信息安全技术在电子政务和电子商务中的应用

1、internet society of china 信信 息息 安安 全全 技技 术术 在电子政务和电子商务中的应用在电子政务和电子商务中的应用 网 络 安 全 培 训 课 程 之 二 internet society of china 2 u 60 万网站，万网站，8,000 万用户万用户（2004 年）年） u 电子政务、电子商务、网络银行、企业网络迅速发展电子政务、电子商务、网络银行、企业网络迅速发展 u 国务院决定在近几年内全面发展国务院决定在近几年内全面发展 it，建设政府网络建设政府网络 u 黑客袭击、截取信息、篡改数据、病毒发作黑客袭击、截取信息、篡改数据、病毒发作 u 对政治、

2、军事、经济关系重大，对生产生活关系重大对政治、军事、经济关系重大，对生产生活关系重大 u 内部安全隐患的危害高于外部威胁内部安全隐患的危害高于外部威胁 internet society of china 3 internet society of china 4 internet society of china 5 internet society of china 6 u 提供安全服务的具有普遍适用性的基础设施提供安全服务的具有普遍适用性的基础设施 u 在网络和计算机世界中表示和管理信任关系在网络和计算机世界中表示和管理信任关系 u 利用了密码学中的公共密钥技术的加密体制利用了密码学中的公

3、共密钥技术的加密体制 u 包含了多种算法、协议、标准、规范包含了多种算法、协议、标准、规范 u 成长变化中的加密体制，仍在发展和完善中成长变化中的加密体制，仍在发展和完善中 u 应用的范围包括互联网、专用网、企业网、手机和无线应用的范围包括互联网、专用网、企业网、手机和无线 网络等多种领域网络等多种领域 internet society of china 7 u 1976 dh 算法，算法，1978 rsa 算法算法 u 1985 elgemal 算法算法 u 1991 dsa 算法，算法，1994 ecc、dss，md 系列算法系列算法 u 标准化工作：标准化工作： ietf pkix，sp

4、ki workgroup，nist， dot (department of the treasury)，tog (the open group)，rsa 的的 pkcs，wap forum 等等 u 工业应用：工业应用：ca 系统的建立，应用系统的广泛支持等系统的建立，应用系统的广泛支持等 internet society of china 8 u 一个密钥：一个密钥： key 长度长度 40168 bit 或更长或更长 u 加密：加密： data = f (data, key) u 解密：解密： data = g g (data, key) 加密设备加密设备 a加密设备加密设备 b 密钥管理

5、中心密钥管理中心 internet society of china 9 internet society of china 10 u rc1 没有公开过，没有公开过，rc3 在设计过程中被攻破在设计过程中被攻破 u rc2 是变长密钥加密密法是变长密钥加密密法 u rc4 是是 rivest 在在 1987 年设计的变长密钥的序列密码年设计的变长密钥的序列密码 u rc5 是在是在 1994 年设计的分组长、密钥长的迭代轮数都年设计的分组长、密钥长的迭代轮数都 可变的分组迭代密码算法可变的分组迭代密码算法 internet society of china 11 internet socie

6、ty of china 12 （private key） （public key） internet society of china 13 internet society of china 14 甲用乙的公钥加密，乙用私钥解密甲用乙的公钥加密，乙用私钥解密 密文密文传递（数字信封）传递（数字信封） 甲用私钥加密，乙用甲的公钥解密甲用私钥加密，乙用甲的公钥解密 确认身份（签名确认身份（签名 / 验证）验证） u 用自己的公钥加密，自己的私钥解密用自己的公钥加密，自己的私钥解密 文件或数据加密保护文件或数据加密保护 u 数字信封：用对方的公钥加密需要分发的对称密钥数字信封：用对方的公钥加密需要

7、分发的对称密钥 u 密钥分发：可以动态地完成，可以实现密钥分发：可以动态地完成，可以实现 “一次一密一次一密” internet society of china 15 u digest = hash hash (data) ，固定长度固定长度 u 充分离散，不可逆，对原数据的变化指示明显充分离散，不可逆，对原数据的变化指示明显 n md 系列算法（系列算法（19901995 年设计）年设计） u md4、md5，128bit n sha 和和 sha-1（nist 和和 nsa 组织设计，组织设计，1991） u 结构类似于结构类似于 md4，160bit， n ripe-md（欧共体使用，

8、欧共体使用，128 或或 160bit） internet society of china 16 u 计算原数据的摘要计算原数据的摘要 u 用私有密钥加密摘要用私有密钥加密摘要 u 将数据和摘要密文传送给接收方将数据和摘要密文传送给接收方 u 接收方用对方公钥解密摘要接收方用对方公钥解密摘要 u 自行计算所接收数据的摘要自行计算所接收数据的摘要 u 比较两个摘要比较两个摘要 internet society of china 17 internet society of china 18 internet society of china 19 u internet society of c

9、hina 20 u internet society of china 21 internet society of china 22 internet society of china 23 internet society of china 24 证书管理模块证书管理模块 数数 据据 库库 管管 理理 模模 块块 证书请求库证书请求库 有效证书库有效证书库 吊销证书库吊销证书库 系统管理员库系统管理员库 审计日志库审计日志库 证书签名模块证书签名模块 pci 加密卡加密卡 证书、黑名单发布模块证书、黑名单发布模块 密钥管理模块密钥管理模块 备份与恢复模块备份与恢复模块 管理管理 审计审计

10、操操 作作 ca 系统系统 管理管理 模块模块 internet society of china 25 证书签发证书签发 加密机加密机 密钥管理密钥管理 加密机加密机数据库数据库 事件审计事件审计操作员管理操作员管理证书管理证书管理网络监视网络监视 查询服务查询服务注册申请注册申请证书发布证书发布crl发布发布 web 服务器服务器 ldap 服务器服务器 邮件邮件 服务器服务器 防火墙防火墙 ca 中心 的组成 km 系统 ocsp 服务器服务器 internet society of china 26 ca 中心中心 事件审计事件审计操作员管理操作员管理申请转发申请转发数据库管理数据库管

11、理 查询服务查询服务审批服务审批服务 web 服务器服务器 ldap 服务器服务器 防火墙防火墙 ra 的组成 internet society of china 27 根根 ca （全国）全国） 子子 ca （北京）北京） 子子 ca （上海）上海） 子子 ca （湖北）湖北） 子子 ca （广东）广东） rara 根根 ca 子子 ca （银行）银行） 子子 ca （证券）证券） 子子 ca （保险）保险） 子子 ca （电子商务）电子商务） ra 北京北京ra 上海上海 internet society of china 28 internet society of china 29 i

12、nternet society of china 30 internet society of china 31 internet society of china 32 2. 提交申请提交申请 ca 服务器服务器 ldap 服务器服务器 ra 服务器服务器 用户端用户端 1. 填写申请表填写申请表 产生密钥对产生密钥对 形成申请形成申请 数字签名数字签名 3.审批审批 数据记录数据记录 4. 报签报签 5. 签发证书签发证书 存档存档 6. 发证发证 8. 邮件通知邮件通知 证书下载证书下载 9. 证书发布证书发布7. 备案备案 internet society of china 33 in

13、ternet society of china 34 2. 提交申请提交申请 ca 服务器服务器 ldap 服务器服务器 ra 服务器服务器 用户端用户端 1. 填写申请表填写申请表 产生密钥对产生密钥对 形成申请形成申请 数字签名数字签名 3.审批审批 数据记录数据记录 4. 报签报签 6. 制作第二证书制作第二证书 签发证书、存档签发证书、存档 7. 发证发证 9. 证书下载证书下载 10. 证书发布证书发布 8. 备案备案 密钥管理密钥管理 服务器服务器 5. 产生密钥产生密钥 安全保存安全保存 internet society of china 35 u 卡片内产生密钥对卡片内产生密钥

14、对 u 无法读出私有密钥无法读出私有密钥 u 卡片内完成加密、解密卡片内完成加密、解密 u 卡片内完成数字签名卡片内完成数字签名 u pin 保护，保护，3 次错误会造成卡片锁死次错误会造成卡片锁死 u 文件保护和线路保护，防辐射措施文件保护和线路保护，防辐射措施 u 严格的证书发放流程管理严格的证书发放流程管理 internet society of china 36 4. 提交申请提交申请 ca 服务器服务器 ldap 服务器服务器 ra 服务器服务器 发证终端发证终端 1. 审查客户资料审查客户资料 2. 管理员持卡登录管理员持卡登录 3. 填写证书申请填写证书申请 5. 数据记录数据记

15、录 6. 报签报签 7. 签发证书签发证书 存档、记录存档、记录 8. 发证发证 10. 证书下载证书下载 11. 证书发布证书发布 9. 备案备案 0. 卡片初始化卡片初始化 internet society of china 37 u 与证书申请、下载有关与证书申请、下载有关 u 查询、下载他人证书查询、下载他人证书 u 查询黑名单查询黑名单 u 实现认证服务实现认证服务 u 在线查询证书的有效性在线查询证书的有效性 ca 服务器 用户 web ldap ocsp internet society of china 38 internet society of china 39 n net

16、scape 公司公司 93 年提出年提出 ssl 协议，后来形成协议，后来形成 tls 协议协议 n 包括握手协议和数据格式协议，对应包括握手协议和数据格式协议，对应 https:/ n 在在 tcp/it 之上，在之上，在 http、ftp 等协议层之下（安全套接层）等协议层之下（安全套接层） u 提出建立安全通信通道，开始握手提出建立安全通信通道，开始握手 u 交换证书和签字，身份认证交换证书和签字，身份认证 u 确定加密算法，交换密钥确定加密算法，交换密钥 u 加密通信（安全通信通道）加密通信（安全通信通道） u 终断连接终断连接 n 单向身份认证、双向身份认证单向身份认证、双向身份认证

17、 n 加密算法和密钥长度加密算法和密钥长度 internet society of china 40 n ssl v2/v3、tls v1 n ca 给给 服务器服务器 和和 用户用户 发证书发证书 n 对内容（网页）设置为对内容（网页）设置为 https n 各种商用的应用服务器都支持各种商用的应用服务器都支持 n 部分服务器支持复杂的应用部分服务器支持复杂的应用 u 提供了证书登录服务提供了证书登录服务 u 允许证书登录或口令登录允许证书登录或口令登录 u 实现参数传递实现参数传递 u 实现单点登录实现单点登录 ca 服务器web 服务器 用户用户 服务器服务器 ssl/tls 浏览器 s

18、sl/tls tcp/ip tcp/ip internet society of china 41 u 使用者拥有个人数字证书使用者拥有个人数字证书 u 对邮件加密和签字对邮件加密和签字 u 与邮件服务器无关与邮件服务器无关 u 发出一个签字邮件给对方发出一个签字邮件给对方 u 或到或到 ldap 下载他人证书下载他人证书 u 实现邮件加密和（或）签字实现邮件加密和（或）签字 ca 服务器服务器 ldap 邮件服务器邮件服务器 用户用户 a用户用户 b internet society of china 42 u 表单签字和文件签字表单签字和文件签字 u 数据内容签字证书数据内容签字证书 u

19、pkcs#7 标准标准 u api 调用接口调用接口 u 自动的证书和密钥管理自动的证书和密钥管理 u 多种安全功能多种安全功能 验证模块验证模块 应用服务器应用服务器 签字模块签字模块 internet society of china 43 n安全连接和证书登录控制安全连接和证书登录控制 1. ssl/tls 完成证书验证完成证书验证 2. 提取证书内用户个人信息传递提取证书内用户个人信息传递 给应用，完成登录给应用，完成登录 n数字签字方法数字签字方法 1. 在应用层，用户做数字签名在应用层，用户做数字签名 2. 服务器验证用户签字，提取证服务器验证用户签字，提取证 书中的用户信息，完成

20、登录书中的用户信息，完成登录 web 服务器 用户 internet society of china 44 u 每次产生不同的对称密钥每次产生不同的对称密钥 u 用自己（他人）的公钥加密对称密钥用自己（他人）的公钥加密对称密钥 u 用自己的私有密钥解密对称密钥用自己的私有密钥解密对称密钥 u 解密文件解密文件 u 本机证书登录、局域网络证书登录本机证书登录、局域网络证书登录 u 文件加密、目录加密文件加密、目录加密 u 数据安全容器（数据安全容器（usb、移动硬盘）移动硬盘） u 用户管理，密钥托管和恢复用户管理，密钥托管和恢复 专用模块专用模块 专用模块专用模块密钥托管密钥托管 inter

21、net society of china 45 internet society of china 46 u 多功能型：产生密钥、管理证书、加解密、签名多功能型：产生密钥、管理证书、加解密、签名/验证等验证等 u 线路加密机：线路加密机：ip 加密机、帧中继加密机等加密机、帧中继加密机等 internet society of china 47 u 反向代理服务器反向代理服务器 u 专用加密硬件专用加密硬件 u ssl/tls 协议安全通信协议安全通信 u 多种连接和通信方式多种连接和通信方式 u 访问控制访问控制 u 单点登录（单点登录（sso） 安全代理安全代理 服务器服务器 web应用应

22、用 服务器服务器 internet society of china 48 浏览器浏览器 e-mail ssl/tls 加密服务加密服务 windows 底层底层 登录登录 控制控制 kerberos vpn 客户端客户端 ipsec windows 操作系统操作系统 安全客户端安全客户端 加密服务加密服务 csp 1.0/2.0 pkcs #11 internet society of china 49 u u u 浏览器浏览器 windows 操作系统操作系统 加密服务加密服务 安全代理安全代理 internet society of china 50 u cfca 和中国金融界采用其技术

23、和中国金融界采用其技术 u 银行等机构应用其安全技术银行等机构应用其安全技术 u 安全客户端（支持智能卡技术）安全客户端（支持智能卡技术） u 安全代理服务器安全代理服务器 u cfca 的的 ldap 等服务等服务 entrust proxy web应用应用 服务器服务器 entrust client net-pass 1.0e internet society of china 51 u ca 服务器服务器 u 安全代理服务器安全代理服务器 u vpn 设备设备 u 数据安全服务器数据安全服务器 u 客户端智能卡客户端智能卡内部用户 应用 服务器 ca 服务器 加密卡 卡片发放 多功能 加

24、密机 加密卡 远程用户 web 服务器 代理服务器 或vpn 公共网络公共网络 internet society of china 52 应用服务器应用服务器 ca 系统系统 wap网关网关 wim卡片卡片 internet society of china 53 wtlstls 1.0 wap网关网关应用服务器应用服务器 internet wap 手机手机 wim卡片卡片 无线网络无线网络 gsm/gprs internet society of china 54 应用服务器应用服务器java手机手机 加密模块加密模块 （java） 加密模块加密模块 internet society of

25、china 55 internet society of china 56 u 便于实现用户和授权的集中管理，同时支持多种应用便于实现用户和授权的集中管理，同时支持多种应用 u 减轻用户管理工作，减少不一致性减轻用户管理工作，减少不一致性 u 支持多种授权模型支持多种授权模型：复合授权方式，权限组合，动态授权等复合授权方式，权限组合，动态授权等 u 支持多级安全控制：支持多级安全控制：实现对授权和认证的多级别的安全控制实现对授权和认证的多级别的安全控制 u 支持多种认证方式：支持多种认证方式：用户名用户名/口令、动态口令、指纹、口令、动态口令、指纹、pki 等等 internet societ

26、y of china 57 1. 提交提交 id 用户集中用户集中 管理服务器管理服务器 用户认证用户认证 服务器服务器 (ldap) 应用服务器应用服务器 客户端客户端 服务插件服务插件 服务插件服务插件 2. 用户认证用户认证 3. 用户权限用户权限 internet society of china 58 baltimore: selectaccess internet society of china 59 u 安全级别安全级别 u 所在用户组所在用户组 u 角色角色 internet society of china 60 授权服务 中心aa 安全策略服务 授权服务 应用服务器 ld

27、ap 信任源点 soa 申请受理点申请受理点 internet society of china 61 目录服务器 internet 提交属性证书属性证书发放 属性证书 服务器授权 属性证书发布属性证书查询 拉模式拉模式 推模式推模式 授权属性 证书应用 aa 服务器 应用服务器 internet society of china 62 u 应用系统访问者比较随机，应用系统访问者比较随机，“凭票入门凭票入门” u 临时授权去访问通常不访问的应用临时授权去访问通常不访问的应用 u “推荐推荐”方式的用户授权方式的用户授权 u 分布式系统下的交叉授权分布式系统下的交叉授权 u 商用服务器和客户端软

28、件尚不支持属性证书商用服务器和客户端软件尚不支持属性证书 u 单一属性证书不适合描述复杂的用户属性单一属性证书不适合描述复杂的用户属性 u 属性证书发布和吊销工作量比较大属性证书发布和吊销工作量比较大 internet society of china 63 internet society of china 64 u 目的：目的：用户不用记忆和多次输入用户不用记忆和多次输入“用户名用户名/口令口令” u 客户端插件客户端插件 u 口令服务器口令服务器 u 服务器插件（见前面内容）服务器插件（见前面内容） u ibm tam 等等 u portal 服务器：用户认证集成，服务器：用户认证集成，cookies 和参数传递和参数传递 internet society of china 65 sso 代理服务器代理服务器 应用服务器应用服务器 授权管理授权管理 用户端用