第2讲安全基础设施

1第2讲基础设施Qu:1.公钥基础设施PKI2．授权管理基础设施PMI3．网络信任域基础设施4．网络基础设施22.0基础设施1.什么是基础设施基础设施是一个普适性基础，它在一个大环境里起基本框架的作用，例如电子通信网络和电力供应基础设施。2.基础设施的地位需要实现“应用支撑”的功能，可以让“应用”正常地工作33.基础设施的特性易于使用，界面简洁基础设施提供的服务可以预测并有效应用设备无须了解基础设施的工作原理例如，电力系统中的电灯44.网络基础设施在电子通信网络中，凡是用以连接不同的计算机，使之可以互联互通的一切基础元素都属于网络基础设施的概念，是包括所有的硬件、软件、人员、策略和规程的总和。例如，无线应用中的手机等移动设备组成了无线的分布网络，其所需的基站、无线网桥、甚至卫星等，都属于基础设施范畴55.对信息基础设施的入侵和攻击数字珍珠港，USA海军军事学院和Gartner，2002年模拟恐怖分子对美国基础设施进行数字袭击。模拟后结论：要成功袭击美国基础设施需要至少2亿美元资金、非常专业的知识以及5年多的准备时间，此类袭击虽然可能毁坏人口密集地区的通信设备，但决不会导致人员伤亡或其他灾难性后果。66.对信息基础设施的入侵和攻击澳大利亚马卢奇污水处理厂非法入侵事件2000年3月，澳大利亚昆士兰新建的马卢奇污水处理厂出现故障，无线连接信号丢失，污水泵工作异常，报警器也没有报警。本以为是新系统的磨合问题，后来发现是该厂前工程师VitekBoden因不满工作续约被拒而蓄意报复所为。这位前工程师通过一台手提电脑和一个无线发射器控制了150个污水泵站；前后三个多月，总计有100万公升的污水未经处理直接经雨水渠排入自然水系，导致当地环境受到严重破坏。2001.11，判2年其他例子1988.RobertMorris,蠕虫，感染互联网上3、4千台PC机、6千多台服务器2000.2，“拒绝服务攻击”用大量数据阻塞了Yahoo、eBay、CNN及ZDNet的网络，致使用户无法正常访问长达2、3小时之久7美国Davis-Besse核电站受到Slammer蠕虫攻击事件2003年1月，美国俄亥俄州Davis-Besse核电站和其它电力设备受到SQLSlammer蠕虫病毒攻击，网络数据传输量剧增，导致该核电站计算机处理速度变缓、安全参数显示系统和过程控制计算机连续数小时无法工作。8经调查发现，一供应商为给服务器提供应用软件，在该核电站网络防火墙后端建立了一个无防护的T1链接，病毒就是通过这个链接进入核电站网络的。这种病毒主要利用SQLServer2000中1434端口的缓冲区溢出漏洞进行攻击，并驻留在内存中，不断散播自身，使得网络拥堵，造成SQLServer无法正常工作或宕机。92013年，针对金融机构和电信网络的隐性攻击以及针对普通民众的网络诈骗越来越严重。2013年美国、荷兰等十余个国家的银行系统遭受攻击。2013年5月9日，美国宣布破获一起跨国黑客犯罪集团通过“黑”进银行预付借记卡系统，在ATM自动取款机上盗取了总计高达4500万美元的巨款102013年全球网络经济犯罪造成约5000亿美元的损失。2013年诺顿网络安全报告显示，网络犯罪致使全球个人用户蒙受的直接损失高达1500亿美元。11我国2013年，我国网民数量突破5.91亿，互联网普及率44.1%，域名总数1470万个，互联网站总数294万个，互联网信息服务消费4500亿元，电子商务交易额达8万亿元，手机上网网民4.64亿，微博用户3.31亿，社交网站用户2.88亿。122013年我国遭受境外网络攻击情况触目惊心，大量主机被国外木马或僵尸网络控制，主要控制源都来自于美国。据国家互联网应急中心（CNCERT）统计，到2013年9月底，监测发现共近52万个木马控制端IP，其中有24.7万个位于境外，前三位分别是美国（占28.9.7%）、印度（占9.6%）和我国台湾（占5.8%）。132013年共有17822个僵尸网络控制端IP，有10254个位于境外，前三位分别是美国（占25.7%）、印度（占8.5%）和土耳其（占6.5.%）。共发现境外64万台主机曾对我国大陆发起过攻击。其中，对我国大陆地区进行网站攻击最频繁的国家和地区为：美国（42%）、日本（19%）和韩国（10%）。142013年，我国境内至少4.1万余台主机感染具有APT特征的木马程序，涉及大量政府部门、重要信息系统以及高新技术企事业单位，木马控制服务器绝大多数位于境外。根据CNCERT提供的案例显示，我国网站遭受境外攻击十分频繁，主要是网站被入侵篡改或被安插后门，同时自境外的DDoS攻击也十分频繁。152013年，针对我国政府类网络的恶意攻击活动也较为突出，被攻击对象大部分为政府职能部门网站和行业网站。根据斯诺登揭露的材料，美国至少有9家互联网公司（思科、IBM、谷歌、高通、英特尔、苹果、甲骨文、微软、雅虎）参与和支持美国棱镜监控项目的正常运作。16176.安全基础设施安全基础设施必须提供具有普适性的基础服务1.保证应用程序增强数据和资源的安全2.保证增强与其他数据和资源进行交换中的安全3.使安全功能更加简单、实用接入点方便、简单、安全4.提供一致、有效的安全服务18安全基础设施提供的安全服务1.安全登录（或注册）例如远程登录中，用户的口令在网上传输不安全，安全基础设施则有能力提供认证机制、口令被窃听/存储/重放、安全传输等安全服务2.终端用户透明使用通信基础设施的用户不须知道IP报头或以太包的结构，但如果发生错误，如不能接受IP包，则应及时告知用户。19安全基础设施提供的安全服务3.全面的安全性实施单一、可信的安全技术，提供与设备无关的安全服务，保证应用程序、设备和服务器无缝地协调工作，安全地传输、存储和检索数据、进行事物处理、访问服务器等。世界各国初步形成一套完整的Internet解决方案---PKI202.1公钥基础设施PKI(PublickeyInfrastructure）1．什么是PKIdef:是利用非对称密码算法原理和技术，提供具有公钥体制的密钥管理平台，为网络应用透明地提供加密和数字签名等密码服务所必须的密钥和证书管理服务的安全基础设施PKI技术：采用证书管理公钥通过第三方的可信任结构—认证中心（CA），将用户的公钥和用户的其他信息，如名称、ID、E-mail等，捆绑在一起，在Internet上验证用户的身份。21PKI技术建立在PKI基础上的数字证书，通过对要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。222．PKI的管理职能1）透明性﹑完整性﹑不可否认性2）可扩展性3）支持多用户：身份识别﹑认证﹑保密﹑隐私4）可操作性：支持异构平台PKI的互操作3．PKI的组成PKI由CA、RA、证书库、密钥备份及恢复系统、证书撤销处理系统、PKI应用接口系统等部分组成23转PKI章241）证书颁发机构CA2）注册中心RA3）证书库4）密钥备份及恢复系统5）证书作废处理系统6）PKI应用接口系统（或称客户端证书处理系统）密钥管理中心KMC证书颁发机构CA注册中心RA证书库用户应用接口发布系统获取证书密钥计算证书操作251）注册中心RA功能（1）接受和验证新注册人的注册信息（2）代表用户生成密钥对（3）接受和授权密钥备份，恢复请求（4）接受和授权证书撤消请求（5）按需分发或恢复硬件设备（6）协助CA工作262）认证中心CACA作用CA是PKI的核心，负责管理PKI结构下的所有用户，包括各种应用程序的证书，将用户的公钥和用户的其他信息捆绑在一起，在网上验证用户的身份，CA还要负责用户证书的证书注销列表登记和证书注销列表发布。272）认证中心CA功能（1）验证标识申请人的身份确保标识的唯一性，防止重名（2）确定检查证书的有效期限（3）发布维护作废的证书表（4）对整个证书签发过程做日志记录（5）确保签发过程和签名私钥的安全性（6）管理证书材料（7）确保CA用于签名证书的非对称密钥的质量28CA分布式体系结构的建立根CA二级CA局域网/专网/INTERNETRA中心局域网/专网/INTERNET三级CA三级CA受理点LRA1受理点LRAn…………293）密钥备份及恢复系统（即密钥管理中心KMC）对用户的解密密钥进行备份，丢失时进行恢复。签名密钥不能备份和恢复。4）证书撤销处理系统（即发布系统）支持层次化分布式结构，能满足大型应用系统的安全需求。证书需要作废时，通过证书撤销列表CRL实现。发布系统的组成：（1）CRL(属性证书表)的证书发布系统（2）在线证书状态查询协议OCSP（OnlineCertificateStatusProtocol）（3）在线注册服务系统305）证书库证书的集中存放地，提供公众查询6）PKI应用接口系统为各类应用提供安全、一致、可信任的方式与PKI交往，确保所建立的网络环境可靠。314.PKI应用系统PKI应用系统至少包括：（1）认证中心CA（2）X.509目录服务器用于发布用户的证书和证书注销列表信息，用户可通过标准的LDAP协议查询自己或他人的证书和下载证书注销列表信息324.PKI应用系统（3）具有高强度密码算法SSL的安全服务器出口到我国的服务器，如微软的IIS、Netscape的服务器，受出口限制，其RSA算法的模长最高为512位，对称算法为40位，不能满足对安全性很高的场合。因此必须开发具有自主知识产权的SSL安全模块，并且将SSL模块集成在Apache服务器中，334.PKI应用系统Apache以上的份额，其可移植性和稳定性很高。（4）Web（安全通信平台）Web有WebClient和WebServer端两部分，通过具有高强度密码算法SSL协议保证客户端和服务器端数据的机密性、完整性和身份验证。345．公钥证书。是用来证明主体身份及公钥合法性的权威电子文档。是公钥体制的密钥管理媒介1）证书内容①身份证书：鉴别一个主体与它的公钥关系，提供认证、数据完整性、机密性②属性证书：包含实体属性如成员关系列角色许可证其它访问权限等2）证书结构证书CA签名签字主体身份信息主体的公钥CA名称其他附加信息35Ex：ITU（国际电信联盟）提出的X.509版本的格式被广泛采用证书颁发者签名扩展项主体唯一的标识符颁发者唯一标识符主体公钥信息主体名称有效期颁发者名称签名算法标识符证书序列号版本号36扩展项内容机构密钥标识符(颁证机构)主体密钥标识符(证书主人的多对密钥)密钥用途（指证书中的公钥可完成的功能）扩展密钥用途（证书中公钥的特别用途）CRL分布点（作废证书表CRL）私钥使用期证书策略主体别名（主体的邮件地址、IP地址）CA别名（CA的邮件地址、IP地址）主体目录属性376.主体公钥的产生方式1）主体自己产生密钥对，将公钥传给CA该过程必须保证主体公钥的可验证性、完整性2）CA替主体产生密钥对，将其安全地送给主体该过程必须保证主体密钥的机密性、可验证性、完整性7.电子政务信任服务中采用双证书机制双证书机制：将用户的签名密钥对和加密密钥对分离开国家强制要求：托管加密密钥，对用户隐私无法提供安全保护1）签名密钥对2）加密密钥对38签名密钥对与加密密钥对1）签名密钥对由签名私钥和验证公钥组成。签名私钥不能存档、备份，以保证唯一性。验证公钥要存档，以验证旧的数字签名2）加密密钥对由加密公钥、脱密私钥组成脱密私钥备份、存档加密公钥不备份、不存档，丢失时，重新产生加密密钥对398.证书的申请与签发过程实体鉴别密码器：生成密钥对本地保存签名私钥对CA：对用户信息及签名加密公钥签名，生成证书实体鉴别密码器查询／发布／撤销／更新KMC：取出加密密钥对，用签名公钥加密