Network and Information Security

Slides:



Advertisements
Similar presentations
汕头大学医学院 学年学分制学籍管理办法 科教处 - 学籍教材科 郑少燕 2006 - 9 总 则 ♠ 在本校学习的学生,应当政治思想高;应当爱国 勤劳、自强不息,应当遵纪守法,应当刻苦学习, 勇于探索,积极实践,努力掌握现代科学文化知 识和专业技能,应当积极锻炼身体,具有健康体 魄。
Advertisements

一、老师申请题目,以下指导老 师操作。 1. 登录教务系统 web 端. 2. 点击 “ 毕业设计 ” 工具栏下拉菜单中的 “ 论文 _ 教师申请题目 ”
传媒学生应该如何度 过四年大学生活?. 进入大学一个多月了,用一个词形容大 学生活 自卑感 不适应 空虚感 被动感 孤独感 失望感 一、大学新生不适应大学生活的表现:
上海市场首次公开发行股票 网下发行电子化方案 初步询价及累计投标询价 上海证券交易所 上市公司部.
职业指导服务系统 欢迎了解职业指导服务系统!
Public key infrastructure
计算机网络在农产品营销中的应用 江苏省铜山县农广校.
6.6 简单网络管理协议 SNMP 网络管理的基本概念
小一家長會 訓育訊息 德性培育組 余家濂主任
网络信息安全 第四章 数字签名与CA认证技术 网络信息安全 数字签名与CA认证技术.
绿 色 植 物 在 家 庭 居 室 空 气 污 染 控 制 中 的 作 用 小组成员:.
密码学应用 培训机构名称 讲师名字.
情緒管理與壓力調適 連廷嘉.
西安电子科技大学 信息安全专业 学生实践能力培养的探索
学党章党规、学系列讲话,做合格党员 学习教育
PKI在金融领域的应用及前景展望 中国金融认证中心 赵宇 2012年9月.
GCA/XCA附卡授權服務 推廣及教育訓練
住房和城乡建设部科技发展促进中心 全国建设行业电子认证平台应用介绍 电子认证工作办公室 曹吉昌.
第18章 网络安全III —身份认证和公钥基础设施
计算机网络 指导教师:杨建国 二零一零年三月.
类风湿性关节炎的中医治疗 广州中医药大学第一附属医院 陈纪藩.
健康上网 初一3班 王诗婷.
提高自身素质做好 新时期班主任工作 北京市广渠门中学 高金英.
普通话模拟测试 与学习平台 使用指南.
我的学校——达县职高 制作人——高一计算机应用二班王天.
第八章 网络课程的设计与开发.
安徽地税金三电子税务局 系统培训 2015年12月.
青岛市数字证书认证中心 2011年4月.
網路小說劇情建構與伏線營造 Windows98.
06資訊安全-加解密.
导 论.
电子商务企业认证机构简介 制作PPT :马彦虎 资料查找:陈楠 李大鹏 旅游管理122班 时间:2014年11月23日.
電子戶籍謄本申辦及驗證實務作業與問題討論
法 师 带 观 修 互 动 答 题 法 师 答 疑. 法 师 带 观 修 互 动 答 题 法 师 答 疑.
关于整合检验检测认证机构实施意见的通知(国办发〔2014〕8号)
第22章 汽车制动系 学习目标 1.掌握制动系的工作原理 2.掌握液压传动装置的结构 3.掌握气压传动装置的结构.
互联网时代班主任的挑战 万玮 2014年9月20日.
东北师大理想信息技术研究院 院长 中国教育软件协会 副主任 英国计算机与自动化学会 顾问
推进德育创新 做好新时期班主任工作 北京市广渠门中学 高金英.
项目申报及投资推进工作实务 更多模板、视频教程: 兰溪市发展和改革局 2013年9月 1.
读书报告要求 每人写一篇读书报告。 要求,对学习这门课程之后形成的对计算机科学的一个总的、一般的认识,但不要泛泛而论。
前不久看到了这样一则报道:某个大学校园里,一个大学生出寝室要给室友留一张字条,告诉他钥匙放在哪里。可是“钥匙”两个字他不会写,就问了其他寝室的同学,问了好几个,谁也不会写,没办法,只好用“KEY”来代替了。 请大家就此事发表一下自己看法。
教科書:資訊與網路安全概論,黃明祥、林詠章著,Mc Graw Hill出版,普林斯頓總經銷
北京经济技术开发区社会保险基金管理中心
利用共同供應契約 辦理大量訂購流程說明.
資訊安全-資料加解密 主講:陳建民.
TTCN-3简介.
1-1 電腦的起源 1-2 電腦的演進 1-3 電腦的種類 1-4 電腦與生活
Windows 2000 Server Certificate Authority架設
安全网管技术 张焕杰 中国科学技术大学网络信息中心
鄉村尋根-農具篇.
双因素认证令牌的优势 -SafeNet iKey
现代密码学理论与实践 第14章 认证协议的应用 Fourth Edition by William Stallings
计算机安全与保密 (Computer Security and Applied Cryptography )
Westmont College 网络管理 SNMP
Windows Server 2008证书服务的安装
為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
第9章 信息安全.
小学生交通安全主题班会课件 安全 security 上派学区中心校校园安全管理办公室.
Chapter 5 公開金鑰基礎建設 Public Key Infrastructure (PKI) (Part 1)
勾選Certificate Services,並按確定。(如果沒有安裝IIS,同時必須要勾選IIS)
機械製造期末報告- 加工切削 組員:高德全4A 林威成4A 陳柏源4A
国家卫生监督信息系统 数字证书应用介绍 北京数字证书认证中心.
1072學期教學助理勞僱化 行政流程說明會 報告單位: 教發中心 108年2月22日.
兒童及少年保護、 家庭暴力及性侵害事件、 高風險家庭 宣導與通報
“修身成材” 班级干部培训班 黑龙江大学党委学工部.
為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性)
知识点5---向量组的最大无关组 1. 最大线性无关组的定义 2. 向量组秩的定义及求法 向量组的秩和对应矩阵秩的关系 3.
Presentation transcript:

Network and Information Security 第7章 PKI技术 第7章 PKI技术 在网络通信中,需要确定通信双方的身份,这就需要身份认证技术。在信息安全的众多解决方案中,一般都要用到非对称密码技术,也就是说要用到公/私钥对。在双方甚至多方的通信过程中,通信的一方要使用其他通信方的公钥。关键的问题是如何确定通信方公钥的真实性,也就是说,如何将公钥与一个实体绑定在一起?这就需要公钥基础设施PKI。PKI通过一个可信的第三方对实体进行身份认证,并向其签发证书,将该实体与一个公钥绑定在一起。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.1 PKI概述 7.1.1 公钥密码系统的问题 李四用张三的公钥验证张三的数字签名时,有一个关键 问题必须要解决。李四怎样得到张三的公钥?李四又怎样 才能确定这个公钥的确是张三的,而不是王五冒充的呢? 我们需要一个可信任的第三方,它负责验证所有人的身 份,包括某些计算机设备的身份。它一定要信誉良好,它 验证过的人和设备,我们就可以相信。这个第三方现在称 为CA(Certificate Authority),CA首先认真检查所有人 的身份,然后给他们颁发证书,当然这是数字证书。证书 包括持有人的信息和他的公钥,还可以有其他更复杂的信 息。关键的一点是证书不可被篡改,这由数字签名技术来 保证。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.1.2 PKI的概念、目的、实体构成和服务 PKI是利用公钥密码技术提供一套安全基础 平台的技术和规范。从定义可以看出,PKI的 目的是给用户提供安全服务的。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.2 证书权威(CA) 数字证书实质上是一段数据,就是把用户 的身份与之所持有的公钥结合。在结合之前, 由一个可信任的认证机构——证书权威(CA) 来证实用户的身份。然后由可信任的CA对该 用户身份及对应公钥相结合的证书进行数字 签名,用来证明证书的有效性。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.2.1 CA的功能和组成 (1) 接收最终用户数字证书的申请。 (2) 确定是否接受最终用户数字证书的申请——证书的审批。 (3) 向申请者颁发或者拒绝颁发数字证书——证书的发放。 (4) 接收、处理最终用户的数字证书更新请求——证书的更新。 (5) 接收最终用户数字证书的查询、撤销。 (6) 产生和发布证书撤销列表(CRL)。 (7) 数字证书的归档。 (8) 密钥归档。 (9) 历史数据归档。 Network and Information Security

Network and Information Security 第7章 PKI技术 CA构成图 目录服务器 CA服务器 管理控制台 加密机 Web服务器 Internet Network and Information Security

Network and Information Security 第7章 PKI技术 7.2.2 CA对用户证书的管理 一般地,用户公/私钥对有两大类用途: 1.用于数字签名:用户用私钥对消息进行数字签名,而消息的接收者使用用户的公钥对消息的数字签名进行验证。 2.用于加密信息:消息发送者使用接收者的公钥加密机密数据,接收者使用私钥解密数据。 签名私钥绝对不能在CA做备份和存档。为了防止私钥丢失时无法解密数据,解密私钥应该在CA进行备份和存档, Network and Information Security

Network and Information Security 第7章 PKI技术 现在,一般利用浏览器申请证书,用户利用浏览器申请证书的具体过程为: 1.访问CA的网站,打开一个Web页面。 2.填写信息时重要的一项是选择密钥生成方式。用户可以选择密钥托管或不托管。 3.RA检查申请信息并且开始验证用户提供的身份信息。 4.当CA接收到RA的申请时,它根据证书操作管理规范定义的颁发规则制作证书。 5.生成的证书返还给用户。 6.如果用户自己生成密钥对,他还需将返回的证书和先前生成的私钥对应起来。这需要运行一个程序将证书和私钥建立起关联。 Network and Information Security

Network and Information Security 第7章 PKI技术 用户提出证书撤销的一般原因如下: 1.密钥泄密:证书对应的私钥泄密。 2.从属变更:某些关于证书的信息变更,如机构从属变更等。 3.终止使用:该密钥对已不再用于原用途。 CA根据与证书持有人的协议,可由于以下原因主动撤销证书: 1.知道或者有理由怀疑证书持有人私钥已经被破坏,或者证书细节不真实、不可信。 2.证书持有者没有履行其职责。 3.证书持有者死亡、违反电子交易规则或者已经被判定犯罪。 4.CA本身原因:由于CA系统私钥泄密。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.2.3 密码硬件简介 密码硬件可以分为三类: 一是智能卡、USB Key等小型设备; 二是加密卡等中型设备; 三是加密机等大型设备 共同特点: 1.防篡改,如果丢失或被盗,恶意攻击者无法读出里面的敏感信息,如密钥;2.在正常使用过程中,里面存储的密钥等机密信息不被读出,操作时需将数据输入硬件设备,硬件设备加密或签名后再输出。保证了机密信息的安全。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.3 数字证书和CRL 数字证书类似于现实生活中的个人身份证。身份证将个人的身份信息(姓名、出生年月日、地址和其他信息)同个人的可识别特征(照片或者指纹)绑定在一起。个人身份证是由国家权威机关(公安部)签发的。因此身份证可以用来验证持有者的合法身份信息。 同样公钥证书是将证书持有者的身份信息和其所拥有的公钥进行绑定的文件。证书文件还包含签发该证书的权威机构认证中心CA对该证书的签名。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.3.1 ASN.1概述 ASN.1(Abstract Syntax Notation One)一种证书描述语言,由ITU的X.208标准定义。理解ASN.1 对于理解PKCS等密码标准起着至关重要的作用。它主要讨论如何将高层协议安排好的数据以二进制形式写到磁盘上,或者送到网络上。其主要目的是描述一种数据结构,而这种数据结构是高度抽象的,与任何软件、硬件都没有关系;然后再用某种编码方法将其编为二进制串。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.3.2 X.509证书 X.509证书基本结构 Certificate ::= SEQUENCE { tbsCertificate TBSCertificate, signatureAlgorithm AlgorithmIdentifier, signature BIT STRING } TBSCertificate ::= SEQUENCE { version [0] Version DEFAULT v1(0), serialNumber CertificateSerialNumber, signature AlgorithmIdentifier, issuer Name, validity Validity, subject Name, subjectPublicKeyInfo SubjectPublicKeyInfo, issuerUniqueID [1] IMPLICIT UniqueIdentifier OPTIONAL, subjectUniqueID [2] IMPLICIT UniqueIdentifier OPTIONAL, extensions [3] Extensions OPTIONAL Version ::= INTEGER { v1(0), v2(1), v3(2) } Network and Information Security

Network and Information Security 第7章 PKI技术 CertificateSerialNumber ::= INTEGER Validity ::= SEQUENCE { notBefore Time, notAfter Time } Time ::= CHOICE { utcTime UTCTime, generalTime GeneralizedTime } UniqueIdentifier ::= BIT STRING SubjectPublicKeyInfo ::= SEQUENCE { algorithm AlgorithmIdentifier, subjectPublicKey BIT STRING } Extensions ::= SEQUENCE OF Extension Extension ::= SEQUENCE { extnID OBJECT IDENTIFIER, critical BOOLEAN DEFAULT FALSE, extnValue OCTET STRING } Network and Information Security

Network and Information Security 第7章 PKI技术 查看Windows中的证书 Network and Information Security

Network and Information Security 第7章 PKI技术 7.3.3 证书撤销列表与在线证书状态协议 证书撤销列表 证书撤销列表CRL是Certificate Revocation List的缩写,意为证书撤销列表。这是所有已被撤销证书的名单。CRL由发布CRL的CA进行签名,以保证列表不能被修改。CRL通常与证书同时公布在一个目录中。证书用户在验证证书时从目录中下载CRL,并查询列表寻找被验证的证书序列号。CRL中只包含未出有效期而被撤销的证书,那些已超出有效期而自动失效的证书不会出现在CRL中。 Network and Information Security

Network and Information Security 第7章 PKI技术 在线证书状态协议(OCSP) 下载CRL来验证证书是否已经撤销。这种方案有两个缺点,一是CRL不是实时的,二是CRL较大。 CRL是几乎二十年前的概念,那时互联网还不普及,很少用户能做到随时在线,只能靠本机中存储的CRL来验证证书。 现在互联网已经普及,每个人都能做到随时在线。我们能通过互联网实时地向CA查询某个证书的状态,这就是在线证书状态协议(Online Certificate Status Protocol,OCSP)。 1999年发布的RFC 2560定义了OCSP。用户向CA的OCSP服务器发送一个OCSP请求,指明要验证的证书,OCSP服务器则回复一个OCSP响应,指出该证书的状态。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.3.4 密码操作开发工具 编制程序进行证书及其他密码操作是非常复杂的。以制作证书为例,得到用户相关数据后,先需要调用DER编码器编码,然后对编码后的证书签名。签名过程同样复杂,首先要确定签名算法,再获得CA私钥,运行签名程序。 目前,密码函数接口有好几种,相互之间并不兼容。现在主流的密码函数接口有PKCS#11、MSCSP、JCE等。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.4 信任模型 7.4.1 证书验证方法 证书验证是确定证书在某一时刻是否有效以及确认它能否符合用户意图的过程。它包括以下内容: 1.证书是否包含一个有效的数字签名。 2.颁发者(CA)的公开密钥是否有效,是否可以用来验证证书上的数字签名。 3.当前使用证书的时间是否在证书的有效期内。 4.证书(或其对应的密钥)是否用于最初签发它的目的。 5.检查证书撤销列表CRL或利用OCSP协议,验证证书是否被撤销。 Network and Information Security

Network and Information Security 第7章 PKI技术 7.4.2 信任模型 层次模型 根CA 子CA 终端用户 Network and Information Security

Network and Information Security 第7章 PKI技术 对等模型 CA1 CA2 李四 张三 Network and Information Security

Network and Information Security 第7章 PKI技术 网状模型 李四(他只信任CA4)如何验证张三的证书?可以构造一条验证路径:CA4->CA1->CA2->CA3->张三。张三(他只信任CA3)可利用如下路径来验证李四的证书:CA3->CA6->CA5->CA4->李四。 CA1 CA4 CA2 CA5 CA3 CA6 张三 李四 Network and Information Security

Network and Information Security 第7章 PKI技术 混合模型 根CA1 子CA 终端用户 根CA2 Network and Information Security

Network and Information Security 第7章 PKI技术 7.5 软件防篡改 从网上下载可执行的软件后,由于可执行的软件可以在用户的计算机上做任何事情,用户如何相信它是无害的呢?首先要看它的生产商,大公司的软件可以信赖。可是如果黑客用自己的软件冒充大公司的软件,或者篡改大公司的软件,企图危害用户时怎么办?软件生产商对软件数字签名可以解决这个问题。 Network and Information Security