信息安全技术及其应用新员工培训教程定义与范围信息安全技术是一个涉及面非常广泛技术,包括网络安全、防火墙、入侵检测和防病毒等诸多方面。根据公司产品开发的方向,本次培训的范围主要局限于网络安全中的以下几个方面:数据保密性(加密)数据抗否认性(签名)身份认证访问控制培训目标本次培训希望达到以下目标:–了解信息安全技术中的一些基本概念–了解常用的信息安全技术及对应的规范和协议–了解公司开发的一些安全产品一、信息安全技术中的基本概念1.常用密码技术2.PKI基础及数字证书1.1.常用密码技术1.对称密码技术2.非对称密码技术3.HASH算法4.数字签名5.数字信封1.1.1对称密码技术概念–通讯双方使用同一个密钥来加解密信息。常用算法–DES、3DES、AES、SSF33密钥长度和分组大小块加密和流加密块加密模式–ECB(ElectronicCodeBook)、CBC(CipherBlockChaining)、CFB(CipherFeedbackMode)、OFB(OutputFeedbackMode)加密填充–PKCS#51.1.2非对称密码技术概念–通讯双方使用一对密钥来分别完成加密和解密操作。一个分开发布(公钥),一个由用户秘密保存(私钥)。常用算法–RSA公钥:N,E私钥:P,Q,DP,DQ,QINV签名填充和加密填充(PKCS#1)–ECC(EllipticCurveCryptography)与RSA相比,可用短的多的密钥获得同样的安全性。1.1.3HASH算法概念–是一种把任意长度的输入转换成固定长度输出的算法。算法是单向不可逆的,不需要密钥。–输出结果称为消息摘要常用算法–SHA-1,MD51.1.4数字签名概念–对原消息进行HASH运算,–私钥对消息摘要进行运算–最终结果称为消息的数字签名。非对称算法与HASH算法的结合。实现–身份认证–数据完整–非否认1.1.5数字信封概念–随机产生一对称密钥,用该密钥对消息进行加密–用接收方公钥加密随机产生的对称密钥–两组密文加在一起称为数字信封非对称算法与对称算法的结合。1.1.6程序资源Crypto++PGPOPENSSL1.2PKI基础及数字证书1.什么是PKI2.PKI的框架结构3.数字证书简介4.PKI的技术标准1.2.1PKI基本概念什么是PKI?–PublicKeyInfrastructure的缩写,是一种普遍适用的网络安全基础设施,包括软件、硬件、人和策略的集合。PKI目前是公认的保障网络社会安全的最佳体系。–PKI与PKI应用系统之间是相互独立、分离的。PKI的设计、开发、生产和管理可以独立进行,无需考虑应用的特殊性应用不必关心密码算法的实现,只需按标准使用即可。1.2.2PKI的框架结构数字证书–PKI中的基本数据元素数字证书颁发机构CA和RA数字证书库–LDAP(LightweightDirectoryAccessProtocol)密钥备份与恢复系统证书吊销系统数字证书策略–CA证书、用户证书–代码签名证书、电子邮件证书、服务器证书应用开发API–CryptoAPI–PKCS111.2.3数字证书简介(一)什么是数字证书?–数字证书又称为数字标识,它提供了一种在Internet上进行身份验证的方式,是用来标志和证明网络通信双方身份的数字信息文件。通俗地讲,数字证书就是单位或个人在Internet的身份证–数字证书的格式目前一般采用X.509国际标准。1.2.3数字证书简介(二)数字证书的作用?–将公钥与个人信息绑定在一起。–在网上进行电子商务和电子政务活动时,交易双方使用数字证书来表明自己的身份,并使用数字证书来进行有关的网上安全交易操作。–数字证书可提供以下安全服务数据保密性:除发送方和接收方外信息不被其他人窃取;数据完整性:信息在传输过程中不会被篡改;身份认证:接收方能够通过数字证书来确认发送方的身份;不可否认性:发送方对于自己发送的信息将不可抵赖。1.2.3数字证书简介(三)数字证书的内容与格式–证书所有者信息–证书所有者公钥–证书颁发机构签名证书内容签名算法签名版本序列号签名算法标识·算法·参数签发者有效期·起始日期·结束日期主体主体的公开密钥·算法·参数·公开密钥签发者唯一标识符主体唯一标识符扩展项1.2.3数字证书简介(四)证书链的概念–根证书:CA中心的自签名证书,是CA认证中心与用户建立信任关系的基础–证书链:从CA根证书到用户证书所包含的所有证书路径。ROOTCASUBCA1SUBCA2用户证书1用户证书2用户证书31.2.3数字证书简介(五)数字证书的验证过程–验证证书链的上级证书直到根证书可信–验证证书的签名–验证证书的有效期–验证证书的状态(OCSP或CRL查询)–验证证书的用途1.2.3数字证书简介(六)数字证书的文件类型–DER二进制编码(*.cer)–BASE64编码(*.cer,*.pem)–PKCS#7消息语法编码(*.p7b)–PKCS#12编码证书(*.pfx,*.p12)1.2.3数字证书简介(七)数字证书的签发过程–用户在RA录入身份信息–RA为用户产生密钥对。私钥由用户保存,RA将公钥和用户身份信息传送给CA–CA为用户签发证书并放入目录服务器中–用户通过RA或自已从目录服务器上下载安装证书RA用户目录服务器CA数字证书数字证书用户数字证书1.2.3数字证书简介(八)数字证书的存储介质–硬盘或软盘–IC卡–USBToken–主板模块(BIOS)1.2.4PKI的技术标准PKI的标准化是其发展的前提和基础,才能保证不同PKI产品之间的正常交互。以下仅列出了常用的PKI技术标准:与数字证书相关–X.509–CRL–OCSP与智能卡相关–PC/SC–CSP、PKCS#11PKCS(PublicKeyCryptographyStandards)–PKCS#1、PKCS#7、PKCS#10、PKCS#11、PKCS#12二、常用信息安全技术及规范和协议1.身份认证技术及协议2.网络层与传输层的安全协议3.应用层的安全协议4.与智能卡相关的接口规范2.1身份认证技术及协议身份认证是实现网络安全的重要机制之一。单项认证与双向认证静态密码认证与动态密码认证多因素身份认证常用认证协议–RADIUS(RemoteAuthenticationDialInUserService)普通电话、上网业务计费–Kerberos认证:一种被证明为非常安全的双向身份认证技术–SSL–IBC(Identity-BasedCryptograph)2.2网络层与传输层的安全协议(一)IPSec(InternetProtocolSecurity)1.IPSec实现了网络层的加密和认证,它在网络体系结构中提供了一种端到端的安全解决方案。用于加密在两台计算机间传输的数据,以防止有人在网络上查看数据时对其进行修改和破译。IPSec是防御内部、专用网络和外部攻击的关键防线。2.IPSec提供以下安全服务访问控制无连接的完整性(对IP数据包自身的一种检测方法)数据源认证拒绝重放的数据包(部分序列号完整性的一种形式)保密性(加密)2.2网络层与传输层的安全协议(二)SSL(SecureSocketsLayer)1.是一种基于会话的加密和认证协议。工作在传输层,并与使用的应用层协议无关。现被广泛应用于网上的身份认证与Web服务器和用户端浏览器之间的数据安全通信。2.SSL协议主要包含握手协议和记录层协议。①握手协议:负责建立当前会话状态参数。双方协商一个协议版本,选择密码算法,互相认证,并协商出共享密钥。②记录层协议:负责对数据加密、解密及完整性校验。IPTCPSSLHTTPSMTPFTP2.3应用层的安全协议(一)电子邮件安全协议(S/MIME)①保护电子邮件的规范②定义了如何根据CMS(CryptographicMessageSyntax,来源于PKCS#7)来创建增强的MIME主体:唯加密、唯签名和签名与加密2.3应用层的安全协议(二)安全电子交易SET①为在Internet上进行在线交易时,保护信用卡支付的安全而设计开发的一个开放的规范。是唯一允许信用卡信息被安全可靠地通过因特网传输的新协议②SET提供了消费者、商家和银行之间的认证,确保了网上交易数据的保密性、完整性和交易不可抵赖性。2.4CSP接口规范①微软的CryptoAPI为应用程序开发者提供了在Win32环境下使用加密、验证等安全服务时的标准加密接口②CSP为CryptoAPI体系结构中加解密运算的最底层实现,以DLL的形式提供③应用程序在使用CryptoAPI时只需指定CSP的名字和类型,即会自动调用该CSP模块来完成加密运算2.5PKCS11接口规范①PKCS11的主要目标是解决安全应用与不同厂商开发的密码组件之间的交互性和兼容性问题。将安全应用从密码组件的细节中分离出来,不再需为密码组件的变化而发生改变。②PKCS11的编程接口模型如图所示,安全应用通过PKCS11接口使用不同的硬件设备进行密码运算。3天喻安全产品介绍1.身份认证类产品2.安全存储类产品3.电子签名类产品4.企业应用系统3.1身份认证类产品硬件–智能卡、USBKEY、SDKEY软件–WindowsGINA(GraphicalIdentificationandAuthentication)本机登录及域登录–LinuxPAM(PluggableAuthenticationModules)–利用CSP或PKCS11接口实现的Windows域登录、SSL站点登录、VPN登录3.2安全存储类产品硬件–USBKEY、eWandU、SDKEY软件–基于USBKEY虚拟加密磁盘–基于eWandU的安全移动存储–基于SDKEY的安全移动存储3.3电子签名类产品硬件–智能卡、USBKEY软件–Office签名插件–Adobe签名插件–电子签章软件3.4企业安全应用硬件–智能卡、USBKEY、eWandU软件–身份认证与授权管理系统–虎御数据防泄漏系统随堂测试1.简述数字信封的加密与解密过程,及解决的安全问题2.简述数字签名的签名与验签过程,及解决的安全问题说明:要说明用到的密码算法及算法组合以及操作流程。