信息系统安全第3章.ppt

3. 数字证书分类 ①Web服务器证书 ②服务器身份证书 ③计算机证书 ④个人证书 ⑤安全电子邮件证书 ⑥企业证书 ⑦代码签名证书 4. 认证中心 认证中心（Certificate Authority，CA）是可以信赖的第三方机构，具有如下一些功能。 ⑴颁发证书 ⑵管理证书 ③用户管理 ④吊销证书。 ⑤验证申请者身份 ⑥保护证书服务器 ⑦保护CA私钥和用户私钥 ⑧审计与日志检查 5. 用户证书的吊销 在下列情形下，应当将用户证书吊销： · 一个用户证书到期。 · 用户秘密密钥泄露。 · CA的证书失窃。 · CA不再给用户签发证书。 3.3.2 X.509 证书标准 · 定义了X.500目录向用户提供认证业务的一个框架； · 证书格式； · 基于公钥证书的认证协议。 1. X.509数字证书格式（结构） 版本 V3 序列号 1234567890 签名算法标识 RSA和MIDS 签发者 c=CN，o=JAT-CA 有效期（起始日期，结束日期） 06/06/06-08/08/08 主体 c=CN,o=SX Cop，cn=Wang 主体公钥信息（算法、参数、公开密钥）、 56af8dc3a785d6ff4/RSA/SHA 发证者惟一 Value 主体惟一标识 Value 类型 关键程度 Value 类型 关键程度 Value CA的数字签名 2. 证书目录 在证书目录中，不仅存储和管理用户证书，还存储用户的相关信息（如电子邮件地址、电话号码等）。由于证书的非保密性，证书目录也是非保密的。 目前证书目录广泛使用X.500标准。X.500标准目录不仅可以对证书进行集中管理，还可以管理用户相关信息，从而构成一个用户信息源。 为了便于实际应用，在Internet环境下更多使用的是X.500标准的简化和改进版本——LDAP（Lightweight Directory Protocol，轻型目录访问协议）。 3. X.509证书的层次结构 U V W Y X Z C A B V《W》 W《V》 U《W》 V《U》 W《X》 X《W》 X《Z》 X《A》 X《C》 V《Y》 Y《V》 Y《Z》 Z《X》 Z《X》 Z《B》 证书链形成一个层次结构。X.509建议将所有的CA证书，须由CA放在目录中，并且要采用层次结构。其内部节点表示CA，叶节点表示用户。用户可以从目录中沿着一条证书路径，获得另一个节点的证书和公钥。例如，A获取B证书的证书路径为： X《W》W《V》V《Y》Y《Z》Z《B》 4. X.509验证过程 A B 1 A{rA,TA,B,SgnData,EPKbKAB]} A B 1 A{rA,TA,B,SgnData,EPKb[KAB]} 2 B{ TB, rB, rA,SgnData,EPKa[KBA]} A B 1 A{rA,TA,B,SgnData,EPKb[KAB]} 3 A{rB} 2 B{ TB, rB, rA,SgnData,EPKa[KBA]} （a）一次验证 （b）二次验证 （c）三次验证 3.3.3 公开密钥基础设施PKI 1. PKI及其职能： 制定完整的证书管理政策； 建立高可信度的CA中心； 负责用户属性管理、用户身份隐私的保护和证书作废列表的管理； 为用户提供证书和CRL有关服务的管理； 建立安全和相应的法规，建立责任划分并完善责任政策。 2. PKI的组成 （1）政策批准机构PAA: 是一个PKI系统方针的制定者 建立整个PKI体系的安全策略 批准本PAA下属的PCA的政策 为下属PCA签发证书 负有监控各PCA行为的责任 PAA PCA1 PCAn …… CA1 CAn …… CA1 CAn …… …… EE1 ORA …… ORA …… …… …… EE1 （4）在线注册机构（证书申请ORA） ORA进行证书申请者的身份认证，向CA提交证书申请，验证接收CA签发的证书，并将证书发放给申请者。有时还协助进行证书的制作。 （2）政策认证机构：PCA 制 定本PCA的具体政策 （3）认证机构CA CA具有有限政策制定权限，它在上级PCA政策范围内，进行具体的用户公钥证书的签发、生成和发布以及CRL的生成和发布。 3.4 信息系统访问授权 身 份 认 证 访 问 控 制 资 源 用 户 访问请求 权限 系统访问控制 授权（authorization）控制 （主体：用户、用户组、进程及服务；客体即资源：文件、目录和计算机） 网络访问控制： 逻辑隔离 物理隔离 基本概念 ——二元关系描述 访问控制矩阵 授权关系表 访问控制策略 自主 强制访问控制策略 基于角色的访问控制策略 3.4.1