特權(quán)管理基礎(chǔ)設(shè)施PMI介紹

1、特權(quán)管理基礎(chǔ)設(shè)施（PMI）介紹網(wǎng)絡(luò)存在的典型安全隱患2網(wǎng)絡(luò)否認(rèn)傳送竊聽 冒名傳送篡改用戶甲用戶乙假冒？ 1.1你是誰?RickMaryInternet/Intranet應(yīng)用系統(tǒng)1.2怎么確認(rèn)你就是你?信息安全要素舉例1.1我是Rick.1.2 口令是1234.授權(quán)機密性完整性防抵賴2. 我能干什么?2.你能干這個,不能干那個.3.如何讓別人無法偷聽?3. 我有密鑰?5.我偷了機密文件,我不承認(rèn).5.我有你的罪證.4.如何保證不能被篡改?4.別怕,我有數(shù)字簽名.3鑒別應(yīng)用系統(tǒng)安全性需求和典型攻擊機密性數(shù)據(jù)傳輸、存儲加密竊聽、業(yè)務(wù)流分析完整性數(shù)據(jù)和系統(tǒng)未被未授權(quán)篡改或者損壞篡改、重放、旁路、木馬可

2、鑒別性數(shù)據(jù)信息和用戶、進(jìn)程、系統(tǒng)等實體的鑒別偽造、冒充、假冒4應(yīng)用系統(tǒng)安全性需求和典型攻擊不可否認(rèn)性防止源點或終點的抵賴，自身獨有、無法偽造的抵賴、否認(rèn)授權(quán)設(shè)置應(yīng)用、資源細(xì)粒度訪問權(quán)限越權(quán)訪問、破壞資源5特權(quán)管理基礎(chǔ)設(shè)施（PMI）理解PMI/AA的原理和作用掌握PMI和PKI、AC和PKC的區(qū)別了解PMI/AA的體系結(jié)構(gòu)掌握屬性證書的特點和應(yīng)用6PMIPMIPrivilege Management Infrastructure ，即特權(quán)管理基礎(chǔ)設(shè)施或授權(quán)管理基礎(chǔ)設(shè)施是屬性證書、屬性權(quán)威、屬性證書庫等部件的集合體，用來實現(xiàn)權(quán)限和證書的產(chǎn)生、管理、存儲、分發(fā)和撤銷等功能與應(yīng)用相關(guān)的授權(quán)服務(wù)管理對權(quán)

3、限管理進(jìn)行了系統(tǒng)的定義和描述系統(tǒng)地建立起對用戶身份到應(yīng)用授權(quán)的映射支持訪問控制等應(yīng)用7為什么是PMI公鑰證書中可存儲授權(quán)信息Subject 和 擴(kuò)展項缺點證書內(nèi)容較多、數(shù)據(jù)量較大增加/修改/刪除屬性不方便有效期統(tǒng)一，且一般（建議）較長不方便臨時授權(quán)同一身份可能會有不同的多個角色/權(quán)限要求CA了解應(yīng)用中較細(xì)權(quán)限信息使用獨立的屬性證書使用獨立數(shù)據(jù)結(jié)構(gòu)表達(dá)權(quán)限信息8屬性證書屬性證書Attribute Certificate AC以證書形式給出用戶和權(quán)限的關(guān)系9版本號version證書持有者Holder證書簽發(fā)者 issuer簽名算法標(biāo)識符signature證書序列號 serialNumber有效期v

4、alidity屬性信息attributes簽發(fā)者標(biāo)識符issuerUniqueID擴(kuò)展域extentions標(biāo)準(zhǔn)擴(kuò)展項自定義擴(kuò)展項簽名算法SignatureAlgorithm簽名signatureValuePMI系統(tǒng)模型10PMI結(jié)構(gòu)SOA信任源點AA簽發(fā)屬性證書ARA證書簽發(fā)請求LDAP屬性證書發(fā)布查詢11PKI和PMI對比PKI“你是誰”身份與公鑰綁定身份鑒別（護(hù)照）RCA-CA-RA，LDAP，CRLPMI“你能做什么”身份（角色）與角色（屬性、權(quán)限）綁定授權(quán)管理（簽證）SOA-AA-ARA，LDAP，ACRL12PKC和AC對比13PKCACTTPCA（RCA）AA（SOA）權(quán)限粗粒度

5、、身份細(xì)粒度持有量有一定的唯一性一人可以持有多個AC有效期較長較短保存?zhèn)€人，有對應(yīng)私鑰個人或系統(tǒng)，無密鑰吊銷CRL累積ACRL很小，大部分有效期短甚至可以不用撤銷關(guān)聯(lián)和身份關(guān)聯(lián)和PKC關(guān)聯(lián)對比護(hù)照、身份證簽證、工作證PMI應(yīng)用框架14知識子域其他應(yīng)用介紹理解動態(tài)口令認(rèn)證特點、實現(xiàn)原理及應(yīng)用了解PGP軟件功能了解OPENSSL軟件功能15動態(tài)口令認(rèn)證動態(tài)口令認(rèn)證定義靜態(tài)口令認(rèn)證和動態(tài)口令認(rèn)證的優(yōu)缺點比較動態(tài)口令認(rèn)證實現(xiàn)原理和機制16動態(tài)口令認(rèn)證靜態(tài)口令口令固定不變，并且長期有效弱鑒別(weak authentication)動態(tài)口令又稱一次性口令（One Time Password， OTP）口

6、令動態(tài)性 - 每次變化，無須人工干預(yù)口令隨機性 - 隨機性強，難以猜測17靜態(tài)口令認(rèn)證缺點通信竊取 竊聽獲得明文的用戶名和口令重放攻擊 截獲登錄數(shù)據(jù)（明/密），重放攻擊字典攻擊 選擇有意義的單詞或數(shù)字作字典暴力攻擊 窮舉全部可能組合猜測口令外部泄漏 搜索存有口令的紙片或文件窺 探 安裝監(jiān)視器或從背后窺探社交工程 冒充合法用戶、假冒管理員，騙取口令。18動態(tài)口令認(rèn)證實現(xiàn)原理原理摘要認(rèn)證加入不確定因素(變化因子)19動態(tài)口令認(rèn)證實現(xiàn)機制口令序列時間同步事件同步挑戰(zhàn)/應(yīng)答20動態(tài)口令機制口令序列共享統(tǒng)一口令序列表預(yù)先產(chǎn)生N個隨機口令初始時，雙方各自秘密存儲使用單向函數(shù)初始時，用戶選定一個秘密w計算H

7、(w)、H(H(w)、HN(w)，系統(tǒng)記錄HN(w)第i（1iN)次登錄時，口令指定為： HN-i(w)用戶登錄N次后必須重新初始化口令序列。21動態(tài)口令機制時間同步以時戳作為變化因子登錄時間時間令牌缺點兩端維持同步的時鐘時間段內(nèi)存在重放攻擊可能一般采取以分鐘為時間單位的折中辦法RSA SecureID22動態(tài)口令機制挑戰(zhàn)/應(yīng)答以系統(tǒng)端隨機數(shù)作為變化因子登錄時，系統(tǒng)端發(fā)出隨機數(shù)用戶計算H(口令、隨機數(shù))（S（口令、隨機數(shù)）系統(tǒng)端同樣計算，并比較23用戶端系統(tǒng)端(1)請求驗證產(chǎn)生隨機數(shù)(2) 隨機數(shù)Rt動態(tài)口令Pt=H(Pass,Rt）(3)動態(tài)口令Pt驗證H(Pass,Rt)=Pt(4) 驗證

8、結(jié)果動態(tài)口令機制事件同步以事件作為變化因子基于挑戰(zhàn)/響應(yīng)模式將單向的前后相關(guān)序列作為系統(tǒng)的挑戰(zhàn)信息避免服務(wù)器每次發(fā)送挑戰(zhàn)信息常見實現(xiàn)以按鍵次數(shù)為隨機因素以按鍵次數(shù)和種子為挑戰(zhàn)信息缺點不同步時需人工同步24動態(tài)口令應(yīng)用示例刮刮卡、動態(tài)令牌25PGP介紹PGP(Pretty Good Privacy) 1991年，Philip Zimmermann，第一個版本。基于對稱算法和非對稱算法結(jié)合的一款著名加密軟件對稱算法：AES、CAST、IDEA、3DES、Twofish等非對稱算法：RSA，最高支持4096位主要功能郵件加密（認(rèn)證）文件、磁盤加密即時通訊保護(hù)安全性機密性、完整性、可認(rèn)證性、不可否認(rèn)性

9、PGPkeysPGPkeys：管理密鑰和證書。27PGPmail28PGPmail：保護(hù)郵件。PGPdisk和其他功能PGPdisk:虛擬磁盤， 用于加密存儲敏感數(shù)據(jù)。29其他功能:加密文件簽名文件加密&簽名文件粉碎文件OPENSSL介紹SSL(Security Socket Layer)安全傳輸協(xié)議，用于網(wǎng)絡(luò)數(shù)據(jù)傳輸保護(hù)和身份確認(rèn)Openssl一個實現(xiàn)了SSL及相關(guān)加密技術(shù)的工具包軟件1995，Eric A. Young和Tim J. Hudson發(fā)起編寫開源代碼，支持Linux、Windows、BSD、Mac等平臺官方網(wǎng)站： /主要功能密碼算法實現(xiàn)SSL2.0、SSL3.0以及TLS1.0應(yīng)用程序30OPENSSL算法對稱加密算法AES、DES、Blowfish、CAST、IDEA、RC2、RC5、RC4非對稱加密算法DH、RSA、DSA和ECC摘要算法MD2、MD5、MDC2、SHA（SHA1）和RIPEMD其他MAC隨機數(shù)生成Engine機制