《4-2身份与访问安全——基于数字证书的认证案例与拓展.ppt》由会员分享,可在线阅读,更多相关《4-2身份与访问安全——基于数字证书的认证案例与拓展.ppt(26页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、身份与访问安全身份与访问安全基于数字证书的认证基于数字证书的认证案例与拓展案例与拓展南京师范大学计算机科学与技术学院南京师范大学计算机科学与技术学院南京师范大学计算机科学与技术学院南京师范大学计算机科学与技术学院陈 波vv用户密码,严格地称为用户口令,实际上在人们的信息资用户密码,严格地称为用户口令,实际上在人们的信息资源活动中起到标识用户身份,并依此进行身份认证的作用,源活动中起到标识用户身份,并依此进行身份认证的作用,防止非授权访问。防止非授权访问。vv身份认证(身份认证(AuthenticationAuthentication)是证实实体()是证实实体(EntityEntity)对)对象
2、的数字身份与物理身份是否一致的过程。身份认证技术象的数字身份与物理身份是否一致的过程。身份认证技术能够有效防止信息资源被非授权使用,保障信息资源的安能够有效防止信息资源被非授权使用,保障信息资源的安全。全。vv这里的实体可以是用户,也可以是主机系统。根据实体的这里的实体可以是用户,也可以是主机系统。根据实体的不同,身份认证通常可分为用户与主机间的认证和主机与不同,身份认证通常可分为用户与主机间的认证和主机与主机之间的认证,不过实质上,主机与主机之间的认证仍主机之间的认证,不过实质上,主机与主机之间的认证仍然是用户与主机系统的认证。然是用户与主机系统的认证。vv基于口令的认证实现用户向主机系统证
3、实自己的身份。基于口令的认证实现用户向主机系统证实自己的身份。回顾:基于口令的认证2信息安全案例教程:技术与应用信息安全案例教程:技术与应用案例:vv主机系统如何向用户证实自己的身份?主机系统如何向用户证实自己的身份?vv如何鉴别网站的真假?如何鉴别网站的真假?我每次上支付宝,用的是地址栏中保存的网址,不会有假我每次上支付宝,用的是地址栏中保存的网址,不会有假 查看网站的数字证书查看网站的数字证书3信息安全案例教程:技术与应用信息安全案例教程:技术与应用本讲要点v1.1.什么是数字证书?什么是数字证书?v2.2.为什么通过验证数字证书就可以鉴别网站的真为什么通过验证数字证书就可以鉴别网站的真假
4、?假?v3.3.如何鉴别?如何鉴别?v4.4.数字证书其他作用数字证书其他作用?4信息安全案例教程:技术与应用信息安全案例教程:技术与应用51.数字证书的概念数字证书类似于现实生活中的数字证书类似于现实生活中的由国家公安部门发放的居民身由国家公安部门发放的居民身份证。份证。数字证书是一段包含用户身份数字证书是一段包含用户身份信息、用户公钥信息以及身份信息、用户公钥信息以及身份验证机构数字签名的数据。验证机构数字签名的数据。数字证书是各类实体数字证书是各类实体(持卡人持卡人/个人、商户个人、商户/企业、网关企业、网关/银行银行等等)在网上进行信息交流及商在网上进行信息交流及商务活动的身份证明。通
5、信各方务活动的身份证明。通信各方通过验证对方证书的有效性,通过验证对方证书的有效性,从而解决相互间的信任问题。从而解决相互间的信任问题。信息安全案例教程:技术与应用信息安全案例教程:技术与应用本讲要点v1.1.什么是数字证书?什么是数字证书?v2.2.为什么通过验证数字证书就可以鉴别网站的真为什么通过验证数字证书就可以鉴别网站的真假?假?v3.3.如何鉴别?如何鉴别?v4.4.数字证书其他作用?数字证书其他作用?6信息安全案例教程:技术与应用信息安全案例教程:技术与应用2.利用数字证书鉴别身份的原理网络用户网络用户网络用户网络用户网络用户网络用户企业网站企业网站企业网站企业网站企业网站企业网站
6、vv由权威的可信第三方(由权威的可信第三方(Certification AuthorityCertification Authority CACA)产生根证书。网络实体的系统中通常会安装)产生根证书。网络实体的系统中通常会安装根证书。根证书。vvCACA可用根证书为其下级以及网络实体签发数字证可用根证书为其下级以及网络实体签发数字证书。系统对用根证书签发的数字证书都表示信任,书。系统对用根证书签发的数字证书都表示信任,从技术上说就是建立起一个证书信任链。从技术上说就是建立起一个证书信任链。vv用户验证各网络实体数字证书的有效性时,实际用户验证各网络实体数字证书的有效性时,实际上只要验证为其颁发
7、数字证书上只要验证为其颁发数字证书CACA的根证书。用户的根证书。用户信任可信第三方颁发的根证书,也就信任了网络信任可信第三方颁发的根证书,也就信任了网络实体获得的数字证书。实体获得的数字证书。7信息安全案例教程:技术与应用信息安全案例教程:技术与应用82.利用数字证书鉴别身份的原理v发布数字发布数字证书的权威机构和申请数字证书的企业证书的权威机构和申请数字证书的企业或组织应具备的条件或组织应具备的条件 依法成立的合法组织依法成立的合法组织 具有与认证服务相适应的专业技术人员和管理人员具有与认证服务相适应的专业技术人员和管理人员 具有与提供认证服务相适应的资金和经营场所,具备具有与提供认证服务
8、相适应的资金和经营场所,具备为用户提供认证服务和承担风险、责任的能力为用户提供认证服务和承担风险、责任的能力 具有符合国家安全标准的技术、设备具有符合国家安全标准的技术、设备 国家法律法规规定的其他条件国家法律法规规定的其他条件vEV EV SSLSSL数字证书数字证书(Extended Validation SSLExtended Validation SSL),),遵循遵循全球统一的严格身份验证标准颁发全球统一的严格身份验证标准颁发的的数字数字证证书书,是目前业界最高安全级别,是目前业界最高安全级别的证书。的证书。http:/ CASinoRail CAvv浏览器拦截报警的原因浏览器拦截报
9、警的原因 不是国际权威的不是国际权威的CACA,因而不被操作,因而不被操作系统认可,浏览器进行拦截并给出系统认可,浏览器进行拦截并给出警告警告信息安全案例教程:技术与应用信息安全案例教程:技术与应用案例拓展:案例拓展:1230612306网站数字证书的问题网站数字证书的问题vv解决浏览器拦截报警的方法:安装解决浏览器拦截报警的方法:安装根证书根证书16信息安全案例教程:技术与应用信息安全案例教程:技术与应用案例拓展:案例拓展:1230612306网站数字证书的问题网站数字证书的问题v潜在的安全威胁潜在的安全威胁 强行安装根证书不是一个安全操作。根证书颁发机构强行安装根证书不是一个安全操作。根证
10、书颁发机构应该是得到广泛(系统)认可的应该是得到广泛(系统)认可的CACA,应当让,应当让用户对用户对其其专业技术和信誉度有信心。专业技术和信誉度有信心。如果如果SRCASRCA被攻击,被用来签发恶意网站的数字证书,被攻击,被用来签发恶意网站的数字证书,将轻易骗取用户的信任。将轻易骗取用户的信任。由于由于SRCASRCA签发的证书无法吊销,无法进入系统吊销证签发的证书无法吊销,无法进入系统吊销证书列表进行拦截。书列表进行拦截。v安全建议:安全建议:在在“受信任的根证书颁发机构受信任的根证书颁发机构”节点下将节点下将SRCASRCA的根证的根证书删除书删除17信息安全案例教程:技术与应用信息安全
11、案例教程:技术与应用本讲要点v1.1.什么是数字证书?什么是数字证书?v2.2.为什么通过验证数字证书就可以鉴别网站的真为什么通过验证数字证书就可以鉴别网站的真假?假?v3.3.如何鉴别?如何鉴别?v4.4.数字证书其他作用?数字证书其他作用?18信息安全案例教程:技术与应用信息安全案例教程:技术与应用思考:vv假定用户假定用户A A想给用户想给用户B B发送一个消息发送一个消息MM,出于机密性以及,出于机密性以及确保完整性和不可否认性的考虑,确保完整性和不可否认性的考虑,A A需要在发送前对消息需要在发送前对消息进行进行签名签名和和加密加密,那么,那么A A是先签名后加密好还是先加密后是先签
12、名后加密好还是先加密后签名好呢签名好呢?19vv考虑下面的考虑下面的考虑下面的考虑下面的重放攻击重放攻击重放攻击重放攻击情况,假设情况,假设情况,假设情况,假设AliceAlice决定发送消息:决定发送消息:决定发送消息:决定发送消息:MM=“I love youI love you”先签名再加密发送给先签名再加密发送给先签名再加密发送给先签名再加密发送给B B。出于恶意,出于恶意,出于恶意,出于恶意,B B收到后解密获得签名的消息收到后解密获得签名的消息收到后解密获得签名的消息收到后解密获得签名的消息E ESKASKA(MM),并,并,并,并将其加密,将该消息发送给将其加密,将该消息发送给将
13、其加密,将该消息发送给将其加密,将该消息发送给C C,C C以为以为以为以为A A爱上了他。爱上了他。爱上了他。爱上了他。明文明文明文明文MMA AA签名签名签名签名签名签名A AA加密加密加密加密加密加密明文明文明文明文MMA AA签名签名签名签名签名签名明文明文明文明文MMA AA签名签名签名签名签名签名B BB加密加密加密加密加密加密明文明文明文明文MMA AA签名签名签名签名签名签名信息安全案例教程:技术与应用信息安全案例教程:技术与应用思考:vv假定用户假定用户A A想给用户想给用户B B发送一个消息发送一个消息MM,出于机密性以及,出于机密性以及确保完整性和不可否认性的考虑,确保完
14、整性和不可否认性的考虑,A A需要在发送前对消息需要在发送前对消息进行进行签名签名和和加密加密,那么,那么A A是先签名后加密好还是先加密后是先签名后加密好还是先加密后签名好呢签名好呢?20vv再考虑下面的再考虑下面的再考虑下面的再考虑下面的中间人攻击中间人攻击中间人攻击中间人攻击情况,情况,情况,情况,A A将一份重要的研究成将一份重要的研究成将一份重要的研究成将一份重要的研究成果发送给果发送给果发送给果发送给B B。这次她的消息是先加密再签名,即发送。这次她的消息是先加密再签名,即发送。这次她的消息是先加密再签名,即发送。这次她的消息是先加密再签名,即发送 给给给给B B。vv然而然而然而
15、然而C C截获了截获了截获了截获了A A和和和和B B之间的所有通信内容并进行中间人之间的所有通信内容并进行中间人之间的所有通信内容并进行中间人之间的所有通信内容并进行中间人攻击。攻击。攻击。攻击。C C使用使用使用使用A A的公钥来计算出的公钥来计算出的公钥来计算出的公钥来计算出E EPKBPKB(MM),并且用自己,并且用自己,并且用自己,并且用自己的私钥签名后发给的私钥签名后发给的私钥签名后发给的私钥签名后发给B B,从而使得,从而使得,从而使得,从而使得B B认为该成果是认为该成果是认为该成果是认为该成果是C C的。的。的。的。明文明文明文明文MMA AA加密加密加密加密加密加密A A
16、A签名签名签名签名签名签名明文明文明文明文MMA AA加密加密加密加密加密加密明文明文明文明文MMA AA加密加密加密加密加密加密B BB签名签名签名签名签名签名明文明文明文明文MMA AA加密加密加密加密加密加密信息安全案例教程:技术与应用信息安全案例教程:技术与应用思考:vv从上面的两种情况我们能够意识到公钥密码的局限性。对从上面的两种情况我们能够意识到公钥密码的局限性。对于公钥密码,任何人都可以进行公钥操作,即任何人都可于公钥密码,任何人都可以进行公钥操作,即任何人都可以加密消息,任何人都可以验证签名以加密消息,任何人都可以验证签名。vv怎样分发和获取用户的公钥怎样分发和获取用户的公钥?
17、vv如何如何建立和维护用户与其公钥的对应关系建立和维护用户与其公钥的对应关系?vv获得获得公钥后如何鉴别该公钥的有效性公钥后如何鉴别该公钥的有效性?vv通信通信双方如果发生争议如何仲裁?双方如果发生争议如何仲裁?21信息安全案例教程:技术与应用信息安全案例教程:技术与应用4.基于数字证书的PKIv公钥基础设施公钥基础设施PKIPKI(Public Key Public Key InfrastructureInfrastructure)的本质是实现大规模网络中的)的本质是实现大规模网络中的公钥分发问题,建立大规模网络中的信任基础公钥分发问题,建立大规模网络中的信任基础。vPKIPKI在实际应用中
18、是一套软硬件系统和安全策略的在实际应用中是一套软硬件系统和安全策略的集合,它提供了一整套安全机制,使用户在不知集合,它提供了一整套安全机制,使用户在不知道对方身份或分布地点的情况下,以道对方身份或分布地点的情况下,以数字证书数字证书为为基础,通过一系列的信任关系进行网络通信和网基础,通过一系列的信任关系进行网络通信和网络交易。络交易。22信息安全案例教程:技术与应用信息安全案例教程:技术与应用4.基于数字证书的PKIvv在在PKIPKI环境中,通信的各方需要申请一个数字证书环境中,通信的各方需要申请一个数字证书。vv在此在此申请过程中,申请过程中,PKIPKI将会采用其他手段验证其身份将会采用
19、其他手段验证其身份。vv如果如果验证无误,那么验证无误,那么PKIPKI将创建一个数字证书,并由认证将创建一个数字证书,并由认证中心对其进行数字签名中心对其进行数字签名。vv当当通信的一方接收到对方的数字证书,根据数字签名判断通信的一方接收到对方的数字证书,根据数字签名判断出证书来自于他信任的认证机构,则他将确信收到的公钥出证书来自于他信任的认证机构,则他将确信收到的公钥确实来自需要进行通信的另一方确实来自需要进行通信的另一方。vv这种这种情况相当于第三方的认证机构为通信的双方提供身份情况相当于第三方的认证机构为通信的双方提供身份认证的担保,因此也称为认证的担保,因此也称为“第三方信任模型第三
20、方信任模型”。23信息安全案例教程:技术与应用信息安全案例教程:技术与应用4.基于数字证书的PKI24vv确认网站的确认网站的真实性真实性。凡是使用了。凡是使用了 https https 的网站,都可以通的网站,都可以通过点击浏览器地址栏的锁头标志来查看网站认证之后的真过点击浏览器地址栏的锁头标志来查看网站认证之后的真实信息,也可以通过实信息,也可以通过 CA CA 机构颁发的数字证书来查询。机构颁发的数字证书来查询。vv建立建立一个信息安全通道,来保证数据传输一个信息安全通道,来保证数据传输的的机密性机密性。信息安全案例教程:技术与应用信息安全案例教程:技术与应用本讲主要内容25vv1.1.
21、什么是数字证书?什么是数字证书?1.1.数字证书的概念数字证书的概念vv2.2.为什么通过验证数字证书就可以鉴别网站的真假?为什么通过验证数字证书就可以鉴别网站的真假?2.2.利用利用数字证书鉴别身份的原理数字证书鉴别身份的原理vv3.3.如何鉴别?如何鉴别?3.3.利用数字证书进行鉴别的过程利用数字证书进行鉴别的过程vv4.4.数字证书的其他作用?数字证书的其他作用?4.4.基于基于数字证书的数字证书的PKIPKI信息安全案例教程:技术与应用信息安全案例教程:技术与应用本讲思考与练习26vv名词解释:名词解释:数字证书数字证书数字证书数字证书;公钥基础设施;公钥基础设施;公钥基础设施;公钥基
22、础设施vv验证验证与思考:与思考:查看支付宝、网易邮箱、苹果查看支付宝、网易邮箱、苹果查看支付宝、网易邮箱、苹果查看支付宝、网易邮箱、苹果iCloudiCloudiCloudiCloud网站的数网站的数网站的数网站的数字证书,分析其对于安全的重要意义字证书,分析其对于安全的重要意义字证书,分析其对于安全的重要意义字证书,分析其对于安全的重要意义vv操作实践:操作实践:EV SSLEV SSL数字证书的申请、安装与使用数字证书的申请、安装与使用数字证书的申请、安装与使用数字证书的申请、安装与使用vv请访问南京师范大学信息化教学网本课程主页请访问南京师范大学信息化教学网本课程主页http:/http:/信息安全案例教程:技术与应用信息安全案例教程:技术与应用