Module1系统安全概论.ppt

Module 3：整合安全系統 學習目的 本模組目的在於簡介整合安全系統。一般整合安全系統泛指藉由資訊安全技術以達成安全防禦的資訊系統。此模組將簡介常見的整合安全系統，含PKI公開金鑰基礎建設、SET、SSL、VPN技術概念、IPsec VPN、SSL VPN、PPTP VPN、L2TP VPN、PGP、Kerberos。目標是讓系統安全人員得知目前有哪些現成的整合安全系統可使用來防禦其資訊系統。 Module 3：整合安全系統 Module 3-1：PKI 公開金鑰基礎建設 Module 3-2：電子商務安全 Module 3-3：VPN 技術 Module 3-4：PGP安全電子郵件技術 Module 3-5：Kerberos 整合安全系統 整合二種(含)以上的安全機制或技術並提供相關安全功能的系統，稱之為整合安全系統 常見的整合安全系統 PKI 公開金鑰基礎建設 電子商務安全 VPN 技術 PGP安全電子郵件技術 Kerberos Module 3-1：PKI 公開金鑰基礎建設 PKI 公開金鑰基礎建設 PKI：Public Key Infrastructure，公開金鑰基礎建設 PKI是一種基礎建設內含對稱及非對稱性密碼技術、軟體和網路服務的整合技術，主要是用來提供保障網路通訊和企業電子交易的安全 PKI為一種支援憑證的軟體、標準和協定的安全性整合服務。 公開金鑰密碼技術安全地運行之根基 為什麼需要PKI? 傳統的對稱式密碼系統雖然提供高度通訊 “私密性”的保護，但無法提供“不可否認性”或“數位簽章”的功能，而且產生金鑰管理與分配的問題 電子化政府和電子商務交易需要更多層面和高度安全性的交易機制(譬如需要“私密性” 、“身分鑑別”與 “不可否認性”的安全功能)，所以必須仰賴對稱及非對稱式密碼系統的支援 公開金鑰密碼技術是最具代表性的非對稱式密碼系統 什麼是PKI？(1/2) 雖然有數學理論或是長久的實務驗證說明公開金鑰密碼技術的各種演算法已達一定的安全性，然而如果無法確保“通訊雙方能夠正確地取得對方公開金鑰” ，則縱使有完美的密碼演算法是沒有用的 在實務上還需要建置一些管理機制、設施、或服務等，以確保可以達到“通訊雙方能夠正確地取得對方公開金鑰”重要前提 所謂 “公開金鑰基礎建設”（Public Key Infrastructure，PKI）是一種支持公開金鑰密碼技術正常運作的基礎建設，而所謂Infrastructure包含設備、設施、服務、人員、法律、政策、規範等 什麼是PKI？(2/2) 憑證管理中心 (Certification Authority ，CA)是公開金鑰基礎建設之核心，但僅為其中很重要的一部份非其全部 狹義的公開金鑰基礎建設是指建置憑證機構提供憑證管理服務 廣義的公開金鑰基礎建設則涵蓋任何有助於公開金鑰密碼技術運作的機制或設施，甚至於相關管理措施或法規制度都可以算是公開金鑰基礎建設的一環 除了憑證機構提供的憑證管理服務之外，常見的其他PKI服務有憑證路徑建構服務（Certification Path Construction Service）、憑證路徑驗證服務（Certification Path Validation Service）、數位時戳服務（Digital Timestamp Service ）、資料驗證服務（Data Validation and Certification Service）等 PKI的組成單位 為什麼需要憑證管理中心(CA) 公開金鑰密碼技術的運作是建立在“通訊雙方能夠正確地取得對方公開金鑰”的前提下，否則即有可能使訊息洩漏或收到偽造的訊息而沒查覺 必須由通訊雙方都信任的公正第三者經一定的程序，鑑別個體之身分與金鑰對後簽發憑證，證明該個體確實擁有與其所宣稱的公開金鑰相對應之私有金鑰的根據 此種憑證稱為公開金鑰憑證（Public-Key Certificate），簡稱憑證（Certificate），而簽發憑證的機構稱為憑證管理中心（Certification Authority，CA） 數位憑證的核發與驗證過程 憑證與加解密機制運作的關係 自然人憑證簡介 自然人憑證是內政部憑證管理中心(MOICA)對我國滿18歲以上國民所核發的公開金鑰數位憑證，是我國電子化政府資訊安全基礎建設計畫之一，以提供電子化政府應用服務網路通訊的安全基礎 內政部憑證管理中心是電子化政府資訊安全基礎建設計畫之一，是一個我國電子簽章法所謂的“憑證機構” 自然人憑證提供其他自然人之電子化政府應用服務網路通訊的安全基礎 我國政府公開金鑰基礎建設之架構 內政部憑證管理中心採用的相關標準 公開金鑰管理：ISO/IEC 9594-8, RFC1422(PEM), ISO11166