信息系统安全第3章.ppt

  1. 1、本文档共51页,可阅读全部内容。
  2. 2、有哪些信誉好的足球投注网站(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
  3. 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载
  4. 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
3. 数字证书分类 ①Web服务器证书 ②服务器身份证书 ③计算机证书 ④个人证书 ⑤安全电子邮件证书 ⑥企业证书 ⑦代码签名证书 4. 认证中心 认证中心(Certificate Authority,CA)是可以信赖的第三方机构,具有如下一些功能。 ⑴颁发证书 ⑵管理证书 ③用户管理 ④吊销证书。 ⑤验证申请者身份 ⑥保护证书服务器 ⑦保护CA私钥和用户私钥 ⑧审计与日志检查 5. 用户证书的吊销 在下列情形下,应当将用户证书吊销: · 一个用户证书到期。 · 用户秘密密钥泄露。 · CA的证书失窃。 · CA不再给用户签发证书。 3.3.2 X.509 证书标准 · 定义了X.500目录向用户提供认证业务的一个框架; · 证书格式; · 基于公钥证书的认证协议。 1. X.509数字证书格式(结构) 版本 V3 序列号 1234567890 签名算法标识 RSA和MIDS 签发者 c=CN,o=JAT-CA 有效期(起始日期,结束日期) 06/06/06-08/08/08 主体 c=CN,o=SX Cop,cn=Wang 主体公钥信息(算法、参数、公开密钥)、 56af8dc3a785d6ff4/RSA/SHA 发证者惟一 Value 主体惟一标识 Value 类型 关键程度 Value 类型 关键程度 Value CA的数字签名 2. 证书目录 在证书目录中,不仅存储和管理用户证书,还存储用户的相关信息(如电子邮件地址、电话号码等)。由于证书的非必威体育官网网址性,证书目录也是非必威体育官网网址的。 目前证书目录广泛使用X.500标准。X.500标准目录不仅可以对证书进行集中管理,还可以管理用户相关信息,从而构成一个用户信息源。 为了便于实际应用,在Internet环境下更多使用的是X.500标准的简化和改进版本——LDAP(Lightweight Directory Protocol,轻型目录访问协议)。 3. X.509证书的层次结构 U V W Y X Z C A B V《W》 W《V》 U《W》 V《U》 W《X》 X《W》 X《Z》 X《A》 X《C》 V《Y》 Y《V》 Y《Z》 Z《X》 Z《X》 Z《B》 证书链形成一个层次结构。X.509建议将所有的CA证书,须由CA放在目录中,并且要采用层次结构。其内部节点表示CA,叶节点表示用户。用户可以从目录中沿着一条证书路径,获得另一个节点的证书和公钥。例如,A获取B证书的证书路径为: X《W》W《V》V《Y》Y《Z》Z《B》 4. X.509验证过程 A B 1 A{rA,TA,B,SgnData,EPKbKAB]} A B 1 A{rA,TA,B,SgnData,EPKb[KAB]} 2 B{ TB, rB, rA,SgnData,EPKa[KBA]} A B 1 A{rA,TA,B,SgnData,EPKb[KAB]} 3 A{rB} 2 B{ TB, rB, rA,SgnData,EPKa[KBA]} (a)一次验证 (b)二次验证 (c)三次验证 3.3.3 公开密钥基础设施PKI 1. PKI及其职能: 制定完整的证书管理政策; 建立高可信度的CA中心; 负责用户属性管理、用户身份隐私的保护和证书作废列表的管理; 为用户提供证书和CRL有关服务的管理; 建立安全和相应的法规,建立责任划分并完善责任政策。 2. PKI的组成 (1)政策批准机构PAA: 是一个PKI系统方针的制定者 建立整个PKI体系的安全策略 批准本PAA下属的PCA的政策 为下属PCA签发证书 负有监控各PCA行为的责任 PAA PCA1 PCAn …… CA1 CAn …… CA1 CAn …… …… EE1 ORA …… ORA …… …… …… EE1 (4)在线注册机构(证书申请ORA) ORA进行证书申请者的身份认证,向CA提交证书申请,验证接收CA签发的证书,并将证书发放给申请者。有时还协助进行证书的制作。 (2)政策认证机构:PCA 制 定本PCA的具体政策 (3)认证机构CA CA具有有限政策制定权限,它在上级PCA政策范围内,进行具体的用户公钥证书的签发、生成和发布以及CRL的生成和发布。 3.4 信息系统访问授权 身 份 认 证 访 问 控 制 资 源 用 户 访问请求 权限 系统访问控制 授权(authorization)控制 (主体:用户、用户组、进程及服务;客体即资源:文件、目录和计算机) 网络访问控制: 逻辑隔离 物理隔离 基本概念 ——二元关系描述 访问控制矩阵 授权关系表 访问控制策略 自主 强制访问控制策略 基于角色的访问控制策略 3.4.1

文档评论(0)

1112111 + 关注
实名认证
内容提供者

该用户很懒,什么也没介绍

1亿VIP精品文档

相关文档