数字认证与VPN技术-新重点.ppt

数字认证与VPN技术 8、数字认证与VPN技术 * 教学目标 数字认证是网络信息安全领域中关键技术之一，以数字证书为核心对网络上传输的信息进行加密和解密、签名和验证；实现用户身份识别，限制非法用户访问，从而确保网络信息的安全性、完整性 VPN则通过隧道技术、加密技术、身份认证技术等在公用网络上建立专用网络，实现用户数据安全地在逻辑链路中传输 学习的重点是以PKI为核心的数字认证技术及其应用，并能实现采用虚拟专用网（VPN）技术实现远程访问内网 * 要点内容 数字证书 密钥分析与密钥管理 PKI VPN技术 * 能力要求 掌握数字证书的基本概念，会应用PGP数字证书进行电子邮件安全保护 了解PKI的基本组成架构及认证中心（CA）的主要应用，会应用PKI的进行基础网络认证 了解VPN技术的基本原理和过程，会使用SSL VPN技术实现安全传输 * 8.1 数 字 证 书 * 数字证书的基本概念 数字证书又称数字凭证，是一种应用广泛的数字身份认证方法。数字证书是用电子手段来证实一个用户的身份和对网络资源访问的权限。在电子交易中，如果双方出示了各自的数字证书，并用它来进行交易操作，那么双方都可不必为对方身份的真伪担心 数字证书可用于电子邮件、电子商务、群件、电子资金转移等各种用途。 * 数字证书的基本概念 数字证书就是一个数字文件，通常由四个部分组成： 第一是证书持有人的姓名、地址等关键个人信息 第二是证书持有人的公开密钥 第三是证书序号、证书有效期等 第四是发证单位的数字签名 * 数字证书的基本概念 Alipay的数字证书 * 数字证书的基本概念 目前数字证书的格式普遍采用的是X.509国际标准，包含以下一些内容： 证书的版本信息。 证书的序列号，每个用户都有一个唯一的证书序列号 证书所使用的签名算法。 证书的发行机构名称，命名规则一般采用X.400格式 证书的有效期，现在通用的证书一般采用UTC时间格式，它的计时范围为 1950～2049 证书所有人的名称，命名规则一般采用X.400格式 证书所有人的公开密钥 证书发行者对证书的签名 * 数字证书的基本概念 颁发过程 工作过程 * PGP数字证书的应用 PGP密钥的生成 公钥的发布和获取 在OE中使用PGP进行加密传输 在OE中使用PGP解密 使用PGP进行文件加密 * PGP数字证书的应用 * 8.2 公钥基础实施PKI PKI是一种遵循标准的利用公钥加密技术为网络信息安全服务的开展提供一套安全基础平台的技术和规范，由公开密钥密码技术、数字证书、证书发放机构（CA）和关于公开密钥的安全策略等基本成分共同组成 PKI是提供公钥加密和数字签名服务的系统或平台，目的是管理密钥和证书。PKI主要包括四个部分：X.509格式的证书（X.509 V3）和证书废止列表CRL（X.509 V2）；CA操作协议；CA管理协议；CA政策制定 * 8.2 公钥基础实施PKI * 8.2 公钥基础实施PKI * 认证中心（Certification Authority，CA） CA作为PKI的核心部分，实现证书发放、证书更新、证书撤销和证书验证： 接收验证最终用户数字证书的申请 确定是否接受最终用户数字证书的申请-证书的审批 向申请者颁发、拒绝颁发数字证书-证书的发放 接收、处理最终用户的数字证书更新请求-证书的更新 接收最终用户数字证书的查询、撤销 产生和发布证书废止列表（CRL） 数字证书的归档 密钥归档 历史数据归档 * 认证中心（Certification Authority，CA） CA主要由以下三部分组成： 注册服务器：为客户提供24×7不间断的服务。客户在网上提出证书申请和填写相应的证书申请表 证书申请受理和审核机构：负责证书的申请和审核 认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表（CRL）的生成和处理等服务 * 8.3 虚拟专用网技术及应用 虚拟专用网（Virtual Private Network，VPN）指的是依靠ISP和其他NSP，在公用网络中建立专用的数据通信网络的技术。在VPN中，任意两个节点之间的连接并没有传统专网所需的端到端的物理链路，而是利用某种公众网的资源动态组成的 IETF草案理解基于IP的VPN为：“使用IP机制仿真出一个私有的广域网”，是通过私有的隧道技术在公共数据网络上仿真一条点到点的专线技术 * 8.3 虚拟专用网技术及应用 VPN意义： 降低成本——通过公用网来建立VPN，就可以节省大量的通信费用 传输数据安全可靠 连接方便灵活 完全控制——虚拟专用网使用户可以利用ISP的设施和服务，同时又完全掌握着自己网络的控制权 * VPN类型 远程访问虚拟网（Acce