信息系統(tǒng)安全第3章_第1頁(yè)
信息系統(tǒng)安全第3章_第2頁(yè)
信息系統(tǒng)安全第3章_第3頁(yè)
信息系統(tǒng)安全第3章_第4頁(yè)
信息系統(tǒng)安全第3章_第5頁(yè)
已閱讀5頁(yè),還剩45頁(yè)未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說(shuō)明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請(qǐng)進(jìn)行舉報(bào)或認(rèn)領(lǐng)

文檔簡(jiǎn)介

第3章

身份認(rèn)證與訪問(wèn)控制認(rèn)證也是建立在現(xiàn)代密碼學(xué)上的。從認(rèn)證的對(duì)象看,可以分為消息認(rèn)證(報(bào)文認(rèn)證)和身份認(rèn)證。報(bào)文認(rèn)證主要包括了報(bào)文鑒別(主要用于完整性保護(hù))和數(shù)字簽名(主要用于抗抵賴(lài)保護(hù)),身份認(rèn)證用于真實(shí)性保護(hù)。信息的真實(shí)性保護(hù)認(rèn)證形式:?jiǎn)蜗蛏矸菡J(rèn)證雙向身份認(rèn)證實(shí)現(xiàn)方法:?jiǎn)舞€加密體制方法公鑰加密體制方法實(shí)時(shí)性保護(hù)的實(shí)現(xiàn)序列號(hào)時(shí)間戳詢問(wèn)-應(yīng)答3.1基于憑證比對(duì)的身份認(rèn)證口令;代表身份的生物特征信息;智能卡和電子鑰匙;證書(shū)。3.1.1生物特征身份認(rèn)證1.指紋2.虹膜3.面像(1)面像檢測(cè)·基于規(guī)則的面像檢測(cè):總結(jié)了特定條件下可用于檢測(cè)面像的知識(shí)(如臉型、膚色等),并把這些知識(shí)歸納成指導(dǎo)面像檢測(cè)的規(guī)則。·基于模板匹配的面像檢測(cè):首先構(gòu)造具有代表性的面像模板,通過(guò)相關(guān)匹配或其他相似性度量檢測(cè)面像?!せ诮y(tǒng)計(jì)學(xué)習(xí)的面像檢測(cè):主要利用面部特征點(diǎn)結(jié)構(gòu)灰度分布的共同性。(2)面像識(shí)別·面像樣本訓(xùn)練:提取面像特征,形成面像特征庫(kù)?!ぷR(shí)別:用訓(xùn)練好的分類(lèi)器將待識(shí)別面像的特征同特征庫(kù)中的特征進(jìn)行匹配,輸出識(shí)別結(jié)果。3.1.2靜態(tài)口令

1.口令失密及其對(duì)策

口令通常是作為用戶賬號(hào)補(bǔ)充部分向系統(tǒng)提交的身份憑證??诹钍禽^弱的安全機(jī)制,攻擊者可以從下面途徑進(jìn)行口令攻擊:(1)猜測(cè)和發(fā)現(xiàn)口令·常用數(shù)據(jù)猜測(cè),如家庭成員或朋友的名字、生日、球隊(duì)名稱(chēng)、城市名、身份證號(hào)碼、電話號(hào)碼、郵政編碼等?!ぷ值涔簦喊凑兆值湫蜻M(jìn)行窮舉攻擊?!て渌?,如望遠(yuǎn)鏡窺視等。(2)電子監(jiān)控:在網(wǎng)絡(luò)或電子系統(tǒng)中,被電子嗅探器、監(jiān)控竊取。(3)訪問(wèn)口令文件·在口令文件沒(méi)有強(qiáng)有力保護(hù)的情形下,下載口令文件。·在口令文件有保護(hù)的情況下,進(jìn)行蠻力攻擊。(4)通過(guò)社交工程:如通過(guò)親情、收買(mǎi)或引誘,獲取別人的口令。(5)垃圾搜索:收集被攻擊者的遺棄物,從中搜索被疏忽丟掉的寫(xiě)有口令的紙片或保存有口令的盤(pán)片。2.口令的安全保護(hù)(1)選取口令的原則·擴(kuò)大口令的字符空間??诹钭址臻g越大,窮舉攻擊的難度就越大。一般,不要僅限于使用26個(gè)大寫(xiě)字母,可以擴(kuò)大到小寫(xiě)字母、數(shù)字等計(jì)算機(jī)可以接受的字符空間?!みx擇長(zhǎng)口令??诹钤介L(zhǎng),破解需要的時(shí)間就越長(zhǎng),一般應(yīng)使位樹(shù)大于6位。·使用隨機(jī)產(chǎn)生的口令,避免使用弱口令(有規(guī)律的口令。參見(jiàn)弱密碼)和容易被猜測(cè)的口令,如如家庭成員或朋友的名字、生日、球隊(duì)名稱(chēng)、城市名等?!な褂枚鄠€(gè)口令,在不同的地方不要使用相同的口令。(2)正確地使用口令·縮短口令的有效期??诹钜?jīng)常更換。最好使用動(dòng)態(tài)的一次性口令?!は拗瓶诹畹氖褂么螖?shù)?!は拗频卿洉r(shí)間,如屬于工作關(guān)系的登錄,把登錄時(shí)間限制在上班時(shí)間內(nèi)。(3)安全地保存指令??诹畹拇鎯?chǔ)不僅是為了備忘,更重要的是系統(tǒng)要在檢測(cè)用戶口令時(shí)進(jìn)行比對(duì)。直接明文存儲(chǔ)口令(寫(xiě)在紙上或直接明文存儲(chǔ)在文件或數(shù)據(jù)庫(kù)中)最容易泄密。較好的方法是將每一個(gè)用戶的系統(tǒng)存儲(chǔ)賬號(hào)和雜湊值存儲(chǔ)在一個(gè)口令文件中。當(dāng)用戶登錄時(shí),輸入口令后,系統(tǒng)計(jì)算口令的雜湊碼,并與口令文件中的雜湊值比對(duì):成功,則允許登錄;否則,拒絕。(4)系統(tǒng)管理員除對(duì)用戶賬戶要按照資費(fèi)等加以控制外,還要對(duì)口令的使用在以下幾個(gè)方面進(jìn)行審計(jì):·最小口令長(zhǎng)度;·強(qiáng)制修改口令的時(shí)間間隔·口令的唯一性·口令過(guò)期失效后允許入網(wǎng)的寬限次數(shù);如果在規(guī)定的次數(shù)內(nèi)輸入不了正確口令,則認(rèn)為是非法用戶的入侵,應(yīng)給出報(bào)警信息。(5)增加口令認(rèn)證的信息量。例如在認(rèn)證過(guò)程中,隨機(jī)地提問(wèn)一些與該用戶有關(guān),并且只有該用戶才能回答的問(wèn)題。(6)使用軟鍵盤(pán)鍵入口令。因軟鍵盤(pán)上的鍵的布局是隨機(jī)的。3.批量登錄攻擊與驗(yàn)證碼

驗(yàn)證碼也稱(chēng)CAPTCHA(全自動(dòng)區(qū)分計(jì)算機(jī)和人類(lèi)的圖靈測(cè)試)是一種區(qū)分用戶是計(jì)算機(jī)還是人的公共全自動(dòng)技術(shù),目的是有效防止某一個(gè)特定注冊(cè)用戶用特定程序暴力破解方式進(jìn)行不斷的登錄嘗試。方法是人必須現(xiàn)場(chǎng)進(jìn)行一次操作。強(qiáng)制人工干預(yù)的另一種方法是手機(jī)傳送驗(yàn)證碼。3.1.3動(dòng)態(tài)口令1.概念:它也稱(chēng)一次性口令(OPT),依據(jù)專(zhuān)門(mén)的算法生成一個(gè)不可預(yù)測(cè)的隨機(jī)數(shù)字組合,僅用一次,廣泛用在網(wǎng)銀、網(wǎng)游、電信運(yùn)營(yíng)商、電子商務(wù)、企業(yè)等。2.類(lèi)型:它不是在網(wǎng)絡(luò)上直接生成,也非由系統(tǒng)直接從網(wǎng)上傳送給用戶,而是通過(guò)其它渠道或生成器提供給用戶。用于生成動(dòng)態(tài)口令的終端稱(chēng)為令牌。主流有:⑴短信密碼:以手機(jī)短信請(qǐng)求,身份認(rèn)證系統(tǒng)以短信(隨機(jī)的6/8位密碼)發(fā)送到手機(jī),用戶在登錄或交易認(rèn)證時(shí)輸入。⑵手機(jī)令牌:一種手機(jī)客戶端軟件,每隔30S產(chǎn)生一個(gè)隨機(jī)6位動(dòng)態(tài)密碼,用于登錄或交易。⑶硬件令牌:是一個(gè)鑰匙扣大小、有顯示隨機(jī)密碼(60S)屏幕的器具⑷軟件令牌:是通過(guò)軟件生成隨機(jī)密碼。3.技術(shù)分類(lèi):分同步(時(shí)間和事件)和

異步兩類(lèi)。

⑴時(shí)間同步口令:基于令牌和服務(wù)器的時(shí)間(國(guó)際標(biāo)準(zhǔn))同步。

⑵事件同步口令:通過(guò)某一特定事件次序及相同的種子值作為輸入,通過(guò)哈希算法運(yùn)算出一致的密碼。有預(yù)知風(fēng)險(xiǎn),要保護(hù)好PIN。

⑶異步口令:采用挑戰(zhàn)/應(yīng)答方式。其過(guò)程如下:

①客戶向認(rèn)證服務(wù)器必請(qǐng)求;

②認(rèn)證服務(wù)器從庫(kù)中查是否合法用戶,是往下;

③認(rèn)證服務(wù)器產(chǎn)生隨機(jī)數(shù)作為“提問(wèn)”發(fā)送給客戶;

④客戶將用戶名和隨機(jī)數(shù)合并,用哈希函數(shù)生成千百萬(wàn)一個(gè)6/8位的隨機(jī)字串作為應(yīng)答;

⑤認(rèn)證服務(wù)器將應(yīng)答與自己計(jì)算結(jié)果比較,一致通過(guò)認(rèn)證。

⑥認(rèn)證服務(wù)器告知客戶認(rèn)證成功與否。4.智能卡智能卡(SmartCard)是如名片大小的手持隨機(jī)動(dòng)態(tài)密碼產(chǎn)生器,也稱(chēng)集成電路卡或IC卡(IntegratedCard)。對(duì)于智能卡的安全保護(hù),一般采取如下一些措施:(1)對(duì)持卡人、卡和接口設(shè)備的合法性進(jìn)行相互校驗(yàn);(2)重要數(shù)據(jù)要加密后傳輸;(3)卡和接口設(shè)備中設(shè)置安全區(qū),在安全區(qū)內(nèi)包含有邏輯電路或外部不可讀的存儲(chǔ)區(qū)。任何有害的不規(guī)范的操作,將會(huì)被自動(dòng)禁止進(jìn)一步進(jìn)行。(4)應(yīng)設(shè)置止付名單(黑名單)。(5)有關(guān)人員要明確責(zé)任,嚴(yán)格遵守。5.電子鑰匙(雙因子USBKey)電子鑰匙(ePass)是一種通過(guò)USB直接與計(jì)算機(jī)相連、具有密碼驗(yàn)證功能、可靠高速的小型存儲(chǔ)設(shè)備,用于存儲(chǔ)一些個(gè)人信息或證書(shū),它內(nèi)部的密碼算法可以為數(shù)據(jù)傳輸提供安全的管道,是適合單機(jī)或網(wǎng)絡(luò)應(yīng)用的安全防護(hù)產(chǎn)品。其安全保護(hù)措施與智能卡相似。3.2基于密鑰分發(fā)的身份認(rèn)證密鑰的私密性使其具有憑證的特性。網(wǎng)絡(luò)環(huán)境中,密鑰的分發(fā),通過(guò)握手實(shí)現(xiàn)。過(guò)程中必須遵守的規(guī)則被稱(chēng)為認(rèn)證協(xié)議或算法。實(shí)現(xiàn)的最終目的即為身份認(rèn)證。注意“身份”不僅包含真實(shí)性還包含時(shí)效性。3.2.1公鑰加密認(rèn)證協(xié)議1.相互認(rèn)證協(xié)議(1)一個(gè)通過(guò)認(rèn)證服務(wù)器AS的認(rèn)證協(xié)議①A→AS:IDA||IDB。②AS→A:ESKAS[IDA||PKA

||T]||ESKAS[IDB||PKB

||T]。③A→B:ESKAS[IDA||PKA

||T]||ESKAS[IDB||PKB

||T||EPKB[ESKA[KS||T]。這個(gè)協(xié)議需要各方時(shí)鐘同步。(2)一個(gè)通過(guò)KDC的認(rèn)證協(xié)議①A→KDC:IDA||IDB。②KDC→A:ESKAU[IDB||PKB](SKAU是KDC的私鑰)。③A→B:EPKB[NA||IDA](NA是A選擇的一次性隨機(jī)數(shù))。④B→KDC:IDB||IDA||EPKAU[NA](PKAU是KDC的公鑰)。⑤KDC→B:ESKAU[IDA||PKA]||EPKB[ESKAU[NA||KS||IDB]](KS是KDC為A、B分配的一次性會(huì)話密鑰)。⑥B→A:EPKA[ESKAU[NA||KS||IDB]||NB]。⑦A→B:EKS[NB]。2.單向認(rèn)證協(xié)議(1)發(fā)送方知道接收方的公鑰,才有可能機(jī)密性保護(hù)。例如下面的協(xié)議僅提供機(jī)密性:

A→B:EPKB[KS]||EKS[M]。(2)接收方知道發(fā)送方的公鑰,才有可能認(rèn)證性保護(hù)。例如下面的協(xié)議僅提供認(rèn)證性:

A→B:M||ESKA[H(M)]。這時(shí),為了使B確信A的公鑰的真實(shí)性,A還要向B發(fā)送的公鑰證書(shū):

A→B:M||ESKA[H(M)]||ESKAS[T||IDA||PKA](SKAS為認(rèn)證服務(wù)器的公鑰,ESKAS[T||IDA||PKA]是AS給A簽署的公鑰證書(shū))。(3)發(fā)送方和接收方互相知道對(duì)方的公鑰,即可提供機(jī)密性又可提供認(rèn)證性,例如:

A→B:EPKB[M||ESKA[H(M)]]

這時(shí),為了使B確信A的公鑰的真實(shí)性,A還要向B發(fā)送的公鑰證書(shū):

A→B:EPKB[M||ESKA[H(M)]]||ESKAS[TS||IDA||PKA]。3.2.2單鑰加密認(rèn)證協(xié)議

1.相互認(rèn)證協(xié)議Needham-Schroeder1A→KDC:IDA||IDB||N1(A請(qǐng)求與B加密通信)。2KDC→A:EKA[Ks||IDB||N1||EKB[Ks||IDA]](A獲得Ks)。3A→B:EKB[Ks||IDA](B安全地獲得Ks)。4B→A:EKs[N2](B知道A已掌握Ks,用加密N2向A示意自己也獲得Ks)。5A→B:EKs[f(N2)]。KDCA(發(fā)起方)B(響應(yīng)方)21345特點(diǎn):4、5為一個(gè)握手過(guò)程,以證明在3中獲得的Ks是新鮮的可能出現(xiàn)欺騙攻擊改進(jìn)的Needham-Schroeder改進(jìn)方法:在2、3步中增加一個(gè)時(shí)間戳:2KDC→A:EKA[Ks||IDB||T||EKS[Ks||IDA||T]3A→B:EKB[Ks||IDA||T]問(wèn)題:系統(tǒng)故障或存在時(shí)間差時(shí)會(huì)失靈進(jìn)一步改進(jìn)方法:1A→B:IDA||NA2B→KDC:IDB||NB||EKB[IDA||NA||TB]3KDC→A:EKA[IDB||NA||Ks||IDA||TB]||EKB[IDA||Ks||TB]||NB4A→B:EKB[IDA||Ks||TB]||EKS[NB]KDCAB3142

2.單向認(rèn)證協(xié)議

在Needham-Schroeder協(xié)議中去掉第4步和第5步,就成為能滿足單向通信兩個(gè)基本要求的單向認(rèn)證協(xié)議:1A→KDC:IDA||IDB||N12KDC→A:EKA[Ks||IDB||N1||EKB[Ks||IDA]]3A→B:EKB[Ks||IDA]||EKs[M]問(wèn)答:1、從功能上講,SET是屬于哪層次的消息認(rèn)證系統(tǒng)?它的目標(biāo)是什么?有幾種角色?其關(guān)鍵技術(shù)有哪些?試簡(jiǎn)述BtoC交易過(guò)程。從雙重簽名列舉的兩個(gè)方案中能得出其作用是什么?2、身份認(rèn)證與報(bào)文認(rèn)證有何異同?基于憑證對(duì)比的依據(jù)有哪三種?你認(rèn)為最可靠最方便的是那種?靜態(tài)口令輸入中要增添驗(yàn)證碼的輸入,這起何作用?3.2.3Kerberos認(rèn)證系統(tǒng)

MIT(麻省理工學(xué)院)開(kāi)發(fā)。采用Needham-Schroeder協(xié)議。為分布式計(jì)算環(huán)境提供的一種對(duì)用戶雙方進(jìn)行驗(yàn)證:在開(kāi)放的分布式環(huán)境中,用戶希望訪問(wèn)網(wǎng)絡(luò)中的服務(wù)器,而服務(wù)器則要求能夠認(rèn)證用戶的訪問(wèn)請(qǐng)求并只允許通過(guò)了認(rèn)證的用戶訪問(wèn)服務(wù)器,以防止未授權(quán)用戶得到服務(wù)和數(shù)據(jù)。三頭守護(hù)狗安全(認(rèn)證)服務(wù)器(authenticationserver,AS)·認(rèn)證(Authentication)?!び?jì)費(fèi)(Accounting)?!徲?jì)(Audit)。1.Kerberos的計(jì)算環(huán)境

由大量的匿名工作站(交互、計(jì)算)和相對(duì)較少的獨(dú)立服務(wù)器(文件存儲(chǔ)、打印和郵件等)組成。有三種威脅。

①用戶可訪問(wèn)特定的工作站并偽裝成該工作站用戶;②用戶可改動(dòng)工作站網(wǎng)址,偽裝成其它工作站;③用戶可根據(jù)交換竊取消息,并使用重放攻擊進(jìn)入服務(wù)器。

除Kerberos服務(wù)器外,其他區(qū)域都是危險(xiǎn)區(qū)。認(rèn)證的實(shí)現(xiàn)不依賴(lài)主機(jī)操作系統(tǒng)、主機(jī)地址、網(wǎng)絡(luò)上傳送中的數(shù)據(jù)包。2.Kerberos系統(tǒng)組成:⑴兩個(gè)服務(wù)對(duì)象:①客戶;②服務(wù)器。⑵兩類(lèi)憑證:①票證:用來(lái)安全地在認(rèn)證服務(wù)器和用戶請(qǐng)求的服務(wù)之間傳遞信息(內(nèi)容:用戶身份、會(huì)話密鑰、時(shí)間標(biāo)記,用戶可多次使用);②鑒別碼:用來(lái)作為認(rèn)證憑證的一段加密文字,用其與票證中的信息進(jìn)行比較發(fā)出票證的用戶就是票證中指定的用戶,以防攻擊者再次使用同一憑證(內(nèi)容:校驗(yàn)和、子密鑰、序列號(hào)和身份認(rèn)證數(shù)據(jù))。都使用私鑰加密,但密鑰不同。⑶兩個(gè)庫(kù):①Kerberos數(shù)據(jù)庫(kù)(中心數(shù)據(jù)庫(kù)(用戶的名字、口令私有密鑰和截止信息等));②Kerberos應(yīng)用程序庫(kù)(應(yīng)用程序接口)。⑷兩個(gè)服務(wù)器:①安全(認(rèn)證)服務(wù)(AS:生成會(huì)話密鑰,驗(yàn)證用戶身份):②票據(jù)分配服務(wù)器(憑證許可服務(wù)器TGS:發(fā)放身份證明票據(jù))。

3.Kerberos系統(tǒng)認(rèn)證使用的信息(1)在認(rèn)證過(guò)程中,要使用的如下身份識(shí)別碼:

IDC:客戶身份;IDTGS:TGS身份;IDV:服務(wù)器身份。(3)在認(rèn)證過(guò)程中,要使用的如下一些數(shù)據(jù):PC:C上的用戶口令;ADC:C的網(wǎng)絡(luò)地址;TSi:第i個(gè)時(shí)間戳;Lifetimei:第i個(gè)有效期間。(4)在認(rèn)證過(guò)程中獲取如下憑證:Tickets、Tickettgs、Authenticators。(2)在認(rèn)證過(guò)程中,要使用的如下密鑰:KC,TGS:C與TGS共享;KTGS:AS與TGS共享;KC:C與AS共享,由C上的用戶口令導(dǎo)出的;KV:TGS與V共享;KC,V:C與V共享。4.Kerberos系統(tǒng)的認(rèn)證過(guò)程(1)認(rèn)證服務(wù)交換,用戶從AS取得入場(chǎng)劵①客戶向AS發(fā)出訪問(wèn)TGS請(qǐng)求(用TS1表示是新請(qǐng)求):

C→S:IDC||IDTGS||TS1。②AS向C發(fā)出應(yīng)答:

AS→C:EKC[KC,TGS||IDTGS||TS2||lifetime2||TicketTGS]。其中

TicketTGS=EKTGS[KC,TGS||IDC||ADC||IDTGS||TS2||lifetime2]ASTGS中心數(shù)據(jù)庫(kù)Kerberos系統(tǒng)⑤①②③④⑥服務(wù)器V用戶C(2)入場(chǎng)劵許可服務(wù)交換,用戶從TGS獲取服務(wù)許可憑證③C向TGS發(fā)出請(qǐng)求,內(nèi)容包括服務(wù)器識(shí)別碼、入場(chǎng)劵和一個(gè)認(rèn)證符:

C→TGS:IDV||TicketTGS||AuthenticatorV。其中

TicketTGS=EKTGS[KC,TGS||IDC||ADC||IDTGS||TS2||lifetime2]AuthenticatorV=EKC,TGS[IDC||ADC||TS3]④TGS經(jīng)驗(yàn)證,向C發(fā)出服務(wù)許可憑證:

TGS→C:EKC,TGS[KC,TGS||IDC||ADC||IDTGS||TS2||lifetime2]。其中

TicketV=EKV[KC,V||IDC||ADC||IDV||TS4||lifetime4](3)客戶-服務(wù)器相互認(rèn)證交換,用戶從服務(wù)器獲取服務(wù)⑤C向服務(wù)器證明自己身份(用TicketV和AuthenticatorV)

C→V:TicketV||AuthenticatorV。其中

TicketV=EKV[KC,V||IDC||ADC||IDV||TS4||lifetime4]AuthenticatorV=EKC,V[IDC||ADC||TS5]⑥服務(wù)器向客戶證明自己身份

V→C:EKC,V[TS5+1]。這個(gè)過(guò)程結(jié)束,客戶C與服務(wù)器V之間就建立起了共享會(huì)話密鑰,以便以后進(jìn)行加密通信或交換新密鑰。5.Kerberos異域認(rèn)證(自學(xué))

整個(gè)Kerberos身份驗(yàn)證系統(tǒng)由認(rèn)證服務(wù)器AS、票據(jù)許可服務(wù)器TGS、客戶機(jī)和應(yīng)用服務(wù)器4部分組成。Kerberos鑒別協(xié)議步驟如下:

憑證:3.3基于數(shù)字證書(shū)的身份身份認(rèn)證3.3.1數(shù)字證書(shū)1.數(shù)字證書(shū)有以下特點(diǎn):(1)它包含了身份信息,因此可以用于證明用戶身份;(2)它包含了非對(duì)稱(chēng)密鑰,不但可用于數(shù)據(jù)加密,還可用于數(shù)據(jù)簽名,保證通信過(guò)程的安全和不可抵賴(lài);(3)由于是權(quán)威機(jī)構(gòu)頒布的,因此具有很高的公信度。2.基于數(shù)字證書(shū)的USBKey3.數(shù)字證書(shū)分類(lèi)

①Web服務(wù)器證書(shū)②服務(wù)器身份證書(shū)③計(jì)算機(jī)證書(shū)④個(gè)人證書(shū)⑤安全電子郵件證書(shū)⑥企業(yè)證書(shū)⑦代碼簽名證書(shū)4.認(rèn)證中心認(rèn)證中心(CertificateAuthority,CA)是可以信賴(lài)的第三方機(jī)構(gòu),具有如下一些功能。⑴頒發(fā)證書(shū)⑵管理證書(shū)③用戶管理④吊銷(xiāo)證書(shū)。⑤驗(yàn)證申請(qǐng)者身份⑥保護(hù)證書(shū)服務(wù)器⑦保護(hù)CA私鑰和用戶私鑰⑧審計(jì)與日志檢查5.用戶證書(shū)的吊銷(xiāo)在下列情形下,應(yīng)當(dāng)將用戶證書(shū)吊銷(xiāo):·一個(gè)用戶證書(shū)到期?!び脩裘孛苊荑€泄露?!A的證書(shū)失竊?!A不再給用戶簽發(fā)證書(shū)。3.3.2X.509證書(shū)標(biāo)準(zhǔn)·定義了X.500目錄向用戶提供認(rèn)證業(yè)務(wù)的一個(gè)框架;·證書(shū)格式;·基于公鑰證書(shū)的認(rèn)證協(xié)議。1.X.509數(shù)字證書(shū)格式(結(jié)構(gòu))版本V3序列號(hào)1234567890簽名算法標(biāo)識(shí)RSA和MIDS簽發(fā)者c=CN,o=JAT-CA有效期(起始日期,結(jié)束日期)06/06/06-08/08/08主體c=CN,o=SXCop,cn=Wang主體公鑰信息(算法、參數(shù)、公開(kāi)密鑰)、56af8dc3a785d6ff4/RSA/SHA發(fā)證者惟一Value主體惟一標(biāo)識(shí)Value類(lèi)型關(guān)鍵程度Value類(lèi)型關(guān)鍵程度ValueCA的數(shù)字簽名2.證書(shū)目錄在證書(shū)目錄中,不僅存儲(chǔ)和管理用戶證書(shū),還存儲(chǔ)用戶的相關(guān)信息(如電子郵件地址、電話號(hào)碼等)。由于證書(shū)的非保密性,證書(shū)目錄也是非保密的。目前證書(shū)目錄廣泛使用X.500標(biāo)準(zhǔn)。X.500標(biāo)準(zhǔn)目錄不僅可以對(duì)證書(shū)進(jìn)行集中管理,還可以管理用戶相關(guān)信息,從而構(gòu)成一個(gè)用戶信息源。為了便于實(shí)際應(yīng)用,在Internet環(huán)境下更多使用的是X.500標(biāo)準(zhǔn)的簡(jiǎn)化和改進(jìn)版本——LDAP(LightweightDirectoryProtocol,輕型目錄訪問(wèn)協(xié)議)。3.X.509證書(shū)的層次結(jié)構(gòu)UVWYXZCABV《W》W《V》U《W》V《U》W《X》X《W》X《Z》X《A》X《C》V《Y》Y《V》Y《Z》Z《X》Z《X》Z《B》證書(shū)鏈形成一個(gè)層次結(jié)構(gòu)。X.509建議將所有的CA證書(shū),須由CA放在目錄中,并且要采用層次結(jié)構(gòu)。其內(nèi)部節(jié)點(diǎn)表示CA,葉節(jié)點(diǎn)表示用戶。用戶可以從目錄中沿著一條證書(shū)路徑,獲得另一個(gè)節(jié)點(diǎn)的證書(shū)和公鑰。例如,A獲取B證書(shū)的證書(shū)路徑為:

X《W》W《V》V《Y》Y《Z》Z《B》4.X.509驗(yàn)證過(guò)程AB1A{rA,TA,B,SgnData,EPKbKAB]}AB1A{rA,TA,B,SgnData,EPKb[KAB]}2B{TB,rB,rA,SgnData,EPKa[KBA]}AB1A{rA,TA,B,SgnData,EPKb[KAB]}3A{rB}2B{TB,rB,rA,SgnData,EPKa[KBA]}(a)一次驗(yàn)證(b)二次驗(yàn)證(c)三次驗(yàn)證3.3.3公開(kāi)密鑰基礎(chǔ)設(shè)施PKI1.PKI及其職能:制定完整的證書(shū)管理政策;建立高可信度的CA中心;負(fù)責(zé)用戶屬性管理、用戶身份隱私的保護(hù)和證書(shū)作廢列表的管理;為用戶提供證書(shū)和CRL有關(guān)服務(wù)的管理;建立安全和相應(yīng)的法規(guī),建立責(zé)任劃分并完善責(zé)任政策。2.PKI的組成(1)政策批準(zhǔn)機(jī)構(gòu)PAA:是一個(gè)PKI系統(tǒng)方針的制定者建立整個(gè)PKI體系的安全策略批準(zhǔn)本PAA下屬的PCA的政策為下屬PCA簽發(fā)證書(shū)負(fù)有監(jiān)控各PCA行為的責(zé)任PAAPCA1PCAn……CA1CAn……CA1CAn…………EE1ORA……ORA………………EE1(4)在線注冊(cè)機(jī)構(gòu)(證書(shū)申請(qǐng)ORA)ORA進(jìn)行證書(shū)申請(qǐng)者的身份認(rèn)證,向CA提交證書(shū)申請(qǐng),驗(yàn)證接收CA簽發(fā)的證書(shū),并將證書(shū)發(fā)放給申請(qǐng)者。有時(shí)還協(xié)助進(jìn)行證書(shū)的制作。(2)政策認(rèn)證機(jī)構(gòu):PCA制定本PCA的具體政策(3)認(rèn)證機(jī)構(gòu)CACA具有有限政策制定權(quán)限,它在上級(jí)PCA政策范圍內(nèi),進(jìn)行具體的用戶公鑰證書(shū)的簽發(fā)、生成和發(fā)布以及CRL的生成和發(fā)布。3.4信息系統(tǒng)訪問(wèn)授權(quán)身份認(rèn)證訪問(wèn)控制資源用戶訪問(wèn)請(qǐng)求權(quán)限系統(tǒng)訪問(wèn)控制授權(quán)(authorization)控制(主體:用戶、用戶組、進(jìn)程及服務(wù);客體即資源:文件、目錄和計(jì)算機(jī))網(wǎng)絡(luò)訪問(wèn)控制:邏輯隔離物理隔離基本概念

——二元關(guān)系描述訪問(wèn)控制矩陣授權(quán)關(guān)系表訪問(wèn)控制策略自主強(qiáng)制訪問(wèn)控制策略基于角色的訪問(wèn)控制策略3.4.1訪問(wèn)控制的二元關(guān)系描述訪問(wèn)控制用一個(gè)二元組(控制對(duì)象,訪問(wèn)類(lèi)型)來(lái)表示。其中的控制對(duì)象表示系統(tǒng)中一切需要進(jìn)行訪問(wèn)控制的資源,訪問(wèn)類(lèi)型是指對(duì)于相應(yīng)的受控對(duì)象的訪問(wèn)控制,如:讀取、修改、刪除等等。幾種常用的描述形式1.訪問(wèn)控制矩陣2.授權(quán)關(guān)系表3.訪問(wèn)能力表4.訪問(wèn)控制列表1.訪問(wèn)控制矩陣訪問(wèn)控制矩陣也稱(chēng)訪問(wèn)許可矩陣,它用行表示客體,列表示主體,在行和列的交叉點(diǎn)上設(shè)定訪問(wèn)權(quán)限。表3.1一個(gè)訪問(wèn)控制矩陣的例子。表中,一個(gè)文件的Own權(quán)限的含義是可以授予(Authorize)或者撤銷(xiāo)(Revoke)其他用戶對(duì)該文件的訪問(wèn)控制權(quán)限。例如,張三對(duì)File1具有Own權(quán)限,所以張三可以授予或撤銷(xiāo)李四和王五對(duì)File1的讀(R)寫(xiě)(W)權(quán)限。主體(subjects)客體(objects)File1File2File3File4

溫馨提示

  • 1. 本站所有資源如無(wú)特殊說(shuō)明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請(qǐng)下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請(qǐng)聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁(yè)內(nèi)容里面會(huì)有圖紙預(yù)覽,若沒(méi)有圖紙預(yù)覽就沒(méi)有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫(kù)網(wǎng)僅提供信息存儲(chǔ)空間,僅對(duì)用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對(duì)用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對(duì)任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請(qǐng)與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時(shí)也不承擔(dān)用戶因使用這些下載資源對(duì)自己和他人造成任何形式的傷害或損失。

最新文檔

評(píng)論

0/150

提交評(píng)論