身份與訪問安全-基于數(shù)字證書的認(rèn)證案例與拓展課件_第1頁
身份與訪問安全-基于數(shù)字證書的認(rèn)證案例與拓展課件_第2頁
身份與訪問安全-基于數(shù)字證書的認(rèn)證案例與拓展課件_第3頁
身份與訪問安全-基于數(shù)字證書的認(rèn)證案例與拓展課件_第4頁
身份與訪問安全-基于數(shù)字證書的認(rèn)證案例與拓展課件_第5頁
已閱讀5頁,還剩47頁未讀, 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

身份與訪問安全

——基于數(shù)字證書的認(rèn)證

案例與拓展南京師范大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院陳波身份與訪問安全

——基于數(shù)字證書的認(rèn)證

案例與拓展南京師范大用戶密碼,嚴(yán)格地稱為用戶口令,實際上在人們的信息資源活動中起到標(biāo)識用戶身份,并依此進(jìn)行身份認(rèn)證的作用,防止非授權(quán)訪問。身份認(rèn)證(Authentication)是證實實體(Entity)對象的數(shù)字身份與物理身份是否一致的過程。身份認(rèn)證技術(shù)能夠有效防止信息資源被非授權(quán)使用,保障信息資源的安全。這里的實體可以是用戶,也可以是主機(jī)系統(tǒng)。根據(jù)實體的不同,身份認(rèn)證通??煞譃橛脩襞c主機(jī)間的認(rèn)證和主機(jī)與主機(jī)之間的認(rèn)證,不過實質(zhì)上,主機(jī)與主機(jī)之間的認(rèn)證仍然是用戶與主機(jī)系統(tǒng)的認(rèn)證?;诳诹畹恼J(rèn)證實現(xiàn)用戶向主機(jī)系統(tǒng)證實自己的身份?;仡櫍夯诳诹畹恼J(rèn)證2信息安全案例教程:技術(shù)與應(yīng)用用戶密碼,嚴(yán)格地稱為用戶口令,實際上在人們的信息資源活動中起案例:主機(jī)系統(tǒng)如何向用戶證實自己的身份?如何鑒別網(wǎng)站的真假?我每次上支付寶,用的是地址欄中保存的網(wǎng)址,不會有假查看網(wǎng)站的數(shù)字證書3信息安全案例教程:技術(shù)與應(yīng)用案例:主機(jī)系統(tǒng)如何向用戶證實自己的身份?3信息安全案例教程:本講要點1.什么是數(shù)字證書?2.為什么通過驗證數(shù)字證書就可以鑒別網(wǎng)站的真假?3.如何鑒別?4.數(shù)字證書其他作用?4信息安全案例教程:技術(shù)與應(yīng)用本講要點1.什么是數(shù)字證書?4信息安全案例教程:技術(shù)與應(yīng)用51.

數(shù)字證書的概念數(shù)字證書類似于現(xiàn)實生活中的由國家公安部門發(fā)放的居民身份證。數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。數(shù)字證書是各類實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進(jìn)行信息交流及商務(wù)活動的身份證明。通信各方通過驗證對方證書的有效性,從而解決相互間的信任問題。信息安全案例教程:技術(shù)與應(yīng)用51.數(shù)字證書的概念數(shù)字證書類似于現(xiàn)實生活中的由國家公安部本講要點1.什么是數(shù)字證書?2.為什么通過驗證數(shù)字證書就可以鑒別網(wǎng)站的真假?3.如何鑒別?4.數(shù)字證書其他作用?6信息安全案例教程:技術(shù)與應(yīng)用本講要點1.什么是數(shù)字證書?6信息安全案例教程:技術(shù)與應(yīng)用2.

利用數(shù)字證書鑒別身份的原理網(wǎng)絡(luò)用戶企業(yè)網(wǎng)站由權(quán)威的可信第三方(CertificationAuthority

CA)產(chǎn)生根證書。網(wǎng)絡(luò)實體的系統(tǒng)中通常會安裝根證書。CA可用根證書為其下級以及網(wǎng)絡(luò)實體簽發(fā)數(shù)字證書。系統(tǒng)對用根證書簽發(fā)的數(shù)字證書都表示信任,從技術(shù)上說就是建立起一個證書信任鏈。用戶驗證各網(wǎng)絡(luò)實體數(shù)字證書的有效性時,實際上只要驗證為其頒發(fā)數(shù)字證書CA的根證書。用戶信任可信第三方頒發(fā)的根證書,也就信任了網(wǎng)絡(luò)實體獲得的數(shù)字證書。7信息安全案例教程:技術(shù)與應(yīng)用2.利用數(shù)字證書鑒別身份的原理網(wǎng)絡(luò)用戶企業(yè)網(wǎng)站由權(quán)威的可信82.

利用數(shù)字證書鑒別身份的原理發(fā)布數(shù)字證書的權(quán)威機(jī)構(gòu)和申請數(shù)字證書的企業(yè)或組織應(yīng)具備的條件依法成立的合法組織具有與認(rèn)證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員具有與提供認(rèn)證服務(wù)相適應(yīng)的資金和經(jīng)營場所,具備為用戶提供認(rèn)證服務(wù)和承擔(dān)風(fēng)險、責(zé)任的能力具有符合國家安全標(biāo)準(zhǔn)的技術(shù)、設(shè)備國家法律法規(guī)規(guī)定的其他條件EVSSL數(shù)字證書(ExtendedValidationSSL),遵循全球統(tǒng)一的嚴(yán)格身份驗證標(biāo)準(zhǔn)頒發(fā)的數(shù)字證書,是目前業(yè)界最高安全級別的證書。/EVSSL/index.htm技術(shù)專業(yè)信譽度高信息安全案例教程:技術(shù)與應(yīng)用82.利用數(shù)字證書鑒別身份的原理發(fā)布數(shù)字證書的權(quán)威機(jī)構(gòu)和申本講要點1.什么是數(shù)字證書?2.為什么通過驗證數(shù)字證書就可以鑒別網(wǎng)站的真假?3.如何鑒別?4.數(shù)字證書其他作用?9信息安全案例教程:技術(shù)與應(yīng)用本講要點1.什么是數(shù)字證書?9信息安全案例教程:技術(shù)與應(yīng)用3.

利用數(shù)字證書進(jìn)行鑒別的過程系統(tǒng)中默認(rèn)安裝了證書庫。可運行“certmgr.msc”打開證書控制臺10信息安全案例教程:技術(shù)與應(yīng)用3.利用數(shù)字證書進(jìn)行鑒別的過程系統(tǒng)中默認(rèn)安裝了證書庫??蛇\3.

利用數(shù)字證書進(jìn)行鑒別的過程11信息安全案例教程:技術(shù)與應(yīng)用3.利用數(shù)字證書進(jìn)行鑒別的過程11信息安全案例教程:技術(shù)與3.

利用數(shù)字證書進(jìn)行鑒別的過程操作系統(tǒng)和瀏覽器幫助我們進(jìn)行了鑒別12信息安全案例教程:技術(shù)與應(yīng)用3.利用數(shù)字證書進(jìn)行鑒別的過程操作系統(tǒng)和瀏覽器幫助我們進(jìn)行案例拓展:12306網(wǎng)站數(shù)字證書的問題13信息安全案例教程:技術(shù)與應(yīng)用案例拓展:12306網(wǎng)站數(shù)字證書的問題13信息安全案例教程:案例拓展:12306網(wǎng)站數(shù)字證書的問題帶病操作:忽略對數(shù)字證書的查驗警報探尋報警的原因14信息安全案例教程:技術(shù)與應(yīng)用案例拓展:12306網(wǎng)站數(shù)字證書的問題帶病操作:忽略對數(shù)字證案例拓展:12306網(wǎng)站數(shù)字證書的問題15SinoRailCA瀏覽器攔截報警的原因不是國際權(quán)威的CA,因而不被操作系統(tǒng)認(rèn)可,瀏覽器進(jìn)行攔截并給出警告信息安全案例教程:技術(shù)與應(yīng)用案例拓展:12306網(wǎng)站數(shù)字證書的問題15SinoRail案例拓展:12306網(wǎng)站數(shù)字證書的問題解決瀏覽器攔截報警的方法:安裝根證書16信息安全案例教程:技術(shù)與應(yīng)用案例拓展:12306網(wǎng)站數(shù)字證書的問題解決瀏覽器攔截報警的方案例拓展:12306網(wǎng)站數(shù)字證書的問題潛在的安全威脅強(qiáng)行安裝根證書不是一個安全操作。根證書頒發(fā)機(jī)構(gòu)應(yīng)該是得到廣泛(系統(tǒng))認(rèn)可的CA,應(yīng)當(dāng)讓用戶對其專業(yè)技術(shù)和信譽度有信心。如果SRCA被攻擊,被用來簽發(fā)惡意網(wǎng)站的數(shù)字證書,將輕易騙取用戶的信任。由于SRCA簽發(fā)的證書無法吊銷,無法進(jìn)入系統(tǒng)吊銷證

書列表進(jìn)行攔截。安全建議:在“受信任的根證書頒發(fā)機(jī)構(gòu)”節(jié)點下將SRCA的根證書刪除17信息安全案例教程:技術(shù)與應(yīng)用案例拓展:12306網(wǎng)站數(shù)字證書的問題潛在的安全威脅17信息本講要點1.什么是數(shù)字證書?2.為什么通過驗證數(shù)字證書就可以鑒別網(wǎng)站的真假?3.如何鑒別?4.數(shù)字證書其他作用?18信息安全案例教程:技術(shù)與應(yīng)用本講要點1.什么是數(shù)字證書?18信息安全案例教程:技術(shù)與應(yīng)思考:假定用戶A想給用戶B發(fā)送一個消息M,出于機(jī)密性以及確保完整性和不可否認(rèn)性的考慮,A需要在發(fā)送前對消息進(jìn)行簽名和加密,那么A是先簽名后加密好還是先加密后簽名好呢?19考慮下面的重放攻擊情況,假設(shè)Alice決定發(fā)送消息:M=“Iloveyou”

先簽名再加密發(fā)送給B。

出于惡意,B收到后解密獲得簽名的消息ESKA(M),并將其加密,將該消息發(fā)送給C,C以為A愛上了他。明文MA簽名A加密明文MA簽名明文MA簽名B加密明文MA簽名信息安全案例教程:技術(shù)與應(yīng)用思考:假定用戶A想給用戶B發(fā)送一個消息M,出于機(jī)密性以及確保思考:假定用戶A想給用戶B發(fā)送一個消息M,出于機(jī)密性以及確保完整性和不可否認(rèn)性的考慮,A需要在發(fā)送前對消息進(jìn)行簽名和加密,那么A是先簽名后加密好還是先加密后簽名好呢?20再考慮下面的中間人攻擊情況,A將一份重要的研究成果發(fā)送給B。這次她的消息是先加密再簽名,即發(fā)送給B。然而C截獲了A和B之間的所有通信內(nèi)容并進(jìn)行中間人攻擊。C使用A的公鑰來計算出EPKB(M),并且用自己的私鑰簽名后發(fā)給B,從而使得B認(rèn)為該成果是C的。明文MA加密A簽名明文MA加密明文MA加密B簽名明文MA加密信息安全案例教程:技術(shù)與應(yīng)用思考:假定用戶A想給用戶B發(fā)送一個消息M,出于機(jī)密性以及確保思考:從上面的兩種情況我們能夠意識到公鑰密碼的局限性。對于公鑰密碼,任何人都可以進(jìn)行公鑰操作,即任何人都可以加密消息,任何人都可以驗證簽名。怎樣分發(fā)和獲取用戶的公鑰?如何建立和維護(hù)用戶與其公鑰的對應(yīng)關(guān)系?獲得公鑰后如何鑒別該公鑰的有效性?通信雙方如果發(fā)生爭議如何仲裁?21信息安全案例教程:技術(shù)與應(yīng)用思考:從上面的兩種情況我們能夠意識到公鑰密碼的局限性。對于公4.基于數(shù)字證書的PKI公鑰基礎(chǔ)設(shè)施PKI(PublicKeyInfrastructure)的本質(zhì)是實現(xiàn)大規(guī)模網(wǎng)絡(luò)中的公鑰分發(fā)問題,建立大規(guī)模網(wǎng)絡(luò)中的信任基礎(chǔ)。PKI在實際應(yīng)用中是一套軟硬件系統(tǒng)和安全策略的集合,它提供了一整套安全機(jī)制,使用戶在不知道對方身份或分布地點的情況下,以數(shù)字證書為基礎(chǔ),通過一系列的信任關(guān)系進(jìn)行網(wǎng)絡(luò)通信和網(wǎng)絡(luò)交易。22信息安全案例教程:技術(shù)與應(yīng)用4.基于數(shù)字證書的PKI公鑰基礎(chǔ)設(shè)施PKI(Public4.基于數(shù)字證書的PKI在PKI環(huán)境中,通信的各方需要申請一個數(shù)字證書。在此申請過程中,PKI將會采用其他手段驗證其身份。如果驗證無誤,那么PKI將創(chuàng)建一個數(shù)字證書,并由認(rèn)證中心對其進(jìn)行數(shù)字簽名。當(dāng)通信的一方接收到對方的數(shù)字證書,根據(jù)數(shù)字簽名判斷出證書來自于他信任的認(rèn)證機(jī)構(gòu),則他將確信收到的公鑰確實來自需要進(jìn)行通信的另一方。這種情況相當(dāng)于第三方的認(rèn)證機(jī)構(gòu)為通信的雙方提供身份認(rèn)證的擔(dān)保,因此也稱為“第三方信任模型”。23信息安全案例教程:技術(shù)與應(yīng)用4.基于數(shù)字證書的PKI在PKI環(huán)境中,通信的各方需要申請4.基于數(shù)字證書的PKI24確認(rèn)網(wǎng)站的真實性。凡是使用了https的網(wǎng)站,都可以通過點擊瀏覽器地址欄的鎖頭標(biāo)志來查看網(wǎng)站認(rèn)證之后的真實信息,也可以通過CA機(jī)構(gòu)頒發(fā)的數(shù)字證書來查詢。建立一個信息安全通道,來保證數(shù)據(jù)傳輸?shù)臋C(jī)密性。信息安全案例教程:技術(shù)與應(yīng)用4.基于數(shù)字證書的PKI24確認(rèn)網(wǎng)站的真實性。凡是使用了本講主要內(nèi)容251.什么是數(shù)字證書?1.數(shù)字證書的概念2.為什么通過驗證數(shù)字證書就可以鑒別網(wǎng)站的真假?2.利用數(shù)字證書鑒別身份的原理3.如何鑒別?3.利用數(shù)字證書進(jìn)行鑒別的過程4.數(shù)字證書的其他作用?4.基于數(shù)字證書的PKI信息安全案例教程:技術(shù)與應(yīng)用本講主要內(nèi)容251.什么是數(shù)字證書?信息安全案例教程:技術(shù)本講思考與練習(xí)26名詞解釋:數(shù)字證書;公鑰基礎(chǔ)設(shè)施驗證與思考:查看支付寶、網(wǎng)易郵箱、蘋果iCloud網(wǎng)站的數(shù)字證書,分析其對于安全的重要意義操作實踐:EVSSL數(shù)字證書的申請、安裝與使用請訪問南京師范大學(xué)信息化教學(xué)網(wǎng)本課程主頁

信息安全案例教程:技術(shù)與應(yīng)用本講思考與練習(xí)26名詞解釋:數(shù)字證書;公鑰基礎(chǔ)設(shè)施信息安全案身份與訪問安全

——基于數(shù)字證書的認(rèn)證

案例與拓展南京師范大學(xué)計算機(jī)科學(xué)與技術(shù)學(xué)院陳波身份與訪問安全

——基于數(shù)字證書的認(rèn)證

案例與拓展南京師范大用戶密碼,嚴(yán)格地稱為用戶口令,實際上在人們的信息資源活動中起到標(biāo)識用戶身份,并依此進(jìn)行身份認(rèn)證的作用,防止非授權(quán)訪問。身份認(rèn)證(Authentication)是證實實體(Entity)對象的數(shù)字身份與物理身份是否一致的過程。身份認(rèn)證技術(shù)能夠有效防止信息資源被非授權(quán)使用,保障信息資源的安全。這里的實體可以是用戶,也可以是主機(jī)系統(tǒng)。根據(jù)實體的不同,身份認(rèn)證通常可分為用戶與主機(jī)間的認(rèn)證和主機(jī)與主機(jī)之間的認(rèn)證,不過實質(zhì)上,主機(jī)與主機(jī)之間的認(rèn)證仍然是用戶與主機(jī)系統(tǒng)的認(rèn)證?;诳诹畹恼J(rèn)證實現(xiàn)用戶向主機(jī)系統(tǒng)證實自己的身份?;仡櫍夯诳诹畹恼J(rèn)證28信息安全案例教程:技術(shù)與應(yīng)用用戶密碼,嚴(yán)格地稱為用戶口令,實際上在人們的信息資源活動中起案例:主機(jī)系統(tǒng)如何向用戶證實自己的身份?如何鑒別網(wǎng)站的真假?我每次上支付寶,用的是地址欄中保存的網(wǎng)址,不會有假查看網(wǎng)站的數(shù)字證書29信息安全案例教程:技術(shù)與應(yīng)用案例:主機(jī)系統(tǒng)如何向用戶證實自己的身份?3信息安全案例教程:本講要點1.什么是數(shù)字證書?2.為什么通過驗證數(shù)字證書就可以鑒別網(wǎng)站的真假?3.如何鑒別?4.數(shù)字證書其他作用?30信息安全案例教程:技術(shù)與應(yīng)用本講要點1.什么是數(shù)字證書?4信息安全案例教程:技術(shù)與應(yīng)用311.

數(shù)字證書的概念數(shù)字證書類似于現(xiàn)實生活中的由國家公安部門發(fā)放的居民身份證。數(shù)字證書是一段包含用戶身份信息、用戶公鑰信息以及身份驗證機(jī)構(gòu)數(shù)字簽名的數(shù)據(jù)。數(shù)字證書是各類實體(持卡人/個人、商戶/企業(yè)、網(wǎng)關(guān)/銀行等)在網(wǎng)上進(jìn)行信息交流及商務(wù)活動的身份證明。通信各方通過驗證對方證書的有效性,從而解決相互間的信任問題。信息安全案例教程:技術(shù)與應(yīng)用51.數(shù)字證書的概念數(shù)字證書類似于現(xiàn)實生活中的由國家公安部本講要點1.什么是數(shù)字證書?2.為什么通過驗證數(shù)字證書就可以鑒別網(wǎng)站的真假?3.如何鑒別?4.數(shù)字證書其他作用?32信息安全案例教程:技術(shù)與應(yīng)用本講要點1.什么是數(shù)字證書?6信息安全案例教程:技術(shù)與應(yīng)用2.

利用數(shù)字證書鑒別身份的原理網(wǎng)絡(luò)用戶企業(yè)網(wǎng)站由權(quán)威的可信第三方(CertificationAuthority

CA)產(chǎn)生根證書。網(wǎng)絡(luò)實體的系統(tǒng)中通常會安裝根證書。CA可用根證書為其下級以及網(wǎng)絡(luò)實體簽發(fā)數(shù)字證書。系統(tǒng)對用根證書簽發(fā)的數(shù)字證書都表示信任,從技術(shù)上說就是建立起一個證書信任鏈。用戶驗證各網(wǎng)絡(luò)實體數(shù)字證書的有效性時,實際上只要驗證為其頒發(fā)數(shù)字證書CA的根證書。用戶信任可信第三方頒發(fā)的根證書,也就信任了網(wǎng)絡(luò)實體獲得的數(shù)字證書。33信息安全案例教程:技術(shù)與應(yīng)用2.利用數(shù)字證書鑒別身份的原理網(wǎng)絡(luò)用戶企業(yè)網(wǎng)站由權(quán)威的可信342.

利用數(shù)字證書鑒別身份的原理發(fā)布數(shù)字證書的權(quán)威機(jī)構(gòu)和申請數(shù)字證書的企業(yè)或組織應(yīng)具備的條件依法成立的合法組織具有與認(rèn)證服務(wù)相適應(yīng)的專業(yè)技術(shù)人員和管理人員具有與提供認(rèn)證服務(wù)相適應(yīng)的資金和經(jīng)營場所,具備為用戶提供認(rèn)證服務(wù)和承擔(dān)風(fēng)險、責(zé)任的能力具有符合國家安全標(biāo)準(zhǔn)的技術(shù)、設(shè)備國家法律法規(guī)規(guī)定的其他條件EVSSL數(shù)字證書(ExtendedValidationSSL),遵循全球統(tǒng)一的嚴(yán)格身份驗證標(biāo)準(zhǔn)頒發(fā)的數(shù)字證書,是目前業(yè)界最高安全級別的證書。/EVSSL/index.htm技術(shù)專業(yè)信譽度高信息安全案例教程:技術(shù)與應(yīng)用82.利用數(shù)字證書鑒別身份的原理發(fā)布數(shù)字證書的權(quán)威機(jī)構(gòu)和申本講要點1.什么是數(shù)字證書?2.為什么通過驗證數(shù)字證書就可以鑒別網(wǎng)站的真假?3.如何鑒別?4.數(shù)字證書其他作用?35信息安全案例教程:技術(shù)與應(yīng)用本講要點1.什么是數(shù)字證書?9信息安全案例教程:技術(shù)與應(yīng)用3.

利用數(shù)字證書進(jìn)行鑒別的過程系統(tǒng)中默認(rèn)安裝了證書庫??蛇\行“certmgr.msc”打開證書控制臺36信息安全案例教程:技術(shù)與應(yīng)用3.利用數(shù)字證書進(jìn)行鑒別的過程系統(tǒng)中默認(rèn)安裝了證書庫??蛇\3.

利用數(shù)字證書進(jìn)行鑒別的過程37信息安全案例教程:技術(shù)與應(yīng)用3.利用數(shù)字證書進(jìn)行鑒別的過程11信息安全案例教程:技術(shù)與3.

利用數(shù)字證書進(jìn)行鑒別的過程操作系統(tǒng)和瀏覽器幫助我們進(jìn)行了鑒別38信息安全案例教程:技術(shù)與應(yīng)用3.利用數(shù)字證書進(jìn)行鑒別的過程操作系統(tǒng)和瀏覽器幫助我們進(jìn)行案例拓展:12306網(wǎng)站數(shù)字證書的問題39信息安全案例教程:技術(shù)與應(yīng)用案例拓展:12306網(wǎng)站數(shù)字證書的問題13信息安全案例教程:案例拓展:12306網(wǎng)站數(shù)字證書的問題帶病操作:忽略對數(shù)字證書的查驗警報探尋報警的原因40信息安全案例教程:技術(shù)與應(yīng)用案例拓展:12306網(wǎng)站數(shù)字證書的問題帶病操作:忽略對數(shù)字證案例拓展:12306網(wǎng)站數(shù)字證書的問題41SinoRailCA瀏覽器攔截報警的原因不是國際權(quán)威的CA,因而不被操作系統(tǒng)認(rèn)可,瀏覽器進(jìn)行攔截并給出警告信息安全案例教程:技術(shù)與應(yīng)用案例拓展:12306網(wǎng)站數(shù)字證書的問題15SinoRail案例拓展:12306網(wǎng)站數(shù)字證書的問題解決瀏覽器攔截報警的方法:安裝根證書42信息安全案例教程:技術(shù)與應(yīng)用案例拓展:12306網(wǎng)站數(shù)字證書的問題解決瀏覽器攔截報警的方案例拓展:12306網(wǎng)站數(shù)字證書的問題潛在的安全威脅強(qiáng)行安裝根證書不是一個安全操作。根證書頒發(fā)機(jī)構(gòu)應(yīng)該是得到廣泛(系統(tǒng))認(rèn)可的CA,應(yīng)當(dāng)讓用戶對其專業(yè)技術(shù)和信譽度有信心。如果SRCA被攻擊,被用來簽發(fā)惡意網(wǎng)站的數(shù)字證書,將輕易騙取用戶的信任。由于SRCA簽發(fā)的證書無法吊銷,無法進(jìn)入系統(tǒng)吊銷證

書列表進(jìn)行攔截。安全建議:在“受信任的根證書頒發(fā)機(jī)構(gòu)”節(jié)點下將SRCA的根證書刪除43信息安全案例教程:技術(shù)與應(yīng)用案例拓展:12306網(wǎng)站數(shù)字證書的問題潛在的安全威脅17信息本講要點1.什么是數(shù)字證書?2.為什么通過驗證數(shù)字證書就可以鑒別網(wǎng)站的真假?3.如何鑒別?4.數(shù)字證書其他作用?44信息安全案例教程:技術(shù)與應(yīng)用本講要點1.什么是數(shù)字證書?18信息安全案例教程:技術(shù)與應(yīng)思考:假定用戶A想給用戶B發(fā)送一個消息M,出于機(jī)密性以及確保完整性和不可否認(rèn)性的考慮,A需要在發(fā)送前對消息進(jìn)行簽名和加密,那么A是先簽名后加密好還是先加密后簽名好呢?45考慮下面的重放攻擊情況,假設(shè)Alice決定發(fā)送消息:M=“Iloveyou”

先簽名再加密發(fā)送給B。

出于惡意,B收到后解密獲得簽名的消息ESKA(M),并將其加密,將該消息發(fā)送給C,C以為A愛上了他。明文MA簽名A加密明文MA簽名明文MA簽名B加密明文MA簽名信息安全案例教程:技術(shù)與應(yīng)用思考:假定用戶A想給用戶B發(fā)送一個消息M,出于機(jī)密性以及確保思考:假定用戶A想給用戶B發(fā)送一個消息M,出于機(jī)密性以及確保完整性和不可否認(rèn)性的考慮,A需要在發(fā)送前對消息進(jìn)行簽名和加密,那么A是先簽名后加密好還是先加密后簽名好呢?46再考慮下面的中間人攻擊情況,A將一份重要的研究成果發(fā)送給B。這次她的消息是先加密再簽名,即發(fā)送給B。然而C截獲了A和B之間的所有通信內(nèi)容并進(jìn)行中間人攻擊。C使用A的公鑰來計算出EPKB(M),并且用自己的私鑰簽名后發(fā)給B,從而使得B認(rèn)為該成果是C的。明文MA加密A簽名明文MA加密明文MA加密B簽名明文MA加密信息安全案例教程:技術(shù)與應(yīng)用思考:假定用戶A想給用戶B發(fā)送一個消息M,出于機(jī)密性以及確保思考:從上面的兩種情況我們能夠意識到公鑰密碼的局限性。對于公鑰密碼,任何人都可以進(jìn)行公鑰操作,即任何人都可以加密消息,任何人都可以驗證簽名。怎樣分發(fā)和獲取用戶的公鑰?如何建立和維護(hù)用戶與其公鑰的對應(yīng)關(guān)系?獲得公鑰后如何鑒別該公鑰的有效性?通信雙方如果發(fā)生爭議如何仲裁?47信息安全案例教程:技術(shù)與應(yīng)用思考:從上面的兩種情況我們能夠意識到公鑰密碼的局限性。對于公4.基于數(shù)字證書的PKI公鑰基礎(chǔ)設(shè)施PKI(PublicKeyInfrastructure)的本質(zhì)是實現(xiàn)大規(guī)模網(wǎng)絡(luò)中的公鑰分發(fā)問題,建立大規(guī)模網(wǎng)絡(luò)中的信任基礎(chǔ)。PKI在實際應(yīng)用中是一套軟硬件系統(tǒng)和安全策略的集

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論