信息安全技术 知识及其应用.ppt

信息安全技术及其应用 新员工培训教程 定义与范围 信息安全技术是一个涉及面非常广泛技术，包括网络安全、防火墙、入侵检测和防病毒等诸多方面。根据公司产品开发的方向，本次培训的范围主要局限于网络安全中的以下几个方面： 数据保密性（加密） 数据抗否认性（签名） 身份认证 访问控制 培训目标 本次培训希望达到以下目标： 了解信息安全技术中的一些基本概念 了解常用的信息安全技术及对应的规范和协议 了解公司开发的一些安全产品 一、信息安全技术中的基本概念 常用密码技术 PKI基础及数字证书 1.1.常用密码技术 对称密码技术 非对称密码技术 HASH算法 数字签名 数字信封 1.1.3 HASH算法 概念 是一种把任意长度的输入转换成固定长度输出的算法。算法是单向不可逆的，不需要密钥。 输出结果称为消息摘要 常用算法 SHA-1，MD5 1.1.4数字签名 概念 对原消息进行HASH运算， 私钥对消息摘要进行运算 最终结果称为消息的数字签名。 非对称算法与HASH算法的结合。 实现 身份认证 数据完整 非否认 1.1.5 数字信封 概念 随机产生一对称密钥，用该密钥对消息进行加密 用接收方公钥加密随机产生的对称密钥 两组密文加在一起称为数字信封 非对称算法与对称算法的结合。 1.1.6 程序资源 Crypto++ PGP OPEN SSL 1.2 PKI基础及数字证书 什么是PKI PKI的框架结构 数字证书简介 PKI的技术标准 1.2.1 PKI基本概念 什么是PKI？ Public Key Infrastructure的缩写，是一种普遍适用的网络安全基础设施，包括软件、硬件、人和策略的集合。PKI目前是公认的保障网络社会安全的最佳体系。 PKI与PKI应用系统之间是相互独立、分离的。 PKI的设计、开发、生产和管理可以独立进行，无需考虑应用的特殊性 应用不必关心密码算法的实现，只需按标准使用即可。 1.2.2 PKI的框架结构 数字证书 PKI中的基本数据元素 数字证书颁发机构CA和RA 数字证书库 LDAP (Lightweight Directory Access Protocol) 密钥备份与恢复系统 证书吊销系统 数字证书策略 CA证书、用户证书 代码签名证书、电子邮件证书、服务器证书 应用开发API CryptoAPI PKCS11 1.2.3 数字证书简介（一） 什么是数字证书？ 数字证书又称为数字标识，它提供了一种在Internet上进行身份验证的方式，是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲，数字证书就是单位或个人在Internet的身份证 数字证书的格式目前一般采用X.509国际标准。 1.2.3 数字证书简介（二） 数字证书的作用？ 将公钥与个人信息绑定在一起。 在网上进行电子商务和电子政务活动时，交易双方使用数字证书来表明自己的身份，并使用数字证书来进行有关的网上安全交易操作。 数字证书可提供以下安全服务 数据保密性：除发送方和接收方外信息不被其他人窃取； 数据完整性：信息在传输过程中不会被篡改； 身份认证：接收方能够通过数字证书来确认发送方的身份； 不可否认性：发送方对于自己发送的信息将不可抵赖。 1.2.3 数字证书简介（三） 数字证书的内容与格式 证书所有者信息 证书所有者公钥 证书颁发机构签名 证书内容 签名算法 签名 版本 序列号 签名算法标识 ·算法 ·参数 签发者 有效期 ·起始日期 ·结束日期 主体 主体的公开密钥 ·算法 ·参数 ·公开密钥 签发者唯一标识符 主体唯一标识符 扩展项 1.2.3 数字证书简介（四） 证书链的概念 根证书:CA中心的自签名证书，是CA认证中心与用户建立信任关系的基础 证书链:从CA根证书到用户证书所包含的所有证书路径。 1.2.3 数字证书简介（五） 数字证书的验证过程 验证证书链的上级证书直到根证书可信 验证证书的签名 验证证书的有效期 验证证书的状态（OCSP或CRL查询） 验证证书的用途 1.2.3 数字证书简介（六） 数字证书的文件类型 DER 二进制编码 (*.cer) BASE64编码（*.cer, *.pem） PKCS#7消息语法编码 (*.p7b) PKCS#12编码证书 (*.pfx, *.p12) 1.2.3 数字证书简介（七） 数字证书的签发过程 用户在RA录入身份信息 RA为用户产生密钥对。私钥由用户保存，RA将公钥和用户身份信息传送给CA CA为用户签发证书并放入目录服务器中 用户通过RA或自已从目录服务器上下载安装证书 1.2.3 数字证书简介（八） 数字证书的存储介质 硬盘或软盘 IC卡 USB Token 主板模块（BIOS） 1.2.4 PKI的技术标准 PK