1第2講基礎設施

Qu:1.公鑰基礎設施PKI2．授權管理基礎設施PMI3．網絡信任域基礎設施

4．網絡基礎設施

22.0基礎設施1.什么是基礎設施基礎設施是一個普適性基礎，它在一個大環境里起基本框架的作用，例如電子通信網絡和電力供應基礎設施。2.基礎設施的地位需要實現“應用支撐”的功能，可以讓“應用”正常地工作33.基礎設施的特性易于使用，界面簡潔基礎設施提供的服務可以預測并有效應用設備無須了解基礎設施的工作原理例如，電力系統中的電燈44.網絡基礎設施在電子通信網絡中，凡是用以連接不同的計算機，使之可以互聯互通的一切基礎元素都屬于網絡基礎設施的概念，是包括所有的硬件、軟件、人員、策略和規程的總和。例如，無線應用中的手機等移動設備組成了無線的分布網絡，其所需的基站、無線網橋、甚至衛星等，都屬于基礎設施范疇55.對信息基礎設施的入侵和攻擊數字珍珠港，USA海軍軍事學院和Gartner，2002年模擬恐怖分子對美國基礎設施進行數字襲擊。模擬后結論：要成功襲擊美國基礎設施需要至少2億美元資金、非常專業的知識以及5年多的準備時間，此類襲擊雖然可能毀壞人口密集地區的通信設備，但決不會導致人員傷亡或其他災難性后果。66.對信息基礎設施的入侵和攻擊澳大利亞馬盧奇污水處理廠非法入侵事件2000年3月，澳大利亞昆士蘭新建的馬盧奇污水處理廠出現故障，無線連接信號丟失，污水泵工作異常，報警器也沒有報警。本以為是新系統的磨合問題，后來發現是該廠前工程師VitekBoden因不滿工作續約被拒而蓄意報復所為。這位前工程師通過一臺手提電腦和一個無線發射器控制了150個污水泵站；前后三個多月，總計有100萬公升的污水未經處理直接經雨水渠排入自然水系，導致當地環境受到嚴重破壞。2001.11，判2年其他例子1988.RobertMorris,蠕蟲，感染互聯網上3、4千臺PC機、6千多臺服務器2000.2，“拒絕服務攻擊”用大量數據阻塞了Yahoo、eBay、CNN及ZDNet的網絡，致使用戶無法正常訪問長達2、3小時之久7美國Davis-Besse核電站受到Slammer蠕蟲攻擊事件2003年1月，美國俄亥俄州Davis-Besse核電站和其它電力設備受到SQLSlammer蠕蟲病毒攻擊，網絡數據傳輸量劇增，導致該核電站計算機處理速度變緩、安全參數顯示系統和過程控制計算機連續數小時無法工作。8經調查發現，一供應商為給服務器提供應用軟件，在該核電站網絡防火墻后端建立了一個無防護的T1鏈接，病毒就是通過這個鏈接進入核電站網絡的。這種病毒主要利用SQLServer2000中1434端口的緩沖區溢出漏洞進行攻擊，并駐留在內存中，不斷散播自身，使得網絡擁堵，造成SQLServer無法正常工作或宕機。92013年，針對金融機構和電信網絡的隱性攻擊以及針對普通民眾的網絡詐騙越來越嚴重。2013年美國、荷蘭等十余個國家的銀行系統遭受攻擊。2013年5月9日，美國宣布破獲一起跨國黑客犯罪集團通過“黑”進銀行預付借記卡系統，在ATM自動取款機上盜取了總計高達4500萬美元的巨款102013年

全球網絡經濟犯罪造成約5000億美元的損失。2013年諾頓網絡安全報告顯示，網絡犯罪致使全球個人用戶蒙受的直接損失高達1500億美元。11我國2013年，我國網民數量突破5.91億，互聯網普及率44.1%，域名總數1470萬個，互聯網站總數294萬個，互聯網信息服務消費4500億元，電子商務交易額達8萬億元，手機上網網民4.64億，微博用戶3.31億，社交網站用戶2.88億。122013年我國遭受境外網絡攻擊情況觸目驚心，大量主機被國外木馬或僵尸網絡控制，主要控制源都來自于美國。據國家互聯網應急中心（CNCERT）統計，到2013年9月底，監測發現共近52萬個木馬控制端IP，其中有24.7萬個位于境外，前三位分別是美國（占28.9.7%）、印度（占9.6%）和我國臺灣（占5.8%）。132013年共有17822個僵尸網絡控制端IP，有10254個位于境外，前三位分別是美國（占25.7%）、印度（占8.5%）和土耳其（占6.5.%）。共發現境外64萬臺主機曾對我國大陸發起過攻擊。其中，對我國大陸地區進行網站攻擊最頻繁的國家和地區為：美國（42%）、日本（19%）和韓國（10%）。142013年，我國境內至少4.1萬余臺主機感染具有APT特征的木馬程序，涉及大量政府部門、重要信息系統以及高新技術企事業單位，木馬控制服務器絕大多數位于境外。根據CNCERT提供的案例顯示，我國網站遭受境外攻擊十分頻繁，主要是網站被入侵篡改或被安插后門，同時自境外的DDoS攻擊也十分頻繁。152013年，針對我國政府類網絡的惡意攻擊活動也較為突出，被攻擊對象大部分為政府職能部門網站和行業網站。根據斯諾登揭露的材料，美國至少有9家互聯網公司（思科、IBM、谷歌、高通、英特爾、蘋果、甲骨文、微軟、雅虎）參與和支持美國棱鏡監控項目的正常運作。16176.安全基礎設施安全基礎設施必須提供具有普適性的基礎服務1.保證應用程序增強數據和資源的安全2.保證增強與其他數據和資源進行交換中的安全3.使安全功能更加簡單、實用接入點方便、簡單、安全4.提供一致、有效的安全服務18安全基礎設施提供的安全服務1.安全登錄（或注冊）例如遠程登錄中，用戶的口令在網上傳輸不安全，安全基礎設施則有能力提供認證機制、口令被竊聽/存儲/重放、安全傳輸等安全服務2.終端用戶透明使用通信基礎設施的用戶不須知道IP報頭或以太包的結構，但如果發生錯誤，如不能接受IP包，則應及時告知用戶。19安全基礎設施提供的安全服務3.全面的安全性實施單一、可信的安全技術，提供與設備無關的安全服務，保證應用程序、設備和服務器無縫地協調工作，安全地傳輸、存儲和檢索數據、進行事物處理、訪問服務器等。世界各國初步形成一套完整的Internet解決方案---PKI202.1公鑰基礎設施PKI(PublickeyInfrastructure）1．什么是PKIdef:是利用非對稱密碼算法原理和技術，提供具有公鑰體制的密鑰管理平臺，為網絡應用透明地提供加密和數字簽名等密碼服務所必須的密鑰和證書管理服務的安全基礎設施PKI技術：采用證書管理公鑰通過第三方的可信任結構—認證中心（CA），將用戶的公鑰和用戶的其他信息，如名稱、ID、E-mail等，捆綁在一起，在Internet上驗證用戶的身份。21PKI技術建立在PKI基礎上的數字證書，通過對要傳輸的數字信息進行加密和簽名，保證信息傳輸的機密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。222．PKI的管理職能

1）透明性﹑完整性﹑不可否認性

2）可擴展性

3）支持多用戶：身份識別﹑認證﹑保密﹑隱私

4）可操作性：支持異構平臺PKI的互操作3．PKI的組成

PKI由CA、RA、證書庫、密鑰備份及恢復系統、證書撤銷處理系統、PKI應用接口系統等部分組成

23轉PKI章24

1）

證書頒發機構CA2）

注冊中心RA3）

證書庫

4）

密鑰備份及恢復系統

5）

證書作廢處理系統

6）

PKI應用接口系統（或稱客戶端證書處理系統）密鑰管理中心KMC證書頒發機構CA注冊中心RA證書庫用戶

應用接口發布系統獲取證書密鑰計算證書操作251）注冊中心RA功能

（1）接受和驗證新注冊人的注冊信息（2）代表用戶生成密鑰對（3）接受和授權密鑰備份，恢復請求（4）接受和授權證書撤消請求（5）按需分發或恢復硬件設備（6）協助CA工作262）認證中心CACA作用CA是PKI的核心，負責管理PKI結構下的所有用戶，包括各種應用程序的證書，將用戶的公鑰和用戶的其他信息捆綁在一起，在網上驗證用戶的身份，CA還要負責用戶證書的證書注銷列表登記和證書注銷列表發布。272）認證中心CA功能（1）驗證標識申請人的身份確保標識的唯一性，防止重名（2）確定檢查證書的有效期限（3）發布維護作廢的證書表（4）對整個證書簽發過程做日志記錄（5）確保簽發過程和簽名私鑰的安全性（6）管理證書材料（7）確保CA用于簽名證書的非對稱密鑰的質量28

CA分布式體系結構的建立根CA二級CA局域網/專網/INTERNETRA中心局域網/專網/INTERNET三級CA三級CA受理點LRA1受理點LRAn…………293）密鑰備份及恢復系統（即密鑰管理中心KMC）對用戶的解密密鑰進行備份，丟失時進行恢復。簽名密鑰不能備份和恢復。4）證書撤銷處理系統（即發布系統）支持層次化分布式結構，能滿足大型應用系統的安全需求。證書需要作廢時，通過證書撤銷列表CRL實現。發布系統的組成：（1）CRL(屬性證書表)的證書發布系統（2）在線證書狀態查詢協議OCSP（OnlineCertificateStatusProtocol）（3）在線注冊服務系統305）證書庫證書的集中存放地，提供公眾查詢6）PKI應用接口系統為各類應用提供安全、一致、可信任的方式與PKI交往，確保所建立的網絡環境可靠。314.PKI應用系統PKI應用系統至少包括：（1）認證中心CA（2）X.509目錄服務器用于發布用戶的證書和證書注銷列表信息，用戶可通過標準的LDAP協議查詢自己或他人的證書和下載證書注銷列表信息324.PKI應用系統（3）具有高強度密碼算法SSL的安全WWW服務器出口到我國的WWW服務器，如微軟的IIS、Netscape的WWW服務器，受出口限制，其RSA算法的模長最高為512位，對稱算法為40位，不能滿足對安全性很高的場合。因此必須開發具有自主知識產權的SSL安全模塊，并且將SSL模塊集成在ApacheWWW服務器中，334.PKI應用系統ApacheWWW服務器在WWW服務器市場中占有50%以上的份額，其可移植性和穩定性很高。（4）Web（安全通信平臺）Web有WebClient和WebServer端兩部分，通過具有高強度密碼算法SSL協議保證客戶端和服務器端數據的機密性、完整性和身份驗證。34

5．公鑰證書。是用來證明主體身份及公鑰合法性的權威電子文檔。是公鑰體制的密鑰管理媒介1）證書內容①

身份證書：鑒別一個主體與它的公鑰關系，提供認證、數據完整性、機密性②

屬性證書：包含實體屬性如成員關系列角色許可證其它訪問權限等2）證書結構證書CA簽名簽字主體身份信息主體的公鑰CA名稱其他附加信息35Ex：ITU（國際電信聯盟）提出的X.509版本的格式被廣泛采用證書頒發者簽名擴展項主體唯一的標識符頒發者唯一標識符主體公鑰信息主體名稱有效期頒發者名稱簽名算法標識符證書序列號版本號36擴展項內容機構密鑰標識符(頒證機構)主體密鑰標識符(證書主人的多對密鑰)密鑰用途（指證書中的公鑰可完成的功能）擴展密鑰用途（證書中公鑰的特別用途）CRL分布點（作廢證書表CRL）私鑰使用期證書策略主體別名（主體的郵件地址、IP地址）CA別名（CA的郵件地址、IP地址）主體目錄屬性376.主體公鑰的產生方式1）主體自己產生密鑰對，將公鑰傳給CA該過程必須保證主體公鑰的可驗證性、完整性2）CA替主體產生密鑰對，將其安全地送給主體該過程必須保證主體密鑰的機密性、可驗證性、完整性7.電子政務信任服務中采用雙證書機制雙證書機制：將用戶的簽名密鑰對和加密密鑰對分離開國家強制要求：托管加密密鑰，對用戶隱私無法提供安全保護1）簽名密鑰對2）加密密鑰對38簽名密鑰對與加密密鑰對1）簽名密鑰對由簽名私鑰和驗證公鑰組成。簽名私鑰不能存檔、備份，以保證唯一性。驗證公鑰要存檔，以驗證舊的數字簽名2）加密密鑰對由加密公鑰、脫密私鑰組成脫密私鑰備份、存檔加密公鑰不備份、不存檔，丟失時，重新產生加密密鑰對398.證書的申請與簽發過程實體鑒別密碼器：生成密鑰對本地保存簽名私鑰對CA：對用戶信息及簽名加密公鑰簽名，生成證書實體鑒別密碼器查詢／發布／撤銷／更新KMC：取出加密密鑰對，用簽名公鑰加密私鑰，托管加密私鑰證書庫用戶信息簽名公鑰證書經加密的加密私鑰加密公鑰簽名公鑰，密鑰下載證書和經過簽名公鑰加密的加密私鑰用戶／實體409.認證的策略及實現方案問題：認證什么,如何認證識別用戶的身份：。身份認證：（簡單認證）基于用戶ID和口令。身份鑒定：（強認證）以CA的管理為基礎1）簡單認證對用戶所有的權限或自身的身份進行認證認證方式：。驗證數據的明文傳送。利用單項HASH傳送隨機或時間數據。利用二次HASH傳送驗證數據安全強度處理復雜度41（1）驗證數據的明文傳送認證服務器ID及密碼用戶端ID及密碼入侵者特點1.入侵者很容易偵聽到ID及密碼2.用戶ID及密碼完全暴露在網上3.若DBA的ID及密碼泄露，DB也隨之泄露，系統將無安全可言42（2）采用單向HASH傳送用戶ID和密碼用戶端散列值散列值散列值比較驗證認證服務器入侵者特點1.單向HASH的不可逆決定了入侵者不能得到用戶ID和密碼2.入侵者在網上僅捕獲散列值問題：服務器無法分辨是用戶或入侵者的散列值進行登錄43（3）隨機數二次散列后認證用戶ID和密碼隨機數散列值1散列值2用戶端ID和密碼散列值入侵者隨機數散列值散列值散列值認證服務器特點1.入侵者偵聽信息無用，也不能重放2.DBA不知道ID及密碼，因為DB中是ID及密碼的散列值3.口令較短，散列速度快，容易窮舉攻破ID及密碼的散列值44（4）二次散列與對稱加密傳送主要解決口令容易攻破的問題，口令加密后傳送用戶ID和密碼隨機數加密值用戶端入侵者散列值隨機數散列值密鑰加密值加密值認證服務器特點1.用散列值作為加密密鑰2.散列值長度（128）≥密碼的位數（8），防止窮舉攻擊45簡單認證小結

該方式由于用口令對系統登錄，人的記憶力決定了口令的長度1）口令字的長度決定了系統的安全性2）口令長度能提供的安全性隨著機器性能的增長使系統的安全性減弱3）基于口令的窮舉攻擊可能使口令登錄的系統安全性非常脆弱而沒有使用價值4）目前，基于口令的簡單認證可以滿足安全較低的封閉區域的認證462）強認證。認證什么：在開放的網絡環境下，提供系統的登錄驗證，認證用戶身份。認證體系標準ITU（1988）

ITU(InternationalTelecommunicationUnion，國際電信聯盟)制定：開放系統互連（OSI）--目錄服務認證體系X.509Def：（X.509）是使用公鑰密碼技術，辨別通信雙方，提供高度安全的身份認證機制X.509認證體系：系統的安全性取決于安全最弱的一環；基于證書的認證系統的安全性關鍵：證書對應的私鑰的安全性保證47.強認證方式：單向，雙向，三向先決條件：認證中心體系已經建成，將使用者的公鑰與使用者的身份通過私鑰緊密聯系在一起（1）單向認證特點1.A→B，僅一次通信2.抵抗重放攻擊，防止偽造數據，保證數據的完整性發送方接收方BAB∪A{tA,rA,B}48（1）單向認證發送方接收方BAB∪A{tA,rA,B}認證過程對A：1.A首先產生一串隨機數rA2.A發送信息B∪A{tA,rA,B}到BtA是時間戳，可包括：數據的產生時間和數據的超時時間

B：B的身份數據

A{…}A對其中信息的數字簽名對B：3.用事先獲得的A的公鑰，檢查A的證書是否過期或注銷4.驗證簽名，確定數據的完整性5.檢查文件的識別數據，B是否為此文件的接收方6.檢查時間戳tA，是否在有效期內7.檢查rA是否重復出現過X.509建議：在tA有效期內，可將tA,rA順序累加部分以及簽名散列值部分存儲起來，用來檢查rA是否重復出現過（？）49（2）雙向認證B∪A{tA,rA,B}發送方接收方BA21特點1.A與B兩次通信2.雙方共享身份識別數據中的秘密部分3.確保數據的完整性、有效性、真實性50（2）雙向認證發送方接收方BA21認證過程1.A發送B∪A{tA,rA,B}2.B回信息A,B{tB,rB,A,trA}3.A收到后執行：。用B的公鑰簽名，確定數據的完整性。檢查上述數據的識別數據，確認A是否此數據的接收方。檢查tB是否在有效期內，確定數據的有效性。檢查rB是否重復出現，確定數據是否重放51（3）三向認證發送方接收方BA213識別過程：1.A發送B∪A{tA,r1A,B}到B2.B回信息A,B{tB,rB,A,r2A}給A3.A檢查接收到的r2A與r1A是否相等，若相等，A發識別數據A(R3B,B)給BB收到信息后執行4.以A的公鑰驗證簽名，確定數據的完整性5.檢查收到的R3B是否與自己發送時產生的R2B相等特點1.A,B三次通信2.確保安全522．2授權管理基礎設施PMI

（PrivilegeManagementInfrastructure）Qu:1．什么是PMI2．PMI與PKI的區別、聯系3．PMI的功能結構，特點4．基于PMI的授權管理模式（與傳統的應用系統相比）

531.什么是PMIDef:PMI是建立在PKI的基礎上，與PKI結合，利用屬性證書提供實體身份到應用權限的映射，實現對系統資源訪問的統一管理機制。2.區別與聯系PKI：證明實體身份的合法性（用戶是誰）PMI：證明實體具有什么權限，能以何種方式訪問什么資源（用戶有什么權限，能干什么）聯系：PMI需要PKI為其提供身份認證服務屬性證書的定義

屬性證書是由屬性權威機構AA(AttributeAuthority)簽發的包含持有者的屬性集(如角色、訪問權限或組成員等)和一些與持有者相關的數據結構。由于這些屬性集能夠定義系統中用戶的權限，因此可以把作為一種授權機制的屬性證書看作是權限信息的載體。54

屬性證書的定義屬性證書由簽發它的AA簽名，以此來保證屬性證書和其權限信息的有效性和合法性。屬性證書中包含的信息包括:證書的版本號、證書所有者的信息、證書的簽發機構、用來創建數字簽名的算法、證書的序列號、有效期、屬性(權力信息)、可選的證書簽發機構的唯一ID號和可選的擴展域。55角色屬性證書為了實現對角色、權限的靈活動態管理，屬性證書進行了一定的擴展，X.509標準支持兩種與角色有關的屬性證書:角色規范屬性證書(RoleSpeeifieationAC)和角色分配屬性證書(RoleAssignmentAC)。56角色屬性證書角色規范屬性證書的持有者(Hofder)是角色，屬性是該角色擁有的權限.而在角色分配證書中，證書的持有者(Hofder)是用戶，屬性是分配給該用戶的角色所有角色規范屬性證書都由人A預先簽發，存放在LDAP目錄服務器的證書庫中，不隨用戶的變化而變化。57角色屬性證書角色分配屬性證書也是由AA簽發后存放在LDAP服務器的證書中(不為用戶持有)。AA可能給一個用戶多個角色，此時該屬性的值是角色列表，角色可以有等級之分，上一級角色可以擁有下一級角色的權限，角色之間也可以互相交叉，也可以互相排斥，例如，運動員和裁判是互相排斥的一對角色。58593.PMI功能結構用戶權限管理UPA簽發機構AA發布系統應用接口策略機構PA屬性證書DB用戶屬性策略策略分配證書發布獲取證書獲取證書214354.特點604.特點1）授權管理的靈活性實現了強制訪問控制和自主訪問控制的結合2）授權操作與業務操作分離進行615.權限控制邏輯結構PKI/CA策略實施目標授權中心AA訪問控制服務器用戶管理資源管理權限分配注冊申請策略制定PB策略決策PDP策略庫策略機構PAPMI應用系統654321發布系統+62權限控制過程1.實體發出請求到目標，例如讀數據2.策略實施點處理請求，形成決策請求3.訪問控制服務器根據用戶身份證書等信息得到用戶屬性證書，計算有關信息，得到用戶權限信息4.策略決策點根據用戶權限信息作出決定5.策略實施636．PMI的授權體系結構

PMI的核心：屬性證書簽發機構信任源點SOA二級授權服務中心AA二級授權服務中心AA授權服務中心AA資源管理中心RM資源管理中心RM業務受理點業務受理點業務受理點安全策略服務LDAP服務操作授權服務。。。三級647.授權管理服務系統的設計（1）系統遵循的標準：。X.509V4:公鑰和屬性證書框架。PKCS#6:擴展的數字證書語法標準（2）系統工作模式（集中式，分布式）①集中式授權管理服務系統的設計功能：用戶管理，審核管理，資源管理，角色管理，操作員管理，日志管理體系結構：65。①集中式授權管理服務系統體系結構：資源管理策略引擎授權信息目錄服務器授權管理密碼服務系統訪問控制表日志用戶權限請求部分功能：資源管理：向策略引擎發出訪問控制請求，將訪問控制表提交給策略引擎策略引擎：根據以上請求，訪問授權服務器，取得用戶權限授權管理：授權、撤銷、委托權限密碼服務系統：基礎安全服務：加、解密，簽名、驗證簽名，信封數字等66②分布式授權管理服務系統的設計系統功能：.資源訪問授權.更改、刪除授權.操作員管理.日志管理體系結構：67。分布式授權管理服務系統的體系結構部分功能：電子政務客戶端：接受授權，完成用戶對資源的授權、簽名應用資源服務器：接受客戶請求，發出訪問控制請求授權管理服務器：存儲資源的授權信息，計算權限值密碼服務系統：同前電子政務客戶端授權模塊應用資源服務器授權管理服務器密碼服務系統688.授權管理中心AA的設計

·系統結構

PKI網關…………入侵檢查漏洞掃描安全審計防病毒…………InternetLDAP服務

日志服務信息安全服務引擎系統狀態管理簽名服務LDAPDB日志服務信息安全服務引擎系統狀態管理簽名服務WEB服務

證書策略服務AA業務服務699．PMI的通用業務（屬性證書的申請與發布）

AA驗證PKC證書驗證通過AA判斷該用戶是否已注冊將提交信息寫入DB申請證書將角色信息寫入DB生成證書取出用戶注冊信息用戶角色信息核實以上兩信息是否相符用戶提交PKC證書返回出錯信息

返回注冊頁面

返回用戶信息頁面

加密提交信息用戶信息注冊結束

返回角色選擇頁面加密提交信息NNNNYYNY通過審核

7010.屬性證書分發的兩種模式（“推”“拉”）授權管理證書服務器Internet授權屬性證書應用目錄服務系統DB客戶端拉

推

查詢

提交

特點推模式：用戶將自己的屬性證書推給資源服務管理器

拉模式：授權機構發布證書給目錄服務系統，由服務器從目錄服務系統拉回71兩種模式的比較：推模式：用戶將自己的屬性證書推給資源服務管理器。客戶與服務器不需建立新的連接，查詢證書很方便，因而提高服務器性能拉模式：授權機構發布證書給目錄服務系統，由服務器從目錄服務系統拉回。不需對客戶端及客戶、服務器協議作任何改動7211.基于屬性證書的訪問控制（公鑰證書）

·系統結構

用戶資源服務器策略引擎日志服務器證書服務器訪問控制判斷請求

取AC證書寫入信息

PKC73·基于屬性證書的訪問控制流程

Rowser資源服務器用戶通過身份驗證取出ACL和用戶PKC有權訪問向LDAP請求檢索用戶所有的AC根據ACL、AC判斷用戶權限用戶

資源服務器

策略引擎LDAPPKC訪問失敗訪問失敗顯示可訪問的資源用戶PKC

AC

Y

Y

N

N

接受請求

74

2．3網絡基礎設施1．總體結構網絡基礎設施主要包括：互聯網、公眾服務業務網、涉密政府辦公網、非涉密政府辦公網。核心：統一的安全電子政務平臺電子政務網絡基礎設施的總體結構，主要包括：（1）統一的安全電子政務平臺（2）政務內網（3）政務專網（4）網絡安全結構（接口）

（1）統一的安全電子政務平臺1775（1）統一的安全電子政務平臺

自身平臺：統一的信息交換平臺統一的Web門戶平臺統一的信息接入平臺可信的政務一站式服務與外部網的互聯:主要有。互聯網。SOAP簡單對象訪問協議。電信公網PSTN。CA證書頒發機構。短信服務網GSM。KM密鑰管理中心。無線接入網GPRS。虛擬專用網VPNVPN技術：可使發布在不同地域的專用網絡在不可信任的公共網絡上安全通信。通過多層的虛擬通道（隧道），經加密后，使各種被傳輸信息只有預定的接受者讀懂，敏感數據不會被竊聽。VPN產品（軟件）包括：帶加密的軟件防火墻，軟件VPN系統，加密算法，密鑰交換協議，VPN專用認證系統CA76（1）統一的安全電子政務平臺網上工商S網上稅務S網上郵政S……金融服務S統一的web門戶平臺統一的信息交換平臺統一的接入平臺PKI/PMI業務網1業務網2業務網n………………涉密網GSMGPRSInternetPSTNCDMA77（2）政務內網

PKI/PMI公眾服務網非涉密網涉密辦公網非涉密政務專網涉密政務專網非涉密辦公網公眾服務業務系統統一的數據交換平臺統一的接入平臺統一的WEB門戶平臺統一的WEB服務平臺可信SOAP服務器可信SOAP業務處理其他系統其他系統涉密辦公網政務內網的總體結構圖78可信SOAP服務器：SimpleObjectAccessProtocol)

可信簡單對象訪問協議

（3）政務專網在內部涉密政府辦公網絡之間建立互聯的涉密政務專網在政務內網的非涉密辦公網之間建立互聯的非涉密政務專網

(4)網絡安全結構設計措施：。綜合采取物理層、網絡層、應用層多層面的安全機制。采用本地、遠程兩級安全運行監管機制，如建立系統安全漏洞掃描、入侵檢測、審計等物理措施：對機房加強管理

792．4網絡信任域基礎設施1.構建目標有中心，可管理傳統的互聯網技術是無中心，無管理，點對點等2.網絡信任域的體系結構

包括：網絡接入、傳輸、管理等安全措施。接入：網絡接入認證交換機，保證設備安全可信接入傳輸：PKI網關，保證數據安全可信傳輸管理：信任域管理服務平臺，保證工作狀態安全可信802.網絡信任域的體系結構

網絡信任域技術一般包括網絡接入、傳輸、管理等三個層次的安全措施。

網絡信任域管理服務平臺X1Xn…………PKI網關網絡信任域管理服務平臺PKI網關…………高一級的網絡信任域

安全可信接入

網絡信任域1

接入認證交換機

終端設備

安全可信通道

網絡信任域2812.關鍵機制－－基于PKI的證書認證機制

功能：（1）為用戶的設備頒發數字公鑰證書PKC（2）協調通訊密鑰，結合安全協議IPsec,保證網絡通訊安全可信管理機制：一人一證、一機一證關鍵技術：基于PKI的證書認證技術。基于PKI的認證技術。基于PKI的授權服務。基于PKI的可信傳輸。基于PKI的信任域綜合管理系統。基于PKI和IEEE802.1x標準的可信接入。基于硬件形式的證書存儲82第3講信任模型

Qu：

1.一個實體能夠信任的證書是怎樣確定的？

2．信任是怎樣產生的

3．在一定環境中，什么情形下能限制或者控制信任？1．

信任相關的概念

(1)信任信任：可以是可信實體，或可信公鑰實體：在網絡或分布式環境中具有獨立決策和行動能力的終端、服務器或智能代理可信實體：X.509的2000版X.504定義，若一個實體A假定另一個實體B會嚴格地像A期望的那樣行動，即稱A信任B

83可信公鑰：若用戶A相信與某一公鑰K1相應的私鑰K2僅僅正當而有效地被某一特定的實體所擁有，則A稱K1是可信的（2）信任域信任域：是公共控制下或服從一組公共策略的系統集。若集體中所有個體都遵循同樣的規則，則稱集體在單信任域中運作。在一個集體中，已有的人事關系和運作模式使你給予該集體較高的信任，稱這個集體為信任域。一個企業中，信任域可以按組織、地理界限劃分（3）信任錨信任模型中，當可以確定一個身份或有一個足夠可信的身份，簽發一個能證明其簽發的身份時，才能作出信任該身份的決定，這個可信的實體被稱為信任錨（4）信任錨的識別84(4)信任錨的識別

自身是信任錨：

熟人是信任錨:

遠程非熟人:(5)信任關系W被識別的個體直接了解

信任錨

信任錨

信任錨

W被識別的個體熟人W身份證持有人公安局85(5)信任關系在PKI中，當兩個認證機構中的一方給對方的公鑰或雙方給對方的公鑰頒發證書時，二者之間就建立了信任關系。信任關系可以是雙向的，或單向的。證書用戶找到一條從證書頒發者到信任錨的路徑，需建立一系列的信任關系2.信任模型862．信任模型

描述終端用戶、依托主體和可信服務系統之間關系的模型

3.PKI的信任模型描述客體、依托主體和CA之間關系的模型。分為：1）CA的嚴格層次可信模型2）分布式信任模型3）Web信任模型4）以用戶為中心的信任模型5）交叉認證信任模型871）CA的嚴格層次可信模型①根CA授權給直接下層子CA，直至某CA實際頒發證書根CA子CA子CA……88②每個實體（如CA或者終端用戶）都信任根CA，必須擁有根CA的公鑰。③證書的驗證實體A根CA子CA1子CA2BK2K1擁有K

K由K驗證K1

由K1驗證K2

由K2驗證B的證書

892）分布式信任模型

特點1。CA中心輻射配置：中心CA與根CA是交叉認證2。根CA是網狀配置：根CA與根CA是交叉認證3。證書的驗證過程：1）用戶A驗證同一個根CA下用戶B1的證書，同層次結構；2）用戶A驗證非同一個根CA下用戶B2的證書中心CA根CA1根CA2子CA…………子CA用戶A用戶B1……用戶B2用戶903）Web信任模型該模型依賴于瀏覽器。如InternetExplorer或者Safari。

瀏覽器廠商根CA根CA……用戶用戶用戶用戶………………特點：1。CA的公鑰預裝在瀏覽器上，這些公鑰確定一組CA2。瀏覽器的用戶最初信任CA3。CA名和公鑰綁定在一起914）以用戶為中心的信任模型用戶AA的朋友A的哥哥A的父母A的同事A哥哥的朋友特點1。用戶自己對決定信賴或拒絕某個證書負責2。最初可信的密鑰集－－直接聯系層A的朋友、同事、哥、父母。925）交叉認證信任模型

Def：將各CA單向或雙向連接在一起的機制特點1。單向：如層次模型，雙向，如分布式信任模型2。交叉認證：一個CA承認另一個CA在一個名字空間中被授權頒發的證書例1：4.證書的路徑處理目的：。A確定是否信任B證書中的公鑰K。在一個給定的目標證書和一個可信密鑰（信任錨）之間找到一個證書的完整路徑（或鏈），檢查該路徑中每個證書的合法性處理過程：934.證書的路徑處理處理過程：第一階段：構建路徑，聚集所有形成完整路徑所必需的證書路徑尋找算法：深度優先搜索；廣度優先搜索；啟發式搜索第二階段：確定路徑，依次檢查路徑中的每個證書，確定它含有的密碼是否被信任確認內容，證書的有效期、撤銷狀態、適用的策略、密鑰使用機制、名字約束等5.信任錨的確認945.信任錨的確認1）CA的嚴格層次可信模型

A的信任錨在邏輯上是離其最遠的CA，即根CA2）分布式信任模型

A的信任錨在邏輯上是離其最近的CA，包括整個PKI群體中其所在的部分嚴格層次結構的根，也可是實際認證其的最近的CA3）以用戶為中心的信任模型是其自身選擇的一個或多個CA6.信任計算956.信任計算詳見講稿7.信任計算實例詳見講稿96第4講電子政務應用系統設計及安全性分析

1．電子政務應用系統及組成一般分為兩類一類對內：電子政務應用系統，主要面向公務員，辦公二類對外：電子政務應用系統，面向公眾，網上納稅，申報項目等由三部分組成：政務業務內網；政務外網；安全平臺2.安全平臺－

972．安全平臺－－統一的安全電子政務平臺提供一站式服務3．統一的安全電子政務平臺的總體結構設計電子政府門戶公安局 海關 軍事部門……稅務局

公民 企業1……企業n

98工商管理業務邏輯模塊財政結算業務邏輯模塊網上郵政業務邏輯模塊網上稅務業務邏輯模塊PKICARAKAPMIAARA

接入平臺 接入平臺工作流引擎（對內）工作流引擎（對外）通用電子政務構件通用電子政務（對內） （對外）個性化管理（對內）個性化管理（對外）服務集成模塊服務集成模塊（對內）