第2講 安全基礎(chǔ)設(shè)施_第1頁
第2講 安全基礎(chǔ)設(shè)施_第2頁
第2講 安全基礎(chǔ)設(shè)施_第3頁
第2講 安全基礎(chǔ)設(shè)施_第4頁
第2講 安全基礎(chǔ)設(shè)施_第5頁
已閱讀5頁,還剩102頁未讀, 繼續(xù)免費(fèi)閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進(jìn)行舉報或認(rèn)領(lǐng)

文檔簡介

1第2講基礎(chǔ)設(shè)施

Qu:1.公鑰基礎(chǔ)設(shè)施PKI2.授權(quán)管理基礎(chǔ)設(shè)施PMI3.網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施

4.網(wǎng)絡(luò)基礎(chǔ)設(shè)施

22.0基礎(chǔ)設(shè)施1.什么是基礎(chǔ)設(shè)施基礎(chǔ)設(shè)施是一個普適性基礎(chǔ),它在一個大環(huán)境里起基本框架的作用,例如電子通信網(wǎng)絡(luò)和電力供應(yīng)基礎(chǔ)設(shè)施。2.基礎(chǔ)設(shè)施的地位需要實(shí)現(xiàn)“應(yīng)用支撐”的功能,可以讓“應(yīng)用”正常地工作33.基礎(chǔ)設(shè)施的特性易于使用,界面簡潔基礎(chǔ)設(shè)施提供的服務(wù)可以預(yù)測并有效應(yīng)用設(shè)備無須了解基礎(chǔ)設(shè)施的工作原理例如,電力系統(tǒng)中的電燈44.網(wǎng)絡(luò)基礎(chǔ)設(shè)施在電子通信網(wǎng)絡(luò)中,凡是用以連接不同的計算機(jī),使之可以互聯(lián)互通的一切基礎(chǔ)元素都屬于網(wǎng)絡(luò)基礎(chǔ)設(shè)施的概念,是包括所有的硬件、軟件、人員、策略和規(guī)程的總和。例如,無線應(yīng)用中的手機(jī)等移動設(shè)備組成了無線的分布網(wǎng)絡(luò),其所需的基站、無線網(wǎng)橋、甚至衛(wèi)星等,都屬于基礎(chǔ)設(shè)施范疇55.對信息基礎(chǔ)設(shè)施的入侵和攻擊數(shù)字珍珠港,USA海軍軍事學(xué)院和Gartner,2002年模擬恐怖分子對美國基礎(chǔ)設(shè)施進(jìn)行數(shù)字襲擊。模擬后結(jié)論:要成功襲擊美國基礎(chǔ)設(shè)施需要至少2億美元資金、非常專業(yè)的知識以及5年多的準(zhǔn)備時間,此類襲擊雖然可能毀壞人口密集地區(qū)的通信設(shè)備,但決不會導(dǎo)致人員傷亡或其他災(zāi)難性后果。66.對信息基礎(chǔ)設(shè)施的入侵和攻擊澳大利亞馬盧奇污水處理廠非法入侵事件2000年3月,澳大利亞昆士蘭新建的馬盧奇污水處理廠出現(xiàn)故障,無線連接信號丟失,污水泵工作異常,報警器也沒有報警。本以為是新系統(tǒng)的磨合問題,后來發(fā)現(xiàn)是該廠前工程師VitekBoden因不滿工作續(xù)約被拒而蓄意報復(fù)所為。這位前工程師通過一臺手提電腦和一個無線發(fā)射器控制了150個污水泵站;前后三個多月,總計有100萬公升的污水未經(jīng)處理直接經(jīng)雨水渠排入自然水系,導(dǎo)致當(dāng)?shù)丨h(huán)境受到嚴(yán)重破壞。2001.11,判2年其他例子1988.RobertMorris,蠕蟲,感染互聯(lián)網(wǎng)上3、4千臺PC機(jī)、6千多臺服務(wù)器2000.2,“拒絕服務(wù)攻擊”用大量數(shù)據(jù)阻塞了Yahoo、eBay、CNN及ZDNet的網(wǎng)絡(luò),致使用戶無法正常訪問長達(dá)2、3小時之久7美國Davis-Besse核電站受到Slammer蠕蟲攻擊事件2003年1月,美國俄亥俄州Davis-Besse核電站和其它電力設(shè)備受到SQLSlammer蠕蟲病毒攻擊,網(wǎng)絡(luò)數(shù)據(jù)傳輸量劇增,導(dǎo)致該核電站計算機(jī)處理速度變緩、安全參數(shù)顯示系統(tǒng)和過程控制計算機(jī)連續(xù)數(shù)小時無法工作。8經(jīng)調(diào)查發(fā)現(xiàn),一供應(yīng)商為給服務(wù)器提供應(yīng)用軟件,在該核電站網(wǎng)絡(luò)防火墻后端建立了一個無防護(hù)的T1鏈接,病毒就是通過這個鏈接進(jìn)入核電站網(wǎng)絡(luò)的。這種病毒主要利用SQLServer2000中1434端口的緩沖區(qū)溢出漏洞進(jìn)行攻擊,并駐留在內(nèi)存中,不斷散播自身,使得網(wǎng)絡(luò)擁堵,造成SQLServer無法正常工作或宕機(jī)。92013年,針對金融機(jī)構(gòu)和電信網(wǎng)絡(luò)的隱性攻擊以及針對普通民眾的網(wǎng)絡(luò)詐騙越來越嚴(yán)重。2013年美國、荷蘭等十余個國家的銀行系統(tǒng)遭受攻擊。2013年5月9日,美國宣布破獲一起跨國黑客犯罪集團(tuán)通過“黑”進(jìn)銀行預(yù)付借記卡系統(tǒng),在ATM自動取款機(jī)上盜取了總計高達(dá)4500萬美元的巨款102013年

全球網(wǎng)絡(luò)經(jīng)濟(jì)犯罪造成約5000億美元的損失。2013年諾頓網(wǎng)絡(luò)安全報告顯示,網(wǎng)絡(luò)犯罪致使全球個人用戶蒙受的直接損失高達(dá)1500億美元。11我國2013年,我國網(wǎng)民數(shù)量突破5.91億,互聯(lián)網(wǎng)普及率44.1%,域名總數(shù)1470萬個,互聯(lián)網(wǎng)站總數(shù)294萬個,互聯(lián)網(wǎng)信息服務(wù)消費(fèi)4500億元,電子商務(wù)交易額達(dá)8萬億元,手機(jī)上網(wǎng)網(wǎng)民4.64億,微博用戶3.31億,社交網(wǎng)站用戶2.88億。122013年我國遭受境外網(wǎng)絡(luò)攻擊情況觸目驚心,大量主機(jī)被國外木馬或僵尸網(wǎng)絡(luò)控制,主要控制源都來自于美國。據(jù)國家互聯(lián)網(wǎng)應(yīng)急中心(CNCERT)統(tǒng)計,到2013年9月底,監(jiān)測發(fā)現(xiàn)共近52萬個木馬控制端IP,其中有24.7萬個位于境外,前三位分別是美國(占28.9.7%)、印度(占9.6%)和我國臺灣(占5.8%)。132013年共有17822個僵尸網(wǎng)絡(luò)控制端IP,有10254個位于境外,前三位分別是美國(占25.7%)、印度(占8.5%)和土耳其(占6.5.%)。共發(fā)現(xiàn)境外64萬臺主機(jī)曾對我國大陸發(fā)起過攻擊。其中,對我國大陸地區(qū)進(jìn)行網(wǎng)站攻擊最頻繁的國家和地區(qū)為:美國(42%)、日本(19%)和韓國(10%)。142013年,我國境內(nèi)至少4.1萬余臺主機(jī)感染具有APT特征的木馬程序,涉及大量政府部門、重要信息系統(tǒng)以及高新技術(shù)企事業(yè)單位,木馬控制服務(wù)器絕大多數(shù)位于境外。根據(jù)CNCERT提供的案例顯示,我國網(wǎng)站遭受境外攻擊十分頻繁,主要是網(wǎng)站被入侵篡改或被安插后門,同時自境外的DDoS攻擊也十分頻繁。152013年,針對我國政府類網(wǎng)絡(luò)的惡意攻擊活動也較為突出,被攻擊對象大部分為政府職能部門網(wǎng)站和行業(yè)網(wǎng)站。根據(jù)斯諾登揭露的材料,美國至少有9家互聯(lián)網(wǎng)公司(思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟、雅虎)參與和支持美國棱鏡監(jiān)控項(xiàng)目的正常運(yùn)作。16176.安全基礎(chǔ)設(shè)施安全基礎(chǔ)設(shè)施必須提供具有普適性的基礎(chǔ)服務(wù)1.保證應(yīng)用程序增強(qiáng)數(shù)據(jù)和資源的安全2.保證增強(qiáng)與其他數(shù)據(jù)和資源進(jìn)行交換中的安全3.使安全功能更加簡單、實(shí)用接入點(diǎn)方便、簡單、安全4.提供一致、有效的安全服務(wù)18安全基礎(chǔ)設(shè)施提供的安全服務(wù)1.安全登錄(或注冊)例如遠(yuǎn)程登錄中,用戶的口令在網(wǎng)上傳輸不安全,安全基礎(chǔ)設(shè)施則有能力提供認(rèn)證機(jī)制、口令被竊聽/存儲/重放、安全傳輸?shù)劝踩?wù)2.終端用戶透明使用通信基礎(chǔ)設(shè)施的用戶不須知道IP報頭或以太包的結(jié)構(gòu),但如果發(fā)生錯誤,如不能接受IP包,則應(yīng)及時告知用戶。19安全基礎(chǔ)設(shè)施提供的安全服務(wù)3.全面的安全性實(shí)施單一、可信的安全技術(shù),提供與設(shè)備無關(guān)的安全服務(wù),保證應(yīng)用程序、設(shè)備和服務(wù)器無縫地協(xié)調(diào)工作,安全地傳輸、存儲和檢索數(shù)據(jù)、進(jìn)行事物處理、訪問服務(wù)器等。世界各國初步形成一套完整的Internet解決方案---PKI202.1公鑰基礎(chǔ)設(shè)施PKI(PublickeyInfrastructure)1.什么是PKIdef:是利用非對稱密碼算法原理和技術(shù),提供具有公鑰體制的密鑰管理平臺,為網(wǎng)絡(luò)應(yīng)用透明地提供加密和數(shù)字簽名等密碼服務(wù)所必須的密鑰和證書管理服務(wù)的安全基礎(chǔ)設(shè)施PKI技術(shù):采用證書管理公鑰通過第三方的可信任結(jié)構(gòu)—認(rèn)證中心(CA),將用戶的公鑰和用戶的其他信息,如名稱、ID、E-mail等,捆綁在一起,在Internet上驗(yàn)證用戶的身份。21PKI技術(shù)建立在PKI基礎(chǔ)上的數(shù)字證書,通過對要傳輸?shù)臄?shù)字信息進(jìn)行加密和簽名,保證信息傳輸?shù)臋C(jī)密性、真實(shí)性、完整性和不可否認(rèn)性,從而保證信息的安全傳輸。222.PKI的管理職能

1)透明性﹑完整性﹑不可否認(rèn)性

2)可擴(kuò)展性

3)支持多用戶:身份識別﹑認(rèn)證﹑保密﹑隱私

4)可操作性:支持異構(gòu)平臺PKI的互操作3.PKI的組成

PKI由CA、RA、證書庫、密鑰備份及恢復(fù)系統(tǒng)、證書撤銷處理系統(tǒng)、PKI應(yīng)用接口系統(tǒng)等部分組成

23轉(zhuǎn)PKI章24

1)

證書頒發(fā)機(jī)構(gòu)CA2)

注冊中心RA3)

證書庫

4)

密鑰備份及恢復(fù)系統(tǒng)

5)

證書作廢處理系統(tǒng)

6)

PKI應(yīng)用接口系統(tǒng)(或稱客戶端證書處理系統(tǒng))密鑰管理中心KMC證書頒發(fā)機(jī)構(gòu)CA注冊中心RA證書庫用戶

應(yīng)用接口發(fā)布系統(tǒng)獲取證書密鑰計算證書操作251)注冊中心RA功能

(1)接受和驗(yàn)證新注冊人的注冊信息(2)代表用戶生成密鑰對(3)接受和授權(quán)密鑰備份,恢復(fù)請求(4)接受和授權(quán)證書撤消請求(5)按需分發(fā)或恢復(fù)硬件設(shè)備(6)協(xié)助CA工作262)認(rèn)證中心CACA作用CA是PKI的核心,負(fù)責(zé)管理PKI結(jié)構(gòu)下的所有用戶,包括各種應(yīng)用程序的證書,將用戶的公鑰和用戶的其他信息捆綁在一起,在網(wǎng)上驗(yàn)證用戶的身份,CA還要負(fù)責(zé)用戶證書的證書注銷列表登記和證書注銷列表發(fā)布。272)認(rèn)證中心CA功能(1)驗(yàn)證標(biāo)識申請人的身份確保標(biāo)識的唯一性,防止重名(2)確定檢查證書的有效期限(3)發(fā)布維護(hù)作廢的證書表(4)對整個證書簽發(fā)過程做日志記錄(5)確保簽發(fā)過程和簽名私鑰的安全性(6)管理證書材料(7)確保CA用于簽名證書的非對稱密鑰的質(zhì)量28

CA分布式體系結(jié)構(gòu)的建立根CA二級CA局域網(wǎng)/專網(wǎng)/INTERNETRA中心局域網(wǎng)/專網(wǎng)/INTERNET三級CA三級CA受理點(diǎn)LRA1受理點(diǎn)LRAn…………293)密鑰備份及恢復(fù)系統(tǒng)(即密鑰管理中心KMC)對用戶的解密密鑰進(jìn)行備份,丟失時進(jìn)行恢復(fù)。簽名密鑰不能備份和恢復(fù)。4)證書撤銷處理系統(tǒng)(即發(fā)布系統(tǒng))支持層次化分布式結(jié)構(gòu),能滿足大型應(yīng)用系統(tǒng)的安全需求。證書需要作廢時,通過證書撤銷列表CRL實(shí)現(xiàn)。發(fā)布系統(tǒng)的組成:(1)CRL(屬性證書表)的證書發(fā)布系統(tǒng)(2)在線證書狀態(tài)查詢協(xié)議OCSP(OnlineCertificateStatusProtocol)(3)在線注冊服務(wù)系統(tǒng)305)證書庫證書的集中存放地,提供公眾查詢6)PKI應(yīng)用接口系統(tǒng)為各類應(yīng)用提供安全、一致、可信任的方式與PKI交往,確保所建立的網(wǎng)絡(luò)環(huán)境可靠。314.PKI應(yīng)用系統(tǒng)PKI應(yīng)用系統(tǒng)至少包括:(1)認(rèn)證中心CA(2)X.509目錄服務(wù)器用于發(fā)布用戶的證書和證書注銷列表信息,用戶可通過標(biāo)準(zhǔn)的LDAP協(xié)議查詢自己或他人的證書和下載證書注銷列表信息324.PKI應(yīng)用系統(tǒng)(3)具有高強(qiáng)度密碼算法SSL的安全WWW服務(wù)器出口到我國的WWW服務(wù)器,如微軟的IIS、Netscape的WWW服務(wù)器,受出口限制,其RSA算法的模長最高為512位,對稱算法為40位,不能滿足對安全性很高的場合。因此必須開發(fā)具有自主知識產(chǎn)權(quán)的SSL安全模塊,并且將SSL模塊集成在ApacheWWW服務(wù)器中,334.PKI應(yīng)用系統(tǒng)ApacheWWW服務(wù)器在WWW服務(wù)器市場中占有50%以上的份額,其可移植性和穩(wěn)定性很高。(4)Web(安全通信平臺)Web有WebClient和WebServer端兩部分,通過具有高強(qiáng)度密碼算法SSL協(xié)議保證客戶端和服務(wù)器端數(shù)據(jù)的機(jī)密性、完整性和身份驗(yàn)證。34

5.公鑰證書。是用來證明主體身份及公鑰合法性的權(quán)威電子文檔。是公鑰體制的密鑰管理媒介1)證書內(nèi)容①

身份證書:鑒別一個主體與它的公鑰關(guān)系,提供認(rèn)證、數(shù)據(jù)完整性、機(jī)密性②

屬性證書:包含實(shí)體屬性如成員關(guān)系列角色許可證其它訪問權(quán)限等2)證書結(jié)構(gòu)證書CA簽名簽字主體身份信息主體的公鑰CA名稱其他附加信息35Ex:ITU(國際電信聯(lián)盟)提出的X.509版本的格式被廣泛采用證書頒發(fā)者簽名擴(kuò)展項(xiàng)主體唯一的標(biāo)識符頒發(fā)者唯一標(biāo)識符主體公鑰信息主體名稱有效期頒發(fā)者名稱簽名算法標(biāo)識符證書序列號版本號36擴(kuò)展項(xiàng)內(nèi)容機(jī)構(gòu)密鑰標(biāo)識符(頒證機(jī)構(gòu))主體密鑰標(biāo)識符(證書主人的多對密鑰)密鑰用途(指證書中的公鑰可完成的功能)擴(kuò)展密鑰用途(證書中公鑰的特別用途)CRL分布點(diǎn)(作廢證書表CRL)私鑰使用期證書策略主體別名(主體的郵件地址、IP地址)CA別名(CA的郵件地址、IP地址)主體目錄屬性376.主體公鑰的產(chǎn)生方式1)主體自己產(chǎn)生密鑰對,將公鑰傳給CA該過程必須保證主體公鑰的可驗(yàn)證性、完整性2)CA替主體產(chǎn)生密鑰對,將其安全地送給主體該過程必須保證主體密鑰的機(jī)密性、可驗(yàn)證性、完整性7.電子政務(wù)信任服務(wù)中采用雙證書機(jī)制雙證書機(jī)制:將用戶的簽名密鑰對和加密密鑰對分離開國家強(qiáng)制要求:托管加密密鑰,對用戶隱私無法提供安全保護(hù)1)簽名密鑰對2)加密密鑰對38簽名密鑰對與加密密鑰對1)簽名密鑰對由簽名私鑰和驗(yàn)證公鑰組成。簽名私鑰不能存檔、備份,以保證唯一性。驗(yàn)證公鑰要存檔,以驗(yàn)證舊的數(shù)字簽名2)加密密鑰對由加密公鑰、脫密私鑰組成脫密私鑰備份、存檔加密公鑰不備份、不存檔,丟失時,重新產(chǎn)生加密密鑰對398.證書的申請與簽發(fā)過程實(shí)體鑒別密碼器:生成密鑰對本地保存簽名私鑰對CA:對用戶信息及簽名加密公鑰簽名,生成證書實(shí)體鑒別密碼器查詢/發(fā)布/撤銷/更新KMC:取出加密密鑰對,用簽名公鑰加密私鑰,托管加密私鑰證書庫用戶信息簽名公鑰證書經(jīng)加密的加密私鑰加密公鑰簽名公鑰,密鑰下載證書和經(jīng)過簽名公鑰加密的加密私鑰用戶/實(shí)體409.認(rèn)證的策略及實(shí)現(xiàn)方案問題:認(rèn)證什么,如何認(rèn)證識別用戶的身份:。身份認(rèn)證:(簡單認(rèn)證)基于用戶ID和口令。身份鑒定:(強(qiáng)認(rèn)證)以CA的管理為基礎(chǔ)1)簡單認(rèn)證對用戶所有的權(quán)限或自身的身份進(jìn)行認(rèn)證認(rèn)證方式:。驗(yàn)證數(shù)據(jù)的明文傳送。利用單項(xiàng)HASH傳送隨機(jī)或時間數(shù)據(jù)。利用二次HASH傳送驗(yàn)證數(shù)據(jù)安全強(qiáng)度處理復(fù)雜度41(1)驗(yàn)證數(shù)據(jù)的明文傳送認(rèn)證服務(wù)器ID及密碼用戶端ID及密碼入侵者特點(diǎn)1.入侵者很容易偵聽到ID及密碼2.用戶ID及密碼完全暴露在網(wǎng)上3.若DBA的ID及密碼泄露,DB也隨之泄露,系統(tǒng)將無安全可言42(2)采用單向HASH傳送用戶ID和密碼用戶端散列值散列值散列值比較驗(yàn)證認(rèn)證服務(wù)器入侵者特點(diǎn)1.單向HASH的不可逆決定了入侵者不能得到用戶ID和密碼2.入侵者在網(wǎng)上僅捕獲散列值問題:服務(wù)器無法分辨是用戶或入侵者的散列值進(jìn)行登錄43(3)隨機(jī)數(shù)二次散列后認(rèn)證用戶ID和密碼隨機(jī)數(shù)散列值1散列值2用戶端ID和密碼散列值入侵者隨機(jī)數(shù)散列值散列值散列值認(rèn)證服務(wù)器特點(diǎn)1.入侵者偵聽信息無用,也不能重放2.DBA不知道ID及密碼,因?yàn)镈B中是ID及密碼的散列值3.口令較短,散列速度快,容易窮舉攻破ID及密碼的散列值44(4)二次散列與對稱加密傳送主要解決口令容易攻破的問題,口令加密后傳送用戶ID和密碼隨機(jī)數(shù)加密值用戶端入侵者散列值隨機(jī)數(shù)散列值密鑰加密值加密值認(rèn)證服務(wù)器特點(diǎn)1.用散列值作為加密密鑰2.散列值長度(128)≥密碼的位數(shù)(8),防止窮舉攻擊45簡單認(rèn)證小結(jié)

該方式由于用口令對系統(tǒng)登錄,人的記憶力決定了口令的長度1)口令字的長度決定了系統(tǒng)的安全性2)口令長度能提供的安全性隨著機(jī)器性能的增長使系統(tǒng)的安全性減弱3)基于口令的窮舉攻擊可能使口令登錄的系統(tǒng)安全性非常脆弱而沒有使用價值4)目前,基于口令的簡單認(rèn)證可以滿足安全較低的封閉區(qū)域的認(rèn)證462)強(qiáng)認(rèn)證。認(rèn)證什么:在開放的網(wǎng)絡(luò)環(huán)境下,提供系統(tǒng)的登錄驗(yàn)證,認(rèn)證用戶身份。認(rèn)證體系標(biāo)準(zhǔn)ITU(1988)

ITU(InternationalTelecommunicationUnion,國際電信聯(lián)盟)制定:開放系統(tǒng)互連(OSI)--目錄服務(wù)認(rèn)證體系X.509Def:(X.509)是使用公鑰密碼技術(shù),辨別通信雙方,提供高度安全的身份認(rèn)證機(jī)制X.509認(rèn)證體系:系統(tǒng)的安全性取決于安全最弱的一環(huán);基于證書的認(rèn)證系統(tǒng)的安全性關(guān)鍵:證書對應(yīng)的私鑰的安全性保證47.強(qiáng)認(rèn)證方式:單向,雙向,三向先決條件:認(rèn)證中心體系已經(jīng)建成,將使用者的公鑰與使用者的身份通過私鑰緊密聯(lián)系在一起(1)單向認(rèn)證特點(diǎn)1.A→B,僅一次通信2.抵抗重放攻擊,防止偽造數(shù)據(jù),保證數(shù)據(jù)的完整性發(fā)送方接收方BAB∪A{tA,rA,B}48(1)單向認(rèn)證發(fā)送方接收方BAB∪A{tA,rA,B}認(rèn)證過程對A:1.A首先產(chǎn)生一串隨機(jī)數(shù)rA2.A發(fā)送信息B∪A{tA,rA,B}到BtA是時間戳,可包括:數(shù)據(jù)的產(chǎn)生時間和數(shù)據(jù)的超時時間

B:B的身份數(shù)據(jù)

A{…}A對其中信息的數(shù)字簽名對B:3.用事先獲得的A的公鑰,檢查A的證書是否過期或注銷4.驗(yàn)證簽名,確定數(shù)據(jù)的完整性5.檢查文件的識別數(shù)據(jù),B是否為此文件的接收方6.檢查時間戳tA,是否在有效期內(nèi)7.檢查rA是否重復(fù)出現(xiàn)過X.509建議:在tA有效期內(nèi),可將tA,rA順序累加部分以及簽名散列值部分存儲起來,用來檢查rA是否重復(fù)出現(xiàn)過(?)49(2)雙向認(rèn)證B∪A{tA,rA,B}發(fā)送方接收方BA21特點(diǎn)1.A與B兩次通信2.雙方共享身份識別數(shù)據(jù)中的秘密部分3.確保數(shù)據(jù)的完整性、有效性、真實(shí)性50(2)雙向認(rèn)證發(fā)送方接收方BA21認(rèn)證過程1.A發(fā)送B∪A{tA,rA,B}2.B回信息A,B{tB,rB,A,trA}3.A收到后執(zhí)行:。用B的公鑰簽名,確定數(shù)據(jù)的完整性。檢查上述數(shù)據(jù)的識別數(shù)據(jù),確認(rèn)A是否此數(shù)據(jù)的接收方。檢查tB是否在有效期內(nèi),確定數(shù)據(jù)的有效性。檢查rB是否重復(fù)出現(xiàn),確定數(shù)據(jù)是否重放51(3)三向認(rèn)證發(fā)送方接收方BA213識別過程:1.A發(fā)送B∪A{tA,r1A,B}到B2.B回信息A,B{tB,rB,A,r2A}給A3.A檢查接收到的r2A與r1A是否相等,若相等,A發(fā)識別數(shù)據(jù)A(R3B,B)給BB收到信息后執(zhí)行4.以A的公鑰驗(yàn)證簽名,確定數(shù)據(jù)的完整性5.檢查收到的R3B是否與自己發(fā)送時產(chǎn)生的R2B相等特點(diǎn)1.A,B三次通信2.確保安全522.2授權(quán)管理基礎(chǔ)設(shè)施PMI

(PrivilegeManagementInfrastructure)Qu:1.什么是PMI2.PMI與PKI的區(qū)別、聯(lián)系3.PMI的功能結(jié)構(gòu),特點(diǎn)4.基于PMI的授權(quán)管理模式(與傳統(tǒng)的應(yīng)用系統(tǒng)相比)

531.什么是PMIDef:PMI是建立在PKI的基礎(chǔ)上,與PKI結(jié)合,利用屬性證書提供實(shí)體身份到應(yīng)用權(quán)限的映射,實(shí)現(xiàn)對系統(tǒng)資源訪問的統(tǒng)一管理機(jī)制。2.區(qū)別與聯(lián)系PKI:證明實(shí)體身份的合法性(用戶是誰)PMI:證明實(shí)體具有什么權(quán)限,能以何種方式訪問什么資源(用戶有什么權(quán)限,能干什么)聯(lián)系:PMI需要PKI為其提供身份認(rèn)證服務(wù)屬性證書的定義

屬性證書是由屬性權(quán)威機(jī)構(gòu)AA(AttributeAuthority)簽發(fā)的包含持有者的屬性集(如角色、訪問權(quán)限或組成員等)和一些與持有者相關(guān)的數(shù)據(jù)結(jié)構(gòu)。由于這些屬性集能夠定義系統(tǒng)中用戶的權(quán)限,因此可以把作為一種授權(quán)機(jī)制的屬性證書看作是權(quán)限信息的載體。54

屬性證書的定義屬性證書由簽發(fā)它的AA簽名,以此來保證屬性證書和其權(quán)限信息的有效性和合法性。屬性證書中包含的信息包括:證書的版本號、證書所有者的信息、證書的簽發(fā)機(jī)構(gòu)、用來創(chuàng)建數(shù)字簽名的算法、證書的序列號、有效期、屬性(權(quán)力信息)、可選的證書簽發(fā)機(jī)構(gòu)的唯一ID號和可選的擴(kuò)展域。55角色屬性證書為了實(shí)現(xiàn)對角色、權(quán)限的靈活動態(tài)管理,屬性證書進(jìn)行了一定的擴(kuò)展,X.509標(biāo)準(zhǔn)支持兩種與角色有關(guān)的屬性證書:角色規(guī)范屬性證書(RoleSpeeifieationAC)和角色分配屬性證書(RoleAssignmentAC)。56角色屬性證書角色規(guī)范屬性證書的持有者(Hofder)是角色,屬性是該角色擁有的權(quán)限.而在角色分配證書中,證書的持有者(Hofder)是用戶,屬性是分配給該用戶的角色所有角色規(guī)范屬性證書都由人A預(yù)先簽發(fā),存放在LDAP目錄服務(wù)器的證書庫中,不隨用戶的變化而變化。57角色屬性證書角色分配屬性證書也是由AA簽發(fā)后存放在LDAP服務(wù)器的證書中(不為用戶持有)。AA可能給一個用戶多個角色,此時該屬性的值是角色列表,角色可以有等級之分,上一級角色可以擁有下一級角色的權(quán)限,角色之間也可以互相交叉,也可以互相排斥,例如,運(yùn)動員和裁判是互相排斥的一對角色。58593.PMI功能結(jié)構(gòu)用戶權(quán)限管理UPA簽發(fā)機(jī)構(gòu)AA發(fā)布系統(tǒng)應(yīng)用接口策略機(jī)構(gòu)PA屬性證書DB用戶屬性策略策略分配證書發(fā)布獲取證書獲取證書214354.特點(diǎn)604.特點(diǎn)1)授權(quán)管理的靈活性實(shí)現(xiàn)了強(qiáng)制訪問控制和自主訪問控制的結(jié)合2)授權(quán)操作與業(yè)務(wù)操作分離進(jìn)行615.權(quán)限控制邏輯結(jié)構(gòu)PKI/CA策略實(shí)施目標(biāo)授權(quán)中心AA訪問控制服務(wù)器用戶管理資源管理權(quán)限分配注冊申請策略制定PB策略決策PDP策略庫策略機(jī)構(gòu)PAPMI應(yīng)用系統(tǒng)654321發(fā)布系統(tǒng)+62權(quán)限控制過程1.實(shí)體發(fā)出請求到目標(biāo),例如讀數(shù)據(jù)2.策略實(shí)施點(diǎn)處理請求,形成決策請求3.訪問控制服務(wù)器根據(jù)用戶身份證書等信息得到用戶屬性證書,計算有關(guān)信息,得到用戶權(quán)限信息4.策略決策點(diǎn)根據(jù)用戶權(quán)限信息作出決定5.策略實(shí)施636.PMI的授權(quán)體系結(jié)構(gòu)

PMI的核心:屬性證書簽發(fā)機(jī)構(gòu)信任源點(diǎn)SOA二級授權(quán)服務(wù)中心AA二級授權(quán)服務(wù)中心AA授權(quán)服務(wù)中心AA資源管理中心RM資源管理中心RM業(yè)務(wù)受理點(diǎn)業(yè)務(wù)受理點(diǎn)業(yè)務(wù)受理點(diǎn)安全策略服務(wù)LDAP服務(wù)操作授權(quán)服務(wù)。。。三級647.授權(quán)管理服務(wù)系統(tǒng)的設(shè)計(1)系統(tǒng)遵循的標(biāo)準(zhǔn):。X.509V4:公鑰和屬性證書框架。PKCS#6:擴(kuò)展的數(shù)字證書語法標(biāo)準(zhǔn)(2)系統(tǒng)工作模式(集中式,分布式)①集中式授權(quán)管理服務(wù)系統(tǒng)的設(shè)計功能:用戶管理,審核管理,資源管理,角色管理,操作員管理,日志管理體系結(jié)構(gòu):65。①集中式授權(quán)管理服務(wù)系統(tǒng)體系結(jié)構(gòu):資源管理策略引擎授權(quán)信息目錄服務(wù)器授權(quán)管理密碼服務(wù)系統(tǒng)訪問控制表日志用戶權(quán)限請求部分功能:資源管理:向策略引擎發(fā)出訪問控制請求,將訪問控制表提交給策略引擎策略引擎:根據(jù)以上請求,訪問授權(quán)服務(wù)器,取得用戶權(quán)限授權(quán)管理:授權(quán)、撤銷、委托權(quán)限密碼服務(wù)系統(tǒng):基礎(chǔ)安全服務(wù):加、解密,簽名、驗(yàn)證簽名,信封數(shù)字等66②分布式授權(quán)管理服務(wù)系統(tǒng)的設(shè)計系統(tǒng)功能:.資源訪問授權(quán).更改、刪除授權(quán).操作員管理.日志管理體系結(jié)構(gòu):67。分布式授權(quán)管理服務(wù)系統(tǒng)的體系結(jié)構(gòu)部分功能:電子政務(wù)客戶端:接受授權(quán),完成用戶對資源的授權(quán)、簽名應(yīng)用資源服務(wù)器:接受客戶請求,發(fā)出訪問控制請求授權(quán)管理服務(wù)器:存儲資源的授權(quán)信息,計算權(quán)限值密碼服務(wù)系統(tǒng):同前電子政務(wù)客戶端授權(quán)模塊應(yīng)用資源服務(wù)器授權(quán)管理服務(wù)器密碼服務(wù)系統(tǒng)688.授權(quán)管理中心AA的設(shè)計

·系統(tǒng)結(jié)構(gòu)

PKI網(wǎng)關(guān)…………入侵檢查漏洞掃描安全審計防病毒…………InternetLDAP服務(wù)

日志服務(wù)信息安全服務(wù)引擎系統(tǒng)狀態(tài)管理簽名服務(wù)LDAPDB日志服務(wù)信息安全服務(wù)引擎系統(tǒng)狀態(tài)管理簽名服務(wù)WEB服務(wù)

證書策略服務(wù)AA業(yè)務(wù)服務(wù)699.PMI的通用業(yè)務(wù)(屬性證書的申請與發(fā)布)

AA驗(yàn)證PKC證書驗(yàn)證通過AA判斷該用戶是否已注冊將提交信息寫入DB申請證書將角色信息寫入DB生成證書取出用戶注冊信息用戶角色信息核實(shí)以上兩信息是否相符用戶提交PKC證書返回出錯信息

返回注冊頁面

返回用戶信息頁面

加密提交信息用戶信息注冊結(jié)束

返回角色選擇頁面加密提交信息NNNNYYNY通過審核

7010.屬性證書分發(fā)的兩種模式(“推”“拉”)授權(quán)管理證書服務(wù)器Internet授權(quán)屬性證書應(yīng)用目錄服務(wù)系統(tǒng)DB客戶端拉

查詢

提交

特點(diǎn)推模式:用戶將自己的屬性證書推給資源服務(wù)管理器

拉模式:授權(quán)機(jī)構(gòu)發(fā)布證書給目錄服務(wù)系統(tǒng),由服務(wù)器從目錄服務(wù)系統(tǒng)拉回71兩種模式的比較:推模式:用戶將自己的屬性證書推給資源服務(wù)管理器??蛻襞c服務(wù)器不需建立新的連接,查詢證書很方便,因而提高服務(wù)器性能拉模式:授權(quán)機(jī)構(gòu)發(fā)布證書給目錄服務(wù)系統(tǒng),由服務(wù)器從目錄服務(wù)系統(tǒng)拉回。不需對客戶端及客戶、服務(wù)器協(xié)議作任何改動7211.基于屬性證書的訪問控制(公鑰證書)

·系統(tǒng)結(jié)構(gòu)

用戶資源服務(wù)器策略引擎日志服務(wù)器證書服務(wù)器訪問控制判斷請求

取AC證書寫入信息

PKC73·基于屬性證書的訪問控制流程

Rowser資源服務(wù)器用戶通過身份驗(yàn)證取出ACL和用戶PKC有權(quán)訪問向LDAP請求檢索用戶所有的AC根據(jù)ACL、AC判斷用戶權(quán)限用戶

資源服務(wù)器

策略引擎LDAPPKC訪問失敗訪問失敗顯示可訪問的資源用戶PKC

AC

Y

Y

N

N

接受請求

74

2.3網(wǎng)絡(luò)基礎(chǔ)設(shè)施1.總體結(jié)構(gòu)網(wǎng)絡(luò)基礎(chǔ)設(shè)施主要包括:互聯(lián)網(wǎng)、公眾服務(wù)業(yè)務(wù)網(wǎng)、涉密政府辦公網(wǎng)、非涉密政府辦公網(wǎng)。核心:統(tǒng)一的安全電子政務(wù)平臺電子政務(wù)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的總體結(jié)構(gòu),主要包括:(1)統(tǒng)一的安全電子政務(wù)平臺(2)政務(wù)內(nèi)網(wǎng)(3)政務(wù)專網(wǎng)(4)網(wǎng)絡(luò)安全結(jié)構(gòu)(接口)

(1)統(tǒng)一的安全電子政務(wù)平臺1775(1)統(tǒng)一的安全電子政務(wù)平臺

自身平臺:統(tǒng)一的信息交換平臺統(tǒng)一的Web門戶平臺統(tǒng)一的信息接入平臺可信的政務(wù)一站式服務(wù)與外部網(wǎng)的互聯(lián):主要有。互聯(lián)網(wǎng)。SOAP簡單對象訪問協(xié)議。電信公網(wǎng)PSTN。CA證書頒發(fā)機(jī)構(gòu)。短信服務(wù)網(wǎng)GSM。KM密鑰管理中心。無線接入網(wǎng)GPRS。虛擬專用網(wǎng)VPNVPN技術(shù):可使發(fā)布在不同地域的專用網(wǎng)絡(luò)在不可信任的公共網(wǎng)絡(luò)上安全通信。通過多層的虛擬通道(隧道),經(jīng)加密后,使各種被傳輸信息只有預(yù)定的接受者讀懂,敏感數(shù)據(jù)不會被竊聽。VPN產(chǎn)品(軟件)包括:帶加密的軟件防火墻,軟件VPN系統(tǒng),加密算法,密鑰交換協(xié)議,VPN專用認(rèn)證系統(tǒng)CA76(1)統(tǒng)一的安全電子政務(wù)平臺網(wǎng)上工商S網(wǎng)上稅務(wù)S網(wǎng)上郵政S……金融服務(wù)S統(tǒng)一的web門戶平臺統(tǒng)一的信息交換平臺統(tǒng)一的接入平臺PKI/PMI業(yè)務(wù)網(wǎng)1業(yè)務(wù)網(wǎng)2業(yè)務(wù)網(wǎng)n………………涉密網(wǎng)GSMGPRSInternetPSTNCDMA77(2)政務(wù)內(nèi)網(wǎng)

PKI/PMI公眾服務(wù)網(wǎng)非涉密網(wǎng)涉密辦公網(wǎng)非涉密政務(wù)專網(wǎng)涉密政務(wù)專網(wǎng)非涉密辦公網(wǎng)公眾服務(wù)業(yè)務(wù)系統(tǒng)統(tǒng)一的數(shù)據(jù)交換平臺統(tǒng)一的接入平臺統(tǒng)一的WEB門戶平臺統(tǒng)一的WEB服務(wù)平臺可信SOAP服務(wù)器可信SOAP業(yè)務(wù)處理其他系統(tǒng)其他系統(tǒng)涉密辦公網(wǎng)政務(wù)內(nèi)網(wǎng)的總體結(jié)構(gòu)圖78可信SOAP服務(wù)器:SimpleObjectAccessProtocol)

可信簡單對象訪問協(xié)議

(3)政務(wù)專網(wǎng)在內(nèi)部涉密政府辦公網(wǎng)絡(luò)之間建立互聯(lián)的涉密政務(wù)專網(wǎng)在政務(wù)內(nèi)網(wǎng)的非涉密辦公網(wǎng)之間建立互聯(lián)的非涉密政務(wù)專網(wǎng)

(4)網(wǎng)絡(luò)安全結(jié)構(gòu)設(shè)計措施:。綜合采取物理層、網(wǎng)絡(luò)層、應(yīng)用層多層面的安全機(jī)制。采用本地、遠(yuǎn)程兩級安全運(yùn)行監(jiān)管機(jī)制,如建立系統(tǒng)安全漏洞掃描、入侵檢測、審計等物理措施:對機(jī)房加強(qiáng)管理

792.4網(wǎng)絡(luò)信任域基礎(chǔ)設(shè)施1.構(gòu)建目標(biāo)有中心,可管理傳統(tǒng)的互聯(lián)網(wǎng)技術(shù)是無中心,無管理,點(diǎn)對點(diǎn)等2.網(wǎng)絡(luò)信任域的體系結(jié)構(gòu)

包括:網(wǎng)絡(luò)接入、傳輸、管理等安全措施。接入:網(wǎng)絡(luò)接入認(rèn)證交換機(jī),保證設(shè)備安全可信接入傳輸:PKI網(wǎng)關(guān),保證數(shù)據(jù)安全可信傳輸管理:信任域管理服務(wù)平臺,保證工作狀態(tài)安全可信802.網(wǎng)絡(luò)信任域的體系結(jié)構(gòu)

網(wǎng)絡(luò)信任域技術(shù)一般包括網(wǎng)絡(luò)接入、傳輸、管理等三個層次的安全措施。

網(wǎng)絡(luò)信任域管理服務(wù)平臺X1Xn…………PKI網(wǎng)關(guān)網(wǎng)絡(luò)信任域管理服務(wù)平臺PKI網(wǎng)關(guān)…………高一級的網(wǎng)絡(luò)信任域

安全可信接入

網(wǎng)絡(luò)信任域1

接入認(rèn)證交換機(jī)

終端設(shè)備

安全可信通道

網(wǎng)絡(luò)信任域2812.關(guān)鍵機(jī)制--基于PKI的證書認(rèn)證機(jī)制

功能:(1)為用戶的設(shè)備頒發(fā)數(shù)字公鑰證書PKC(2)協(xié)調(diào)通訊密鑰,結(jié)合安全協(xié)議IPsec,保證網(wǎng)絡(luò)通訊安全可信管理機(jī)制:一人一證、一機(jī)一證關(guān)鍵技術(shù):基于PKI的證書認(rèn)證技術(shù)?;赑KI的認(rèn)證技術(shù)。基于PKI的授權(quán)服務(wù)?;赑KI的可信傳輸。基于PKI的信任域綜合管理系統(tǒng)。基于PKI和IEEE802.1x標(biāo)準(zhǔn)的可信接入。基于硬件形式的證書存儲82第3講信任模型

Qu:

1.一個實(shí)體能夠信任的證書是怎樣確定的?

2.信任是怎樣產(chǎn)生的

3.在一定環(huán)境中,什么情形下能限制或者控制信任?1.

信任相關(guān)的概念

(1)信任信任:可以是可信實(shí)體,或可信公鑰實(shí)體:在網(wǎng)絡(luò)或分布式環(huán)境中具有獨(dú)立決策和行動能力的終端、服務(wù)器或智能代理可信實(shí)體:X.509的2000版X.504定義,若一個實(shí)體A假定另一個實(shí)體B會嚴(yán)格地像A期望的那樣行動,即稱A信任B

83可信公鑰:若用戶A相信與某一公鑰K1相應(yīng)的私鑰K2僅僅正當(dāng)而有效地被某一特定的實(shí)體所擁有,則A稱K1是可信的(2)信任域信任域:是公共控制下或服從一組公共策略的系統(tǒng)集。若集體中所有個體都遵循同樣的規(guī)則,則稱集體在單信任域中運(yùn)作。在一個集體中,已有的人事關(guān)系和運(yùn)作模式使你給予該集體較高的信任,稱這個集體為信任域。一個企業(yè)中,信任域可以按組織、地理界限劃分(3)信任錨信任模型中,當(dāng)可以確定一個身份或有一個足夠可信的身份,簽發(fā)一個能證明其簽發(fā)的身份時,才能作出信任該身份的決定,這個可信的實(shí)體被稱為信任錨(4)信任錨的識別84(4)信任錨的識別

自身是信任錨:

熟人是信任錨:

遠(yuǎn)程非熟人:(5)信任關(guān)系W被識別的個體直接了解

信任錨

信任錨

信任錨

W被識別的個體熟人W身份證持有人公安局85(5)信任關(guān)系在PKI中,當(dāng)兩個認(rèn)證機(jī)構(gòu)中的一方給對方的公鑰或雙方給對方的公鑰頒發(fā)證書時,二者之間就建立了信任關(guān)系。信任關(guān)系可以是雙向的,或單向的。證書用戶找到一條從證書頒發(fā)者到信任錨的路徑,需建立一系列的信任關(guān)系2.信任模型862.信任模型

描述終端用戶、依托主體和可信服務(wù)系統(tǒng)之間關(guān)系的模型

3.PKI的信任模型描述客體、依托主體和CA之間關(guān)系的模型。分為:1)CA的嚴(yán)格層次可信模型2)分布式信任模型3)Web信任模型4)以用戶為中心的信任模型5)交叉認(rèn)證信任模型871)CA的嚴(yán)格層次可信模型①根CA授權(quán)給直接下層子CA,直至某CA實(shí)際頒發(fā)證書根CA子CA子CA……88②每個實(shí)體(如CA或者終端用戶)都信任根CA,必須擁有根CA的公鑰。③證書的驗(yàn)證實(shí)體A根CA子CA1子CA2BK2K1擁有K

K由K驗(yàn)證K1

由K1驗(yàn)證K2

由K2驗(yàn)證B的證書

892)分布式信任模型

特點(diǎn)1。CA中心輻射配置:中心CA與根CA是交叉認(rèn)證2。根CA是網(wǎng)狀配置:根CA與根CA是交叉認(rèn)證3。證書的驗(yàn)證過程:1)用戶A驗(yàn)證同一個根CA下用戶B1的證書,同層次結(jié)構(gòu);2)用戶A驗(yàn)證非同一個根CA下用戶B2的證書中心CA根CA1根CA2子CA…………子CA用戶A用戶B1……用戶B2用戶903)Web信任模型該模型依賴于瀏覽器。如InternetExplorer或者Safari。

瀏覽器廠商根CA根CA……用戶用戶用戶用戶………………特點(diǎn):1。CA的公鑰預(yù)裝在瀏覽器上,這些公鑰確定一組CA2。瀏覽器的用戶最初信任CA3。CA名和公鑰綁定在一起914)以用戶為中心的信任模型用戶AA的朋友A的哥哥A的父母A的同事A哥哥的朋友特點(diǎn)1。用戶自己對決定信賴或拒絕某個證書負(fù)責(zé)2。最初可信的密鑰集--直接聯(lián)系層A的朋友、同事、哥、父母。925)交叉認(rèn)證信任模型

Def:將各CA單向或雙向連接在一起的機(jī)制特點(diǎn)1。單向:如層次模型,雙向,如分布式信任模型2。交叉認(rèn)證:一個CA承認(rèn)另一個CA在一個名字空間中被授權(quán)頒發(fā)的證書例1:4.證書的路徑處理目的:。A確定是否信任B證書中的公鑰K。在一個給定的目標(biāo)證書和一個可信密鑰(信任錨)之間找到一個證書的完整路徑(或鏈),檢查該路徑中每個證書的合法性處理過程:934.證書的路徑處理處理過程:第一階段:構(gòu)建路徑,聚集所有形成完整路徑所必需的證書路徑尋找算法:深度優(yōu)先搜索;廣度優(yōu)先搜索;啟發(fā)式搜索第二階段:確定路徑,依次檢查路徑中的每個證書,確定它含有的密碼是否被信任確認(rèn)內(nèi)容,證書的有效期、撤銷狀態(tài)、適用的策略、密鑰使用機(jī)制、名字約束等5.信任錨的確認(rèn)945.信任錨的確認(rèn)1)CA的嚴(yán)格層次可信模型

A的信任錨在邏輯上是離其最遠(yuǎn)的CA,即根CA2)分布式信任模型

A的信任錨在邏輯上是離其最近的CA,包括整個PKI群體中其所在的部分嚴(yán)格層次結(jié)構(gòu)的根,也可是實(shí)際認(rèn)證其的最近的CA3)以用戶為中心的信任模型是其自身選擇的一個或多個CA6.信任計算956.信任計算詳見講稿7.信任計算實(shí)例詳見講稿96第4講電子政務(wù)應(yīng)用系統(tǒng)設(shè)計及安全性分析

1.電子政務(wù)應(yīng)用系統(tǒng)及組成一般分為兩類一類對內(nèi):電子政務(wù)應(yīng)用系統(tǒng),主要面向公務(wù)員,辦公二類對外:電子政務(wù)應(yīng)用系統(tǒng),面向公眾,網(wǎng)上納稅,申報項(xiàng)目等由三部分組成:政務(wù)業(yè)務(wù)內(nèi)網(wǎng);政務(wù)外網(wǎng);安全平臺2.安全平臺-

972.安全平臺--統(tǒng)一的安全電子政務(wù)平臺提供一站式服務(wù)3.統(tǒng)一的安全電子政務(wù)平臺的總體結(jié)構(gòu)設(shè)計電子政府門戶公安局 海關(guān) 軍事部門……稅務(wù)局

公民 企業(yè)1……企業(yè)n

98工商管理業(yè)務(wù)邏輯模塊財政結(jié)算業(yè)務(wù)邏輯模塊網(wǎng)上郵政業(yè)務(wù)邏輯模塊網(wǎng)上稅務(wù)業(yè)務(wù)邏輯模塊PKICARAKAPMIAARA

接入平臺 接入平臺工作流引擎(對內(nèi))工作流引擎(對外)通用電子政務(wù)構(gòu)件通用電子政務(wù)(對內(nèi)) (對外)個性化管理(對內(nèi))個性化管理(對外)服務(wù)集成模塊服務(wù)集成模塊(對內(nèi))

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預(yù)覽,若沒有圖紙預(yù)覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護(hù)處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負(fù)責(zé)。
  • 6. 下載文件中如有侵權(quán)或不適當(dāng)內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準(zhǔn)確性、安全性和完整性, 同時也不承擔(dān)用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

評論

0/150

提交評論