安全认证技术.ppt

nhkjk 安全认证技术 $1 安全问题的类型 计算机网络本身的安全 网络设备的安全 网络系统的安全 数据库的安全 商务交易信息的安全 保密性 完整性 可鉴别性 不可抵赖性 安全问题产生的原因 硬件问题 协议问题 操作系统问题 拒绝服务问题 数据侦听 伪造和篡改 假冒 $2 数据加密技术 ? 加密技术 ? 原理 ? 明文，密文 ? 加密，解密，加密算法和解密算法 ? 密钥 加密和解密过程中使用的加解密可变参数 ? 对称密钥体制和非对称密钥体制 我们将源信息称之为明文。 为了保护明文，将其通过某种方式变换成局外人难以识别的另外一种形式，即密文。 这个变换处理的过程称之为加密。 密文可以经过相应的逆变换还原成为明文。仅变换处理的过程称之为解密。 基本特征 加密速度快，密文紧凑 加密是安全的 因为接受者需要得到对称密钥，所以容易受到中途拦截窃听的攻击 难以将它的使用范围扩展到大范围的人群中 不适用于数字签名和不可否认性 基本特征 加密速度相对较慢（10-100） 加密得到的密文较长 密钥分发管理方便 支持数字签名和不可否认性加密 是鉴别技术的理论基础 数字签名 采用数字签名，应该确定以下两点： 保证信息是由签名者自己签名发送的，签名者不能否认或难以否认。 保证信息自签发后到收到止未作任何改动，签发的文件是真实文件。 数字签名：是通过电子设备，利用用密码算法对数据进行加、解密交换实现认证的方法。 数字签名的实现： SSL:安全套层协议（会话层） 在建立连接的过程中采用公开密钥； 在会话过程中采用专用密钥； 每一次会话都要求服务器使用专用密钥的操作和一次使用客户机公开密钥的操作。 数字证书 数字证书就是网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证您身份的方式。 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。 证书的格式遵循ITU X.509国际标准。 数字证书的三种类型 ?个人证书 它仅仅为某一个用户提供数字证书。 ?企业（服务器）数字证书 它通常为网上的某个Web服务器提供数字证书。 ?软件（开发者）数字证书 它通常为因特网中被下载的软件提供数字证书。 1、 个人数字证书的申请 ? 个人数字证书介绍 可以利用个人数字证书来发送签名或加密的电子邮件。 ? 个人数字证书分为二个级别 第一级数字证书，仅仅提供电子邮件的认证，不对个人的真实姓名等信息认证； 第二级个人数字证书提供对个人姓名、身份等信息的认证。 ? 个人数字证书的获得 当个人数字证书申请后，认证中心对申请者的电子邮件地址、个人身份及信用卡号等信息进行核实，通常在三~五天内即可颁发数字证书 2、服务器数字证书的申请 Web服务器证书的作用：验证Web服务器的真实性 服务器数字证书的可信度是建立在： 对管理和操作该服务器的组织或单位的进行必要的信用调查； 接受数字证书操作的严密规范； 强有力的技术支持，例如，难以破解的加密技术； 设备的高可靠性。 案例：数字证书在网上招标系统中的应用 网上招标是指在公网上利用电子商务基础平台提供的安全通道进行招标项目中各种信息的传递和处理，包括招标信息的公布、标书的发放、应标书的收集、投标结果的通知以及项目合同或协议的签订等完整的过程。 网上招标有公开招标和邀请招标两种招标方式，对招标方提供发布招标公告、发布招标邀请、发布中标信息、电子标书管理、标箱管理等功能；对投标方提供招标信息查询、在线投标、在线购买标书等功能 数字证书在网上招标系统中的应用 招投标双方在CA中心获得客户端事务型证书，并在Web服务器上绑定服务器端证书，同时在服务器端和客户端建立SSL通道。 在网上招标系统中设置Email服务器，并在Email服务器上设定专门的用户帐号接收投标机构的附有标书的安全电子邮件。 投标用户将投标书利用安全电子邮件（签名/加密，S/MIME协议）发送给招标方设定的邮箱中 2 防火墙原理 防火墙设计需要满足的基本原则 ① 由内到外，或由外到内的业务流均经过防火墙。 ② 只允许本地安全政策认可的业务流通过防火墙。对于任何一个数据组，当不能明确是否允许通过时就拒绝通过；只让真正合法的数据组通过。 ③ 尽可能控制外部用户访问专用网，应当严格限制外部人进入专用网中。如果有些文件要向Internet用户开放，则最好将这些文件放在防火墙之外。 ④ 具有足够的透明性，保证正常业务流通。 ⑤ 具有抗穿透攻击能力，强化记录、审计和报警功能。 防火墙的组成 3 防火墙的分类 （1）分组过滤网关（Packet-filteri