构筑可信网络世界电子政府

构筑可信网络世界QNS工作室南相浩2005.4构筑可信网络世界电子政府共23页，您现在浏览的是第1页!一、发展动向构筑可信网络世界电子政府共23页，您现在浏览的是第2页!新技术发展信息安全经历了：通信保密时代：数据保密(CIAA)；互连网络时代：网络安全(PDRR)；信息化造就了：网络社会或网络世界（cyber-world)网络社会迎来了：电脑交易时代：交易安全(SOCB)构筑可信网络世界电子政府共23页，您现在浏览的是第3页!主要技术1.可信计算：TCP(BIOS测量信任根＋测量代理＋TPM报告信任根)；2.可信联结：TNC(标签化通信，activelabel)；3.可信交易：以行为监管和行为认证实现;行为是建立可信系统的基础。构筑可信网络世界电子政府共23页，您现在浏览的是第4页!实现技术1）可信计算平台，可信网络架构2)行为监管技术3）多代理技术(agent)4）认证技术构筑可信网络世界电子政府共23页，您现在浏览的是第5页!行为监管OSAEHGQBCDFIKRBfCfG预期行为（加分行为）非预期行为（减分行为）一般非预期行为危害行为高危害行为业务行为办公行为构筑可信网络世界电子政府共23页，您现在浏览的是第6页!

认证技术基于PKI的认证系统基于IBE的认证系统基于CPK的认证系统技术年代机构生产存储容量PKI1996CA分散集中1000IBE2001KMC集中集中1000CPK1999KMC集中分散1048-1077构筑可信网络世界电子政府共23页，您现在浏览的是第7页!1.物理世界和网络世界

物理世界：靠物理特征，当面验证；

网络世界：靠逻辑特征，不能当面验证；在网络世界，物理特征也变为逻辑值，失去了不可再生性物理特征。因此，逻辑特征是网络世界认证的最好的依据。构筑可信网络世界电子政府共23页，您现在浏览的是第8页!3.自身证明和第三方证明

第三方证明：自身不能证明的场合，如：犯罪记录、知识产权，PKI公钥等；

自身证明：照片、人民币；基于标识的密钥IBE、CPK等；构筑可信网络世界电子政府共23页，您现在浏览的是第9页!5.有序世界和无序世界

有序世界：有组织的社会；

银行发行的钞票，统一刻制的印章，公安部的居民身份证，密钥管理中心颁发的ID证书；

无序世界：无组织的活动；

手写借条；第三方颁发的CA公钥证书构筑可信网络世界电子政府共23页，您现在浏览的是第10页!

7.证书链和信任链

PKI的Transferenceandextension理论1.“certificationchaintransferstrust”；2.“Oneofthemostimportantextensionsofthetrustrelationshipistheadditionofoutsidedomainsthroughacross-certification.Ineffect,thisgiveseverysubscriberintheoutsidedomainthesametrustcharacteristicsasanoriginalmemberofthedomain.”构筑可信网络世界电子政府共23页，您现在浏览的是第11页!信任的传递概率

设：将假冒出现概率按1/100算：

代CA：含真率为99%

第二代CA：含真率为98%

第三代CA：含真率为96%

第四代CA：含真率为92%

第五代CA：含真率为85%

第六代CA：含真率为71%

第七代CA：含真率为51％构筑可信网络世界电子政府共23页，您现在浏览的是第12页!几个过渡

1.简单访问控制到监管控制的过渡；2.局域网概念到超大范围网的过渡；3.单体技术到群体技术的过渡；4.被动防护到主动管理的过渡；以此最终建立可信网络世界。构筑可信网络世界电子政府共23页，您现在浏览的是第13页!可信性的定义

Anentitycanbetrustedifitalwaysbehavesintheexpectedmannerforitsintendedpurpose.

如果一个实体的行为总是以预期的方式达到既定目标，那么它是可信的。

新技术时代是交易安全时代，以行为认证和行为监管为基础的可信时代。构筑可信网络世界电子政府共23页，您现在浏览的是第14页!可信计算技术BIOSbootblockBIOSOSloader

OSAnexampleofintegritymechanismsina(PC)SubsystemhardwareOptionROMsmemoryNewOScomponentTPMApplication

network

storingvaluesloggingmethodsreportingmeasuring构筑可信网络世界电子政府共23页，您现在浏览的是第15页!多代理技术(agent)港口子进程港口子进程港口子进程代理行为协同线程（子进程）行为信息基（AIB）代理业务功能线程（子进程）港口子进程报文通报用户代理业务对象构筑可信网络世界电子政府共23页，您现在浏览的是第16页!

二、几个概念

构筑可信网络世界电子政府共23页，您现在浏览的是第17页!2.物理印章和逻辑印章

物理章：对介质负责，通过介质对内容负责，做到‘声称’什么。

逻辑章：只能对内容负责，不能‘声称’什么，提供事后不可否认性。

构筑可信网络世界电子政府共23页，您现在浏览的是第18页!4.CA证书和ID证书

CA证书：个人申请，第三方颁发；公钥作为认证参数；不能授权；责任自负，不能作为密钥管理工具；

ID证书：行政定义并颁发；私钥作为认证参数；能授权、责任不能自负，作为密钥管理的工具；构筑可信网络世界电子政府共23页，您现在浏览的是第19页!6.Security和Assurance

SecurityAssurance

强制保证自我保证

机密性为主完整性为主等级划分角色划分官方授权自我申请

ID证书CA证书；

Bell-LaPadula模型

Clark-Wilson模型构筑可信网络世界电子政府共23页，您现在浏览的是第20页!信任的‘代’