某信息技术有限公司安全产品培训教材

1、1234567891011虚拟专用虚拟专用网网防火墙防火墙访问控制访问控制漏洞扫描漏洞扫描入侵检测入侵检测病毒防治病毒防治1213141516171819202122BOBALICE明文文件明文文件明文文件明文文件23242526明文Plaintext加密Encrypt EK1(M) Public Key密文Ciphertext private Key解密Decrypt DK2(M)明文Plaintext272829原 文数 字摘 要H a s h 函 数3031323334353637对称密钥明文密文加密后的对称密钥随机生成加密接收方公钥加密对称密钥明文解密接收方私钥解密38对称算法密钥Ke

2、yA1签名公钥KeyA2签名私钥KeyA3加密公钥KeyB1加密私钥KeyB2HashKeyA3KeyA1 明文信息摘要数字签名KeyB1数字签名KeyA2 明文 明文信息摘要1信息摘要2比较数字信封KeyA1 密文数字信封 密文KeyB2KeyA1KeyA1Hash3940BOB加密加密+ +数字签名的作用数字签名的作用: : 完整性完整性 机密性机密性 身份认证身份认证 不可否认性不可否认性41应用应用密钥类型密钥类型密钥所有者密钥所有者发送加密数据发送加密数据公钥公钥接收方的公钥接收方的公钥签名签名私钥私钥发送方发送方解密收到数据解密收到数据私钥私钥接收方接收方验证数字签名验证数字签名公

3、钥公钥发送方发送方4243444546应 用 系 统安 全 中 间 件 模 块加 解 密 服 务 调 度密 码 服 务 单 元 1密 码 服 务 单 元 2密 码 服 务 单 元 n.474849505152535455下载证书和经加密的加密私钥RA实体鉴别密码器生成签名密钥对本地保存签名私钥KM取出加密密钥对，对加密私钥用签名公钥加密，并托管加密私钥用户信息及签名公钥提交CA将经加密的加密私钥和公钥下发CA将签名公钥和密钥请求提交KM实体鉴别器密码器LDAP发布证书CA对用户信息和加密公钥等进行签名，生成证书56客户端服务器端(1) 服务请求(3)验证服务器证书的有效性(4)生成随机数R1(

4、10)验证签名结果SS(R1)(11)用客户端私钥对R2签名 得到签名结果SC(R2)(2) 服务器端证书(5) 客户端证书 + R1(6)验证客户端证书的有效性(7)用服务器端私钥对R1签名 得到签名结果SS(R1)(8)生成随机数R2(15)返回请求结果(12)SC( R2)(13)验证签名结果SC(R2)(14)对身份验证情况 进行日志记录(9) SS(R1) + R2LDAP服务器OCSP服务器57客户端服务器端(1) 服务请求(3)验证服务器证书的有效性(4)生成随机数R1(5)用服务器端公钥加密R1 得到加密结果ES(R1)(12)比较随机数R1(13)解密EC(R2)(2) 服务器端证书(6) 客户端证书 + ES(R1)(7)验证客户端证书的有效性(8)解密ES(R1)(9)生成随机数R2(10)用客户端公钥加密R2 得到加密结果EC(R2)(17)返回请求结果(14) R2(15)比较随机数R2(16)对身份验证情况 进行日志记录(11) R1 + EC(R2)LDAP服务器OCSP服务器585960SSSA硬件驱动程序61因特网APP ServerPKI Server防火墙62客户端用户APP服务器PKI服务器载入证书交换证书取得服务器证书验证客户证书双方验证证书数据通信数据通信63646566676869707172737475