信息安全技术及其应用

信息安全技术及其应用新员工培训教程定义与范范围信息安全全技术是是一个涉涉及面非非常广泛泛技术，，包括网网络安全全、防火火墙、入入侵检测测和防病病毒等诸诸多方面面。根据据公司产产品开发发的方向向，本次次培训的的范围主主要局限限于网络络安全中中的以下下几个方方面：数据保密密性（加加密）数据抗否否认性（（签名））身份认证证访问控制制培训目标标本次培训训希望达达到以下下目标：：了解信息息安全技技术中的的一些基基本概念念了解常用用的信息息安全技技术及对对应的规规范和协协议了解公司司开发的的一些安安全产品品一、信息息安全技技术中的的基本概概念常用密码码技术PKI基础及数数字证书书1.1..常用密码码技术对称密码码技术非对称密密码技术术HASH算法数字签名名数字信封封1.1..1对称密码码技术概念通讯双方方使用同同一个密密钥来加加解密信信息。常用算法法DES、3DES、AES、SSF33密钥长度度和分组组大小块加密和和流加密密块加密模模式ECB（ElectronicCodeBook）、CBC（CipherBlockChaining）、CFB（CipherFeedbackMode）、OFB（OutputFeedbackMode）加密填充充PKCS#51.1..2非对称密密码技术术概念通讯双方方使用一一对密钥钥来分别别完成加加密和解解密操作作。一个个分开发发布（公公钥），，一个由由用户秘秘密保存存（私钥钥）。常用算法法RSA公钥：N，E私钥：P，Q，DP，DQ，QINV签名填充充和加密密填充（（PKCS#1）ECC（EllipticCurveCryptography）与RSA相比，可可用短的的多的密密钥获得得同样的的安全性性。1.1..3HASH算法概念是一种把把任意长长度的输输入转换换成固定定长度输输出的算算法。算算法是单单向不可可逆的，，不需要要密钥。。输出结果果称为消消息摘要要常用算法法SHA--1，MD51.1..4数字签名名概念对原消息息进行HASH运算，私钥对消消息摘要要进行运运算最终结果果称为消消息的数数字签名名。非对称算算法与HASH算法的结结合。实现身份认证证数据完整整非否认1.1..5数字信封封概念随机产生生一对称称密钥，，用该密密钥对消消息进行行加密用接收方方公钥加加密随机机产生的的对称密密钥两组密文文加在一一起称为为数字信信封非对称算算法与对对称算法法的结合合。1.1..6程序资源源Crypto+++PGPOPENSSL1.2PKI基础及数数字证书书什么是PKIPKI的框架结结构数字证书书简介PKI的技术标标准1.2..1PKI基本概念念什么是PKI？PublicKeyInfrastructure的缩写，，是一种种普遍适适用的网网络安全全基础设设施，包包括软件件、硬件件、人和和策略的的集合。。PKI目前是公公认的保保障网络络社会安安全的最最佳体系系。PKI与PKI应用系统统之间是是相互独独立、分分离的。。PKI的设计、、开发、、生产和和管理可可以独立立进行，，无需考考虑应用用的特殊殊性应用不必必关心密密码算法法的实现现，只需需按标准准使用即即可。1.2..2PKI的框架结结构数字证书书PKI中的基本本数据元元素数字证书书颁发机机构CA和RA数字证书书库LDAP(LightweightDirectoryAccessProtocol)密钥备份份与恢复复系统证书吊销销系统数字证书书策略CA证书、用用户证书书代码签名名证书、、电子邮邮件证书书、服务务器证书书应用开发发APICryptoAPIPKCS111.2..3数字证书书简介（（一）什么是数数字证书书？数字证书书又称为为数字标标识，它它提供了了一种在在Internet上进行身身份验证证的方式式，是用用来标志志和证明明网络通通信双方方身份的的数字信信息文件件。通俗俗地讲，，数字证证书就是是单位或或个人在在Internet的身份证证数字证书书的格式式目前一一般采用用X.509国际标准准。1.2..3数字证书书简介（（二）数字证书书的作用用？将公钥与与个人信信息绑定定在一起起。在网上进进行电子子商务和和电子政政务活动动时，交交易双方方使用数数字证书书来表明明自己的的身份，，并使用用数字证证书来进进行有关关的网上上安全交交易操作作。数字证书书可提供供以下安安全服务务数据保密密性：除发送送方和接接收方外外信息不不被其他他人窃取取；数据完整整性：信息在在传输过过程中不不会被篡篡改；身份认证证：接收方方能够通通过数字字证书来来确认发发送方的的身份；；不可否认认性：发送方方对于自自己发送送的信息息将不可可抵赖。。1.2..3数字证书书简介（（三）数字证书书的内容容与格式式证书所有有者信息息证书所有有者公钥钥证书颁发发机构签签名证书内容签名算法签名版本序列号签名算法标识·算法·参数签发者有效期·起始日期·结束日期主体主体的公开密钥·算法

·参数·公开密钥签发者唯一标识符主体唯一标识符扩展项1.2..3数字证书书简介（（四）证书链的的概念根证书:CA中心的自自签名证证书，是是CA认证中心心与用户户建立信信任关系系的基础础证书链:从CA根证书到到用户证证书所包包含的所所有证书书路径。。1.2..3数字证书书简介（（五）数字证书书的验证证过程验证证书书链的上上级证书书直到根根证书可可信验证证书书的签名名验证证书书的有效效期验证证书书的状态态（OCSP或CRL查询）验证证书书的用途途1.2..3数字证书书简介（（六）数字证书书的文件件类型DER二进制编编码(*.cer))BASE64编码（**.cer,**.pem）PKCS#7消息语法法编码(*.p7b))PKCS#12编码证书书(*.pfx,,*..p12)1.2..3数字证书书简介（（七）数字证书书的签发发过程用户在RA录入身份份信息RA为用户产产生密钥钥对。私私钥由用用户保存存，RA将公钥和和用户身身份信息息传送给给CACA为用户签签发证书书并放入入目录服服务器中中用户通过过RA或自已从从目录服服务器上上下载安安装证书书1.2..3数字证书书简介（（八）数字证书书的存储储介质硬盘或软软盘IC卡USBToken主板模块块（BIOS）1.2..4PKI的技术标标准PKI的标准化化是其发发展的前前提和基基础，才才能保证证不同PKI产品之间间的正常常交互。。以下仅仅列出了了常用的的PKI技术标准准：与数字证证书相关关X.509CRLOCSP与智能卡卡相关PC/SCCSP、PKCS#11PKCS（PublicKeyCryptographyStandards）PKCS#1、PKCS#7、PKCS#10、PKCS#11、PKCS#12二、常用用信息安安全技术术及规范范和协议议身份认证证技术及及协议网络层与与传输层层的安全全协议应用层的的安全协协议与智能卡卡相关的的接口规规范2.1身份认证证技术及及协议身份认证证是实现现网络安安全的重重要机制制之一。。单项认证证与双向向认证静态密码码认证与与动态密密码认证证多因素身身份认证证常用认证证协议RADIUS（RemoteAuthenticationDialInUserService）普通电电话、上上网业务务计费Kerberos认证:一种被证证明为非非常安全全的双向向身份认认证技术术SSLIBC（Identity-BasedCryptograph）2.2网络层与与传输层层的安全全协议（（一）IPSec（InternetProtocolSecurity）IPSec实现了网网络层的的加密和和认证，，它在网网络体系系结构中中提供了了一种端端到端的的安全解解决方案案。用于于加密在在两台计计算机间间传输的的数据，，以防止止有人在在网络上上查看数数据时对对其进行行修改和和破译。。IPSec是防御内内部、专专用网络络和外部部攻击的的关键防防线。IPSec提供以下下安全服服务访问控制制无连接的的完整性性（对IP数据包自自身的一一种检测测方法））数据源认认证拒绝重放放的数据据包（部部分序列列号完整整性的一一种形式式）保密性（（加密））2.2网络层与与传输层层的安全全协议（（二）SSL（SecureSocketsLayer）是一种基基于会话话的加密密和认证证协议。。工作在在传输层层，并与与使用的的应用层层协议无无关。现现被广泛泛应用于于网上的的身份认认证与Web服务器和和用户端端浏览器器之间的的数据安安全通信信。SSL协议主要要包含握握手协议议和记录录层协议议。握手协议议：负责责建立当当前会话话状态参参数。双双方协商商一个协协议版本本，选择择密码算算法，互互相认证证，并协协商出共共享密钥钥。记录层协协议：负负责对数数据加密密、解密密及完整整性校验验。2.3应用层的的安全协协议（一一）电子邮件件安全协协议（S/MIME）保护电子子邮件的的规范定义了如如何根据据CMS（CryptographicMessageSyntax，来源于于PKCS#7）来创建建增强的的MIME主体：唯唯加密、、唯签名名和签名名与加密密2.3应用层的的安全协协议（二二）安全电子子交易SET为在Internet上进行在在线交易易时，保保护信用用卡支付付的安全全而设计计开发的的一个开开放的规规范。是是唯一允允许信用用卡信息息被安全全可靠地地通过因因特网传传输的新新协议SET提供了消消费者、、商家和和银行之之间的认认证，确确保了网网上交易易数据的的保密性性、完整整性和交交易不可可抵赖性性。2.4CSP接口规范范微软的CryptoAPI为应用程程序开发发者提供供了在Win32环境下使使用加密密、验证证等安全全服务时时的标准准加密接接口CSP为CryptoAPI体系结构构中加解解密运算算的最底底层实现现，以DLL的形式提提供应用程序序在使用用CryptoAPI时只需指指定CSP的名字和和类型，，即会自自动调用用该CSP模块来完完成加密密运算2.5PKCS11接口规范范PKCS11的主要目目标是解解决安全全应用与与不同厂厂商开发发的密码码组件之之间的交交互性和和兼容性性问题。。将安全全应用从从密码组组件的细细节中分分离出来来，不再再需为密密码组件件的变化化而发生生改变。。PKCS11的编程接接口模型型如图所所示，安安全应用用通过PKCS11接口使用用不同的的硬件设设备进行行密码运运算。3天喻安全全产品介介绍身份