PKI技术与应用讲义.ppt

* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 用户数据保护 用户申请资料的保护 用户证书的保护 安全审计实现 安全审计内容 审计日志 CA运行审计 管理员审计 第15章电子商务认证机构可信评估 主要内容： CA系统安全性评估 认证机构安全评估流程 §15.1 CA系统安全性评估 GA/T387-2002《计算机信息系统安全等级保护网络技术要求》 GA/T388-2002《计算机信息系统安全等级保护操作系统技术要求》 GA/T389-2002《计算机信息系统安全等级保护数据库管理系统技术要求》 GA/T390-2002《计算机信息系统安全等级保护通用技术要求》 GA/T391-2002《计算机信息系统安全等级保护管理要求》 风险来源 外部风险主要来自系统外部的用户非法访问系统资源和非法入侵以及病毒对系统的破坏。 内部风险主要来自于管理员和操作员越权操作和不当操作。 风险防范 外部风险防范 通信风险的防范 非法入侵的防范 病毒的防范 内部风险防范 人员操作错误的防范 技术故障的防范 §15.2 认证机构安全评估流程 著名的PKI实现(open source) OpenCA Project (/) OSCAR PKI Project (.au/) Jonah PKIX (/pfl/) pyCA (http://www.pyca.de/) Mozilla Open Source PKI Project(/projects/security/pki/) 著名的密码算法Toolkit OpenSSL Project (Open Source) / CDSA (Open Source) /ial/security/ RSA BSAFE (Commercial Version) /products/bsafe/index.html * * * * * * * * * * * * * * * * * * * * * * §11.3 VPN实现原理与方案 VPN是一种架构在公用通信基础设施上的专用数据通信网络，利用IPSec等网络层安全协议和建立在PKI上的加密与签名技术来获得私有性。 IPSec IPSec IP层的安全包括了3个功能域：鉴别、机密性和密钥管理 IPSec的重要概念 鉴别报头(AH), 封装安全有效负载(ESP), 传输模式, 隧道模式, 安全关连(SA), 安全关连组(SA Bundle), ISAKMP. IPSec，IPv6将使互联网(尤其是网络安全)发生巨大变化 IPSec IPSec安全服务 IPSec密钥管理 人工，自动，ISAKMP/Oakley AH ESP(只加密) ESP(加密并鉴别) 访问控制 * * * 无连接完整性 * * 数据源的鉴别 * * 拒绝重放的分组 * * * 机密性 * * 有限的通信量的机密性 * * 体系结构 ESP协议 AH协议 DOI 密钥管理 加密算法 鉴别算法 IPSec文档结构概况 第12章PKI案例 主要内容： 电子税务 网上银行 网上证券 §12.1 电子税务 安全需求 通信安全 身份认证与访问控制 业务安全 解决方案 通信安全 ：SSL 身份认证与访问控制 ：数字证书 业务安全：数字签名 §12.2 网上银行 安全需求 身份认证 通信安全 访问控制 审记安全 实施方案 通过配置PKI来实现 §12.3 网上证券 安全需求 通信安全 身份认证与访问控制 业务安全 实施方案 通过配置PKI来实现 SSL 第三方认证机构 最终用户 认证子系统 认证数据库 证书自动 管理服务器 证书注册 服务器 网上证券 数据库 应用 服务器 前台Web 服务器 网上证券应用系统 第13章成熟PKI系统简介 主要内容： 商业应用 政府应用 §13.1 商业应用 VeriSign (/) Entrust (/) Baltimore (/) RSA Security (/) VeriSign PKI层次图 §13.2 政府应用 美国联邦PKI（FPKI） 加拿大政府PKI（GOC PKI） 第14章电子商务认证机构管理基础 主要内容： 电子商务认证机构的管理 电子商务认证机构的安全 认证机构的安全需求 认证机构安全性的实现 §14.1 电子商务认证机构的管 理 中国电子商务认证机构管理中心的主要职能有： 国内PKI认证体系的