特權(quán)管理基礎(chǔ)設(shè)施PMI介紹_第1頁
特權(quán)管理基礎(chǔ)設(shè)施PMI介紹_第2頁
特權(quán)管理基礎(chǔ)設(shè)施PMI介紹_第3頁
特權(quán)管理基礎(chǔ)設(shè)施PMI介紹_第4頁
特權(quán)管理基礎(chǔ)設(shè)施PMI介紹_第5頁
已閱讀5頁,還剩28頁未讀 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡介

1、特權(quán)管理基礎(chǔ)設(shè)施(PMI)介紹網(wǎng)絡(luò)存在的典型安全隱患2網(wǎng)絡(luò)否認(rèn)傳送竊聽 冒名傳送篡改用戶甲用戶乙假冒? 1.1你是誰?RickMaryInternet/Intranet應(yīng)用系統(tǒng)1.2怎么確認(rèn)你就是你?信息安全要素舉例1.1我是Rick.1.2 口令是1234.授權(quán)機(jī)密性完整性防抵賴2. 我能干什么?2.你能干這個(gè),不能干那個(gè).3.如何讓別人無法偷聽?3. 我有密鑰?5.我偷了機(jī)密文件,我不承認(rèn).5.我有你的罪證.4.如何保證不能被篡改?4.別怕,我有數(shù)字簽名.3鑒別應(yīng)用系統(tǒng)安全性需求和典型攻擊機(jī)密性數(shù)據(jù)傳輸、存儲加密竊聽、業(yè)務(wù)流分析完整性數(shù)據(jù)和系統(tǒng)未被未授權(quán)篡改或者損壞篡改、重放、旁路、木馬可

2、鑒別性數(shù)據(jù)信息和用戶、進(jìn)程、系統(tǒng)等實(shí)體的鑒別偽造、冒充、假冒4應(yīng)用系統(tǒng)安全性需求和典型攻擊不可否認(rèn)性防止源點(diǎn)或終點(diǎn)的抵賴,自身獨(dú)有、無法偽造的抵賴、否認(rèn)授權(quán)設(shè)置應(yīng)用、資源細(xì)粒度訪問權(quán)限越權(quán)訪問、破壞資源5特權(quán)管理基礎(chǔ)設(shè)施(PMI)理解PMI/AA的原理和作用掌握PMI和PKI、AC和PKC的區(qū)別了解PMI/AA的體系結(jié)構(gòu)掌握屬性證書的特點(diǎn)和應(yīng)用6PMIPMIPrivilege Management Infrastructure ,即特權(quán)管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施是屬性證書、屬性權(quán)威、屬性證書庫等部件的集合體,用來實(shí)現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能與應(yīng)用相關(guān)的授權(quán)服務(wù)管理對權(quán)

3、限管理進(jìn)行了系統(tǒng)的定義和描述系統(tǒng)地建立起對用戶身份到應(yīng)用授權(quán)的映射支持訪問控制等應(yīng)用7為什么是PMI公鑰證書中可存儲授權(quán)信息Subject 和 擴(kuò)展項(xiàng)缺點(diǎn)證書內(nèi)容較多、數(shù)據(jù)量較大增加/修改/刪除屬性不方便有效期統(tǒng)一,且一般(建議)較長不方便臨時(shí)授權(quán)同一身份可能會有不同的多個(gè)角色/權(quán)限要求CA了解應(yīng)用中較細(xì)權(quán)限信息使用獨(dú)立的屬性證書使用獨(dú)立數(shù)據(jù)結(jié)構(gòu)表達(dá)權(quán)限信息8屬性證書屬性證書Attribute Certificate AC以證書形式給出用戶和權(quán)限的關(guān)系9版本號version證書持有者Holder證書簽發(fā)者 issuer簽名算法標(biāo)識符signature證書序列號 serialNumber有效期v

4、alidity屬性信息attributes簽發(fā)者標(biāo)識符issuerUniqueID擴(kuò)展域extentions標(biāo)準(zhǔn)擴(kuò)展項(xiàng)自定義擴(kuò)展項(xiàng)簽名算法SignatureAlgorithm簽名signatureValuePMI系統(tǒng)模型10PMI結(jié)構(gòu)SOA信任源點(diǎn)AA簽發(fā)屬性證書ARA證書簽發(fā)請求LDAP屬性證書發(fā)布查詢11PKI和PMI對比PKI“你是誰”身份與公鑰綁定身份鑒別(護(hù)照)RCA-CA-RA,LDAP,CRLPMI“你能做什么”身份(角色)與角色(屬性、權(quán)限)綁定授權(quán)管理(簽證)SOA-AA-ARA,LDAP,ACRL12PKC和AC對比13PKCACTTPCA(RCA)AA(SOA)權(quán)限粗粒度

5、、身份細(xì)粒度持有量有一定的唯一性一人可以持有多個(gè)AC有效期較長較短保存?zhèn)€人,有對應(yīng)私鑰個(gè)人或系統(tǒng),無密鑰吊銷CRL累積ACRL很小,大部分有效期短甚至可以不用撤銷關(guān)聯(lián)和身份關(guān)聯(lián)和PKC關(guān)聯(lián)對比護(hù)照、身份證簽證、工作證PMI應(yīng)用框架14知識子域其他應(yīng)用介紹理解動態(tài)口令認(rèn)證特點(diǎn)、實(shí)現(xiàn)原理及應(yīng)用了解PGP軟件功能了解OPENSSL軟件功能15動態(tài)口令認(rèn)證動態(tài)口令認(rèn)證定義靜態(tài)口令認(rèn)證和動態(tài)口令認(rèn)證的優(yōu)缺點(diǎn)比較動態(tài)口令認(rèn)證實(shí)現(xiàn)原理和機(jī)制16動態(tài)口令認(rèn)證靜態(tài)口令口令固定不變,并且長期有效弱鑒別(weak authentication)動態(tài)口令又稱一次性口令(One Time Password, OTP)口

6、令動態(tài)性 - 每次變化,無須人工干預(yù)口令隨機(jī)性 - 隨機(jī)性強(qiáng),難以猜測17靜態(tài)口令認(rèn)證缺點(diǎn)通信竊取 竊聽獲得明文的用戶名和口令重放攻擊 截獲登錄數(shù)據(jù)(明/密),重放攻擊字典攻擊 選擇有意義的單詞或數(shù)字作字典暴力攻擊 窮舉全部可能組合猜測口令外部泄漏 搜索存有口令的紙片或文件窺 探 安裝監(jiān)視器或從背后窺探社交工程 冒充合法用戶、假冒管理員,騙取口令。18動態(tài)口令認(rèn)證實(shí)現(xiàn)原理原理摘要認(rèn)證加入不確定因素(變化因子)19動態(tài)口令認(rèn)證實(shí)現(xiàn)機(jī)制口令序列時(shí)間同步事件同步挑戰(zhàn)/應(yīng)答20動態(tài)口令機(jī)制口令序列共享統(tǒng)一口令序列表預(yù)先產(chǎn)生N個(gè)隨機(jī)口令初始時(shí),雙方各自秘密存儲使用單向函數(shù)初始時(shí),用戶選定一個(gè)秘密w計(jì)算H

7、(w)、H(H(w)、HN(w),系統(tǒng)記錄HN(w)第i(1iN)次登錄時(shí),口令指定為: HN-i(w)用戶登錄N次后必須重新初始化口令序列。21動態(tài)口令機(jī)制時(shí)間同步以時(shí)戳作為變化因子登錄時(shí)間時(shí)間令牌缺點(diǎn)兩端維持同步的時(shí)鐘時(shí)間段內(nèi)存在重放攻擊可能一般采取以分鐘為時(shí)間單位的折中辦法RSA SecureID22動態(tài)口令機(jī)制挑戰(zhàn)/應(yīng)答以系統(tǒng)端隨機(jī)數(shù)作為變化因子登錄時(shí),系統(tǒng)端發(fā)出隨機(jī)數(shù)用戶計(jì)算H(口令、隨機(jī)數(shù))(S(口令、隨機(jī)數(shù))系統(tǒng)端同樣計(jì)算,并比較23用戶端系統(tǒng)端(1)請求驗(yàn)證產(chǎn)生隨機(jī)數(shù)(2) 隨機(jī)數(shù)Rt動態(tài)口令Pt=H(Pass,Rt)(3)動態(tài)口令Pt驗(yàn)證H(Pass,Rt)=Pt(4) 驗(yàn)證

8、結(jié)果動態(tài)口令機(jī)制事件同步以事件作為變化因子基于挑戰(zhàn)/響應(yīng)模式將單向的前后相關(guān)序列作為系統(tǒng)的挑戰(zhàn)信息避免服務(wù)器每次發(fā)送挑戰(zhàn)信息常見實(shí)現(xiàn)以按鍵次數(shù)為隨機(jī)因素以按鍵次數(shù)和種子為挑戰(zhàn)信息缺點(diǎn)不同步時(shí)需人工同步24動態(tài)口令應(yīng)用示例刮刮卡、動態(tài)令牌25PGP介紹PGP(Pretty Good Privacy) 1991年,Philip Zimmermann,第一個(gè)版本?;趯ΨQ算法和非對稱算法結(jié)合的一款著名加密軟件對稱算法:AES、CAST、IDEA、3DES、Twofish等非對稱算法:RSA,最高支持4096位主要功能郵件加密(認(rèn)證)文件、磁盤加密即時(shí)通訊保護(hù)安全性機(jī)密性、完整性、可認(rèn)證性、不可否認(rèn)性

9、PGPkeysPGPkeys:管理密鑰和證書。27PGPmail28PGPmail:保護(hù)郵件。PGPdisk和其他功能PGPdisk:虛擬磁盤, 用于加密存儲敏感數(shù)據(jù)。29其他功能:加密文件簽名文件加密&簽名文件粉碎文件OPENSSL介紹SSL(Security Socket Layer)安全傳輸協(xié)議,用于網(wǎng)絡(luò)數(shù)據(jù)傳輸保護(hù)和身份確認(rèn)Openssl一個(gè)實(shí)現(xiàn)了SSL及相關(guān)加密技術(shù)的工具包軟件1995,Eric A. Young和Tim J. Hudson發(fā)起編寫開源代碼,支持Linux、Windows、BSD、Mac等平臺官方網(wǎng)站: /主要功能密碼算法實(shí)現(xiàn)SSL2.0、SSL3.0以及TLS1.0應(yīng)用程序30OPENSSL算法對稱加密算法AES、DES、Blowfish、CAST、IDEA、RC2、RC5、RC4非對稱加密算法DH、RSA、DSA和ECC摘要算法MD2、MD5、MDC2、SHA(SHA1)和RIPEMD其他MAC隨機(jī)數(shù)生成Engine機(jī)制

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論