P- K- I技术与应用课件.pptVIP

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 环境安全实现 认证机构CA系统所在的建筑物必须抗震性能良好，并安装防雷装置。 认证机构工作场所必须配备二氧化碳灭火装置、火灾报警装置，以防止火灾的发生。 认证机构工作场所还应具备良好的排水系统，以防止水灾或由于给排水系统出现问题而带来的危害。 认证机构CA系统所在区域必须具备防电磁泄漏能力，以防止由于电磁泄漏造成的敏感信息外泄 。 用户数据保护 用户申请资料的保护 用户证书的保护 安全审计实现 安全审计内容 审计日志 CA运行审计 管理员审计 第15章电子商务认证机构可信评估 主要内容： CA系统安全性评估 认证机构安全评估流程 §15.1 CA系统安全性评估 GA/T387-2002《计算机信息系统安全等级保护网络技术要求》 GA/T388-2002《计算机信息系统安全等级保护操作系统技术要求》 GA/T389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》 GA/T390-2002《计算机信息系统安全等级保护通用技术要求》 GA/T391-2002《计算机信息系统安全等级保护管理要求》 风险来源 外部风险主要来自系统外部的用户非法访问系统资源和非法入侵以及病毒对系统的破坏。 内部风险主要来自于管理员和操作员越权操作和不当操作。 风险防范 外部风险防范 通信风险的防范 非法入侵的防范 病毒的防范 内部风险防范 人员操作错误的防范 技术故障的防范 §15.2 认证机构安全评估流程 著名的PKI实现(open source) OpenCA Project (/) OSCAR PKI Project (.au/) Jonah PKIX (/pfl/) pyCA (http://www.pyca.de/) Mozilla Open Source PKI Project(/projects/security/pki/) 著名的密码算法Toolkit OpenSSL Project (Open Source) / CDSA (Open Source) /ial/security/ RSA BSAFE (Commercial Version) /products/bsafe/index.html * * * * * * * * * * * * * * * * * * * * * SET 1996年2月，IBM, Microsoft, Netscape, RSA, Terisa和VeriSign开发了SET v1(针对MasterCard和Visa安全标准的需要而出现的 SET是开放的、设计用来保护Internet上信用卡交易的加密和安全规范 从本质上，SET提供了三种服务： 在交易涉及的各方之间提供安全的通信信道 通过使用X.509 v3数字证书来提供信任。 保证机密性，因为信息只是在必要的时候、必要的地方才对交易各方可用 交易过程：购买请求、支付认可和支付获取 §11.3 VPN实现原理与方案 VPN是一种架构在公用通信基础设施上的专用数据通信网络，利用IPSec等网络层安全协议和建立在PKI上的加密与签名技术来获得私有性。 IPSec IPSec IP层的安全包括了3个功能域：鉴别、机密性和密钥管理 IPSec的重要概念 鉴别报头(AH), 封装安全有效负载(ESP), 传输模式, 隧道模式, 安全关连(SA), 安全关连组(SA Bundle), ISAKMP. IPSec，IPv6将使互联网(尤其是网络安全)发生巨大变化 IPSec IPSec安全服务 IPSec密钥管理 人工，自动，ISAKMP/Oakley AH ESP(只加密) ESP(加密并鉴别) 访问控制 * * * 无连接完整性 * * 数据源的鉴别 * * 拒绝重放的分组 * * * 机密性 * * 有限的通信量的机密性 * * 体系结构 ESP协议 AH协议 DOI 密钥管理 加密算法 鉴别算法 IPSec文档结构概况 第12章PKI案例 主要内容： 电子税务 网上银行 网上证券 §12.1 电子税务 安全需求 通信安全 身份认证与访问控制 业务安全 解决方案 通信安全 ：SSL 身份认证与访问控制 ：数字证书 业务安全：数字签名 §12.2 网上银行 安全需求 身份认证 通信安全 访问控制 审记安全 实施方案 通过配置PKI来实现 §12.3 网上证券 安全需求 通信安全 身份认证与