【正文】 效的安全服務(wù)18安全基礎(chǔ)設(shè)施 提供的安全服務(wù)l （或注冊）l 例如遠程登錄中，用戶的口令在網(wǎng)上傳輸不安全，安全基礎(chǔ)設(shè)施則有能力提供認證機制、口令被竊聽 /存儲 /重放、安全傳輸?shù)劝踩?wù)l l 使用通信基礎(chǔ)設(shè)施的用戶不須知道 IP報頭或以太包的結(jié)構(gòu)，但如果發(fā)生錯誤，如不能接受 IP包，則應及時告知用戶。l 世界各國初步形成一套完整的 Inter解決方案 PKI20 公鑰基礎(chǔ)設(shè)施 PKI(PublicInfrastructure）l 1．什么是 PKIl def:21PKI技術(shù)l 建立在 PKI基礎(chǔ)上的數(shù)字證書，通過對要傳輸?shù)臄?shù)字信息進行加密和簽名，保證信息傳輸?shù)臋C密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。證書頒發(fā)機構(gòu) CAl 2） 證書庫l 4） 證書作廢處理系統(tǒng)l 6） 272）認證中心 CAl功能l （ 1）驗證 簽名密鑰不能備份和恢復。證書需要作廢時，通過證書撤銷列表 CRL實現(xiàn)。314.PKI應用系統(tǒng)334. 是用來證明主體身份及公鑰合法性的權(quán)威電子文檔l 。簽名私鑰不能存檔、備份，以保證唯一性l 。身份認證：（簡單認證）基于用戶 ID和口令l 。（強認證）以 CA的管理為基礎(chǔ)l 1） 簡單認證l 對用戶所有的權(quán)限或自身的身份進行認證l 認證方式：l 。利用單項 HASH傳送隨機或時間數(shù)據(jù)l 。認證什么：在開放的網(wǎng)絡(luò)環(huán)境下，提供系統(tǒng)的登錄驗證，認證用戶身份l 。Telemunication用 B的公鑰簽名，確定數(shù)據(jù)的完整性。檢查 tB是否在有效期內(nèi)，確定數(shù)據(jù)的有效性。l PKI：證明實體身份的合法性（用戶是誰）l PMI：證明實體具有什么權(quán)限，能以何種方式訪問什么資源（用戶有什么權(quán)限，能干什么）l 聯(lián)系： PMI需要 PKI為其提供身份認證服務(wù)屬性證書的定義 屬性證書是由屬性權(quán)威機構(gòu)AA(AttributeAuthority)簽發(fā)的包含持有者的屬性集 (如角色、訪問權(quán)限或組成員等 )和一些與持有者相關(guān)的數(shù)據(jù)結(jié)構(gòu)。54l 　　屬性證書由簽發(fā)它的 AA簽名，以此來保證屬性證書和其權(quán)限信息的有效性和合法性。 – 為了實現(xiàn)對角色、權(quán)限的靈活動態(tài)管理，屬性證書進行了一定的擴展， 兩種與角色有關(guān)的屬性證書 :角色規(guī)范屬性證書 (RoleSpeeifieationAC)和角色分配屬性證書 (RoleAssignmentAC)。l 角色規(guī)范屬性證書的持有者 (Hofder)是角色，屬性是該角色擁有的權(quán)限 .而在角色分配證書中，證書的持有者 (Hofder)是用戶，屬性是分配給該用戶的角色所有角色規(guī)范屬性證書都由人 A預先簽發(fā)，存放在 LDAP目錄服務(wù)器的證書庫中，不隨用戶的變化而變化。l 角色分配屬性證書也是由 AA簽發(fā)后存放在LDAP服務(wù)器的證書中 (不為用戶持有 )。 .權(quán)限控制邏輯結(jié)構(gòu)PKI/CA策略實施 目標 授權(quán)中心 AA訪問控制服務(wù)器用戶管理資源管理權(quán)限分配注冊申請策略制定 PB策略決策PDP策略庫策略機構(gòu) PAPMI應用系統(tǒng)654321發(fā)布系統(tǒng)+62權(quán)限控制過程l 1.策略實施點處理請求，形成決策請求l 3.策略決策點根據(jù)用戶權(quán)限信息作出決定l 5.三級64l （ 1）系統(tǒng)遵循的標準：l 。 PKCS6:擴展的數(shù)字證書語法標準l （ 2）系統(tǒng)工作模式 ① 集中式授權(quán)管理服務(wù)系統(tǒng)體系結(jié)構(gòu)：資源管理策略引擎授權(quán)信息目錄服務(wù)器授權(quán)管理 密碼服務(wù)系統(tǒng)訪問控制表日志用戶權(quán)限請求部分功能：資源管理：向策略引擎發(fā)出訪問控制請求，將訪問控制表提交給策略引擎策略引擎：根據(jù)以上請求，訪問授權(quán)服務(wù)器，取得用戶權(quán)限授權(quán)管理：授權(quán)、撤銷、委托權(quán)限密碼服務(wù)系統(tǒng)：基礎(chǔ)安全服務(wù)：加、解密，簽名、驗證簽名，信封數(shù)字等66② 分布式授權(quán)管理服務(wù)系統(tǒng)的設(shè)計l 系統(tǒng)功能：l .l .操作員管理l . 分布式授權(quán)管理服務(wù)系統(tǒng)的體系結(jié)構(gòu)l 部分功能：l 電子政務(wù)客戶端：接受授權(quán)，完成用戶對資源的授權(quán)、簽名l 應用資源服務(wù)器：接受客戶請求，發(fā)出訪問控制請求l 授權(quán)管理服務(wù)器：存儲資源的授權(quán)信息，計算權(quán)限值l 密碼服務(wù)系統(tǒng)：同前電子政務(wù)客戶端 授權(quán)模塊 應用資源服務(wù)器授權(quán)管理服務(wù)器 密碼服務(wù)系統(tǒng)688. 授權(quán)管理中心 AA的設(shè)計系統(tǒng)結(jié)構(gòu)PKI網(wǎng)關(guān)…………入侵檢查漏洞掃描安全審計防病毒…………InterLDAP服務(wù) 日志服務(wù) 信息安全服務(wù)引擎 系統(tǒng)狀態(tài)管理 簽名服務(wù) LDAP DB日志服務(wù) 信息安全服務(wù)引擎 系統(tǒng)狀態(tài)管理 簽名服務(wù) WEB服務(wù) 證書策略服務(wù) AA業(yè)務(wù)服務(wù)699． PMI的通用業(yè)務(wù)（屬性證書的申請與發(fā)布） 客戶與服務(wù)器不需建立新的連接，查詢證書很方便，因而提高服務(wù)器性能 不需對客戶端及客戶、服務(wù)器協(xié)議作任何改動72（公鑰證書）用戶 資源服務(wù)器策略引擎日志服務(wù)器 證書服務(wù)器訪問控制判斷請求 取 AC證書 寫入信息 PKC73Rowser 資源服務(wù)器用戶通過身份驗證取出 ACL和用戶 PKC有權(quán)訪問向 LDAP請求檢索用戶所有的 AC根據(jù) ACL、AC判斷用戶權(quán)限用戶 資源服務(wù)器 策略引擎 LDAP PKC 訪問失敗 訪問失敗 顯示可訪問的資源用戶 PKC AC Y Y N N 接受請求 74l 2． 3 網(wǎng)絡(luò)基礎(chǔ)設(shè)施l 1．總體結(jié)構(gòu)l 網(wǎng)絡(luò)基礎(chǔ)設(shè)施主要包括 ： 互聯(lián)網(wǎng)、公眾服務(wù)業(yè)務(wù)網(wǎng)、涉密政府辦公網(wǎng)、非涉密政府辦公網(wǎng)。統(tǒng)一的信息交換平臺l 統(tǒng)一的信息接入平臺l 互聯(lián)網(wǎng) SOAP簡單對象訪問協(xié)議l 。短信服務(wù)網(wǎng) GSM無線接入網(wǎng) GPRS通過多層的虛擬通道（隧道），經(jīng)加密后，使各種被傳輸信息只有預定的接受者讀懂，敏感數(shù)據(jù)不會被竊聽。PKI/PMI公眾服務(wù)網(wǎng) 非涉密網(wǎng) 涉密辦公網(wǎng)非涉密政務(wù)專網(wǎng) 涉密政務(wù)專網(wǎng)非涉密辦公網(wǎng)公眾服務(wù)業(yè)務(wù)系統(tǒng)統(tǒng)一的數(shù)據(jù)交換平臺統(tǒng)一的接入平臺 統(tǒng)一的WEB門戶平臺統(tǒng)一的WEB服務(wù)平臺可信SOAP服務(wù)器可信SOAP業(yè)務(wù)處理 其他系統(tǒng)其他系統(tǒng)涉密辦公網(wǎng)政務(wù)內(nèi)網(wǎng)的總體結(jié)構(gòu)圖78l 可信 SOAP服務(wù)器： Simple Object Access Protocol)l 可信簡單對象訪問協(xié)議 綜合采取物理層、網(wǎng)絡(luò)層、應用層多層面的安全機制l 。l 接入：網(wǎng)絡(luò)接入認證交換機，保證 設(shè)備 安全可信接入l 傳輸： PKI網(wǎng)關(guān)，保證 數(shù)據(jù) 安全可信傳輸l 管理：信任域管理服務(wù)平臺，保證 工作狀態(tài) 安全可信80l 網(wǎng)絡(luò)信任域技術(shù)一般包括網(wǎng)絡(luò)接入、傳輸、管理等三個層次的安全措施。網(wǎng)絡(luò)信任域管理服務(wù)平臺X1Xn …… ……PKI網(wǎng)關(guān)網(wǎng)絡(luò)信任域管理服務(wù)平臺PKI網(wǎng)關(guān)…………高一級的網(wǎng)絡(luò)信任域 安全可信接入 網(wǎng)絡(luò)信任域 1 接入認證交換機 終端設(shè)備 安全可信通道 網(wǎng)絡(luò)信任域 281l －－基于 PKI的證書認證機制 l 功能： l （ 1）為用戶的設(shè)備頒發(fā)數(shù)字公鑰證書 PKCl （ 2）協(xié)調(diào)通訊密鑰，結(jié)合安全協(xié)議 IPsec,保證網(wǎng)絡(luò)通訊安全可信l 管理機制：一人一證、一機一證l 關(guān)鍵技術(shù)： 基于 PKI的證書認證技術(shù)l ?；?PKI的授權(quán)服務(wù)l ?；?PKI的信任域綜合管理系統(tǒng)l ?；谟布问降淖C書存儲82第 3講 信任模型 信任相關(guān)的概念l (1)信任l 信任 ：可以是可信實體，或可信公鑰