教科書:資訊與網路安全概論,黃明祥、林詠章著,Mc Graw Hill出版,普林斯頓總經銷

Slides:



Advertisements
Similar presentations
上海市场首次公开发行股票 网下发行电子化方案 初步询价及累计投标询价 上海证券交易所 上市公司部.
Advertisements

Public key infrastructure
Network and Information Security
王同学的苦恼﹗ MC 4.1 诚可贵﹗.
网络信息安全 第四章 数字签名与CA认证技术 网络信息安全 数字签名与CA认证技术.
第四章 内容提要: 电子商务的安全技术 本章从电子商务的安全要求入手,介绍电子商务的几种安全技术,从而说明电子商务安全问题有哪些,其根源何在、带来哪些风险、如何应用安全技术等。
第5章 电子商务安全 学习目标: 1)了解电子商务对安全的基本需求。 2)理解防火墙的功能与技术。 3)掌握数据加密原理与技术。
密码学应用 培训机构名称 讲师名字.
電子商務安全防護 線上交易安全機制.
Rfc3315 Dynamic Host Configuration Protocol for IPv6 (DHCPv6) 組員: 蔡承翰 A 陳鈺璋 A 翁菘㠙 A 指導老師 吳俊興.
電子商務:數位時代商機‧梁定澎總編輯‧前程文化 出版
眼屈光学 第三章 临床视觉光学.
第九章 電子金融 2017/3/6.
GCA/XCA附卡授權服務 推廣及教育訓練
財團法人天主教 聖馬爾定醫院新進報到職前訓練簡報 竭誠歡迎您加入 我們的行列.
校园信息管理系统 河北科技大学网络中心 2000/4/10.
第18章 网络安全III —身份认证和公钥基础设施
类风湿性关节炎的中医治疗 广州中医药大学第一附属医院 陈纪藩.
第二章 证券市场与股价指数 CHP2 Securities Market
徵收苗栗市福全段147、1588及文心段10、11地號等4筆土地之
本校學生兼任助理 相關規定和行政作業流程 104年9月2日 人事室.
安徽地税金三电子税务局 系统培训 2015年12月.
青岛市数字证书认证中心 2011年4月.
06資訊安全-加解密.
讲 义 大家好!根据局领导的指示,在局会计科和各业务科室的安排下,我给各位简要介绍支付中心的工作职能和集中支付的业务流程。这样使我们之间沟通更融洽,便于我们为预算单位提供更优质的服务。 下面我主要从三方面介绍集中支付业务,一是网上支付系统,二是集中支付业务流程及规定等,
第五章电子商务安全管理.
實踐課程學習申請系統操作 畫面流程-學生版
中国人民公安大学经费管理办法(试行) 第一章总则 第四条:“一支笔” “一支笔”--仅指单位主要负责人。负责对本 单位的经费进行审核审批。
電子戶籍謄本申辦及驗證實務作業與問題討論
大專院校校園e 化 PKI、智慧卡應用與整合.
法 师 带 观 修 互 动 答 题 法 师 答 疑. 法 师 带 观 修 互 动 答 题 法 师 答 疑.
第22章 汽车制动系 学习目标 1.掌握制动系的工作原理 2.掌握液压传动装置的结构 3.掌握气压传动装置的结构.
前不久看到了这样一则报道:某个大学校园里,一个大学生出寝室要给室友留一张字条,告诉他钥匙放在哪里。可是“钥匙”两个字他不会写,就问了其他寝室的同学,问了好几个,谁也不会写,没办法,只好用“KEY”来代替了。 请大家就此事发表一下自己看法。
糖尿病肾病的护理 陈佳莉.
以憑證中心機制強化跨校無線漫遊認證環境安全 ;
利用共同供應契約 辦理大量訂購流程說明.
電子簽核系統使用說明V4 GIS 2016/11/25.
第10章 网络安全 本章内容 网络安全的基本概念 信息安全技术 防火墙技术 网络病毒.
Windows 2000 Server Certificate Authority架設
電子商務付費系統 講師:王忍忠.
第十二章、EPCglobal Network
现代密码学理论与实践 第14章 认证协议的应用 Fourth Edition by William Stallings
计算机安全与保密 (Computer Security and Applied Cryptography )
第四章 電子商務付費系統 電子商務與網路行銷 (第2版).
主講人:黃鎮榮 東方設計學院觀光與休閒事業管理系
耶穌,萬名之上的名 Jesus, Name Above All Names 1/6
Study for Specification of EPG EPG规范研究
為何電子商務的安全性令人擔憂? 電子商務資訊安全 實體商務也擔心安全-但數位化的偽造數量會更多更快
iSoftStone Information Service Corporation
9 資訊安全 Information Security: A Managerial Perspective 國立中央大學.資訊管理系 范錚強
電子商務 Electronic Commerce
Chapter 5 公開金鑰基礎建設 Public Key Infrastructure (PKI) (Part 1)
機械製造期末報告- 加工切削 組員:高德全4A 林威成4A 陳柏源4A
歷代志下.
第 14 章 DHCP 著作權所有 © 旗標出版股份有限公司.
微信商城系统操作说明 色卡会智能门店.
1072學期教學助理勞僱化 行政流程說明會 報告單位: 教發中心 108年2月22日.
兒童及少年保護、 家庭暴力及性侵害事件、 高風險家庭 宣導與通報
教育部特殊教育通報網 學生異動、接收操作說明.
為何電子商務的安全性令人擔憂? 第二節 電子商務資訊安全 實體商務也擔心安全-but數位化的偽造數量會很多 網際網路是互聯的(匿名與距離性)
百艳图.
第8章 財務循環 第1節 財務循環之管理 第2節 相關文件及檔案 第3節 財務循環之流程 第4節 資訊科技新環境.
大綱 一.受試者之禮券/禮品所得稅規範 二.範例介紹 三.自主管理 四.財務室提醒.
知识点5---向量组的最大无关组 1. 最大线性无关组的定义 2. 向量组秩的定义及求法 向量组的秩和对应矩阵秩的关系 3.
银川社保网上申报 宁夏人力资源和社会保障 网上服务大厅操作
第4章 材质与贴图 4.1 材质的基本概念 4.2 材质编辑器 4.3 贴图 4.4 贴图坐标 4.5 材质类型 4.6 阴影类型
TCP/IP基礎協定之認識 資訊處位 主講人 黃連發.
網路安全技術 淺談金鑰系統的應用 A 陳靖宇.
摘要簡報 作品名稱:魔鬼記憶問答 作者:台中市西屯區永安國民小學 葉政德老師、王素珍老師.
Presentation transcript:

資訊安全導論 淡江大學 資訊管理系 侯 永 昌 http://mail.im.tku.edu.tw/~ychou ftp://mail.im.tku.edu.tw/Prof_Hou

教科書:資訊與網路安全概論,黃明祥、林詠章著,Mc Graw Hill出版,普林斯頓總經銷

第九章 金鑰管理及認證中心

前言 公開金鑰密碼系統技術可以達成: 它可以提供電子商務所需要的安全機制: 加解密功能 數位簽章功能 金鑰管理功能 它可以提供電子商務所需要的安全機制: 機密性 認證性 完整性 不可否認性 所有資訊安全的基礎都建立在公開金鑰上,但你怎麼知道提供給你金鑰的人是真的那個人?

使用者如何證明自己的身分及公開金鑰? 利用一存放使用者公開金鑰的公佈欄 利用網路告知對方 但公佈欄可能被篡改,網路上的李四是真的李四嗎?

使用者如何證明自己的身分及公開金鑰? 需要有一個機制來驗證一把公開金鑰確實為某人或某機關所擁有 需要可信任的第三者:認證中心(CA) 使用者登記認證,使其網路身分生效具法律效用。如同向戶政機關登記,政府發給身分證 使用者將其公開金鑰登記認證,以確認使用者的公開金鑰。如同印鑑證明 每個使用者都可以使用自己的數位憑證,證明自己合法身分 提供一個值得信賴的安全基礎建設

認證中心(Certification Authority, CA) 認證中心的主要功能 產生及更新數位憑證。認證中心將每個使用者的身分及公開金鑰簽署成一個數位憑證 分發及管理數位憑證 數位憑證的註銷及恢復 扮演一個數位時代可信任的仲裁者(提供憑證) 儲存數位憑證(有效憑證、終止憑證、過期憑證) 公佈及傳送數位憑證被註銷列表(Certificate Revocation List, CRL) 數位憑證的查詢及分送憑證管理之資料

數位憑證的標準格式 X.509 v3 數位憑證的格式: 1.版本 Version 3 2.序號 Serial Number 3.簽章演算法 Issuer Signature algorithm 4.憑證發行者 Issuer Distinguished Name 5.有效期限 Validate Period 6.憑證持有人 Subject Distinguished Name 7.持有者的公開公鑰 Subject Public Key Information 8.發行者身分 ID Issuer Unique Identifier (option) 9.持有者身分 ID Subject Unique Identifier (option) 10.其他資訊 Extension (option) 11.上述各資料之簽章 Issuer’s Signature on all the above fields

數位憑證的標準格式 憑證版本: 標明憑證的版本格式 序號:由發行的 CA 所指定的獨一無二的號碼,序號可用來追蹤憑證 發行者名稱:CA 的識別名稱 (Distinguished Name, DN) 有效期間:憑證的開始與終結日期;這並不包含憑證被註銷的可能性 主體:憑證所有者的個人身份資訊 主體的公開金鑰資訊:與主體欄位結合的公開金鑰與演算法 發行者的唯一識別碼:選擇性欄位,用來識別憑證的發行者或 CA。RFC 2459 一般不建議使用這個欄位 主體的唯一識別碼:選擇性欄位,用來識別憑證主體。RFC 2459 一般不建議使用這個欄位 延伸:選擇性欄位,用來作私下的延伸。這個欄位沒有定義,已知的有替代的主體名稱、金鑰用途資訊、以及 CRL 的分發點等等 加密的:這個欄位包含真正的簽章、演算法的識別碼、憑證中其它欄位的安全雜湊、以及這個雜湊的數位簽章

認證中心的基本架構 CA (Certificate Authority):認證中心 DS (Directory Service):存放數位憑證的地方 RA (Registry Agent):幫助CA來審查申請者身分,以降低CA的負擔。除了可以代理使用者向CA申請登記註冊,還可充當CA的防火牆,避免使用者(駭客)直接與CA接觸

數位憑證的申請(註冊) 使用者傳送自己的公開金鑰到RA RA傳送公開金鑰到CA CA對此公開金鑰簽章成數位憑證 CA傳送此憑證到RA CA傳送此憑證到DS 其他使用者可以與DS確認其憑證

數位憑證的產生與使用

數位憑證的核發與驗證過程

數位憑證的註銷 理由: 作法: 困難: 使用者因某種原因(密鑰有被破解之疑慮)需更改密鑰及公鑰 使用者已不再使用此CA所提供之認證服務 使用者信用不好而被列入拒絕往來戶 CA的私密金鑰有被破解的疑慮而需更換 作法: 使用CRL(數位憑證註銷串列法)來記錄所有已被註銷但尚未到期之憑證 CA再將此CRL送給所有驗證機關單位或使用者 驗證單位驗證使用者憑證步驟:1.有效期、2.憑證合法性、3.是否已被註銷 困難: 註銷之即時性問題 註銷之使用者過多時將使CRL快速膨脹,增加CA與驗證機關單位之通訊量及CRL之維護

數位憑證的註銷 使用者傳送註銷的訊息到RA RA傳送註銷的訊息到CA CA新增CRL並且傳送CRL到DS 使用者可以與DS確認CRL,確認是否已註銷憑證

數位憑證的使用 數位憑證的用途主要有兩個 加解密及簽章的使用 網路使用者的身分認證

網路使用者的身分認證 以下兩個方法可以安全的利用數位憑證來驗證網路使用者的身分 挑戰回應法:張三提出一個挑戰,如果品潔能確實回應,表示她確實擁有數位憑證所記載的那個人的祕密金鑰,她一定是品潔本人,也可以防止重送攻擊

網路使用者的身分認證 時戳法:在合理的時間範圍內,送這個訊息的人一定是品潔本人。如果超過合理的時間範圍,很可能就是遇上了重送攻擊(如果壞人攔截了「我是…Cert」這段訊息,下次假裝是品潔重送這段訊息給無辜的第三者,因為數位憑證是真的,它就可能可以騙過對方。就像你偷聽到德軍的口令,只要你學的像,就可以通過德軍的警衛

數位憑證的種類 認證中心憑證: 伺服器憑證: 個人憑證: 軟體出版者憑證: 認證中心的公鑰及名稱 SSL伺服器的公鑰及SSL伺服器名稱、DNS伺服器的公鑰及此伺服器名稱 個人憑證: 使用者個人使用之憑證 軟體出版者憑證: 軟體廠商用來簽署其所發行之軟體,以證明此軟體為該公司之原廠出版

交互認證 當通訊雙方的憑證不是同一個CA所核發,那麼他們該如何相信對方的憑證呢? 階層式(Hierarchical Cross Certification):CA間的交互認證可以形成一個樹狀結構,但若階層式的結構太高、驗證的路徑太長,就顯得缺乏效率 一般式(General Cross Certification):CA彼此間都交互認證,可以縮短憑證路徑,提供憑證認證的效率,但是會增加憑證管理上的負擔

階層式交互認證 張三驗證李四公開金鑰的路徑:用CA1的公鑰驗證CA1所核發有關CA2的數位憑證,並取得CA2的公鑰… CA2>CA3>李四 但若此階層式的結構太高、驗證的路徑太長,就顯得缺乏效率 李四要驗證王五的公開金鑰:CA3>CA2>Root CA>CA4>CA5>王五

一般式交互認證 是一種網路式架構 李四要驗證王五的公開金鑰:CA4>CA2>王五

我國政府公開金鑰基礎建設之架構

自然人憑證簡介 自然人憑證是內政部憑證管理中心(MOICA)對我國滿18歲以上國民所核發的公開公鑰數位憑證,是我國電子化政府資訊安全基礎建設計劃之一,它提供電子化政府應用服務網路通訊的安全基礎 內政部所建置的自然人憑證管理中心,有兩大目標: 建立可信賴之資訊安全機制 帶動電子化政府應用發展,提升國家競爭力

自然人憑證的運作機制 自然人在合法申請後均會獲得一組公開/私密金鑰對,這一組密碼對在經憑證管理中心認證過後,便會核發此公開金鑰的電子憑證 憑證內容包含: 用戶名稱 用戶公開金鑰 憑證有效期限 憑證序號 憑證管理中心的數位簽章等 可做為網路上身分驗證之使用

自然人憑證管理系統 內政部自然人憑證管理中心提供使用者一個憑證管理系統,並提供下列功能: 憑證的申請 憑證的註銷 暫時停用憑證 憑證的復用 憑證內容的更改 密碼的更改 憑證的下載

目前內政部自然人憑證所提供的服務

電子簽章法 認證中心的建立解決了公開金鑰認證的問題,是推動公開金鑰基礎建設的主要工作,但電子簽章若欠缺法律上的地位,也無法依賴電子簽章作為通信及交易之基礎,為配合日益蓬勃之數位經濟活動發展,建立電子簽章法制實乃當務之急 我國於民國90年10月由立法院通過電子簽章法,並於91年4月開始實施

電子簽章法 我國制訂的電子簽章法係參考聯合國及歐盟等國際組織訂定之電子簽章立法原則,其重要立法原則如下: 技術中立原則:任何可確保資料在傳輸或儲存過程中之完整性及鑑別使用者身分之技術,皆可用來製作電子簽章,並不以「非對稱型」加密技術為基礎之「數位簽章」為限,以免阻礙其他技術(生物科技)之應用發展 契約自由原則:對於民間之電子交易行為,宜在契約自由原則下,由交易雙方當事人自行約定適當之技術、程序及方法做成之電子簽章或電子文件,作為事後相關法律責任之基礎,不宜以政府公權力介入交易雙方之契約原則 市場導向原則:今後電子認證機制之建立及電子認證市場之發展,宜由民間主導發展各項電子交易所需之電子認證服務及相關標準