lesson-02-信息安全讲义要点.ppt

7/1/2003 Internet安全协议及标准 Internet安全协议与标准第2课 唐礼勇 博士 tly@ 课程项目指南 你可以从中选取自己感兴趣的项目，也可以自主选题 每个项目组由3到5人组成，设项目组长1人，项目组长同时是该项目的联系人 每个项目组需要在课堂上作三次报告 项目计划报告 项目设计报告/中期报告 项目总结报告 Deadline: 7月7日前,完成建组、选题工作 7月17日晚,第1个小组开始作项目计划报告 课程项目指南(1) 构建开放式CA系统 项目编号：0C606-01 平台要求：Linux/FreeBSD, Browser/Server结构 人员要求：5 小型集中式CA系统建设 项目编号：0C606-02 平台要求：Win32平台，GUI 人员要求：3 课程项目指南(2) 异种平台下IPSec互联及移动用户远程接入VPN技术 项目编号：0C606-03 平台要求：Linux, FreeBSD, Windows 2000/XP 人员要求：5 支持安全多媒体传输(可视电话,VoIP,视频会议)的防火墙技术 项目编号：0C606-04 平台要求：无特殊要求 人员要求：5 课程项目指南(3) 利用隧道技术穿越防火墙的工具实现 项目编号：0C606-05 平台要求：Win32平台 人员要求：3 用户口令管理工具实现 项目编号：0C606-06 平台要求：Win32平台 人员要求：3 课程项目指南(4) 项目管理系统的安全框架设计 项目编号：0C606-07 平台要求：基于Open Source 人员要求：5 异种平台下的身份集中鉴别技术 项目编号：0C606-08 平台要求：Unix, Windows 人员要求：5 课程项目指南(5) PGP源代码结构分析 项目编号：0C606-09 平台要求：PGP 8.0.2 人员要求：4 SSL控件设计 项目编号：0C606-10 平台要求：Win32平台 人员要求：3 课程项目指南(6) P2P网络中的安全技术 项目编号：0C606-11 平台要求：无特殊要求 人员要求：5 基于电子硬币的支付系统原型 项目编号：0C606-12 平台要求：无 人员要求：5 课程项目指南(7) 基于开放源码系统的多功能服务器中的安全问题 项目编号：0C606-13 平台要求：无特殊要求 人员要求：5 课程项目指南(8) 课程安排 7月17日(不含)前，以课堂讲解为主 基础知识回顾 Something You need to Know: Internet安全协议设计的若干问题 ASN.1、BER/DER openssl CryptoAPI 7月17日起，以项目为中心安排 Crypto Blunders Declare your algorithm unbreakable Use a one-time pad more than once Don’t use the best possible algorithms available Implement the algorithm incorrectly Put a back door into your product Internet安全协议及标准之安全─身份鉴别(续) 身份鉴别技术概述 定义： 身份鉴别(Authentication)是证明某人或某对象身份的过程，它有别于系统对对象的标识(Identification)，也有别于该对象能够拥有的权限(授权，Authorization)，是保证系统安全的重要措施。 身份鉴别的三个因素 知识(Knowledge)：你知道什么 物品(Possession)：你拥有什么 特征(Characteristic)：你是谁 两类身份鉴别 用户鉴别、主机鉴别 主机鉴别 基于网络的鉴别 基于地址 基于主机名 可靠性低 使用密码学鉴别：同样可用于用户鉴别 NTLM Kerberos：保密密钥算法 CA：公开密钥算法 PGP Kerberos系统-术语 Principal name/instance@realm Examples tly@EXAMPLE.EDU.CN tly/admin host/ ldap/ Realm 典型地为全部大写的域名 Kerberos系统 Kerberos系统 更直观的图 证书、认证中心 问题的提出： 怎样才能知道任意一个公开密钥是属于谁的？如果收到一个自称是某人的公开密钥，能相信它吗？ 是谁告诉大家这个公开密钥的？ 一种解决方案：基于CA的电子证书 一个签名文档，标记特定对象的公开密钥。 由一个认证中心（CA）签发，认证中心类似于现实生活中公证人的角色，它具有权威性，是一个普遍可信的第三方。 当通信双方都信任同一个CA时，两者就可以得到对方的公