信息安全技術(shù)及其應(yīng)用

信息安全技術(shù)及其應(yīng)用新員工培訓(xùn)教程定義與范范圍信息安全全技術(shù)是是一個(gè)涉涉及面非非常廣泛泛技術(shù)，，包括網(wǎng)網(wǎng)絡(luò)安全全、防火火墻、入入侵檢測(cè)測(cè)和防病病毒等諸諸多方面面。根據(jù)據(jù)公司產(chǎn)產(chǎn)品開(kāi)發(fā)發(fā)的方向向，本次次培訓(xùn)的的范圍主主要局限限于網(wǎng)絡(luò)絡(luò)安全中中的以下下幾個(gè)方方面：數(shù)據(jù)保密密性（加加密）數(shù)據(jù)抗否否認(rèn)性（（簽名））身份認(rèn)證證訪問(wèn)控制制培訓(xùn)目標(biāo)標(biāo)本次培訓(xùn)訓(xùn)希望達(dá)達(dá)到以下下目標(biāo)：：了解信息息安全技技術(shù)中的的一些基基本概念念了解常用用的信息息安全技技術(shù)及對(duì)對(duì)應(yīng)的規(guī)規(guī)范和協(xié)協(xié)議了解公司司開(kāi)發(fā)的的一些安安全產(chǎn)品品一、信息息安全技技術(shù)中的的基本概概念常用密碼碼技術(shù)PKI基礎(chǔ)及數(shù)數(shù)字證書(shū)書(shū)1.1..常用密碼碼技術(shù)對(duì)稱(chēng)密碼碼技術(shù)非對(duì)稱(chēng)密密碼技術(shù)術(shù)HASH算法數(shù)字簽名名數(shù)字信封封1.1..1對(duì)稱(chēng)密碼碼技術(shù)概念通訊雙方方使用同同一個(gè)密密鑰來(lái)加加解密信信息。常用算法法DES、3DES、AES、SSF33密鑰長(zhǎng)度度和分組組大小塊加密和和流加密密塊加密模模式ECB（ElectronicCodeBook）、CBC（CipherBlockChaining）、CFB（CipherFeedbackMode）、OFB（OutputFeedbackMode）加密填充充PKCS#51.1..2非對(duì)稱(chēng)密密碼技術(shù)術(shù)概念通訊雙方方使用一一對(duì)密鑰鑰來(lái)分別別完成加加密和解解密操作作。一個(gè)個(gè)分開(kāi)發(fā)發(fā)布（公公鑰），，一個(gè)由由用戶(hù)秘秘密保存存（私鑰鑰）。常用算法法RSA公鑰：N，E私鑰：P，Q，DP，DQ，QINV簽名填充充和加密密填充（（PKCS#1）ECC（EllipticCurveCryptography）與RSA相比，可可用短的的多的密密鑰獲得得同樣的的安全性性。1.1..3HASH算法概念是一種把把任意長(zhǎng)長(zhǎng)度的輸輸入轉(zhuǎn)換換成固定定長(zhǎng)度輸輸出的算算法。算算法是單單向不可可逆的，，不需要要密鑰。。輸出結(jié)果果稱(chēng)為消消息摘要要常用算法法SHA--1，MD51.1..4數(shù)字簽名名概念對(duì)原消息息進(jìn)行HASH運(yùn)算，私鑰對(duì)消消息摘要要進(jìn)行運(yùn)運(yùn)算最終結(jié)果果稱(chēng)為消消息的數(shù)數(shù)字簽名名。非對(duì)稱(chēng)算算法與HASH算法的結(jié)結(jié)合。實(shí)現(xiàn)身份認(rèn)證證數(shù)據(jù)完整整非否認(rèn)1.1..5數(shù)字信封封概念隨機(jī)產(chǎn)生生一對(duì)稱(chēng)稱(chēng)密鑰，，用該密密鑰對(duì)消消息進(jìn)行行加密用接收方方公鑰加加密隨機(jī)機(jī)產(chǎn)生的的對(duì)稱(chēng)密密鑰兩組密文文加在一一起稱(chēng)為為數(shù)字信信封非對(duì)稱(chēng)算算法與對(duì)對(duì)稱(chēng)算法法的結(jié)合合。1.1..6程序資源源Crypto+++PGPOPENSSL1.2PKI基礎(chǔ)及數(shù)數(shù)字證書(shū)書(shū)什么是PKIPKI的框架結(jié)結(jié)構(gòu)數(shù)字證書(shū)書(shū)簡(jiǎn)介PKI的技術(shù)標(biāo)標(biāo)準(zhǔn)1.2..1PKI基本概念念什么是PKI？PublicKeyInfrastructure的縮寫(xiě)，，是一種種普遍適適用的網(wǎng)網(wǎng)絡(luò)安全全基礎(chǔ)設(shè)設(shè)施，包包括軟件件、硬件件、人和和策略的的集合。。PKI目前是公公認(rèn)的保保障網(wǎng)絡(luò)絡(luò)社會(huì)安安全的最最佳體系系。PKI與PKI應(yīng)用系統(tǒng)統(tǒng)之間是是相互獨(dú)獨(dú)立、分分離的。。PKI的設(shè)計(jì)、、開(kāi)發(fā)、、生產(chǎn)和和管理可可以獨(dú)立立進(jìn)行，，無(wú)需考考慮應(yīng)用用的特殊殊性應(yīng)用不必必關(guān)心密密碼算法法的實(shí)現(xiàn)現(xiàn)，只需需按標(biāo)準(zhǔn)準(zhǔn)使用即即可。1.2..2PKI的框架結(jié)結(jié)構(gòu)數(shù)字證書(shū)書(shū)PKI中的基本本數(shù)據(jù)元元素?cái)?shù)字證書(shū)書(shū)頒發(fā)機(jī)機(jī)構(gòu)CA和RA數(shù)字證書(shū)書(shū)庫(kù)LDAP(LightweightDirectoryAccessProtocol)密鑰備份份與恢復(fù)復(fù)系統(tǒng)證書(shū)吊銷(xiāo)銷(xiāo)系統(tǒng)數(shù)字證書(shū)書(shū)策略CA證書(shū)、用用戶(hù)證書(shū)書(shū)代碼簽名名證書(shū)、、電子郵郵件證書(shū)書(shū)、服務(wù)務(wù)器證書(shū)書(shū)應(yīng)用開(kāi)發(fā)發(fā)APICryptoAPIPKCS111.2..3數(shù)字證書(shū)書(shū)簡(jiǎn)介（（一）什么是數(shù)數(shù)字證書(shū)書(shū)？數(shù)字證書(shū)書(shū)又稱(chēng)為為數(shù)字標(biāo)標(biāo)識(shí)，它它提供了了一種在在Internet上進(jìn)行身身份驗(yàn)證證的方式式，是用用來(lái)標(biāo)志志和證明明網(wǎng)絡(luò)通通信雙方方身份的的數(shù)字信信息文件件。通俗俗地講，，數(shù)字證證書(shū)就是是單位或或個(gè)人在在Internet的身份證證數(shù)字證書(shū)書(shū)的格式式目前一一般采用用X.509國(guó)際標(biāo)準(zhǔn)準(zhǔn)。1.2..3數(shù)字證書(shū)書(shū)簡(jiǎn)介（（二）數(shù)字證書(shū)書(shū)的作用用？將公鑰與與個(gè)人信信息綁定定在一起起。在網(wǎng)上進(jìn)進(jìn)行電子子商務(wù)和和電子政政務(wù)活動(dòng)動(dòng)時(shí)，交交易雙方方使用數(shù)數(shù)字證書(shū)書(shū)來(lái)表明明自己的的身份，，并使用用數(shù)字證證書(shū)來(lái)進(jìn)進(jìn)行有關(guān)關(guān)的網(wǎng)上上安全交交易操作作。數(shù)字證書(shū)書(shū)可提供供以下安安全服務(wù)務(wù)數(shù)據(jù)保密密性：除發(fā)送送方和接接收方外外信息不不被其他他人竊取取；數(shù)據(jù)完整整性：信息在在傳輸過(guò)過(guò)程中不不會(huì)被篡篡改；身份認(rèn)證證：接收方方能夠通通過(guò)數(shù)字字證書(shū)來(lái)來(lái)確認(rèn)發(fā)發(fā)送方的的身份；；不可否認(rèn)認(rèn)性：發(fā)送方方對(duì)于自自己發(fā)送送的信息息將不可可抵賴(lài)。。1.2..3數(shù)字證書(shū)書(shū)簡(jiǎn)介（（三）數(shù)字證書(shū)書(shū)的內(nèi)容容與格式式證書(shū)所有有者信息息證書(shū)所有有者公鑰鑰證書(shū)頒發(fā)發(fā)機(jī)構(gòu)簽簽名證書(shū)內(nèi)容簽名算法簽名版本序列號(hào)簽名算法標(biāo)識(shí)·算法·參數(shù)簽發(fā)者有效期·起始日期·結(jié)束日期主體主體的公開(kāi)密鑰·算法

·參數(shù)·公開(kāi)密鑰簽發(fā)者唯一標(biāo)識(shí)符主體唯一標(biāo)識(shí)符擴(kuò)展項(xiàng)1.2..3數(shù)字證書(shū)書(shū)簡(jiǎn)介（（四）證書(shū)鏈的的概念根證書(shū):CA中心的自自簽名證證書(shū)，是是CA認(rèn)證中心心與用戶(hù)戶(hù)建立信信任關(guān)系系的基礎(chǔ)礎(chǔ)證書(shū)鏈:從CA根證書(shū)到到用戶(hù)證證書(shū)所包包含的所所有證書(shū)書(shū)路徑。。1.2..3數(shù)字證書(shū)書(shū)簡(jiǎn)介（（五）數(shù)字證書(shū)書(shū)的驗(yàn)證證過(guò)程驗(yàn)證證書(shū)書(shū)鏈的上上級(jí)證書(shū)書(shū)直到根根證書(shū)可可信驗(yàn)證證書(shū)書(shū)的簽名名驗(yàn)證證書(shū)書(shū)的有效效期驗(yàn)證證書(shū)書(shū)的狀態(tài)態(tài)（OCSP或CRL查詢(xún)）驗(yàn)證證書(shū)書(shū)的用途途1.2..3數(shù)字證書(shū)書(shū)簡(jiǎn)介（（六）數(shù)字證書(shū)書(shū)的文件件類(lèi)型DER二進(jìn)制編編碼(*.cer))BASE64編碼（**.cer,**.pem）PKCS#7消息語(yǔ)法法編碼(*.p7b))PKCS#12編碼證書(shū)書(shū)(*.pfx,,*..p12)1.2..3數(shù)字證書(shū)書(shū)簡(jiǎn)介（（七）數(shù)字證書(shū)書(shū)的簽發(fā)發(fā)過(guò)程用戶(hù)在RA錄入身份份信息RA為用戶(hù)產(chǎn)產(chǎn)生密鑰鑰對(duì)。私私鑰由用用戶(hù)保存存，RA將公鑰和和用戶(hù)身身份信息息傳送給給CACA為用戶(hù)簽簽發(fā)證書(shū)書(shū)并放入入目錄服服務(wù)器中中用戶(hù)通過(guò)過(guò)RA或自已從從目錄服服務(wù)器上上下載安安裝證書(shū)書(shū)1.2..3數(shù)字證書(shū)書(shū)簡(jiǎn)介（（八）數(shù)字證書(shū)書(shū)的存儲(chǔ)儲(chǔ)介質(zhì)硬盤(pán)或軟軟盤(pán)IC卡USBToken主板模塊塊（BIOS）1.2..4PKI的技術(shù)標(biāo)標(biāo)準(zhǔn)PKI的標(biāo)準(zhǔn)化化是其發(fā)發(fā)展的前前提和基基礎(chǔ)，才才能保證證不同PKI產(chǎn)品之間間的正常常交互。。以下僅僅列出了了常用的的PKI技術(shù)標(biāo)準(zhǔn)準(zhǔn)：與數(shù)字證證書(shū)相關(guān)關(guān)X.509CRLOCSP與智能卡卡相關(guān)PC/SCCSP、PKCS#11PKCS（PublicKeyCryptographyStandards）PKCS#1、PKCS#7、PKCS#10、PKCS#11、PKCS#12二、常用用信息安安全技術(shù)術(shù)及規(guī)范范和協(xié)議議身份認(rèn)證證技術(shù)及及協(xié)議網(wǎng)絡(luò)層與與傳輸層層的安全全協(xié)議應(yīng)用層的的安全協(xié)協(xié)議與智能卡卡相關(guān)的的接口規(guī)規(guī)范2.1身份認(rèn)證證技術(shù)及及協(xié)議身份認(rèn)證證是實(shí)現(xiàn)現(xiàn)網(wǎng)絡(luò)安安全的重重要機(jī)制制之一。。單項(xiàng)認(rèn)證證與雙向向認(rèn)證靜態(tài)密碼碼認(rèn)證與與動(dòng)態(tài)密密碼認(rèn)證證多因素身身份認(rèn)證證常用認(rèn)證證協(xié)議RADIUS（RemoteAuthenticationDialInUserService）普通電電話(huà)、上上網(wǎng)業(yè)務(wù)務(wù)計(jì)費(fèi)Kerberos認(rèn)證:一種被證證明為非非常安全全的雙向向身份認(rèn)認(rèn)證技術(shù)術(shù)SSLIBC（Identity-BasedCryptograph）2.2網(wǎng)絡(luò)層與與傳輸層層的安全全協(xié)議（（一）IPSec（InternetProtocolSecurity）IPSec實(shí)現(xiàn)了網(wǎng)網(wǎng)絡(luò)層的的加密和和認(rèn)證，，它在網(wǎng)網(wǎng)絡(luò)體系系結(jié)構(gòu)中中提供了了一種端端到端的的安全解解決方案案。用于于加密在在兩臺(tái)計(jì)計(jì)算機(jī)間間傳輸?shù)牡臄?shù)據(jù)，，以防止止有人在在網(wǎng)絡(luò)上上查看數(shù)數(shù)據(jù)時(shí)對(duì)對(duì)其進(jìn)行行修改和和破譯。。IPSec是防御內(nèi)內(nèi)部、專(zhuān)專(zhuān)用網(wǎng)絡(luò)絡(luò)和外部部攻擊的的關(guān)鍵防防線(xiàn)。IPSec提供以下下安全服服務(wù)訪問(wèn)控制制無(wú)連接的的完整性性（對(duì)IP數(shù)據(jù)包自自身的一一種檢測(cè)測(cè)方法））數(shù)據(jù)源認(rèn)認(rèn)證拒絕重放放的數(shù)據(jù)據(jù)包（部部分序列列號(hào)完整整性的一一種形式式）保密性（（加密））2.2網(wǎng)絡(luò)層與與傳輸層層的安全全協(xié)議（（二）SSL（SecureSocketsLayer）是一種基基于會(huì)話(huà)話(huà)的加密密和認(rèn)證證協(xié)議。。工作在在傳輸層層，并與與使用的的應(yīng)用層層協(xié)議無(wú)無(wú)關(guān)?，F(xiàn)現(xiàn)被廣泛泛應(yīng)用于于網(wǎng)上的的身份認(rèn)認(rèn)證與Web服務(wù)器和和用戶(hù)端端瀏覽器器之間的的數(shù)據(jù)安安全通信信。SSL協(xié)議主要要包含握握手協(xié)議議和記錄錄層協(xié)議議。握手協(xié)議議：負(fù)責(zé)責(zé)建立當(dāng)當(dāng)前會(huì)話(huà)話(huà)狀態(tài)參參數(shù)。雙雙方協(xié)商商一個(gè)協(xié)協(xié)議版本本，選擇擇密碼算算法，互互相認(rèn)證證，并協(xié)協(xié)商出共共享密鑰鑰。記錄層協(xié)協(xié)議：負(fù)負(fù)責(zé)對(duì)數(shù)數(shù)據(jù)加密密、解密密及完整整性校驗(yàn)驗(yàn)。2.3應(yīng)用層的的安全協(xié)協(xié)議（一一）電子郵件件安全協(xié)協(xié)議（S/MIME）保護(hù)電子子郵件的的規(guī)范定義了如如何根據(jù)據(jù)CMS（CryptographicMessageSyntax，來(lái)源于于PKCS#7）來(lái)創(chuàng)建建增強(qiáng)的的MIME主體：唯唯加密、、唯簽名名和簽名名與加密密2.3應(yīng)用層的的安全協(xié)協(xié)議（二二）安全電子子交易SET為在Internet上進(jìn)行在在線(xiàn)交易易時(shí)，保保護(hù)信用用卡支付付的安全全而設(shè)計(jì)計(jì)開(kāi)發(fā)的的一個(gè)開(kāi)開(kāi)放的規(guī)規(guī)范。是是唯一允允許信用用卡信息息被安全全可靠地地通過(guò)因因特網(wǎng)傳傳輸?shù)男滦聟f(xié)議SET提供了消消費(fèi)者、、商家和和銀行之之間的認(rèn)認(rèn)證，確確保了網(wǎng)網(wǎng)上交易易數(shù)據(jù)的的保密性性、完整整性和交交易不可可抵賴(lài)性性。2.4CSP接口規(guī)范范微軟的CryptoAPI為應(yīng)用程程序開(kāi)發(fā)發(fā)者提供供了在Win32環(huán)境下使使用加密密、驗(yàn)證證等安全全服務(wù)時(shí)時(shí)的標(biāo)準(zhǔn)準(zhǔn)加密接接口CSP為CryptoAPI體系結(jié)構(gòu)構(gòu)中加解解密運(yùn)算算的最底底層實(shí)現(xiàn)現(xiàn)，以DLL的形式提提供應(yīng)用程序序在使用用CryptoAPI時(shí)只需指指定CSP的名字和和類(lèi)型，，即會(huì)自自動(dòng)調(diào)用用該CSP模塊來(lái)完完成加密密運(yùn)算2.5PKCS11接口規(guī)范范PKCS11的主要目目標(biāo)是解解決安全全應(yīng)用與與不同廠廠商開(kāi)發(fā)發(fā)的密碼碼組件之之間的交交互性和和兼容性性問(wèn)題。。將安全全應(yīng)用從從密碼組組件的細(xì)細(xì)節(jié)中分分離出來(lái)來(lái)，不再再需為密密碼組件件的變化化而發(fā)生生改變。。PKCS11的編程接接口模型型如圖所所示，安安全應(yīng)用用通過(guò)PKCS11接口使用用不同的的硬件設(shè)設(shè)備進(jìn)行行密碼運(yùn)運(yùn)算。3天喻安全全產(chǎn)品介介紹身份