当前位置:文档之家 › 网络安全技术及应用(第三章)

网络安全技术及应用(第三章)

  • 格式:ppt
  • 大小:327.00 KB
  • 文档页数:52

下载文档原格式

  / 52

合集下载

计算机网络安全技术与应用教学配套课件彭新光第3章身份认证与访问控制

计算机网络安全技术与应用教学配套课件彭新光第3章身份认证与访问控制

3.1.1 身份标识与鉴别概念
• 身份认证的目的就是要确认用户身份,用户必须提供他 是谁的证明。
• 身份标识就是能够证明用户身份的用户独有的生物特征 或行为特征,此特征要求具有唯一性,如用户的指纹、 视网膜等生物特征及声音、笔迹、签名等行为特征;或 他所能提供的用于识别自己身份的信息,如口令、密码 等。
影响口令的因素(续)
• 拥有人(ownership):被授权使用该口令的人,用于身 份识别的个人口令只能由具有该身分的人拥有。
• 输入(entry):输入是指系统用户为了验证自己的身份输 入口令的适当方式。
• 存储(storage):在口令使用期限内存放口令的适当方式。 • 传输(transmission):口令由输入处传送到验证处的适
3.1.2 身份认证的过程
• 身份认证的过程根据身份认证方法的不同而不同。 • 身分认证的方法
基于信息秘密的身份认证 基于物理安全性的身份认证 基于行为特征的身份认证 利用数字签名的方法实现身份认证
基于信息秘密的身份认证过程
基于信息秘密的身份认证一般是指依赖 于所拥有的东西或信息进行验证。
• 口令认证 • 单向认证 • 双向认证
或使用所需的某项功能。
口令认证(续)
这种方法有如下缺点:
• 其安全性仅仅基于用户口令的保密性,而用户 口令一般较短且容易猜测,因此这种方案不能 抵御口令猜测攻击。
• 攻击者可能窃听通信信道或进行网络窥探,口 令的明文传输使得攻击者只要能在口令传输过 程中获得用户口令,系统就会被攻破。
单向认证
• 通信的双方只需要一方被另一方鉴别身周期(authentication period):在一次数据访问过
• 相比较而言,后一种的安全系数较低,密码容易被遗忘 或被窃取,身份可能会被冒充。

《计算机网络》教案(第三章)

《计算机网络》教案(第三章)

数据通信的基本概念
数据通信的定义
数据通信的方式
数据通信是指在不同的计算机或设备 之间传输数据和信息的过程。
根据数据传输的方向和方式,数据通 信可分为单工、半双工和全双工三种 方式。
数据通信系统的组成
数据通信系统通常由数据源、发送设 备、传输介质、接收设备和数据宿五 个部分组成。
传输介质与通信设备
传输介质的分类
传输介质可分为有线介质和无线 介质两大类,其中有线介质包括 双绞线、同轴电缆和光纤等,无 线介质包括无线电波、微波和红
外线等。
通信设备的作用
通信设备是实现数据通信的重要 工具,包括调制解调器、网卡、
集线器、交换机和路由器等。
通信设备的选型
在选择通信设备时,需要考虑传 输速率、传输距离、网络拓扑结
特点
覆盖范围广、传输速率相对较低、网络结构复杂、通信成本 高。
常见广域网接入方式
电话线拨号接入
利用普通电话线,通过拨号方式连接 到ISP,速度较慢,已逐渐被淘汰。
DSL接入
数字用户线路(Digital Subscriber Line),利用普通电话线提供高速数 据传输服务,包括ADSL、VDSL等。
调制技术的选择
在选择调制技术时,需要考虑信道的特性、传输距离、传 输速率和误码率等因素。
04 局域网技术
局域网的特点与分类
特点
覆盖地理范围小、数据传输速率高、 通信延迟时间短、误码率低、通常属 于一个单位所有。
分类
按拓扑结构可分为星型、环型、总线 型和树型等;按传输介质可分为有线 局域网和无线局域网。
FTP协议
用于文件传输,支持 上传和下载功能,可 实现不同操作系统之 间的文件交换。
DNS协议

网络技术应用练习题复习题

网络技术应用练习题复习题

信息技术《网络技术应用》(分章节练习题)第一章网络能为我们做什么1. FTP服务器提供匿名登录,其用户名一般采用的是( )A. FTPB. TelnetC. anonymousD. Internet2. 常用窗口式的FTP客户端软件是( )A. WordB. CuteFTPC. CtermD. WPS3. 病人坐在家中打开电脑进入网上病情诊断的网址,医生便可以对病人的身体进行常规诊断,这种应属于()A. 远程医疗B. 自动控制C. 虚拟现实D. 网络计算4. 随着因特网技术的发展,因特网的交流已经做到()A. 仅文字交流B. 仅声音交流C. 仅图像交流D. 文字、声音、图像皆可5. 下列方法设置的密码,你认为最安全的密码是()A. 以8位数字作为密码B. 以8个字母作为密码C. 以字母和数字组成的8个字符作为密码D. 都一样,因为都是8位密码6. 以下说法不正确的是()A. 非对称密钥(公开密钥)加密算法在加密与解密中采用不同的密钥B. 软件防火墙是通过纯软件件的方式来实现,价格便宜,个人用户较多使用这类防火墙C. 计算机病毒是某些人利用计算机软件和硬件所固有的脆弱性编写的D. 对称密钥加密算法的特点是运算量大、速度快,安全强度高7. 下列不属于元搜索引擎特点的是()A. 搜索时,用户必须多次提交搜索请求B. 可利用多个搜索引擎,同时搜索多个数据库C. 目前一般只支持AND、OR、NOT等较低级的操作D. 为了借用尽可能多的搜索引擎,一般只使用简单、直接的搜索策略8. 危害信息安全的两大源头是病毒和黑客,黑客是()A. 计算机编程的高手B. Cookies的发布者C. 网络的非法入侵者D. 信息垃圾的制造者9. 以下不属于计算机安全措施的是()A. 及时下载并安装操作系统漏洞补丁程序B. 安装并定时升级正版杀毒软件C. 安装软件防火墙D. 不将电脑联入互联网(因特网)10.某站点深受大学生的喜爱,他们可以在站点上发帖子,发信件进行交流和讨论.据此,你认为该网站体现了因特网的哪些应用功能( )A. FTP和BBSB. BBS和E-mailC. Telnet和E-mailD. E-mail和FTP11. 以下因特网服务功能的缩写对应的中文名称是:E-mail;FTP;Telnet;BBS;WWW1. 文件传输2. 电子公告牌系统(论坛)3. 电子邮件4. 信息检索(万维网服务)5. 远程登录()A. 21534B. 35124C. 31524D. 2513412. 下列关于计算机病毒的叙述中,错误的一条是()A. 计算机病毒具有潜伏性B. 计算机病毒具有传染性C. 感染病毒的计算机具有对病毒的免疫力D. 计算机病毒是一个特殊的寄生程序13. CIHv1. 4病毒破坏微机的BIOS,使微机无法启动。

网络安全实用技术答案

网络安全实用技术答案

选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A.保密性(2)网络安全的实质和关键是保护网络的安全。

C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。

D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。

B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。

A.信息安全学科(7)实体安全包括。

B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。

D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。

A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。

B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。

D.数据保密性及以上各项(6)VPN的实现技术包括。

D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。

D.上述三点(2)网络安全保障体系框架的外围是。

D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

第3章 网络安全管理概述

第3章 网络安全管理概述

3.3 网络安全评估准则和测评
2.欧洲ITSEC
信息技术安全评估标准ITSEC,俗称欧洲的白皮书, 将保密作为安全增强功能,仅限于阐述技术安全要求,并 未将保密措施直接与计算机功能相结合。 ITSEC是欧洲的 英国、法国、德国和荷兰等四国在借鉴橙皮书的基础上联 合提出的。橙皮书将保密作为安全重点,而ITSEC则将首 次提出的完整性、可用性与保密性作为同等重要的因素, 并将可信计算机的概念提高到可信信息技术的高度。
第3.2 网络安全的法律法规
3. 与“入世”有关的网络法律 在1996年12月联合国第51次大会上,通过了联合国 贸易法委员会的《电子商务示范法》,对于网络市场 中的数据电文、网上合同成立及生效的条件,传输等 专项领域的电子商务等,子商务”规范成为一个主 要议题。 4. 其他相关立法 5. 民间管理、行业自律及道德规范
“七分管理,三分技术, 运作贯穿始终”,管理是关键, 技术是保障,其中的管理应包 括管理技术。 图3-4网络安全保障因素 与美国ISS公司提出的动态网络安全体系 的代表模型的雏形P2DR相似。该模型包含4个 主要部分:Policy(安全策略)、Protection(防 护)、Detection(检测)和 Response(响应)。如 图3-5所示
第3.2 网络安全的法律法规
课堂讨论 1. 为什么说法律法规是网络安全体系的重要保障 和基石? 2. 国外的网络安全法律法规对我们有何启示? 3. 我国网络安全立法体系框架分为哪三个层面? 网络安全标准是确保网络信息安全的产品和系 统, 在设计、建设、生产、实施、使用、测评和管 理维护过程中, 解决产品和系统的一致性、可靠性 、可控性、先进性和符合性的技术规范、技术依据.
3.1 网络安全管理体系
3.1 网络安全管理体系

新型网络安全技术研究及应用

新型网络安全技术研究及应用

新型网络安全技术研究及应用第一章:引言随着互联网的快速发展和普及,网络安全问题日益凸显。

传统的网络安全技术在面对高级网络攻击和数据泄露等问题时已经显得力不从心。

因此,研究新型的网络安全技术成为了当下亟需解决的问题。

本章将介绍新型网络安全技术的学术研究背景和研究目的。

第二章:新型网络安全技术的研究内容本章将介绍新型网络安全技术的研究内容。

包括基于人工智能的网络入侵检测技术、区块链技术在网络安全中的应用、云安全技术的新发展等。

通过对这些新技术的研究和应用,可以提高网络安全的防御能力,减少网络攻击和数据泄露的风险。

第三章:基于人工智能的网络入侵检测技术本章将重点介绍基于人工智能的网络入侵检测技术。

人工智能技术的快速发展为网络安全领域带来了新的解决方案。

通过深度学习算法和机器学习技术,可以实现对网络流量的实时监测和异常检测,提高网络入侵检测的准确率和效率。

第四章:区块链技术在网络安全中的应用本章将介绍区块链技术在网络安全中的应用。

区块链作为一种分布式账本技术,具有去中心化、不可篡改等特点,可以应用于网络安全领域,实现身份认证、数据防篡改等功能。

通过引入区块链技术,可以提高网络系统的安全性和可信度。

第五章:云安全技术的新发展本章将介绍云安全技术的新发展。

随着云计算的广泛应用,云安全问题日益严重。

本章将重点介绍云安全技术的新发展方向,如虚拟化安全、隔离技术、数据加密等。

通过采用这些新技术,可以保护云平台的安全性,防止云计算环境中的恶意攻击和数据泄露。

第六章:新型网络安全技术的应用案例本章将结合实际案例,介绍新型网络安全技术的应用情况。

通过案例分析,可以验证新技术在实际场景中的有效性和可行性。

本章将重点介绍在金融行业、电子商务领域以及政府机构中新型网络安全技术的应用。

第七章:结论与展望本章将总结全文,并对未来新型网络安全技术的发展进行展望。

通过对新技术的应用和发展趋势进行探讨,可以为进一步研究和实践提供指导。

(完整版)网络安全实用技术答案

选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A.保密性(2)网络安全的实质和关键是保护网络的安全。

C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。

D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。

B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。

A.信息安全学科(7)实体安全包括。

B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。

D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。

A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。

B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。

D.数据保密性及以上各项(6)VPN的实现技术包括。

D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。

D.上述三点(2)网络安全保障体系框架的外围是。

D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

网络安全基础应用与标准(第二版)复习题答案(完整版)——sogood

网络安全基础应用与标准(第二版)复习题答案(完整版)——sogood复习题答案1、什么是OSI安全体系结构?(P6)安全攻击:任何可能会危及机构的信息安全的行为安全机制:用来检测、防范安全攻击并从中恢复系统的机制安全服务:一种用了增强机构的数据处理系统安全性和信息传递安全性的服务。

这些服务是用来防范安全攻击的,它们利用了一种或多种安全机制来提供服务。

2、被动和主动安全威胁之间有什么不同?(p6)被动攻击的本质是窃听或监视数据传输,被动攻击非常难以检测,因为它们根本不改变数据,因此,对付被动攻击的重点是防范而不是检测;主动攻击包含数据流的改写和错误数据流的添加3列出并简要定义被动和主动安全攻击的分类?(p6)被动攻击:小树内容泄漏和流量分析;主动攻击:假冒,重放,改写消息,拒绝服务4、列出并简要定义安全服务的分类?(p9)认证:确保通信实体就是它所声称的那个实体访问控制:防止对资源的非授权使用数据机密性:防止非授权数据的泄露数据完整性:确保被认证实体发送的数据与接收到的数据完全相同不可抵赖性:提供对被全程参与或部分参与通信实体之一拒绝的防范5、列出并简要定义安全机制的分类?(p11-12)加密:使用数学算法将数据转换为不可轻易理解的形式。

这种转换和随后的数据恢复都依赖与算法本身以及零个或者更多的加密密钥数字签名:为了允许数据单元接收方证明数据源和数据单元的完整性,并且防止数据伪造而追加到数据源中的数据或者是以上数据单元的密码转换访问控制访问控制:强制执行对源的访问权限的各种机制数据完整性:确保数据单元或者数据单元流完整性的各种机制可信功能:相对应某个标准而言正确的功能(例如,由安全策略建立的标准)安全标签:绑定在资源(可能是数据单元)上的记号,用来命名或者指定该资源的安全属性事件检测:与安全相关的事件的检测安全审计跟踪:收集可能对安全审计有用的数据,它对系统记录和活动记录进行单独的检查和分析认证交换:通过信息交换以确保一个实体身份的一种机制流量填充:通过填充数据流空余位的方式来干扰流量分析路由控制:支持对某些数据的特定物理安全通道的选择,并且允许路由改变,特别是当安全性受到威胁时公证:使用可信的第三方以确保某种数据交换的属性安全恢复:处理来自机制的请求,例如事件处理和管理功能,并且采取恢复措施。

《计算机网络技术及应用》教材部分复习提纲2014版

《计算机网络技术及应用》复习提纲一、教材内容复习资料1.第一章⏹计算机网络定义:计算机网络是将分散在不同地点且具有独立功能的起来,在网络协议和软件的支持下进行数据多个计算机系统,利用通信设备和线路相互连接通信,实现资源共享的计算机系统的集合。

1.两台或两台以上的计算机相互连接起来才能构成网络。

网络中的各计算机具有独立功能。

2.计算机之间要通信,要交换信息,彼此就需要有某些约定和规则,这些约定和规则就是网络协议。

网络协议是计算机网络工作的基础。

3.网络中的各计算机间进行相互通信,需要有一条通道以及必要的通信设备。

通道指网络传输介质,它可以是有线的(如双绞线,同轴电缆线等),也可以是无线的(如激光、微波等)。

通信设备是在计算机与通信线路之间按照一定通信协议传输数据的设备。

4.计算机网络的主要目的是实现计算机资源共享,使用户能够共享网络中的所有硬件、软件和数据资源。

⏹计算机网络分类按地理覆盖范围分类:局域网(Local Area Network 简称LAN)城域网(Metropolitan Area Network 简称MAN)广域网(Wide Area Network 简称WAN)按通讯介质分类:有线网(双绞线网、同轴线网、光纤网)无线网(微波通信、激光通信、卫星通信、红外线按通信传播方式分类:点对点传输方式的网络:由一对对机器间的多条传输链路构成。

信源与信宿之间的通信需经过一台和多台中间设备进行传输。

广播方式网络:一台计算机发送的信息可被网络上所有的计算机接收。

按拓扑结构分类:常用络拓扑结构:总线、星型、环形、树型等其它分类方式(详见教材)按网络的传输速率分类按网络中使用的操作系统分类按网络带宽分类按交换方式分类⏹计算机网络的功能1.数据通信:数据通信是计算机网络最基本的功能。

(1)传输文件(2)电子邮件、IP电话、视频会议、信息发布、交互式娱乐、音乐2.资源共享:组建计算机网络的主要目的是资源共享。

网络安全实用技术答案

选择题部分:第一章:(1)计算机网络安全是指利用计算机网络管理控制和技术措施,保证在网络环境中数据的、完整性、网络服务可用性和可审查性受到保护。

A.保密性(2)网络安全的实质和关键是保护网络的安全。

C.信息(3)实际上,网络的安全问题包括两方面的内容:一是,二是网络的信息安全。

D.网络的系统安全(4)在短时间内向网络中的某台服务器发送大量无效连接请求,导致合法用户暂时无法访问服务器的攻击行为是破坏了。

C.可用性(5)如果访问者有意避开系统的访问控制机制,则该访问者对网络设备及资源进行非正常使用属于。

B.非授权访问(6)计算机网络安全是一门涉及计算机科学、网络技术、信息安全技术、通信技术、应用数学、密码技术和信息论等多学科的综合性学科,是的重要组成部分。

A.信息安全学科(7)实体安全包括。

B.环境安全、设备安全和媒体安全(8)在网络安全中,常用的关键技术可以归纳为三大类。

D.预防保护、检测跟踪、响应恢复第二章:(1)加密安全机制提供了数据的______.D.保密性和完整性(2)SSI.协议是______之间实现加密传输协议。

A.传输层和应用层(3)实际应用时一般利用_____加密技术进行密钥的协商和交换.利用_____加密技术进行用户数据的加密。

B.非对称对称(4)能在物理层、链路层、网络层、传输层和应用层提供的网络安全服务是。

B.数据保密性服务(5)传输层由于可以提供真正的端到端链接,因此最适宜提供安全服务。

D.数据保密性及以上各项(6)VPN的实现技术包括。

D.身份认证及以上技术第三章:(1)网络安全保障包括信息安全策略和。

D.上述三点(2)网络安全保障体系框架的外围是。

D.上述三点(3)名字服务、事务服务、时间服务和安全性服务是提供的服务。

C.CORBA网络安全管理技术(4)一种全局的、全员参与的、事先预防、事中控制、事后纠正、动态的运作管理模式是基于风险管理理念和。

A.持续改进模式的信息安全运作模式(5)我国网络安全立法体系框架分为。

  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

2013-8-9
28
3.3 数字证书及管理

2013-8-9
4
3.1.3 PKI 的发展与应用



自20世纪90年代初期以来,逐步得到许多国家政府和 企业的广泛重视,PKI技术由理论研究进入到商业化 应用阶段。 IETF、ISO等机构陆续颁布了X.509、PKIX、PKCS、 S/MIME、SSL、SET、IPSec、LDAP等PKI应用相 关标准,RSA、VeriSign、Entrust、Baltimore等 企业纷纷推出自己的PKI产品和服务。 全国相继成立了多家PKI认证中心和PKI产品开发商.
2013-8-9
27
3.3 数字证书及管理

3.3.8 用户证书存储


用户数字证书可以存储在计算机的硬盘、USB盘、 IC卡和专用的USB Key盘中。 证书申请者从认证中心处得到的数字证书和用户的 私钥,通常保存在申请证书所用电脑硬盘的隐秘空 间里,一般人无法获取,但可以通过程序导出,存 储在USB盘或其它的计算机里,这样用户数字证书 和私钥就可以在其它的计算机上使用并完成备份。
2013-8-9
17
3.3.1 证书格式
X.509 v3数字证书字段名及说明
字段名 Version Serial number Signature algorithm ID Issuer name Validity period Subject (user) name Subject public key information Issuer unique identifier Subject unique identifier 说明 版本号 证书唯一序列号 CA签名使用算法 CA名 证书生效日期和失效日期 证书主体 证书主体公开密钥信息 CA唯一标识 证书主体唯一标识
2013-8-9
15
3.3 数字证书及管理


是由认证中心发放并经过认证中心签名的,包含证书 拥有者及其公开密钥相关信息的一种电子文件,可以 用来证明数字证书持有者的真实身份。数字证书是 PKI体系中最基本的元素,PKI系统的所有安全操作 都是通过数字证书来实现的。 数字证书采用公钥体制,即利用一对相互匹配的密钥 进行加密、解密。每个用户自己设定一把特定的仅为 本人所知的专有密钥(私钥),用它进行解密和签名; 同时设定一把公共密钥(公钥)以证书形式公开,用 于加密和验证签名。当发送一份保密文件时,发送方 使用接收方的公钥(证书)对数据加密,而接收方则 使用自己的私钥解密,这样的信息在传输和存放时就 可以保证安全性。
20
3.3 数字证书及管理

3.3.3 证书生成 如果证书的申请被批准,CA就把证书请求转 化为证书,用CA的私钥对证书进行签名,保 证证书的完整性和权威性,将制作好的证书存 储到证书库中,供CA进行证书的发放和发布。
2013-8-9
21
3.3 数字证书及管理

3.3.4 证书发布 证书必须发布到以下两类实体:
Extensions
Signature on the above field
证书扩充内容
CA对以上内容的签名
2013-8-9
18
3.3 数字证书及管理

3.3.2 证书的申请 PKI 系统的证书申请、审核、制作、发布、发 放、存储和使用的工作流程,见图所示
2013-8-9
19
3.3.2 证书的申请
2013-8-9
8
3.2.1 PKI 系统结构

软硬件系统

软硬件系统是PKI系统运行所需硬件和软件的集 合,主要包括认证服务器、目录服务器、PKI平 台等。 认证中心是PKI的信任基础,它负责管理密钥和 数字证书的整个生命周期。 注册机构是PKI信任体系的重要组成部分,是用 户(个人或团体)和认证中心之间的一个接口。
2013-8-9
16
3.3 数字证书及管理

3.3.1 证书格式 数字证书的格式采用X.509国际标准。 X.509证书格 式的版本到目前为止共有3个版本,通常用v1、v2和 v3表示。




1988年:X.509协议标准的第一版,定义了v1版的证书格式 和CRL(证书吊销列表)格式。 1993年:X.509协议标准的第二版,定义了v2版的证书格式 和修改了上一版的CRL格式。 1997年:X.509协议标准的第三版,定义了v3版的证书格式 (见表3-2)和v2版的CRL格式。 2000年:X.509协议标准的第四版,证书格式版本未变,仍 为v3,只是增加了新的扩展项,并且增加了对属性证书的描 述。CRL的格式未变,仍未v2。
2013-8-9
11
3.2.2 认证中心



证书查询:接收用户对数字证书的查询;提供目录 服务,可以查询用户证书的相关信息。 证书撤销:产生和发布证书吊销列表,验证证书状 态;或提供在线证书查询服务OCSP(Online Certificate Status Protocol),验证证书状态。 证书归档:数字证书归档及历史数据归档。 各级CA管理:下级认证机构证书及账户管理;认证 中心及其下级CA密钥的管理;
25
3.3 数字证书及管理

3.3.6 证书更新 证书更新包括两种情况:最终实体证书更新 和CA证书更新。

最终实体证书更新,有以下两种方式:

执行人工密钥更新 实现自动密钥更新
2013-8-9
26
3.3 数字证书及管理

3.3.7 证书归档 由于证书更新等原因,一段时间后,每个 用户都会形成多个旧证书和至少一个当前证书, 这一系列旧证书和相应的私钥,就组成了用户 密钥和证书的历史档案,简称密钥历史档案, 因此需要证书归档和管理,以备后用。

认证中心


注册机构

2013-8-9
9
3.2.1 PKI 系统结构

证书签发系统

证书签发系统负责证书的发放,例如可以通过用户自己或通 过目录服务器进行发放。目录服务器可以是一个组织中现有 的,也可以是由PKI方案提供的。 PKI的应用非常广泛,包括在Web服务器和浏览器之间的通 信、电子邮件、电子数据交换(EDI)、在因特网上的信用 卡交易和虚拟专用网(VPN)等方面。 一个完整的PKI必须提供良好的应用接口系统(API),以 便各种应用都能够以安全、一致、可信的方式与PKI交互, 确保所建立起来的网络环境可信,降低管理和维护的成本。
2013-8-9
6
3.2.1 PKI 系统结构
PKI应用
认证中心CA
注册机构 RA
证书签发系统
PKI策略
软硬件系统
PKI 系统结构
2013-8-9 7
3.2.1 PKI 系统结构

PKI策略


PKI策略是一个包含如何在实践中增强和支持安 全策略的一些操作过程的详细文档,它建立和定 义了一个组织信息安全方面的指导方针,同时也 定义了密码系统使用的处理方法和原则。 PKI策略的内容一般包括:认证政策的制定、遵 循的技术规范、各CA之间的上下级或同级关系、 安全策略、安全程度、服务对象、管理原则和框 架、认证规则、运作制度的规定、所涉及的法律 关系,以及技术的实现。
24
3.3.5 证书撤销

方法有两种:


一种是利用周期性的发布机制,如使用证书撤销列 表CRL(Certificate Revocation List)。 另一种是在线查询机制,如使用在线证书状态协议 OCSP (Online Certificate Status Protocol)。
2013-8-9
2013-8-9 3
3.1.2 为什么需要PKI

Internet最大的特点是它的开放性、广 泛性和自发性
网络安全服务包含了信息的真实性、完整性、 机密性和不可否认性等 为了防范用户身份(包括人和设备)的假冒、 数据的截取和篡改以及行为的否认等安全漏洞, 需一种技术或体制来实现对用户身份的认证,



证书的申请有离线申请方式和在线申请方式两 种: 离线申请方式

用户持有关证件到注册中心RA进行书面申请。 用户通过因特网,到认证中心的相关网站下载申请 表格,按内容提示进行填写;也可以通过电子邮件 和电话呼叫中心传递申请表格的信息,但有些信息 仍需要人工录入,以便进行审核。

在线申请方式

2013-8-9
2013-8-9
12
3.2 PKI组成


3.2.3 注册中心 RA是PKI信任体系的重要组成部分,是用户 (个人或团体)和CA之间的一个接口,是认 证机构信任范围的一种延伸。RA接受用户的 注册申请,获取并认证用户的身份,主要完成 收集用户信息和确认用户身份的功能。 RA可以认为是CA的代表处、办事处,负责证 书申请者的信息录入、审核及证书发放等具体 工作;同时,对发放的证书完成相应的管理功 能。
第三章 公钥基础设施PKI
本章学习重点掌握内容: PKI的组成 数字证书格式 数字证书管理 信任模型
2013-8-9
1
第三章 公钥基础设施PKI
3.1 概述 3.2 PKI组成 3.3 数字证书及管理 3.4密钥管理 3.5 信任模型 3.6 PKI的应用
2013-8-9
2
3.1 概述

资料库发布


协议发布

2013-8-9
23
3.3 数字证书及管理

3.3.5 证书撤销 证书由于某种原因需要作废,比如用户身份姓 名的改变、私钥被窃或泄漏、用户与所属企业 关系变更等,PKI需要使用一种方法,通知其 他用户不要再使用该用户的公钥证书,这种通 知、警告机制被称为证书撤销。