáng)對(duì)密鑰的保護(hù)統(tǒng)中一般都使用多因素認(rèn)證方式,以便增強(qiáng)對(duì)密鑰的保護(hù)力度,和對(duì)用戶的身份進(jìn)行鑒別力度,和對(duì)用戶的身份進(jìn)行鑒別。PKI的組件的組件 PKI信任框架信任框架 認(rèn)證標(biāo)準(zhǔn)與認(rèn)證過(guò)程認(rèn)證標(biāo)準(zhǔn)與認(rèn)證過(guò)程 PMI介紹介紹 PMIPMI(Privilege Management
32、InfrastruturePrivilege Management Infrastruture)是權(quán)限管是權(quán)限管理基礎(chǔ)設(shè)施的簡(jiǎn)稱。理基礎(chǔ)設(shè)施的簡(jiǎn)稱。PMIPMI的基本思想是以資源管理為核心,將對(duì)資源的訪問(wèn)控的基本思想是以資源管理為核心,將對(duì)資源的訪問(wèn)控制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)進(jìn)行管理,即由資源的所有者負(fù)責(zé)制權(quán)統(tǒng)一交由授權(quán)機(jī)構(gòu)進(jìn)行管理,即由資源的所有者負(fù)責(zé)資源的訪問(wèn)控制管理。資源的訪問(wèn)控制管理。PMIPMI技術(shù)與技術(shù)與PKIPKI的主要區(qū)別是,的主要區(qū)別是,PKIPKI的作用是證明用戶的身份,并將其身份信息保存在用戶的的作用是證明用戶的身份,并將其身份信息保存在用戶的公鑰證書(shū)中;公鑰證書(shū)中;PMIP
33、MI的作用則是證明這個(gè)用戶有什么權(quán)限、的作用則是證明這個(gè)用戶有什么權(quán)限、什么屬性,能干什么,并將用戶的這些屬性信息保存在授什么屬性,能干什么,并將用戶的這些屬性信息保存在授權(quán)證書(shū)中。因此,權(quán)證書(shū)中。因此,PMIPMI證書(shū)也被稱為屬性證書(shū)。證書(shū)也被稱為屬性證書(shū)。PMIPMI系統(tǒng)主要分為授權(quán)管理中心(稱為系統(tǒng)主要分為授權(quán)管理中心(稱為AAAA中心)和資源管中心)和資源管理中心(稱為理中心(稱為RMRM中心)兩大部分,授權(quán)服務(wù)平臺(tái)是授權(quán)管中心)兩大部分,授權(quán)服務(wù)平臺(tái)是授權(quán)管理中心的主要設(shè)備,是實(shí)現(xiàn)理中心的主要設(shè)備,是實(shí)現(xiàn)PMIPMI授權(quán)技術(shù)的核心部件,主授權(quán)技術(shù)的核心部件,主要用于為用戶頒發(fā)要用于為
34、用戶頒發(fā)ACAC授權(quán)證書(shū)。已授權(quán)的屬性證書(shū)的管理授權(quán)證書(shū)。已授權(quán)的屬性證書(shū)的管理也是采用目錄服務(wù)器的管理方式,使用者可以方便地對(duì)屬也是采用目錄服務(wù)器的管理方式,使用者可以方便地對(duì)屬性證書(shū)進(jìn)行查詢與驗(yàn)證。性證書(shū)進(jìn)行查詢與驗(yàn)證。1、運(yùn)行PGP程序,了解其中的認(rèn)證機(jī)制,和你周圍的人建立相互認(rèn)證的關(guān)系。2、實(shí)現(xiàn)利用單向散列函數(shù)傳送密碼的程序。v 1 1、PKIPKI有哪些主要組件,它們的主要功能各是什么?有哪些主要組件,它們的主要功能各是什么?v 2 2、證書(shū)的目錄服務(wù)中是如何被管理的?、證書(shū)的目錄服務(wù)中是如何被管理的?v 3 3、信任模型的概念是什么?有哪幾種典型的信任模型,、信任模型的概念是什么?
35、有哪幾種典型的信任模型,并簡(jiǎn)述它們的特點(diǎn)與應(yīng)用場(chǎng)合。并簡(jiǎn)述它們的特點(diǎn)與應(yīng)用場(chǎng)合。v 4 4、什么叫信任錨,信任錨的作用是什么?、什么叫信任錨,信任錨的作用是什么?v 5 5、解釋信任模型中的以下幾個(gè)概念:(、解釋信任模型中的以下幾個(gè)概念:(1 1)完全對(duì)等結(jié)構(gòu),)完全對(duì)等結(jié)構(gòu),(2 2)完全樹(shù)形結(jié)構(gòu),()完全樹(shù)形結(jié)構(gòu),(3 3)混合結(jié)構(gòu),()混合結(jié)構(gòu),(4 4)交叉認(rèn)證)交叉認(rèn)證v 6 6、WEBWEB信任模型和信任模型和PGPPGP信任模型各有什么安全性問(wèn)題?信任模型各有什么安全性問(wèn)題?v 7 7、PKIPKI中采用的信任機(jī)制與中采用的信任機(jī)制與PGPPGP中的機(jī)制有什么本質(zhì)的差中的機(jī)制有什
36、么本質(zhì)的差別?別?v 8 8、簡(jiǎn)述各個(gè)公鑰加密系統(tǒng)標(biāo)準(zhǔn)、簡(jiǎn)述各個(gè)公鑰加密系統(tǒng)標(biāo)準(zhǔn)PKCSPKCS的主要內(nèi)容與作用的主要內(nèi)容與作用v 9 9、說(shuō)明圖、說(shuō)明圖7-77-7中用戶中用戶U3U3與與U4U4之間互相認(rèn)證的證書(shū)路徑是什之間互相認(rèn)證的證書(shū)路徑是什么?如果么?如果U3U3和和U4U4都信任認(rèn)證中心都信任認(rèn)證中心M M的證書(shū),他們之間的認(rèn)的證書(shū),他們之間的認(rèn)證路徑又是什么?證路徑又是什么?v 1010、說(shuō)明簡(jiǎn)單認(rèn)證方式與強(qiáng)認(rèn)證方式之間的主要差別與應(yīng)、說(shuō)明簡(jiǎn)單認(rèn)證方式與強(qiáng)認(rèn)證方式之間的主要差別與應(yīng)用場(chǎng)合。用場(chǎng)合。v 1111、簡(jiǎn)要說(shuō)明利用單向散列函數(shù)傳送密碼的兩種方式。、簡(jiǎn)要說(shuō)明利用單向散列函數(shù)傳送密碼的兩種方式。v 1212、你理解為什么要提出三向認(rèn)證的強(qiáng)認(rèn)證方式?三向認(rèn)、你理解為什么要提出三向認(rèn)證的強(qiáng)認(rèn)證方式?三向認(rèn)證有無(wú)安全性問(wèn)題?證有無(wú)安全性問(wèn)題?v1313、如何保證用戶的私鑰的安全性?、如何保證用戶的私鑰的安全性?v1414、說(shuō)明幾種簡(jiǎn)單認(rèn)證的方法與實(shí)現(xiàn)過(guò)程。、說(shuō)明幾種簡(jiǎn)單認(rèn)證的方法與實(shí)現(xiàn)過(guò)程。v1515、說(shuō)明強(qiáng)認(rèn)證的方法與實(shí)現(xiàn)過(guò)程。、說(shuō)明強(qiáng)認(rèn)證的方法與實(shí)現(xiàn)過(guò)程。v1616、PMIPMI的作用是什么?它與的作用是什么?它與PKIPKI如何關(guān)聯(lián)使用?如何關(guān)聯(lián)使用?演講完畢,謝謝觀看!
- 溫馨提示:
1: 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
2: 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
3.本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
5. 裝配圖網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。
最新文檔
- 我的藍(lán)藍(lán)的威尼斯課件
- 消化系合理用藥資料課件
- 42電流的磁效應(yīng)
- 幾何量公差與測(cè)量技術(shù)4-4公差原則課件
- 秋九年級(jí)語(yǔ)文上冊(cè)第三單元第12課世上沒(méi)有傻問(wèn)題課件2語(yǔ)文版
- 大學(xué)文科物理第五章打開(kāi)微觀世界的三大發(fā)現(xiàn)
- 9加幾課件修改 (2)(教育精品)
- 腎活檢技術(shù)和腎臟病理診療規(guī)范
- 16整式的乘法課件(1)
- 九年級(jí)數(shù)學(xué)正多邊形和圓課件2
- 大班PPT:交通工具
- 國(guó)培計(jì)劃培訓(xùn)的實(shí)施方案做成PPT
- 專利申請(qǐng)流程課件
- 醫(yī)用局部解剖學(xué)臂、肘和前臂前區(qū)
- 因式分解法 (3)