信息安全系统设计和实现.pptVIP

信息安全系统的设计与实现 9.1 信息安全简介 9.2 SSL原理介绍 9.3 CA 9.4 应用方案 9.4.1 安全、可信商务网站认证 9.4.2 数据安全岛 9.4.3 安全电子邮件系统 9.4.4 安全移动办公 9.5 集中式指纹身份认证 9.5.1 系统安全性需求 9.5.2 企业信息化系统的安全体系 9.5.3 统一指纹登录的技术流程 9.5.4 身份认证关键技术 9.5.5 指纹认证系统各模块的联系 9.5.6 指纹认证系统的认证过程 9.6 身份认证系统概要设计 9.6.1 开发环境与运行平台 9.6.2 整体设计与实现 9.1 信息安全简介 信息安全的要旨是向合法的用户提供准备、正确、及时、可靠的信息服务；而对其他任何人员和企业扬内部、外部或敌对方，都要保持最大限度的信息不透明性、不可获取性、不可接触性、不可干扰性、不可破坏性，而且不论信息所处的状态是动态的、静态的，还是传输过程中的。 信息安全的目标就是保障数据的安全保密性、完整性、可控性和可靠性。在网络环境下，要更多地考虑在网络上信息的安全。 信息安全系统的设计与实现主要涉及: 信息完整性 信息一致性 信息保密性 可鉴别性 不可抵赖性 为了满足上述信息安全设计的需求，当前采用的基本方法有以下几种： 数据传输加密技术 身份鉴别技术 数据完整性技术 防抵赖技术 现在许多机构通过公开密钥架构（PKI）技术来实施和构建完整的加密/签名体系，通过运用对称和非对称密码体制，特别是生物识别技术等来构建起一套严密的身份认证系统。从而有效地解决上述问题。在充分利用互联网实现信息资源共享的前提下，从真正意义上确保了网络信息传递的安全。 身份认证通知是指能够正确地识别用户的各种方法。 其任务是检验企业信息化系统的用户身份合法性和真实性，使合法用户接入企业信息化系统，并按授权访问系统资源，将非法访问者拒之门外。 在安全的网络通信中，涉及的通信各方发布通过某种形式的身份验证体制来证明他们的身份，验证用户的身份与所宣称的是否一致。 认证技术的中心工作就是验证被验证对象参数的真实性和有效性，用户认证过程中，用户需要向认证的服务器提交能够证明用户身份的证据。 传统的身份认证均是通过“用户名”和“密码”的形式来进行，安全一些的解决方式 是对用户名和密码经过一定的加密 ，采用密文的形式在网上传输。 因为加密算法是固定的，每次传输的密文相同，这必然会存在密文被截获后破译出来的安全漏洞。 另外，现代生活中的密码随处可见，多了易混乱和遗忘，如用户名和密码设置成统一的一个或几个，肯定又会降低安全性。 目前，网络环境下的身份认证一般采用高强度的密码协议认证技术来进行，主要有基于公共密钥的认证机制，在互联网上也会使用基于公共密钥的安全策略。 PKI（Public Key Infrastructure） PKI（公开密钥基础架构）是通过使用公开密钥技术和数字证书来确保系统的信息安全，并负责验证数字证书持有者身份的一种体系。 PKI可以提供会话保密、认证、完整性、访问控制、源不可否认、目的不可否认、安全通信、密钥恢复和安全时间9项信息安全所需要的服务。人们利用PKI可以方便地建立和维护一个可信的网络技术环境，无须直接见面就能确认彼此的身份，安全地进行信息交换。 （1）CA（Certification Authority） CA(第三方数字证书颁发机构)是PKI的核心，主要职责是颁发证书，检验用户身份的真实性。一般情况下，证书必须由CA实施数字签名后才能发布。而获得证书的用户通过对CA的签名进行验证，从而确定了公钥的有效性。 （2）数字证书库。 数字证书库是证书集中存储的地方，用户可以从此获得其他用户可用的证书或公钥信息。数字证书库一般是基于LDAP或是基于X.500系列，也可以基于其他平台。 （3）密钥备份及恢复系统。 密钥可能会因为某种原因而使密钥的所有者无法访问，密钥的丢失将意味着那些被密钥加过密的数据无法恢复。所以，PKI就需要提供密钥备份和恢复机制。 （4）证书撤销系统 CA签发证书把用户的身份和密钥绑定在一起，那么当用户身份改变或密钥遭到破坏的时候，就必须存在一种机制来撤销这种认可 。 （5）PKI应用接口系统。 一个完整的PKI提供良好的应用接口系统，以便各种应用都能够以安全、一致、可信的方式与PKI交互、确保所建立的网络环境的可靠性，降低管理和维护的成本。 PKI是基于公钥密码技术的。 由于系统的保密性主要取决于密钥的安全性，所以在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。 正是由于对称密码学中双方都使用相同的密钥 。因此无法实现数据签名和不可否认性等功能 。 而与此不同的非对称密码学具有两个密钥：一个公钥和一个私钥。 它们具有这种性质：用公钥加密的