身份与访问安全——基于数字证书的认证案例与拓展.pptx

身份与访问安全——基于数字证书的认证案例与拓展 南京师范大学计算机科学与技术学院 陈 波 用户密码，严格地称为用户口令，实际上在人们的信息资源活动中起到标识用户身份，并依此进行身份认证的作用，防止非授权访问。 身份认证（Authentication）是证实实体（Entity）对象的数字身份与物理身份是否一致的过程。身份认证技术能够有效防止信息资源被非授权使用，保障信息资源的安全。 这里的实体可以是用户，也可以是主机系统。根据实体的不同，身份认证通常可分为用户与主机间的认证和主机与主机之间的认证，不过实质上，主机与主机之间的认证仍然是用户与主机系统的认证。 基于口令的认证实现用户向主机系统证实自己的身份。 回顾：基于口令的认证 2 信息安全案例教程：技术与应用 案例： 主机系统如何向用户证实自己的身份？ 如何鉴别网站的真假？ 我每次上支付宝，用的是地址栏中保存的网址，不会有假 查看网站的数字证书 3 信息安全案例教程：技术与应用 本讲要点 1. 什么是数字证书？ 2. 为什么通过验证数字证书就可以鉴别网站的真假？ 3. 如何鉴别？ 4. 数字证书其他作用？ 4 信息安全案例教程：技术与应用 5 1. 数字证书的概念 数字证书类似于现实生活中的由国家公安部门发放的居民身份证。 数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据。 数字证书是各类实体(持卡人/个人、商户/企业、网关/银行等)在网上进行信息交流及商务活动的身份证明。通信各方通过验证对方证书的有效性，从而解决相互间的信任问题。 信息安全案例教程：技术与应用 本讲要点 1. 什么是数字证书？ 2. 为什么通过验证数字证书就可以鉴别网站的真假？ 3. 如何鉴别？ 4. 数字证书其他作用？ 6 信息安全案例教程：技术与应用 2. 利用数字证书鉴别身份的原理 网络用户 企业网站 由权威的可信第三方（Certification Authority CA）产生根证书。网络实体的系统中通常会安装根证书。 CA可用根证书为其下级以及网络实体签发数字证书。系统对用根证书签发的数字证书都表示信任，从技术上说就是建立起一个证书信任链。 用户验证各网络实体数字证书的有效性时，实际上只要验证为其颁发数字证书CA的根证书。用户信任可信第三方颁发的根证书，也就信任了网络实体获得的数字证书。 7 信息安全案例教程：技术与应用 8 2. 利用数字证书鉴别身份的原理 发布数字证书的权威机构和申请数字证书的企业或组织应具备的条件 依法成立的合法组织 具有与认证服务相适应的专业技术人员和管理人员 具有与提供认证服务相适应的资金和经营场所，具备为用户提供认证服务和承担风险、责任的能力 具有符合国家安全标准的技术、设备 国家法律法规规定的其他条件 EV SSL数字证书（Extended Validation SSL），遵循全球统一的严格身份验证标准颁发的数字证书，是目前业界最高安全级别的证书。/EVSSL/index.htm 技术专业 信誉度高 信息安全案例教程：技术与应用 本讲要点 1. 什么是数字证书？ 2. 为什么通过验证数字证书就可以鉴别网站的真假？ 3. 如何鉴别？ 4. 数字证书其他作用？ 9 信息安全案例教程：技术与应用 3. 利用数字证书进行鉴别的过程 系统中默认安装了证书库。可运行“certmgr.msc”打开证书控制台 10 信息安全案例教程：技术与应用 3. 利用数字证书进行鉴别的过程 11 信息安全案例教程：技术与应用 3. 利用数字证书进行鉴别的过程 操作系统和浏览器帮助我们进行了鉴别 12 信息安全案例教程：技术与应用 案例拓展：12306网站数字证书的问题 13 信息安全案例教程：技术与应用 案例拓展：12306网站数字证书的问题 带病操作：忽略对数字证书的查验警报 探寻报警的原因 14 信息安全案例教程：技术与应用 案例拓展：12306网站数字证书的问题 15 SinoRail CA 浏览器拦截报警的原因 不是国际权威的CA，因而不被操作系统认可，浏览器进行拦截并给出警告 信息安全案例教程：技术与应用 案例拓展：12306网站数字证书的问题 解决浏览器拦截报警的方法：安装根证书 16 信息安全案例教程：技术与应用 案例拓展：12306网站数字证书的问题 潜在的安全威胁 强行安装根证书不是一个安全操作。根证书颁发机构应该是得到广泛（系统）认可的CA，应当让用户对其专业技术和信誉度有信心。 如果SRCA被攻击，被用来签发恶意网站的数字证书，将轻易骗取用户的信任。 由于SRCA签发的证书无法吊销，无法进入系统吊销证书列表进行拦截。 安全建议： 在“受信任的根证书颁发机构”节点下将SRCA的根证书删除 17 信息安全案例教程：技术与应用 本讲要点 1. 什么