第2講 安全基礎(chǔ)設(shè)施

1第2講基礎(chǔ)設(shè)施

Qu:1.公鑰基礎(chǔ)設(shè)施PKI2．授權(quán)管理基礎(chǔ)設(shè)施PMI3．網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施

4．網(wǎng)絡(luò)基礎(chǔ)設(shè)施

22.0基礎(chǔ)設(shè)施1.什么是基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施是一個普適性基礎(chǔ)，它在一個大環(huán)境里起基本框架的作用，例如電子通信網(wǎng)絡(luò)和電力供應(yīng)基礎(chǔ)設(shè)施。2.基礎(chǔ)設(shè)施的地位需要實現(xiàn)“應(yīng)用支撐”的功能，可以讓“應(yīng)用”正常地工作33.基礎(chǔ)設(shè)施的特性易于使用，界面簡潔基礎(chǔ)設(shè)施提供的服務(wù)可以預(yù)測并有效應(yīng)用設(shè)備無須了解基礎(chǔ)設(shè)施的工作原理例如，電力系統(tǒng)中的電燈44.網(wǎng)絡(luò)基礎(chǔ)設(shè)施在電子通信網(wǎng)絡(luò)中，凡是用以連接不同的計算機，使之可以互聯(lián)互通的一切基礎(chǔ)元素都屬于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的概念，是包括所有的硬件、軟件、人員、策略和規(guī)程的總和。例如，無線應(yīng)用中的手機等移動設(shè)備組成了無線的分布網(wǎng)絡(luò)，其所需的基站、無線網(wǎng)橋、甚至衛(wèi)星等，都屬于基礎(chǔ)設(shè)施范疇55.對信息基礎(chǔ)設(shè)施的入侵和攻擊數(shù)字珍珠港，USA海軍軍事學(xué)院和Gartner，2002年模擬恐怖分子對美國基礎(chǔ)設(shè)施進行數(shù)字襲擊。模擬后結(jié)論：要成功襲擊美國基礎(chǔ)設(shè)施需要至少2億美元資金、非常專業(yè)的知識以及5年多的準(zhǔn)備時間，此類襲擊雖然可能毀壞人口密集地區(qū)的通信設(shè)備，但決不會導(dǎo)致人員傷亡或其他災(zāi)難性后果。66.對信息基礎(chǔ)設(shè)施的入侵和攻擊澳大利亞馬盧奇污水處理廠非法入侵事件2000年3月，澳大利亞昆士蘭新建的馬盧奇污水處理廠出現(xiàn)故障，無線連接信號丟失，污水泵工作異常，報警器也沒有報警。本以為是新系統(tǒng)的磨合問題，后來發(fā)現(xiàn)是該廠前工程師VitekBoden因不滿工作續(xù)約被拒而蓄意報復(fù)所為。這位前工程師通過一臺手提電腦和一個無線發(fā)射器控制了150個污水泵站；前后三個多月，總計有100萬公升的污水未經(jīng)處理直接經(jīng)雨水渠排入自然水系，導(dǎo)致當(dāng)?shù)丨h(huán)境受到嚴重破壞。2001.11，判2年其他例子1988.RobertMorris,蠕蟲，感染互聯(lián)網(wǎng)上3、4千臺PC機、6千多臺服務(wù)器2000.2，“拒絕服務(wù)攻擊”用大量數(shù)據(jù)阻塞了Yahoo、eBay、CNN及ZDNet的網(wǎng)絡(luò)，致使用戶無法正常訪問長達2、3小時之久7美國Davis-Besse核電站受到Slammer蠕蟲攻擊事件2003年1月，美國俄亥俄州Davis-Besse核電站和其它電力設(shè)備受到SQLSlammer蠕蟲病毒攻擊，網(wǎng)絡(luò)數(shù)據(jù)傳輸量劇增，導(dǎo)致該核電站計算機處理速度變緩、安全參數(shù)顯示系統(tǒng)和過程控制計算機連續(xù)數(shù)小時無法工作。8經(jīng)調(diào)查發(fā)現(xiàn)，一供應(yīng)商為給服務(wù)器提供應(yīng)用軟件，在該核電站網(wǎng)絡(luò)防火墻后端建立了一個無防護的T1鏈接，病毒就是通過這個鏈接進入核電站網(wǎng)絡(luò)的。這種病毒主要利用SQLServer2000中1434端口的緩沖區(qū)溢出漏洞進行攻擊，并駐留在內(nèi)存中，不斷散播自身，使得網(wǎng)絡(luò)擁堵，造成SQLServer無法正常工作或宕機。92013年，針對金融機構(gòu)和電信網(wǎng)絡(luò)的隱性攻擊以及針對普通民眾的網(wǎng)絡(luò)詐騙越來越嚴重。2013年美國、荷蘭等十余個國家的銀行系統(tǒng)遭受攻擊。2013年5月9日，美國宣布破獲一起跨國黑客犯罪集團通過“黑”進銀行預(yù)付借記卡系統(tǒng)，在ATM自動取款機上盜取了總計高達4500萬美元的巨款102013年

全球網(wǎng)絡(luò)經(jīng)濟犯罪造成約5000億美元的損失。2013年諾頓網(wǎng)絡(luò)安全報告顯示，網(wǎng)絡(luò)犯罪致使全球個人用戶蒙受的直接損失高達1500億美元。11我國2013年，我國網(wǎng)民數(shù)量突破5.91億，互聯(lián)網(wǎng)普及率44.1%，域名總數(shù)1470萬個，互聯(lián)網(wǎng)站總數(shù)294萬個，互聯(lián)網(wǎng)信息服務(wù)消費4500億元，電子商務(wù)交易額達8萬億元，手機上網(wǎng)網(wǎng)民4.64億，微博用戶3.31億，社交網(wǎng)站用戶2.88億。122013年我國遭受境外網(wǎng)絡(luò)攻擊情況觸目驚心，大量主機被國外木馬或僵尸網(wǎng)絡(luò)控制，主要控制源都來自于美國。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心（CNCERT）統(tǒng)計，到2013年9月底，監(jiān)測發(fā)現(xiàn)共近52萬個木馬控制端IP，其中有24.7萬個位于境外，前三位分別是美國（占28.9.7%）、印度（占9.6%）和我國臺灣（占5.8%）。132013年共有17822個僵尸網(wǎng)絡(luò)控制端IP，有10254個位于境外，前三位分別是美國（占25.7%）、印度（占8.5%）和土耳其（占6.5.%）。共發(fā)現(xiàn)境外64萬臺主機曾對我國大陸發(fā)起過攻擊。其中，對我國大陸地區(qū)進行網(wǎng)站攻擊最頻繁的國家和地區(qū)為：美國（42%）、日本（19%）和韓國（10%）。142013年，我國境內(nèi)至少4.1萬余臺主機感染具有APT特征的木馬程序，涉及大量政府部門、重要信息系統(tǒng)以及高新技術(shù)企事業(yè)單位，木馬控制服務(wù)器絕大多數(shù)位于境外。根據(jù)CNCERT提供的案例顯示，我國網(wǎng)站遭受境外攻擊十分頻繁，主要是網(wǎng)站被入侵篡改或被安插后門，同時自境外的DDoS攻擊也十分頻繁。152013年，針對我國政府類網(wǎng)絡(luò)的惡意攻擊活動也較為突出，被攻擊對象大部分為政府職能部門網(wǎng)站和行業(yè)網(wǎng)站。根據(jù)斯諾登揭露的材料，美國至少有9家互聯(lián)網(wǎng)公司（思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟、雅虎）參與和支持美國棱鏡監(jiān)控項目的正常運作。16176.安全基礎(chǔ)設(shè)施安全基礎(chǔ)設(shè)施必須提供具有普適性的基礎(chǔ)服務(wù)1.保證應(yīng)用程序增強數(shù)據(jù)和資源的安全2.保證增強與其他數(shù)據(jù)和資源進行交換中的安全3.使安全功能更加簡單、實用接入點方便、簡單、安全4.提供一致、有效的安全服務(wù)18安全基礎(chǔ)設(shè)施提供的安全服務(wù)1.安全登錄（或注冊）例如遠程登錄中，用戶的口令在網(wǎng)上傳輸不安全，安全基礎(chǔ)設(shè)施則有能力提供認證機制、口令被竊聽/存儲/重放、安全傳輸?shù)劝踩?wù)2.終端用戶透明使用通信基礎(chǔ)設(shè)施的用戶不須知道IP報頭或以太包的結(jié)構(gòu)，但如果發(fā)生錯誤，如不能接受IP包，則應(yīng)及時告知用戶。19安全基礎(chǔ)設(shè)施提供的安全服務(wù)3.全面的安全性實施單一、可信的安全技術(shù)，提供與設(shè)備無關(guān)的安全服務(wù)，保證應(yīng)用程序、設(shè)備和服務(wù)器無縫地協(xié)調(diào)工作，安全地傳輸、存儲和檢索數(shù)據(jù)、進行事物處理、訪問服務(wù)器等。世界各國初步形成一套完整的Internet解決方案---PKI202.1公鑰基礎(chǔ)設(shè)施PKI(PublickeyInfrastructure）1．什么是PKIdef:是利用非對稱密碼算法原理和技術(shù)，提供具有公鑰體制的密鑰管理平臺，為網(wǎng)絡(luò)應(yīng)用透明地提供加密和數(shù)字簽名等密碼服務(wù)所必須的密鑰和證書管理服務(wù)的安全基礎(chǔ)設(shè)施PKI技術(shù)：采用證書管理公鑰通過第三方的可信任結(jié)構(gòu)—認證中心（CA），將用戶的公鑰和用戶的其他信息，如名稱、ID、E-mail等，捆綁在一起，在Internet上驗證用戶的身份。21PKI技術(shù)建立在PKI基礎(chǔ)上的數(shù)字證書，通過對要傳輸?shù)臄?shù)字信息進行加密和簽名，保證信息傳輸?shù)臋C密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。222．PKI的管理職能

1）透明性﹑完整性﹑不可否認性

2）可擴展性

3）支持多用戶：身份識別﹑認證﹑保密﹑隱私

4）可操作性：支持異構(gòu)平臺PKI的互操作3．PKI的組成

PKI由CA、RA、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書撤銷處理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)等部分組成

23轉(zhuǎn)PKI章24

1）

證書頒發(fā)機構(gòu)CA2）

注冊中心RA3）

證書庫

4）

密鑰備份及恢復(fù)系統(tǒng)

5）

證書作廢處理系統(tǒng)

6）

PKI應(yīng)用接口系統(tǒng)（或稱客戶端證書處理系統(tǒng)）密鑰管理中心KMC證書頒發(fā)機構(gòu)CA注冊中心RA證書庫用戶

應(yīng)用接口發(fā)布系統(tǒng)獲取證書密鑰計算證書操作251）注冊中心RA功能

（1）接受和驗證新注冊人的注冊信息（2）代表用戶生成密鑰對（3）接受和授權(quán)密鑰備份，恢復(fù)請求（4）接受和授權(quán)證書撤消請求（5）按需分發(fā)或恢復(fù)硬件設(shè)備（6）協(xié)助CA工作262）認證中心CACA作用CA是PKI的核心，負責(zé)管理PKI結(jié)構(gòu)下的所有用戶，包括各種應(yīng)用程序的證書，將用戶的公鑰和用戶的其他信息捆綁在一起，在網(wǎng)上驗證用戶的身份，CA還要負責(zé)用戶證書的證書注銷列表登記和證書注銷列表發(fā)布。272）認證中心CA功能（1）驗證標(biāo)識申請人的身份確保標(biāo)識的唯一性，防止重名（2）確定檢查證書的有效期限（3）發(fā)布維護作廢的證書表（4）對整個證書簽發(fā)過程做日志記錄（5）確保簽發(fā)過程和簽名私鑰的安全性（6）管理證書材料（7）確保CA用于簽名證書的非對稱密鑰的質(zhì)量28

CA分布式體系結(jié)構(gòu)的建立根CA二級CA局域網(wǎng)/專網(wǎng)/INTERNETRA中心局域網(wǎng)/專網(wǎng)/INTERNET三級CA三級CA受理點LRA1受理點LRAn…………293）密鑰備份及恢復(fù)系統(tǒng)（即密鑰管理中心KMC）對用戶的解密密鑰進行備份，丟失時進行恢復(fù)。簽名密鑰不能備份和恢復(fù)。4）證書撤銷處理系統(tǒng)（即發(fā)布系統(tǒng)）支持層次化分布式結(jié)構(gòu)，能滿足大型應(yīng)用系統(tǒng)的安全需求。證書需要作廢時，通過證書撤銷列表CRL實現(xiàn)。發(fā)布系統(tǒng)的組成：（1）CRL(屬性證書表)的證書發(fā)布系統(tǒng)（2）在線證書狀態(tài)查詢協(xié)議OCSP（OnlineCertificateStatusProtocol）（3）在線注冊服務(wù)系統(tǒng)305）證書庫證書的集中存放地，提供公眾查詢6）PKI應(yīng)用接口系統(tǒng)為各類應(yīng)用提供安全、一致、可信任的方式與PKI交往，確保所建立的網(wǎng)絡(luò)環(huán)境可靠。314.PKI應(yīng)用系統(tǒng)PKI應(yīng)用系統(tǒng)至少包括：（1）認證中心CA（2）X.509目錄服務(wù)器用于發(fā)布用戶的證書和證書注銷列表信息，用戶可通過標(biāo)準(zhǔn)的LDAP協(xié)議查詢自己或他人的證書和下載證書注銷列表信息324.PKI應(yīng)用系統(tǒng)（3）具有高強度密碼算法SSL的安全WWW服務(wù)器出口到我國的WWW服務(wù)器，如微軟的IIS、Netscape的WWW服務(wù)器，受出口限制，其RSA算法的模長最高為512位，對稱算法為40位，不能滿足對安全性很高的場合。因此必須開發(fā)具有自主知識產(chǎn)權(quán)的SSL安全模塊，并且將SSL模塊集成在ApacheWWW服務(wù)器中，334.PKI應(yīng)用系統(tǒng)ApacheWWW服務(wù)器在WWW服務(wù)器市場中占有50%以上的份額，其可移植性和穩(wěn)定性很高。（4）Web（安全通信平臺）Web有WebClient和WebServer端兩部分，通過具有高強度密碼算法SSL協(xié)議保證客戶端和服務(wù)器端數(shù)據(jù)的機密性、完整性和身份驗證。34

5．公鑰證書。是用來證明主體身份及公鑰合法性的權(quán)威電子文檔。是公鑰體制的密鑰管理媒介1）證書內(nèi)容①

身份證書：鑒別一個主體與它的公鑰關(guān)系，提供認證、數(shù)據(jù)完整性、機密性②

屬性證書：包含實體屬性如成員關(guān)系列角色許可證其它訪問權(quán)限等2）證書結(jié)構(gòu)證書CA簽名簽字主體身份信息主體的公鑰CA名稱其他附加信息35Ex：ITU（國際電信聯(lián)盟）提出的X.509版本的格式被廣泛采用證書頒發(fā)者簽名擴展項主體唯一的標(biāo)識符頒發(fā)者唯一標(biāo)識符主體公鑰信息主體名稱有效期頒發(fā)者名稱簽名算法標(biāo)識符證書序列號版本號36擴展項內(nèi)容機構(gòu)密鑰標(biāo)識符(頒證機構(gòu))主體密鑰標(biāo)識符(證書主人的多對密鑰)密鑰用途（指證書中的公鑰可完成的功能）擴展密鑰用途（證書中公鑰的特別用途）CRL分布點（作廢證書表CRL）私鑰使用期證書策略主體別名（主體的郵件地址、IP地址）CA別名（CA的郵件地址、IP地址）主體目錄屬性376.主體公鑰的產(chǎn)生方式1）主體自己產(chǎn)生密鑰對，將公鑰傳給CA該過程必須保證主體公鑰的可驗證性、完整性2）CA替主體產(chǎn)生密鑰對，將其安全地送給主體該過程必須保證主體密鑰的機密性、可驗證性、完整性7.電子政務(wù)信任服務(wù)中采用雙證書機制雙證書機制：將用戶的簽名密鑰對和加密密鑰對分離開國家強制要求：托管加密密鑰，對用戶隱私無法提供安全保護1）簽名密鑰對2）加密密鑰對38簽名密鑰對與加密密鑰對1）簽名密鑰對由簽名私鑰和驗證公鑰組成。簽名私鑰不能存檔、備份，以保證唯一性。驗證公鑰要存檔，以驗證舊的數(shù)字簽名2）加密密鑰對由加密公鑰、脫密私鑰組成脫密私鑰備份、存檔加密公鑰不備份、不存檔，丟失時，重新產(chǎn)生加密密鑰對398.證書的申請與簽發(fā)過程實體鑒別密碼器：生成密鑰對本地保存簽名私鑰對CA：對用戶信息及簽名加密公鑰簽名，生成證書實體鑒別密碼器查詢／發(fā)布／撤銷／更新KMC：取出加密密鑰對，用簽名公鑰加密私鑰，托管加密私鑰證書庫用戶信息簽名公鑰證書經(jīng)加密的加密私鑰加密公鑰簽名公鑰，密鑰下載證書和經(jīng)過簽名公鑰加密的加密私鑰用戶／實體409.認證的策略及實現(xiàn)方案問題：認證什么,如何認證識別用戶的身份：。身份認證：（簡單認證）基于用戶ID和口令。身份鑒定：（強認證）以CA的管理為基礎(chǔ)1）簡單認證對用戶所有的權(quán)限或自身的身份進行認證認證方式：。驗證數(shù)據(jù)的明文傳送。利用單項HASH傳送隨機或時間數(shù)據(jù)。利用二次HASH傳送驗證數(shù)據(jù)安全強度處理復(fù)雜度41（1）驗證數(shù)據(jù)的明文傳送認證服務(wù)器ID及密碼用戶端ID及密碼入侵者特點1.入侵者很容易偵聽到ID及密碼2.用戶ID及密碼完全暴露在網(wǎng)上3.若DBA的ID及密碼泄露，DB也隨之泄露，系統(tǒng)將無安全可言42（2）采用單向HASH傳送用戶ID和密碼用戶端散列值散列值散列值比較驗證認證服務(wù)器入侵者特點1.單向HASH的不可逆決定了入侵者不能得到用戶ID和密碼2.入侵者在網(wǎng)上僅捕獲散列值問題：服務(wù)器無法分辨是用戶或入侵者的散列值進行登錄43（3）隨機數(shù)二次散列后認證用戶ID和密碼隨機數(shù)散列值1散列值2用戶端ID和密碼散列值入侵者隨機數(shù)散列值散列值散列值認證服務(wù)器特點1.入侵者偵聽信息無用，也不能重放2.DBA不知道ID及密碼，因為DB中是ID及密碼的散列值3.口令較短，散列速度快，容易窮舉攻破ID及密碼的散列值44（4）二次散列與對稱加密傳送主要解決口令容易攻破的問題，口令加密后傳送用戶ID和密碼隨機數(shù)加密值用戶端入侵者散列值隨機數(shù)散列值密鑰加密值加密值認證服務(wù)器特點1.用散列值作為加密密鑰2.散列值長度（128）≥密碼的位數(shù)（8），防止窮舉攻擊45簡單認證小結(jié)

該方式由于用口令對系統(tǒng)登錄，人的記憶力決定了口令的長度1）口令字的長度決定了系統(tǒng)的安全性2）口令長度能提供的安全性隨著機器性能的增長使系統(tǒng)的安全性減弱3）基于口令的窮舉攻擊可能使口令登錄的系統(tǒng)安全性非常脆弱而沒有使用價值4）目前，基于口令的簡單認證可以滿足安全較低的封閉區(qū)域的認證462）強認證。認證什么：在開放的網(wǎng)絡(luò)環(huán)境下，提供系統(tǒng)的登錄驗證，認證用戶身份。認證體系標(biāo)準(zhǔn)ITU（1988）

ITU(InternationalTelecommunicationUnion，國際電信聯(lián)盟)制定：開放系統(tǒng)互連（OSI）--目錄服務(wù)認證體系X.509Def：（X.509）是使用公鑰密碼技術(shù)，辨別通信雙方，提供高度安全的身份認證機制X.509認證體系：系統(tǒng)的安全性取決于安全最弱的一環(huán)；基于證書的認證系統(tǒng)的安全性關(guān)鍵：證書對應(yīng)的私鑰的安全性保證47.強認證方式：單向，雙向，三向先決條件：認證中心體系已經(jīng)建成，將使用者的公鑰與使用者的身份通過私鑰緊密聯(lián)系在一起（1）單向認證特點1.A→B，僅一次通信2.抵抗重放攻擊，防止偽造數(shù)據(jù)，保證數(shù)據(jù)的完整性發(fā)送方接收方BAB∪A{tA,rA,B}48（1）單向認證發(fā)送方接收方BAB∪A{tA,rA,B}認證過程對A：1.A首先產(chǎn)生一串隨機數(shù)rA2.A發(fā)送信息B∪A{tA,rA,B}到BtA是時間戳，可包括：數(shù)據(jù)的產(chǎn)生時間和數(shù)據(jù)的超時時間

B：B的身份數(shù)據(jù)

A{…}A對其中信息的數(shù)字簽名對B：3.用事先獲得的A的公鑰，檢查A的證書是否過期或注銷4.驗證簽名，確定數(shù)據(jù)的完整性5.檢查文件的識別數(shù)據(jù)，B是否為此文件的接收方6.檢查時間戳tA，是否在有效期內(nèi)7.檢查rA是否重復(fù)出現(xiàn)過X.509建議：在tA有效期內(nèi)，可將tA,rA順序累加部分以及簽名散列值部分存儲起來，用來檢查rA是否重復(fù)出現(xiàn)過（？）49（2）雙向認證B∪A{tA,rA,B}發(fā)送方接收方BA21特點1.A與B兩次通信2.雙方共享身份識別數(shù)據(jù)中的秘密部分3.確保數(shù)據(jù)的完整性、有效性、真實性50（2）雙向認證發(fā)送方接收方BA21認證過程1.A發(fā)送B∪A{tA,rA,B}2.B回信息A,B{tB,rB,A,trA}3.A收到后執(zhí)行：。用B的公鑰簽名，確定數(shù)據(jù)的完整性。檢查上述數(shù)據(jù)的識別數(shù)據(jù)，確認A是否此數(shù)據(jù)的接收方。檢查tB是否在有效期內(nèi)，確定數(shù)據(jù)的有效性。檢查rB是否重復(fù)出現(xiàn)，確定數(shù)據(jù)是否重放51（3）三向認證發(fā)送方接收方BA213識別過程：1.A發(fā)送B∪A{tA,r1A,B}到B2.B回信息A,B{tB,rB,A,r2A}給A3.A檢查接收到的r2A與r1A是否相等，若相等，A發(fā)識別數(shù)據(jù)A(R3B,B)給BB收到信息后執(zhí)行4.以A的公鑰驗證簽名，確定數(shù)據(jù)的完整性5.檢查收到的R3B是否與自己發(fā)送時產(chǎn)生的R2B相等特點1.A,B三次通信2.確保安全522．2授權(quán)管理基礎(chǔ)設(shè)施PMI

（PrivilegeManagementInfrastructure）Qu:1．什么是PMI2．PMI與PKI的區(qū)別、聯(lián)系3．PMI的功能結(jié)構(gòu)，特點4．基于PMI的授權(quán)管理模式（與傳統(tǒng)的應(yīng)用系統(tǒng)相比）

531.什么是PMIDef:PMI是建立在PKI的基礎(chǔ)上，與PKI結(jié)合，利用屬性證書提供實體身份到應(yīng)用權(quán)限的映射，實現(xiàn)對系統(tǒng)資源訪問的統(tǒng)一管理機制。2.區(qū)別與聯(lián)系PKI：證明實體身份的合法性（用戶是誰）PMI：證明實體具有什么權(quán)限，能以何種方式訪問什么資源（用戶有什么權(quán)限，能干什么）聯(lián)系：PMI需要PKI為其提供身份認證服務(wù)屬性證書的定義

屬性證書是由屬性權(quán)威機構(gòu)AA(AttributeAuthority)簽發(fā)的包含持有者的屬性集(如角色、訪問權(quán)限或組成員等)和一些與持有者相關(guān)的數(shù)據(jù)結(jié)構(gòu)。由于這些屬性集能夠定義系統(tǒng)中用戶的權(quán)限，因此可以把作為一種授權(quán)機制的屬性證書看作是權(quán)限信息的載體。54

屬性證書的定義屬性證書由簽發(fā)它的AA簽名，以此來保證屬性證書和其權(quán)限信息的有效性和合法性。屬性證書中包含的信息包括:證書的版本號、證書所有者的信息、證書的簽發(fā)機構(gòu)、用來創(chuàng)建數(shù)字簽名的算法、證書的序列號、有效期、屬性(權(quán)力信息)、可選的證書簽發(fā)機構(gòu)的唯一ID號和可選的擴展域。55角色屬性證書為了實現(xiàn)對角色、權(quán)限的靈活動態(tài)管理，屬性證書進行了一定的擴展，X.509標(biāo)準(zhǔn)支持兩種與角色有關(guān)的屬性證書:角色規(guī)范屬性證書(RoleSpeeifieationAC)和角色分配屬性證書(RoleAssignmentAC)。56角色屬性證書角色規(guī)范屬性證書的持有者(Hofder)是角色，屬性是該角色擁有的權(quán)限.而在角色分配證書中，證書的持有者(Hofder)是用戶，屬性是分配給該用戶的角色所有角色規(guī)范屬性證書都由人A預(yù)先簽發(fā)，存放在LDAP目錄服務(wù)器的證書庫中，不隨用戶的變化而變化。57角色屬性證書角色分配屬性證書也是由AA簽發(fā)后存放在LDAP服務(wù)器的證書中(不為用戶持有)。AA可能給一個用戶多個角色，此時該屬性的值是角色列表，角色可以有等級之分，上一級角色可以擁有下一級角色的權(quán)限，角色之間也可以互相交叉，也可以互相排斥，例如，運動員和裁判是互相排斥的一對角色。58593.PMI功能結(jié)構(gòu)用戶權(quán)限管理UPA簽發(fā)機構(gòu)AA發(fā)布系統(tǒng)應(yīng)用接口策略機構(gòu)PA屬性證書DB用戶屬性策略策略分配證書發(fā)布獲取證書獲取證書214354.特點604.特點1）授權(quán)管理的靈活性實現(xiàn)了強制訪問控制和自主訪問控制的結(jié)合2）授權(quán)操作與業(yè)務(wù)操作分離進行615.權(quán)限控制邏輯結(jié)構(gòu)PKI/CA策略實施目標(biāo)授權(quán)中心AA訪問控制服務(wù)器用戶管理資源管理權(quán)限分配注冊申請策略制定PB策略決策PDP策略庫策略機構(gòu)PAPMI應(yīng)用系統(tǒng)654321發(fā)布系統(tǒng)+62權(quán)限控制過程1.實體發(fā)出請求到目標(biāo)，例如讀數(shù)據(jù)2.策略實施點處理請求，形成決策請求3.訪問控制服務(wù)器根據(jù)用戶身份證書等信息得到用戶屬性證書，計算有關(guān)信息，得到用戶權(quán)限信息4.策略決策點根據(jù)用戶權(quán)限信息作出決定5.策略實施636．PMI的授權(quán)體系結(jié)構(gòu)

PMI的核心：屬性證書簽發(fā)機構(gòu)信任源點SOA二級授權(quán)服務(wù)中心AA二級授權(quán)服務(wù)中心AA授權(quán)服務(wù)中心AA資源管理中心RM資源管理中心RM業(yè)務(wù)受理點業(yè)務(wù)受理點業(yè)務(wù)受理點安全策略服務(wù)LDAP服務(wù)操作授權(quán)服務(wù)。。。三級647.授權(quán)管理服務(wù)系統(tǒng)的設(shè)計（1）系統(tǒng)遵循的標(biāo)準(zhǔn)：。X.509V4:公鑰和屬性證書框架。PKCS#6:擴展的數(shù)字證書語法標(biāo)準(zhǔn)（2）系統(tǒng)工作模式（集中式，分布式）①集中式授權(quán)管理服務(wù)系統(tǒng)的設(shè)計功能：用戶管理，審核管理，資源管理，角色管理，操作員管理，日志管理體系結(jié)構(gòu)：65。①集中式授權(quán)管理服務(wù)系統(tǒng)體系結(jié)構(gòu)：資源管理策略引擎授權(quán)信息目錄服務(wù)器授權(quán)管理密碼服務(wù)系統(tǒng)訪問控制表日志用戶權(quán)限請求部分功能：資源管理：向策略引擎發(fā)出訪問控制請求，將訪問控制表提交給策略引擎策略引擎：根據(jù)以上請求，訪問授權(quán)服務(wù)器，取得用戶權(quán)限授權(quán)管理：授權(quán)、撤銷、委托權(quán)限密碼服務(wù)系統(tǒng)：基礎(chǔ)安全服務(wù)：加、解密，簽名、驗證簽名，信封數(shù)字等66②分布式授權(quán)管理服務(wù)系統(tǒng)的設(shè)計系統(tǒng)功能：.資源訪問授權(quán).更改、刪除授權(quán).操作員管理.日志管理體系結(jié)構(gòu)：67。分布式授權(quán)管理服務(wù)系統(tǒng)的體系結(jié)構(gòu)部分功能：電子政務(wù)客戶端：接受授權(quán)，完成用戶對資源的授權(quán)、簽名應(yīng)用資源服務(wù)器：接受客戶請求，發(fā)出訪問控制請求授權(quán)管理服務(wù)器：存儲資源的授權(quán)信息，計算權(quán)限值密碼服務(wù)系統(tǒng)：同前電子政務(wù)客戶端授權(quán)模塊應(yīng)用資源服務(wù)器授權(quán)管理服務(wù)器密碼服務(wù)系統(tǒng)688.授權(quán)管理中心AA的設(shè)計

·系統(tǒng)結(jié)構(gòu)

PKI網(wǎng)關(guān)…………入侵檢查漏洞掃描安全審計防病毒…………InternetLDAP服務(wù)

日志服務(wù)信息安全服務(wù)引擎系統(tǒng)狀態(tài)管理簽名服務(wù)LDAPDB日志服務(wù)信息安全服務(wù)引擎系統(tǒng)狀態(tài)管理簽名服務(wù)WEB服務(wù)

證書策略服務(wù)AA業(yè)務(wù)服務(wù)699．PMI的通用業(yè)務(wù)（屬性證書的申請與發(fā)布）

AA驗證PKC證書驗證通過AA判斷該用戶是否已注冊將提交信息寫入DB申請證書將角色信息寫入DB生成證書取出用戶注冊信息用戶角色信息核實以上兩信息是否相符用戶提交PKC證書返回出錯信息

返回注冊頁面

返回用戶信息頁面

加密提交信息用戶信息注冊結(jié)束

返回角色選擇頁面加密提交信息NNNNYYNY通過審核

7010.屬性證書分發(fā)的兩種模式（“推”“拉”）授權(quán)管理證書服務(wù)器Internet授權(quán)屬性證書應(yīng)用目錄服務(wù)系統(tǒng)DB客戶端拉

推

查詢

提交

特點推模式：用戶將自己的屬性證書推給資源服務(wù)管理器

拉模式：授權(quán)機構(gòu)發(fā)布證書給目錄服務(wù)系統(tǒng)，由服務(wù)器從目錄服務(wù)系統(tǒng)拉回71兩種模式的比較：推模式：用戶將自己的屬性證書推給資源服務(wù)管理器?？蛻襞c服務(wù)器不需建立新的連接，查詢證書很方便，因而提高服務(wù)器性能拉模式：授權(quán)機構(gòu)發(fā)布證書給目錄服務(wù)系統(tǒng)，由服務(wù)器從目錄服務(wù)系統(tǒng)拉回。不需對客戶端及客戶、服務(wù)器協(xié)議作任何改動7211.基于屬性證書的訪問控制（公鑰證書）

·系統(tǒng)結(jié)構(gòu)

用戶資源服務(wù)器策略引擎日志服務(wù)器證書服務(wù)器訪問控制判斷請求

取AC證書寫入信息

PKC73·基于屬性證書的訪問控制流程

Rowser資源服務(wù)器用戶通過身份驗證取出ACL和用戶PKC有權(quán)訪問向LDAP請求檢索用戶所有的AC根據(jù)ACL、AC判斷用戶權(quán)限用戶

資源服務(wù)器

策略引擎LDAPPKC訪問失敗訪問失敗顯示可訪問的資源用戶PKC

AC

Y

Y

N

N

接受請求

74

2．3網(wǎng)絡(luò)基礎(chǔ)設(shè)施1．總體結(jié)構(gòu)網(wǎng)絡(luò)基礎(chǔ)設(shè)施主要包括：互聯(lián)網(wǎng)、公眾服務(wù)業(yè)務(wù)網(wǎng)、涉密政府辦公網(wǎng)、非涉密政府辦公網(wǎng)。核心：統(tǒng)一的安全電子政務(wù)平臺電子政務(wù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的總體結(jié)構(gòu)，主要包括：（1）統(tǒng)一的安全電子政務(wù)平臺（2）政務(wù)內(nèi)網(wǎng)（3）政務(wù)專網(wǎng)（4）網(wǎng)絡(luò)安全結(jié)構(gòu)（接口）

（1）統(tǒng)一的安全電子政務(wù)平臺1775（1）統(tǒng)一的安全電子政務(wù)平臺

自身平臺：統(tǒng)一的信息交換平臺統(tǒng)一的Web門戶平臺統(tǒng)一的信息接入平臺可信的政務(wù)一站式服務(wù)與外部網(wǎng)的互聯(lián):主要有?；ヂ?lián)網(wǎng)。SOAP簡單對象訪問協(xié)議。電信公網(wǎng)PSTN。CA證書頒發(fā)機構(gòu)。短信服務(wù)網(wǎng)GSM。KM密鑰管理中心。無線接入網(wǎng)GPRS。虛擬專用網(wǎng)VPNVPN技術(shù)：可使發(fā)布在不同地域的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全通信。通過多層的虛擬通道（隧道），經(jīng)加密后，使各種被傳輸信息只有預(yù)定的接受者讀懂，敏感數(shù)據(jù)不會被竊聽。VPN產(chǎn)品（軟件）包括：帶加密的軟件防火墻，軟件VPN系統(tǒng)，加密算法，密鑰交換協(xié)議，VPN專用認證系統(tǒng)CA76（1）統(tǒng)一的安全電子政務(wù)平臺網(wǎng)上工商S網(wǎng)上稅務(wù)S網(wǎng)上郵政S……金融服務(wù)S統(tǒng)一的web門戶平臺統(tǒng)一的信息交換平臺統(tǒng)一的接入平臺PKI/PMI業(yè)務(wù)網(wǎng)1業(yè)務(wù)網(wǎng)2業(yè)務(wù)網(wǎng)n………………涉密網(wǎng)GSMGPRSInternetPSTNCDMA77（2）政務(wù)內(nèi)網(wǎng)

PKI/PMI公眾服務(wù)網(wǎng)非涉密網(wǎng)涉密辦公網(wǎng)非涉密政務(wù)專網(wǎng)涉密政務(wù)專網(wǎng)非涉密辦公網(wǎng)公眾服務(wù)業(yè)務(wù)系統(tǒng)統(tǒng)一的數(shù)據(jù)交換平臺統(tǒng)一的接入平臺統(tǒng)一的WEB門戶平臺統(tǒng)一的WEB服務(wù)平臺可信SOAP服務(wù)器可信SOAP業(yè)務(wù)處理其他系統(tǒng)其他系統(tǒng)涉密辦公網(wǎng)政務(wù)內(nèi)網(wǎng)的總體結(jié)構(gòu)圖78可信SOAP服務(wù)器：SimpleObjectAccessProtocol)

可信簡單對象訪問協(xié)議

（3）政務(wù)專網(wǎng)在內(nèi)部涉密政府辦公網(wǎng)絡(luò)之間建立互聯(lián)的涉密政務(wù)專網(wǎng)在政務(wù)內(nèi)網(wǎng)的非涉密辦公網(wǎng)之間建立互聯(lián)的非涉密政務(wù)專網(wǎng)

(4)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計措施：。綜合采取物理層、網(wǎng)絡(luò)層、應(yīng)用層多層面的安全機制。采用本地、遠程兩級安全運行監(jiān)管機制，如建立系統(tǒng)安全漏洞掃描、入侵檢測、審計等物理措施：對機房加強管理

792．4網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施1.構(gòu)建目標(biāo)有中心，可管理傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)是無中心，無管理，點對點等2.網(wǎng)絡(luò)信任域的體系結(jié)構(gòu)

包括：網(wǎng)絡(luò)接入、傳輸、管理等安全措施。接入：網(wǎng)絡(luò)接入認證交換機，保證設(shè)備安全可信接入傳輸：PKI網(wǎng)關(guān)，保證數(shù)據(jù)安全可信傳輸管理：信任域管理服務(wù)平臺，保證工作狀態(tài)安全可信802.網(wǎng)絡(luò)信任域的體系結(jié)構(gòu)

網(wǎng)絡(luò)信任域技術(shù)一般包括網(wǎng)絡(luò)接入、傳輸、管理等三個層次的安全措施。

網(wǎng)絡(luò)信任域管理服務(wù)平臺X1Xn…………PKI網(wǎng)關(guān)網(wǎng)絡(luò)信任域管理服務(wù)平臺PKI網(wǎng)關(guān)…………高一級的網(wǎng)絡(luò)信任域

安全可信接入

網(wǎng)絡(luò)信任域1

接入認證交換機

終端設(shè)備

安全可信通道

網(wǎng)絡(luò)信任域2812.關(guān)鍵機制－－基于PKI的證書認證機制

功能：（1）為用戶的設(shè)備頒發(fā)數(shù)字公鑰證書PKC（2）協(xié)調(diào)通訊密鑰，結(jié)合安全協(xié)議IPsec,保證網(wǎng)絡(luò)通訊安全可信管理機制：一人一證、一機一證關(guān)鍵技術(shù)：基于PKI的證書認證技術(shù)?；赑KI的認證技術(shù)?；赑KI的授權(quán)服務(wù)?；赑KI的可信傳輸?；赑KI的信任域綜合管理系統(tǒng)?；赑KI和IEEE802.1x標(biāo)準(zhǔn)的可信接入?；谟布问降淖C書存儲82第3講信任模型

Qu：

1.一個實體能夠信任的證書是怎樣確定的？

2．信任是怎樣產(chǎn)生的

3．在一定環(huán)境中，什么情形下能限制或者控制信任？1．

信任相關(guān)的概念

(1)信任信任：可以是可信實體，或可信公鑰實體：在網(wǎng)絡(luò)或分布式環(huán)境中具有獨立決策和行動能力的終端、服務(wù)器或智能代理可信實體：X.509的2000版X.504定義，若一個實體A假定另一個實體B會嚴格地像A期望的那樣行動，即稱A信任B

83可信公鑰：若用戶A相信與某一公鑰K1相應(yīng)的私鑰K2僅僅正當(dāng)而有效地被某一特定的實體所擁有，則A稱K1是可信的（2）信任域信任域：是公共控制下或服從一組公共策略的系統(tǒng)集。若集體中所有個體都遵循同樣的規(guī)則，則稱集體在單信任域中運作。在一個集體中，已有的人事關(guān)系和運作模式使你給予該集體較高的信任，稱這個集體為信任域。一個企業(yè)中，信任域可以按組織、地理界限劃分（3）信任錨信任模型中，當(dāng)可以確定一個身份或有一個足夠可信的身份，簽發(fā)一個能證明其簽發(fā)的身份時，才能作出信任該身份的決定，這個可信的實體被稱為信任錨（4）信任錨的識別84(4)信任錨的識別

自身是信任錨：

熟人是信任錨:

遠程非熟人:(5)信任關(guān)系W被識別的個體直接了解

信任錨

信任錨

信任錨

W被識別的個體熟人W身份證持有人公安局85(5)信任關(guān)系在PKI中，當(dāng)兩個認證機構(gòu)中的一方給對方的公鑰或雙方給對方的公鑰頒發(fā)證書時，二者之間就建立了信任關(guān)系。信任關(guān)系可以是雙向的，或單向的。證書用戶找到一條從證書頒發(fā)者到信任錨的路徑，需建立一系列的信任關(guān)系2.信任模型862．信任模型

描述終端用戶、依托主體和可信服務(wù)系統(tǒng)之間關(guān)系的模型

3.PKI的信任模型描述客體、依托主體和CA之間關(guān)系的模型。分為：1）CA的嚴格層次可信模型2）分布式信任模型3）Web信任模型4）以用戶為中心的信任模型5）交叉認證信任模型871）CA的嚴格層次可信模型①根CA授權(quán)給直接下層子CA，直至某CA實際頒發(fā)證書根CA子CA子CA……88②每個實體（如CA或者終端用戶）都信任根CA，必須擁有根CA的公鑰。③證書的驗證實體A根CA子CA1子CA2BK2K1擁有K

K由K驗證K1

由K1驗證K2

由K2驗證B的證書

892）分布式信任模型

特點1。CA中心輻射配置：中心CA與根CA是交叉認證2。根CA是網(wǎng)狀配置：根CA與根CA是交叉認證3。證書的驗證過程：1）用戶A驗證同一個根CA下用戶B1的證書，同層次結(jié)構(gòu)；2）用戶A驗證非同一個根CA下用戶B2的證書中心CA根CA1根CA2子CA…………子CA用戶A用戶B1……用戶B2用戶903）Web信任模型該模型依賴于瀏覽器。如InternetExplorer或者Safari。

瀏覽器廠商根CA根CA……用戶用戶用戶用戶………………特點：1。CA的公鑰預(yù)裝在瀏覽器上，這些公鑰確定一組CA2。瀏覽器的用戶最初信任CA3。CA名和公鑰綁定在一起914）以用戶為中心的信任模型用戶AA的朋友A的哥哥A的父母A的同事A哥哥的朋友特點1。用戶自己對決定信賴或拒絕某個證書負責(zé)2。最初可信的密鑰集－－直接聯(lián)系層A的朋友、同事、哥、父母。925）交叉認證信任模型

Def：將各CA單向或雙向連接在一起的機制特點1。單向：如層次模型，雙向，如分布式信任模型2。交叉認證：一個CA承認另一個CA在一個名字空間中被授權(quán)頒發(fā)的證書例1：4.證書的路徑處理目的：。A確定是否信任B證書中的公鑰K。在一個給定的目標(biāo)證書和一個可信密鑰（信任錨）之間找到一個證書的完整路徑（或鏈），檢查該路徑中每個證書的合法性處理過程：934.證書的路徑處理處理過程：第一階段：構(gòu)建路徑，聚集所有形成完整路徑所必需的證書路徑尋找算法：深度優(yōu)先搜索；廣度優(yōu)先搜索；啟發(fā)式搜索第二階段：確定路徑，依次檢查路徑中的每個證書，確定它含有的密碼是否被信任確認內(nèi)容，證書的有效期、撤銷狀態(tài)、適用的策略、密鑰使用機制、名字約束等5.信任錨的確認945.信任錨的確認1）CA的嚴格層次可信模型

A的信任錨在邏輯上是離其最遠的CA，即根CA2）分布式信任模型

A的信任錨在邏輯上是離其最近的CA，包括整個PKI群體中其所在的部分嚴格層次結(jié)構(gòu)的根，也可是實際認證其的最近的CA3）以用戶為中心的信任模型是其自身選擇的一個或多個CA6.信任計算956.信任計算詳見講稿7.信任計算實例詳見講稿96第4講電子政務(wù)應(yīng)用系統(tǒng)設(shè)計及安全性分析

1．電子政務(wù)應(yīng)用系統(tǒng)及組成一般分為兩類一類對內(nèi)：電子政務(wù)應(yīng)用系統(tǒng)，主要面向公務(wù)員，辦公二類對外：電子政務(wù)應(yīng)用系統(tǒng)，面向公眾，網(wǎng)上納稅，申報項目等由三部分組成：政務(wù)業(yè)務(wù)內(nèi)網(wǎng)；政務(wù)外網(wǎng)；安全平臺2.安全平臺－

972．安全平臺－－統(tǒng)一的安全電子政務(wù)平臺提供一站式服務(wù)3．統(tǒng)一的安全電子政務(wù)平臺的總體結(jié)構(gòu)設(shè)計電子政府門戶公安局 海關(guān) 軍事部門……稅務(wù)局

公民 企業(yè)1……企業(yè)n

98工商管理業(yè)務(wù)邏輯模塊財政結(jié)算業(yè)務(wù)邏輯模塊網(wǎng)上郵政業(yè)務(wù)邏輯模塊網(wǎng)上稅務(wù)業(yè)務(wù)邏輯模塊PKICARAKAPMIAARA

接入平臺 接入平臺工作流引擎（對內(nèi)）工作流引擎（對外）通用電子政務(wù)構(gòu)件通用電子政務(wù)（對內(nèi)） （對外）個性化管理（對內(nèi)）個性化管理（對外）服務(wù)集成模塊服務(wù)集成模塊（對內(nèi)）