Module1系统安全概论-FTPDirectoryListing.pptVIP

Module 13：硬體安全裝置 學習目的 本模組目的在於介紹硬體安全裝置現狀。此模組將介紹現今常見的硬體安全裝置，含密碼硬體模組、硬體安全裝置，IC卡等。目標是讓系統安全人員瞭解目前常見的硬體安全裝置。 Module 13：硬體安全裝置 Module 13-1：密碼元件 Module 13-2：硬體安全裝置 Module 13-3：IC卡裝置 Module 13-1：密碼元件 Module 13-1：密碼元件 DES硬體 亂數產生器 RSA硬體 SHA硬體 DSA硬體 ECC硬體 Module 13-2：硬體安全裝置 Module 13-2：硬體安全裝置 手機SIM卡、金融提款卡、健保IC卡等日常用品 保密電話、飛彈、金融安控卡等 保密電話Secure Telephone Unit, STU 保密電話Secure Terminal Equipment 參見 /cs-east/ia/ste/ie_ia_ste_feature_24.html 二次世界大戰德國密碼機Enigma 二次世界大戰日本密碼機Purple 傳統保密裝備 RSA數位憑證硬體裝置範例 硬體安全模組(Hardware Security Module) 硬體安全模組提供金鑰管理與多種高速密碼學演算法 (DES/AES/RSA/DSA/SHA)的實現 廣為金融界採用 多通過FIPS 140檢驗 如nCipher公司netHSM產品 SSL加速器(SSL Accelerator) Secure Sockets Layer (SSL) 常用於安全網頁 SSL需要大量計算非對稱密碼演算法，如RSA SSL硬體加速器通常是必要的 如nCipher公司的nFast PCI介面SSL加速卡，每秒可處理10,000 connections Module 13-3：IC卡裝置 IC卡與磁條卡 IC卡的晶片猶如電腦，外觀可能相似但實際上有多種差異性極大的規格。IC卡系統設計不善或管理不良時，依舊可能產生弊端。 IC卡可支援多種應用，所以不僅儲存的是一個金鑰(對)而已，不同用途的金鑰與公開金鑰憑證也可事先規劃好空間，放在同一張IC卡內，達到一卡多功能的應用。 相較之下，現有一般常用之磁條卡(如信用卡)有兩種缺點： 安全性: 磁卡上沒有保密的技術，故任何人只要拿到磁卡和讀磁卡的機器，此磁卡上的資料便被人一覽無疑了，所以我們常可看到信用卡側錄偽卡的媒體報導。 容量: IC卡記憶容量大，資料可重複多次寫入或更新，具有發展為多目的、多功能卡的潛力。相對於IC卡，目前市場上較普遍之而磁條卡的記憶容量僅約為100個位元組，磁條卡無法包含應有的憑證或金鑰資訊，並沒有辦法達到電子商務的用途，所以較難使用。 接觸式與非接觸式IC卡 IC卡可分為接觸式與非接觸式兩種，前者歷史悠久且功能強大，後者則目前功能較簡單且多為單一用途 國內常見的非接觸式IC卡為Philips公司的MIFARE非接觸式IC卡，使用感應線圈傳遞資料至讀卡機。晶片內共有1K位元組的記憶體EEPROM，記憶體分成16個相互獨立的區段(sector)，每一個區段由4個區塊(block)組成，每一個區塊的大小是16位元組。MIFARE IC卡不需外加電池，以無線加密傳送資料。 國內常見IC卡之比較 智慧卡的種類 IC卡安全管理 IC卡應用 目前(校園)網路的資訊安全措施以使用防火牆為主，並以通行碼(password)提供使用權限控制(access control)與基本網路稽核控管功能。這可防止未經許可的系統資源被使用，並可管制遠端登錄(telnet)或檔案傳送(file transfer protocol，ftp)的網路服務 雖然以防火牆及通行碼(password)可提供基本的資訊安全功能，但仍需要進一步的防護措施。例如遠端登錄或檔案傳送時，使用者須輸入通行碼以驗證身份；但如果網路沒有保密的功能便很容易為別有用心者在網路傳遞過程中擷取通行碼等相關訊息 以硬體做資訊安全控管不但安全性高，且使用方便。在硬體的技術上，當然可將安全系統以傳統式的電腦外加卡(add-on card/board)實現，但其成本高不易大量推廣。新一代的智慧IC卡雖然界面通訊速度仍然偏低，但同時具有成本低及安全性高(內部含有數學運算加速器)優點，我們可將IC卡應用於(校園)網際網路系統內，以低成本高安全性之可攜式硬體裝置來提供校園資訊安全功能。 結合IC卡建構校園網路安全系統 以端對端安全架構為主，依據使用的應用軟體進行端對端資訊安全設計 使用時每個單位或個人配備IC卡的安全裝置來做身份的鑑定與數位簽章的產生，用戶端為配備IC卡讀卡機之個人電腦。在安全控管中心須具備認證中心(certificate authority, CA)與目錄伺服