构筑可信网络界 电子政府.pptVIP

构筑可信网络世界 QNS工作室 南相浩 2005.4 一、发展动向 新技术发展 信息安全经历了： 通信保密时代： 数据保密(CIAA)； 互连网络时代： 网络安全(PDRR)； 信息化造就了： 网络社会或网络世界（cyber-world) 网络社会迎来了： 电脑交易时代： 交易安全(SOCB) 主要技术 1.可信计算：TCP (BIOS测量信任根＋ 测量代理＋TPM报告信任根)； 2.可信联结：TNC (标签化通信，active label )； 3.可信交易：以行为监管和行为认证实现; 行为是建立可信系统的基础。 可信性的定义 An entity can be trusted if it always behaves in the expected manner for its intended purpose. 如果一个实体的行为总是以预期的方式达到既定目标，那么它是可信的。 新技术时代是交易安全时代，以行为认证和行为监管为基础的可信时代。 实现技术 1）可信计算平台，可信网络架构 2) 行为监管技术 3）多代理技术(agent) 4）认证技术 可信计算技术 行为监管 多代理技术(agent) 二、几个概念 1.物理世界和网络世界 物理世界：靠物理特征，当面验证； 网络世界：靠逻辑特征，不能当面验证；在网络世界，物理特征也变为逻辑值，失去了不可再生性物理特征。因此，逻辑特征是网络世界认证的最好的依据。 2.物理印章和逻辑印章  物理章：对介质负责，通过介质对内容负责，做到‘声称’什么。 逻辑章：只能对内容负责，不能‘声称’什么，提供事后不可否认性。 3.自身证明和第三方证明  第三方证明：自身不能证明的场合，如：犯罪记录、知识产权，PKI公钥等； 自身证明：照片、人民币；基于标识的密钥IBE、CPK等； 4.CA证书和ID证书 CA证书：个人申请，第三方颁发； 公钥作为认证参数；不能授权；责任自负，不能作为密钥管理工具； ID证书：行政定义并颁发；私钥作为认证参数；能授权、责任不能自负，作为密钥管理的工具； 5.有序世界和无序世界 有序世界：有组织的社会；银行发行的钞票，统一刻制的印章，公安部的居民身份证，密钥管理中心颁发的ID证书； 无序世界：无组织的活动；手写借条；第三方颁发的CA公钥证书 6.Security 和Assurance Security Assurance 强制保证 自我保证 机密性为主 完整性为主 等级划分 角色划分 官方授权 自我申请 ID证书 CA证书； Bell-LaPadula模型 Clark-Wilson模型 7.证书链和信任链 PKI的Transference and extension理论 1.“certification chain transfers trust”； 2.“One of the most important extensions of the trust relationship is the addition of outside domains through a cross-certification. In effect, this gives every subscriber in the outside domain the same trust characteristics as an original member of the domain.” 信任的‘代’ ? ? ? ? ?