信息安全技术及其应用

信息安全技术及其应用新员工培训教程定义与范围信息安全技术是一个涉及面非常广泛技术，包括网络安全、防火墙、入侵检测和防病毒等诸多方面。根据公司产品开发的方向，本次培训的范围主要局限于网络安全中的以下几个方面：数据保密性（加密）数据抗否认性（签名）身份认证访问控制培训目标本次培训希望达到以下目标：了解信息安全技术中的一些基本概念了解常用的信息安全技术及对应的规范和协议了解公司开发的一些安全产品一、信息安全技术中的基本概念常用密码技术PKI基础及数字证书1.1.常用密码技术对称密码技术非对称密码技术HASH算法数字签名数字信封对称密码技术概念通讯双方使用同一个密钥来加解密信息。常用算法DES、3DES、AES、SSF33密钥长度和分组大小块加密和流加密块加密模式ECB（ElectronicCodeBook）、CBC（CipherBlockChaining）、CFB（CipherFeedbackMode）、OFB（OutputFeedbackMode）加密填充PKCS#5非对称密码技术概念通讯双方使用一对密钥来分别完成加密和解密操作。一个分开发布（公钥），一个由用户秘密保存（私钥）。常用算法RSA公钥：N，E 私钥：P，Q，DP，DQ，QINV签名填充和加密填充（PKCS#1）ECC（EllipticCurveCryptography）与RSA相比，可用短的多的密钥获得同样的安全性。1.1.3HASH算法概念是一种把任意长度的输入转换成固定长度输出的算法。算法是单向不可逆的，不需要密钥。输出结果称为消息摘要常用算法SHA-1，MD5数字签名概念对原消息进行HASH运算，私钥对消息摘要进行运算最终结果称为消息的数字签名。非对称算法与HASH算法的结合。实现身份认证数据完整非否认1.1.5数字信封概念随机产生一对称密钥，用该密钥对消息进行加密用接收方公钥加密随机产生的对称密钥两组密文加在一起称为数字信封非对称算法与对称算法的结合。程序序资资源源Crypto++PGPOPENSSL1.2PKI基础础及及数数字字证证书书什么么是是PKIPKI的框框架架结结构构数字字证证书书简简介介PKI的技技术术标标准准基本本概概念念什么么是是PKI？PublicKeyInfrastructure的缩缩写写，，是是一一种种普普遍遍适适用用的的网网络络安安全全基基础础设设施施，，包包括括软软件件、、硬硬件件、、人人和和策策略略的的集集合合。。PKI目前前是是公公认认的的保保障障网网络络社社会会安安全全的的最最佳佳体体系系。。PKI与PKI应用用系系统统之之间间是是相相互互独独立立、、分分离离的的。。PKI的设设计计、、开开发发、、生生产产和和管管理理可可以以独独立立进进行行，，无无需需考考虑虑应应用用的的特特殊殊性性应用用不不必必关关心心密密码码算算法法的的实实现现，，只只需需按按标标准准使使用用即即可可。。的框框架架结结构构数字字证证书书PKI中的的基基本本数数据据元元素素数字字证证书书颁颁发发机机构构CA和RA数字字证证书书库库LDAP(LightweightDirectoryAccessProtocol)密钥钥备备份份与与恢恢复复系系统统证书书吊吊销销系系统统数字字证证书书策策略略CA证书书、、用用户户证证书书代码码签签名名证证书书、、电电子子邮邮件件证证书书、、服服务务器器证证书书应用用开开发发APICryptoAPIPKCS11数字字证证书书简简介介（（一一））什么么是是数数字字证证书书？？数字字证证书书又又称称为为数数字字标标识识，，它它提提供供了了一一种种在在Internet上进进行行身身份份验验证证的的方方式式，，是是用用来来标标志志和和证证明明网网络络通通信信双双方方身身份份的的数数字字信信息息文文件件。。通通俗俗地地讲讲，，数数字字证证书书就就是是单单位位或或个个人人在在Internet的身身份份证证数字字证证书书的的格格式式目目前前一一般般采采用用X.509国际际标标准准。。数字字证证书书简简介介（（二二））数字字证证书书的的作作用用？？将公公钥钥与与个个人人信信息息绑绑定定在在一一起起。。在网网上上进进行行电电子子商商务务和和电电子子政政务务活活动动时时，，交交易易双双方方使使用用数数字字证证书书来来表表明明自自己己的的身身份份，，并并使使用用数数字字证证书书来来进进行行有有关关的的网网上上安安全全交交易易操操作作。。数字字证证书书可可提提供供以以下下安安全全服服务务数据据保保密密性性：除除发发送送方方和和接接收收方方外外信信息息不不被被其其他他人人窃窃取取；；数据据完完整整性性：信信息息在在传传输输过过程程中中不不会会被被篡篡改改；；身份份认认证证：接接收收方方能能够够通通过过数数字字证证书书来来确确认认发发送送方方的的身身份份；；不可否认认性：发送方方对于自自己发送送的信息息将不可可抵赖。。数字证书书简介（（三）数字证书书的内容容与格式式证书所有有者信息息证书所有有者公钥钥证书颁发发机构签签名证书内容签名算法签名版本序列号签名算法标识·算法·参数签发者有效期·起始日期·结束日期主体主体的公开密钥·算法

·参数·公开密钥签发者唯一标识符主体唯一标识符扩展项数字证书书简介（（四）证书链的的概念根证书:CA中心的自自签名证证书，是是CA认证中心心与用户户建立信信任关系系的基础础证书链:从CA根证书到到用户证证书所包包含的所所有证书书路径。。数字证书书简介（（五）数字证书书的验证证过程验证证书书链的上上级证书书直到根根证书可可信验证证书书的签名名验证证书书的有效效期验证证书书的状态态（OCSP或CRL查询）验证证书书的用途途数字证书书简介（（六）数字证书书的文件件类型DER二进制编编码(*.cer)BASE64编码（*.cer,*.pem）PKCS#7消息语法法编码(*.p7b)PKCS#12编码证书书(*.pfx,*.p12)数字证书书简介（（七）数字证书书的签发发过程用户在RA录入身份份信息RA为用户产产生密钥钥对。私私钥由用用户保存存，RA将公钥和和用户身身份信息息传送给给CACA为用户签签发证书书并放入入目录服服务器中中用户通过过RA或自已从从目录服服务器上上下载安安装证书书数字证书书简介（（八）数字证书书的存储储介质硬盘或软软盘IC卡USBToken主板模块块（BIOS）的技术标标准PKI的标准化化是其发发展的前前提和基基础，才才能保证证不同PKI产品之间间的正常常交互。。以下仅仅列出了了常用的的PKI技术标准准：与数字证证书相关关X.509CRLOCSP与智能卡卡相关PC/SCCSP、PKCS#11PKCS（PublicKeyCryptographyStandards）PKCS#1、PKCS#7、PKCS#10、PKCS#11、PKCS#12二、常用用信息安安全技术术及规范范和协议议身份认证证技术及及协议网络层与与传输层层的安全全协议应用层的的安全协协议与智能卡卡相关的的接口规规范2.1身份认证证技术及及协议身份认证证是实现现网络安安全的重重要机制制之一。。单项认证证与双向向认证静态密码码认证与与动态密密码认证证多因素身身份认证证常用认证证协议RADIUS（RemoteAuthenticationDialInUserService）普通电电话、上上网业务务计费Kerberos认证:一种被证证明为非非常安全全的双向向身份认认证技术术SSLIBC（Identity-BasedCryptograph）2.2网络层与与传输层层的安全全协议（（一）IPSec（InternetProtocolSecurity）IPSec实现了网网络层的的加密和和认证，，它在网网络体系系结构中中提供了了一种端端到端的的安全解解决方案案。用于于加密在在两台计计算机间间传输的的数据，，以防止止有人在在网络上上查看数数据时对对其进行行修改和和破译。。IPSec是防御内内部、专专用网络络和外部部攻击的的关键防防线。IPSec提供以下下安全服服务访问控制制无连接的的完整性性（对IP数据包自自身的一一种检测测方法））数据源认认证拒绝重放放的数据据包（部部分序列列号完整整性的一一种形式式）保密性（（加密））2.2网络层与与传输层层的安全全协议（（二）SSL（SecureSocketsLayer）是一种基基于会话话的加密密和认证证协议。。工作在在传输层层，并与与使用的的应用层层协议无无关。现现被广泛泛应用于于网上的的身份认认证与Web服务器和和用户端端浏览器器之间的的数据安安全通信信。SSL协议主要要包含握握手协议议和记录录层协议议。握手协议议：负责责建立当当前会话话状态参参数。双双方协商商一个协协议版本本，选择择密码算算法，互互相认证证，并协协商出共共享密钥钥。记录层协协议：负负责对数数据加密密、解密密及完整整性校验验。2.3应用层的的安全协协议（一一）电子邮件件安全协协议（S/MIME）保护电子子邮件的的规范定义了如如何根据据CMS（CryptographicMessageSyntax，来源于于PKCS#7）来创建建增强的的MIME主体：唯唯加密、、唯签名名和签名名与加密密2.3应用层的的安全协协议（二二）安全电子子交易SET为在Internet上进行在在线交易易时，保保护信用用卡支付付的安全全而设计计开发的的一个开开放的规规范。是是唯一允允许信用用卡信息息被安全全可靠地地通过因因特网传传输的新新协议SET提供了了消费费者、、商家家和银银行之之间的的认证证，确确保了了网上上交易易数据据的保保密性性、完完整性性和交交易不不可抵抵赖性性。2.4CSP接口规规范微软的的CryptoAPI为应用用程序序开发发者提提供了了在Win32环境下下使用用加密密、验验证等等安全全服务务时的的标准准加密密接口口CSP为CryptoAPI体系结结构中中加解解密运运算的的最底底层实实现，，以DLL的形式式提供供应用程程序在在使用用CryptoAPI时只需需指定定CSP的名字字和类类型，，即会会自动动调用用该CSP模块来来完成成加密密运算算2.5PKCS11接口规规范PKCS11的主要要目标标是解解决安安全应应用与与不同同厂商商开发发的密密码组组件之之间的的交互互性和和兼容容性问问题。。将安安全应应用从从密码码组件件的细细节中中分离离出来来，不不再需需为密密码组组件的的变化化而发发生改改变。。PKCS11的编程程接口口模型型如图图所示示，安安全应应用通通过PKCS11接口使使用不不同的的硬件件设备备进行行密码码运