信息安全技術(shù)（HCIA-Security）（微課版）（第2版） 課件 第11、12章 數(shù)據(jù)傳輸與驗(yàn)證安全、VPN技術(shù)應(yīng)用

加密與解密原理網(wǎng)絡(luò)空間不是“法外之地”。網(wǎng)絡(luò)空間是虛擬的，但運(yùn)用網(wǎng)絡(luò)空間的主體是真實(shí)存在的，大家都應(yīng)該遵守法律，明確各方的權(quán)利和義務(wù)。文字學(xué)習(xí)王小云：全球密碼學(xué)界傳奇拓展主題愛國(guó)主義、科技強(qiáng)國(guó)、技能強(qiáng)國(guó)在Internet的傳輸中，基于TCP/IP協(xié)議棧封裝的數(shù)據(jù)是明文傳輸?shù)?，這樣就會(huì)存在很多潛在的危險(xiǎn)。比如：密碼、銀行帳戶的信息被竊取、篡改，用戶的身份被冒充，遭受網(wǎng)絡(luò)惡意攻擊等。網(wǎng)絡(luò)中應(yīng)用加解密技術(shù)，可對(duì)傳輸?shù)臄?shù)據(jù)進(jìn)行保護(hù)處理，降低信息泄漏的風(fēng)險(xiǎn)。學(xué)完本課程后，您將能夠：描述加解密的發(fā)展歷程描述不同加解密的過(guò)程掌握加解密算法的原理描述PKI證書體系架構(gòu)掌握PKI證書體系工作機(jī)制加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制加密技術(shù)加密是利用數(shù)學(xué)方法將明文（需要被隱蔽的數(shù)據(jù)）轉(zhuǎn)換為密文（不可讀的數(shù)據(jù)）從而達(dá)到保護(hù)數(shù)據(jù)的目的。密鑰K信息密文C信息明文PC=En(K,

P)加密技術(shù)作用加密技術(shù)保密性鑒別性抗抵賴性完整性加密技術(shù)發(fā)展史Scytale凱撒密碼雙軌算法密碼機(jī)加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制加密技術(shù)分類對(duì)稱加密又稱為共享密鑰加密，它使用同一個(gè)密鑰對(duì)數(shù)據(jù)進(jìn)行加密和解密。非對(duì)稱加密加解密使用兩個(gè)不同的密鑰，私鑰用來(lái)保護(hù)數(shù)據(jù)，公鑰則由同一系統(tǒng)的人公用，用來(lái)檢驗(yàn)信息及其發(fā)送者的真實(shí)性和身份。密鑰：公鑰&私鑰。對(duì)稱加密算法對(duì)稱密鑰對(duì)稱密鑰加密解密對(duì)稱密鑰對(duì)稱密鑰⑥④①②③⑤非對(duì)稱加密算法乙的公鑰乙的私鑰乙的公鑰乙的私鑰加密解密⑥④①②③⑤缺點(diǎn)優(yōu)點(diǎn)對(duì)稱和非對(duì)稱加密比較密鑰分發(fā)問(wèn)題加解密速度快加解密對(duì)速度敏感密鑰安全性高對(duì)稱加密非對(duì)稱加密數(shù)據(jù)加密-

數(shù)字信封乙的私鑰乙的公鑰對(duì)稱密鑰對(duì)稱密鑰對(duì)稱密鑰對(duì)稱密鑰對(duì)稱密鑰乙的公鑰乙的私鑰加密加密解密解密⑥④①②③⑤⑦⑧⑨⑩⑦數(shù)據(jù)驗(yàn)證

-數(shù)字簽名乙的私鑰乙的公鑰甲的私鑰甲的公鑰指紋指紋指紋乙的公鑰乙的私鑰甲的私鑰甲的公鑰加密HashHash數(shù)字簽名數(shù)字簽名加密解密解密指紋一致，接收?qǐng)?bào)文；指紋不一致，丟棄報(bào)文。⑥④①②③⑤⑦⑧⑨⑩⑧????加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制對(duì)稱加密算法流加密算法RC4分組加密算法DES3DESAESIDEARC2，RC5，RC6SM1，SM4非對(duì)稱加密算法非對(duì)稱加密算法DHRSADSA散列算法散列算法：把任意長(zhǎng)度的輸入變換成固定長(zhǎng)度的輸出。常見散列算法MD5（MessageDigestAlgorithm5）SHA（SecureHashAlgorithm）SM3（SeniorMiddle3）加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制數(shù)字證書數(shù)字證書簡(jiǎn)稱證書，它是一個(gè)經(jīng)證書授權(quán)中心（即在PKI中的證書認(rèn)證機(jī)構(gòu)CA）數(shù)字簽名的文件，包含擁有者的公鑰及相關(guān)身份信息。數(shù)字證書可以說(shuō)是Internet上的安全護(hù)照或身份證。當(dāng)人們到其他國(guó)家旅行時(shí)，用護(hù)照可以證實(shí)其身份，并被獲準(zhǔn)進(jìn)入這個(gè)國(guó)家。數(shù)字證書提供的是網(wǎng)絡(luò)上的身份證明。數(shù)字證書技術(shù)解決了數(shù)字簽名技術(shù)中無(wú)法確定公鑰是指定擁有者的問(wèn)題。數(shù)字證書證書有四種類型自簽名證書：又稱為根證書，是自己頒發(fā)給自己的證書，即證書中的頒發(fā)者和主體名相同。申請(qǐng)者無(wú)法向CA申請(qǐng)本地證書時(shí)，可以通過(guò)設(shè)備生成自簽名證書，可以實(shí)現(xiàn)簡(jiǎn)單證書頒發(fā)功能。設(shè)備不支持對(duì)其生成的自簽名證書進(jìn)行生命周期管理（如證書更新、證書撤銷等）。設(shè)備本地證書：設(shè)備根據(jù)CA證書給自己頒發(fā)的證書，證書中的頒發(fā)者名稱是CA服務(wù)器的名稱。申請(qǐng)者無(wú)法向CA申請(qǐng)本地證書時(shí)，可以通過(guò)設(shè)備生成設(shè)備本地證書，可以實(shí)現(xiàn)簡(jiǎn)單證書頒發(fā)功能。數(shù)字證書證書有四種類型CA證書：CA自身的證書。如果PKI系統(tǒng)中沒(méi)有多層級(jí)CA，CA證書就是自簽名證書；如果有多層級(jí)CA，則會(huì)形成一個(gè)CA層次結(jié)構(gòu)，最上層的CA是根CA，它擁有一個(gè)CA“自簽名”的證書。申請(qǐng)者通過(guò)驗(yàn)證CA的數(shù)字簽名從而信任CA，任何申請(qǐng)者都可以得到CA的證書（含公鑰），用以驗(yàn)證它所頒發(fā)的本地證書。本地證書：CA頒發(fā)給申請(qǐng)者的證書。證書結(jié)構(gòu)最簡(jiǎn)單的證書包含一個(gè)公鑰、名稱以及證書授權(quán)中心的數(shù)字簽名。證書結(jié)構(gòu)一般情況下證書中還包括密鑰的有效期，頒發(fā)者（證書授權(quán)中心）的名稱，該證書的序列號(hào)等信息，證書的結(jié)構(gòu)遵循X.509v3版本的規(guī)范。證書內(nèi)容中各字段含義版本：即使用X.509的版本，目前普遍使用的是v3版本（0x2）。序列號(hào)：頒發(fā)者分配給證書的一個(gè)正整數(shù)，同一頒發(fā)者頒發(fā)的證書序列號(hào)各不相同，可用與頒發(fā)者名稱一起作為證書唯一標(biāo)識(shí)。簽名算法：頒發(fā)者頒發(fā)證書使用的簽名算法。證書結(jié)構(gòu)頒發(fā)者：頒發(fā)該證書的設(shè)備名稱，必須與頒發(fā)者證書中的主體名一致。通常為CA服務(wù)器的名稱。有效期：包含有效的起、止日期，不在有效期范圍的證書為無(wú)效證書。主體名：證書擁有者的名稱，如果與頒發(fā)者相同則說(shuō)明該證書是一個(gè)自簽名證書。公鑰信息：用戶對(duì)外公開的公鑰以及公鑰算法信息。擴(kuò)展信息：通常包含了證書的用法、CRL的發(fā)布地址等可選字段。簽名：頒發(fā)者用私鑰對(duì)證書信息的簽名。證書格式設(shè)備支持三種文件格式保存證書。格式描述PKCS#12以二進(jìn)制格式保存證書，可以包含私鑰，也可以不包含私鑰。常用的后綴有：.P12和.PFX。DER以二進(jìn)制格式保存證書，不包含私鑰。常用的后綴有：.DER、.CER和.CRT。PEM以ASCII碼格式保存證書，可以包含私鑰，也可以不包含私鑰。常用的后綴有：.PEM、.CER和.CRT。加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制PKI必要性PKI基本概念公鑰基礎(chǔ)設(shè)施PKI（PublicKeyInfrastructure），是一種遵循既定標(biāo)準(zhǔn)的證書管理平臺(tái)，它利用公鑰技術(shù)能夠?yàn)樗芯W(wǎng)絡(luò)應(yīng)用提供安全服務(wù)。PKI技術(shù)是信息安全技術(shù)的核心，也是電子商務(wù)的關(guān)鍵和基礎(chǔ)技術(shù)。PKI體系架構(gòu)一個(gè)PKI體系由終端實(shí)體、證書認(rèn)證機(jī)構(gòu)、證書注冊(cè)機(jī)構(gòu)和證書/CRL存儲(chǔ)庫(kù)四部分共同組成。PKI體系架構(gòu)終端實(shí)體EE（EndEntity）：也稱為PKI實(shí)體，它是PKI產(chǎn)品或服務(wù)的最終使用者，可以是個(gè)人、組織、設(shè)備（如路由器、防火墻）或計(jì)算機(jī)中運(yùn)行的進(jìn)程。證書認(rèn)證機(jī)構(gòu)CA（CertificateAuthority）：CA是PKI的信任基礎(chǔ)，是一個(gè)用于頒發(fā)并管理數(shù)字證書的可信實(shí)體。它是一種權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)，通常由服務(wù)器充當(dāng)，例如WindowsServer2008。PKI體系架構(gòu)CA通常采用多層次的分級(jí)結(jié)構(gòu)，根據(jù)證書頒發(fā)機(jī)構(gòu)的層次，可以劃分為根CA和從屬CA。根CA是公鑰體系中第一個(gè)證書頒發(fā)機(jī)構(gòu)，它是信任的起源。根CA可以為其它CA頒發(fā)證書，也可以為其它計(jì)算機(jī)、用戶、服務(wù)頒發(fā)證書。對(duì)大多數(shù)基于證書的應(yīng)用程序來(lái)說(shuō)，使用證書的認(rèn)證都可以通過(guò)證書鏈追溯到根CA。根CA通常持有一個(gè)自簽名證書。從屬CA必須從上級(jí)CA處獲取證書。上級(jí)CA可以是根CA或者是一個(gè)已由根CA授權(quán)可頒發(fā)從屬CA證書的從屬CA。上級(jí)CA負(fù)責(zé)簽發(fā)和管理下級(jí)CA的證書，最下一級(jí)的CA直接面向用戶。例如，CA2和CA3是從屬CA，持有CA1發(fā)行的CA證書；CA4、CA5和CA6是從屬CA，持有CA2發(fā)行的CA證書。PKI體系架構(gòu)當(dāng)某個(gè)PKI實(shí)體信任一個(gè)CA，則可以通過(guò)證書鏈來(lái)傳遞信任，證書鏈就是從用戶的證書到根證書所經(jīng)過(guò)的一系列證書的集合。當(dāng)通信的PKI實(shí)體收到待驗(yàn)證的證書時(shí)，會(huì)沿著證書鏈依次驗(yàn)證其頒發(fā)者的合法性。CA的核心功能就是發(fā)放和管理數(shù)字證書，包括：證書的頒發(fā)、證書的更新、證書的撤銷、證書的查詢、證書的歸檔、證書廢除列表CRL（CertificateRevocationList）的發(fā)布等。PKI體系架構(gòu)證書注冊(cè)機(jī)構(gòu)RA（RegistrationAuthority）：是數(shù)字證書注冊(cè)審批機(jī)構(gòu)，RA是CA面對(duì)用戶的窗口，是CA的證書發(fā)放、管理功能的延伸，它負(fù)責(zé)接受用戶的證書注冊(cè)和撤銷申請(qǐng)，對(duì)用戶的身份信息進(jìn)行審查，并決定是否向CA提交簽發(fā)或撤銷數(shù)字證書的申請(qǐng)。RA作為CA功能的一部分，實(shí)際應(yīng)用中，通常RA并不一定獨(dú)立存在，而是和CA合并在一起。RA也可以獨(dú)立出來(lái)，分擔(dān)CA的一部分功能，減輕CA的壓力，增強(qiáng)CA系統(tǒng)的安全性。PKI體系架構(gòu)證書/CRL存儲(chǔ)庫(kù)：由于用戶名稱的改變、私鑰泄漏或業(yè)務(wù)中止等原因，需要存在一種方法將現(xiàn)行的證書吊銷，即撤消公鑰及相關(guān)的PKI實(shí)體身份信息的綁定關(guān)系。在PKI中，所使用的這種方法為證書廢除列表CR。任何一個(gè)證書被撤消以后，CA就要發(fā)布CRL來(lái)聲明該證書是無(wú)效的，并列出所有被廢除的證書的序列號(hào)。因此，CRL提供了一種檢驗(yàn)證書有效性的方式。證書/CRL存儲(chǔ)庫(kù)用于對(duì)證書和CRL等信息進(jìn)行存儲(chǔ)和管理，并提供查詢功能。PKI體系架構(gòu)構(gòu)建證書/CRL存儲(chǔ)庫(kù)可以采用LDAP（LightweightDirectoryAccessProtocol）服務(wù)器、FTP（FileTransferProtocol）服務(wù)器、HTTP（HypertextTransferProtocol）服務(wù)器或者數(shù)據(jù)庫(kù)等等。其中，LDAP規(guī)范簡(jiǎn)化了笨重的X.500目錄訪問(wèn)協(xié)議，支持TCP/IP，已經(jīng)在PKI體系中被廣泛應(yīng)用于證書信息發(fā)布、CRL信息發(fā)布、CA政策以及與信息發(fā)布相關(guān)的各個(gè)方面。如果證書規(guī)模不是太大，也可以選擇架設(shè)HTTP、FTP等服務(wù)器來(lái)儲(chǔ)存證書，并為用戶提供下載服務(wù)。PKI生命周期PKI的核心技術(shù)就圍繞著本地證書的申請(qǐng)、頒發(fā)、存儲(chǔ)、下載、安裝、驗(yàn)證、更新和撤銷的整個(gè)生命周期進(jìn)行展開。PKI生命周期證書申請(qǐng)：證書申請(qǐng)即證書注冊(cè)，就是一個(gè)PKI實(shí)體向CA自我介紹并獲取證書的過(guò)程。證書頒發(fā)：PKI實(shí)體向CA申請(qǐng)本地證書時(shí)，如果有RA，則先由RA審核PKI實(shí)體的身份信息，審核通過(guò)后，RA將申請(qǐng)信息發(fā)送給CA。CA再根據(jù)PKI實(shí)體的公鑰和身份信息生成本地證書，并將本地證書信息發(fā)送給RA。如果沒(méi)有RA，則直接由CA審核PKI實(shí)體身份信息。證書存儲(chǔ)：CA生成本地證書后，CA/RA會(huì)將本地證書發(fā)布到證書/CRL存儲(chǔ)庫(kù)中，為用戶提供下載服務(wù)和目錄瀏覽服務(wù)PKI生命周期證書下載：PKI實(shí)體通過(guò)SCEP或CMPv2協(xié)議向CA服務(wù)器下載已頒發(fā)的證書，或者通過(guò)LDAP、HTTP或者帶外方式，下載已頒發(fā)的證書。該證書可以是自己的本地證書，也可以是CA/RA證書或者其他PKI實(shí)體的本地證書。證書安裝：PKI實(shí)體下載證書后，還需安裝證書，即將證書導(dǎo)入到設(shè)備的內(nèi)存中，否則證書不生效。該證書可以是自己的本地證書，也可以是CA/RA證書，或其他PKI實(shí)體的本地證書。通過(guò)SCEP協(xié)議申請(qǐng)證書時(shí)，PKI實(shí)體先獲取CA證書并將CA證書自動(dòng)導(dǎo)入設(shè)備內(nèi)存中，然后獲取本地證書并將本地證書自動(dòng)導(dǎo)入設(shè)備內(nèi)存中。PKI生命周期證書驗(yàn)證：PKI實(shí)體獲取對(duì)端實(shí)體的證書后，當(dāng)需要使用對(duì)端實(shí)體的證書時(shí)，例如與對(duì)端建立安全隧道或安全連接，通常需要驗(yàn)證對(duì)端實(shí)體的本地證書和CA的合法性（證書是否有效或者是否屬于同一個(gè)CA頒發(fā)等）。如果證書頒發(fā)者的證書無(wú)效，則由該CA頒發(fā)的所有證書都不再有效。但在CA證書過(guò)期前，設(shè)備會(huì)自動(dòng)更新CA證書，異常情況下才會(huì)出現(xiàn)CA證書過(guò)期現(xiàn)象。PKI生命周期PKI實(shí)體可以使用CRL或者OCSP（OnlineCertificateStatusProtocol）方式檢查證書是否有效。使用CRL方式時(shí)，PKI實(shí)體先查找本地內(nèi)存的CRL，如果本地內(nèi)存沒(méi)有CRL，則需下載CRL并安裝到本地內(nèi)存中，如果證書在CRL中，表示此證書已被撤銷。使用OCSP方式時(shí)，PKI實(shí)體向OCSP服務(wù)器發(fā)送一個(gè)對(duì)于證書狀態(tài)信息的請(qǐng)求，OCSP服務(wù)器會(huì)回復(fù)一個(gè)“有效”（證書沒(méi)有被撤消）、“過(guò)期”（證書已被撤消）或“未知”（OCSP服務(wù)器不能判斷請(qǐng)求的證書狀態(tài)）的響應(yīng)。PKI生命周期證書更新：當(dāng)證書過(guò)期、密鑰泄漏時(shí)，PKI實(shí)體必須更換證書，可以通過(guò)重新申請(qǐng)來(lái)達(dá)到更新的目的，也可以使用SCEP或CMPv2協(xié)議自動(dòng)進(jìn)行更新。證書撤銷：由于用戶身份、用戶信息或者用戶公鑰的改變、用戶業(yè)務(wù)中止等原因，用戶需要將自己的數(shù)字證書撤消，即撤消公鑰與用戶身份信息的綁定關(guān)系。在PKI中，CA主要采用CRL或OCSP協(xié)議撤銷證書，而PKI實(shí)體撤銷自己的證書是通過(guò)帶外方式申請(qǐng)。證書申請(qǐng)通常情況下PKI實(shí)體會(huì)生成一對(duì)公私鑰，公鑰和自己的身份信息（包含在證書注冊(cè)請(qǐng)求消息中）被發(fā)送給CA用來(lái)生成本地證書，私鑰PKI實(shí)體自己保存用來(lái)數(shù)字簽名和解密對(duì)端實(shí)體發(fā)送過(guò)來(lái)的密文。PKI實(shí)體向CA申請(qǐng)本地證書有以下兩種方式在線申請(qǐng)離線申請(qǐng)（PKCS#10方式）證書申請(qǐng)?jiān)诰€申請(qǐng)：PKI實(shí)體支持通過(guò)SCEP（SimpleCertificateEnrollmentProtocol）或CMPv2（CertificateManagementProtocolversion2）協(xié)議向CA發(fā)送證書注冊(cè)請(qǐng)求消息來(lái)申請(qǐng)本地證書。離線申請(qǐng)：是指PKI實(shí)體使用PKCS#10格式打印出本地的證書注冊(cè)請(qǐng)求消息并保存到文件中，然后通過(guò)帶外方式（如Web、磁盤、電子郵件等）將文件發(fā)送給CA進(jìn)行證書申請(qǐng)。加密技術(shù)發(fā)展加解密技術(shù)原理加解密常見算法數(shù)字證書PKI體系架構(gòu)PKI工作機(jī)制PKI工作過(guò)程針對(duì)一個(gè)使用PKI的網(wǎng)絡(luò)，配置PKI的目的就是為指定的PKI實(shí)體向CA申請(qǐng)一個(gè)本地證書，并由設(shè)備對(duì)證書的有效性進(jìn)行驗(yàn)證。PKI工作過(guò)程PKI實(shí)體向CA請(qǐng)求CA證書，即CA服務(wù)器證書。CA收到PKI實(shí)體的CA證書請(qǐng)求時(shí)，將自己的CA證書回復(fù)給PKI實(shí)體。PKI實(shí)體收到CA證書后，安裝CA證書。當(dāng)PKI實(shí)體通過(guò)SCEP協(xié)議申請(qǐng)本地證書時(shí)，PKI實(shí)體會(huì)用配置的HASH算法對(duì)CA證書進(jìn)行運(yùn)算得到數(shù)字指紋，與提前配置的CA服務(wù)器的數(shù)字指紋進(jìn)行比較，如果一致，則PKI實(shí)體接受CA證書，否則PKI實(shí)體丟棄CA證書。PKI工作過(guò)程PKI實(shí)體向CA發(fā)送證書注冊(cè)請(qǐng)求消息（包括配置的密鑰對(duì)中的公鑰和PKI實(shí)體信息）。當(dāng)PKI實(shí)體通過(guò)SCEP協(xié)議申請(qǐng)本地證書時(shí)，PKI實(shí)體對(duì)證書注冊(cè)請(qǐng)求消息使用CA證書的公鑰進(jìn)行加密和自己的私鑰進(jìn)行數(shù)字簽名。如果CA要求驗(yàn)證挑戰(zhàn)密碼，則證書注冊(cè)請(qǐng)求消息必須攜帶挑戰(zhàn)密碼（與CA的挑戰(zhàn)密碼一致）。當(dāng)PKI實(shí)體通過(guò)CMPv2協(xié)議申請(qǐng)本地證書時(shí)，PKI實(shí)體可以使用額外證書（其他CA頒發(fā)的本地證書）或者消息認(rèn)證碼方式進(jìn)行身份認(rèn)證。額外證書方式：PKI實(shí)體對(duì)證書注冊(cè)請(qǐng)求消息使用CA證書的公鑰進(jìn)行加密和PKI實(shí)體的額外證書相對(duì)應(yīng)的私鑰進(jìn)行數(shù)字簽名。PKI工作過(guò)程消息認(rèn)證碼方式：PKI實(shí)體對(duì)證書注冊(cè)請(qǐng)求消息使用CA證書的公鑰進(jìn)行加密，而且證書注冊(cè)請(qǐng)求消息必須包含消息認(rèn)證碼的參考值和秘密值（與CA的消息認(rèn)證碼的參考值和秘密值一致）。CA收到PKI實(shí)體的證書注冊(cè)請(qǐng)求消息。當(dāng)PKI實(shí)體通過(guò)SCEP協(xié)議申請(qǐng)本地證書時(shí)，CA使用自己的私鑰和PKI實(shí)體的公鑰解密數(shù)字簽名并驗(yàn)證數(shù)字指紋。數(shù)字指紋一致時(shí)，CA才會(huì)審核PKI實(shí)體身份等信息，審核通過(guò)后，同意PKI實(shí)體的申請(qǐng)，頒發(fā)本地證書。然后CA使用PKI實(shí)體的公鑰進(jìn)行加密和自己的私鑰進(jìn)行數(shù)字簽名，將證書發(fā)送給PKI實(shí)體，也會(huì)發(fā)送到證書/CRL存儲(chǔ)庫(kù)。PKI工作過(guò)程當(dāng)PKI實(shí)體通過(guò)CMPv2協(xié)議申請(qǐng)本地證書時(shí)：額外證書方式：CA使用自己的私鑰解密和PKI實(shí)體的額外證書中的公鑰解密數(shù)字簽名并驗(yàn)證數(shù)字指紋。數(shù)字指紋一致時(shí)，CA才會(huì)審核PKI實(shí)體身份等信息，審核通過(guò)后，同意PKI實(shí)體的申請(qǐng)，頒發(fā)本地證書。然后CA使用PKI實(shí)體的額外證書中的公鑰進(jìn)行加密和自己的私鑰進(jìn)行數(shù)字簽名，將證書發(fā)送給PKI實(shí)體，也會(huì)發(fā)送到證書/CRL存儲(chǔ)庫(kù)。消息認(rèn)證碼方式：CA使用自己的私鑰解密后，并驗(yàn)證消息認(rèn)證碼的參考值和秘密值。參考值和秘密值一致時(shí)，CA才會(huì)審核PKI實(shí)體身份等信息，審核通過(guò)后，同意PKI實(shí)體的申請(qǐng)，頒發(fā)本地證書。然后CA使用PKI實(shí)體的公鑰進(jìn)行加密，將證書發(fā)送給PKI實(shí)體，也會(huì)發(fā)送到證書/CRL存儲(chǔ)庫(kù)。PKI工作過(guò)程PKI實(shí)體收到CA發(fā)送的證書信息。當(dāng)PKI實(shí)體通過(guò)SCEP協(xié)議申請(qǐng)本地證書時(shí)，PKI實(shí)體使用自己的私鑰解密，并使用CA的公鑰解密數(shù)字簽名并驗(yàn)證數(shù)字指紋。數(shù)字指紋一致時(shí)，PKI實(shí)體接受證書信息，然后安裝本地證書。當(dāng)PKI實(shí)體通過(guò)CMPv2協(xié)議申請(qǐng)本地證書時(shí)：額外證書方式：PKI實(shí)體使用額外證書相對(duì)應(yīng)的私鑰解密，并使用CA的公鑰解密數(shù)字簽名并驗(yàn)證數(shù)字指紋。數(shù)字指紋一致時(shí)，PKI實(shí)體接受證書信息，然后安裝本地證書。消息認(rèn)證碼方式：PKI實(shí)體使用自己的私鑰解密，并驗(yàn)證消息認(rèn)證碼的參考值和秘密值。參考值和秘密值一致時(shí)，PKI實(shí)體接受證書信息，然后安裝本地證書。PKI工作過(guò)程PKI實(shí)體間互相通信時(shí)，需各自獲取并安裝對(duì)端實(shí)體的本地證書。PKI實(shí)體可以通過(guò)HTTP/LDAP等方式下載對(duì)端的本地證書。在一些特殊的場(chǎng)景中，例如IPSec，PKI實(shí)體會(huì)把各自的本地證書發(fā)送給對(duì)端。PKI實(shí)體安裝對(duì)端實(shí)體的本地證書后，通過(guò)CRL或OCSP方式驗(yàn)證對(duì)端實(shí)體的本地證書的有效性。對(duì)端實(shí)體的本地證書有效時(shí)，PKI實(shí)體間才可以使用對(duì)端證書的公鑰進(jìn)行加密通信。如果PKI認(rèn)證中心有RA，則PKI實(shí)體也會(huì)下載RA證書。由RA審核PKI實(shí)體的本地證書申請(qǐng)，審核通過(guò)后將申請(qǐng)信息發(fā)送給CA來(lái)頒發(fā)本地證書。證書應(yīng)用場(chǎng)景-

通過(guò)HTTPS登錄Web證書應(yīng)用場(chǎng)景-IPSecVPN證書應(yīng)用場(chǎng)景-SSLVPN以下哪些屬于對(duì)稱加密算法？（）MD5RSADESAES以下哪項(xiàng)是數(shù)字信封采用的算法？（）。對(duì)稱加密算法非對(duì)稱加密算法散列算法

下列那些不屬于PKI生命周期的內(nèi)容?()申請(qǐng)頒發(fā)存儲(chǔ)修改PKI體系由哪幾個(gè)部分組成?()終端實(shí)體證書認(rèn)證機(jī)構(gòu)證書注冊(cè)機(jī)構(gòu)證書/CRL存儲(chǔ)庫(kù)對(duì)稱和非對(duì)稱加密算法區(qū)別？數(shù)字信封、數(shù)字簽名主要用于解決什么問(wèn)題？常見的對(duì)稱、非對(duì)稱、散列算法有哪些？PKI體系架構(gòu)組成及生命周期PKI工作機(jī)制證書的格式及證書內(nèi)容的含義證書的常見應(yīng)用場(chǎng)景加密技術(shù)應(yīng)用維護(hù)網(wǎng)絡(luò)安全不應(yīng)有雙重標(biāo)準(zhǔn)，不能一個(gè)國(guó)家安全而其他國(guó)家不安全,一部分國(guó)家安全而另—部分國(guó)家不安全,更不能以犧牲別國(guó)安全謀求自身所謂的“絕對(duì)安全”。文字學(xué)習(xí)“中國(guó)衛(wèi)星之父”孫家棟，國(guó)家需要，我就去做！拓展主題愛國(guó)主義、科技強(qiáng)國(guó)、技能強(qiáng)國(guó)通過(guò)加密技術(shù)，可以保證網(wǎng)絡(luò)中數(shù)據(jù)傳輸?shù)陌踩?，?shù)據(jù)不會(huì)被篡改和窺探；通過(guò)簽名技術(shù)，可以保證數(shù)據(jù)的完整性，證明了數(shù)據(jù)發(fā)送方的身份；通過(guò)PKI證書認(rèn)證技術(shù)，可以驗(yàn)證公鑰的合法性，從而可以保證用戶接入到安全、合法的網(wǎng)絡(luò)中。通過(guò)使用這些技術(shù)，企業(yè)可以防止非法用戶接入企業(yè)網(wǎng)絡(luò)中。企業(yè)分支之間可以建立安全通道，保證企業(yè)數(shù)據(jù)的安全性。學(xué)完本課程后，您將能夠：描述加密技術(shù)的應(yīng)用場(chǎng)景掌握不同VPN技術(shù)的配置方法加密學(xué)的應(yīng)用VPN簡(jiǎn)介VPN配置密碼學(xué)應(yīng)用密碼學(xué)的應(yīng)用主要有數(shù)字信封、數(shù)字簽名和數(shù)字證書。數(shù)字信封：結(jié)合對(duì)稱和非對(duì)稱加密，從而保證數(shù)據(jù)傳輸?shù)臋C(jī)密性。數(shù)字簽名：采用散列算法，從而保證數(shù)據(jù)傳輸?shù)耐暾?。?shù)字證書：通過(guò)第三方機(jī)構(gòu)（CA）對(duì)公鑰進(jìn)行公證，從而保證數(shù)據(jù)傳輸?shù)牟豢煞裾J(rèn)性。應(yīng)用場(chǎng)景結(jié)合到實(shí)際的網(wǎng)絡(luò)應(yīng)用場(chǎng)景，數(shù)字信封、數(shù)字簽名和數(shù)字證書又有對(duì)應(yīng)場(chǎng)景的應(yīng)用。VPNIPv6HTTPS登錄系統(tǒng)登錄授權(quán)加密學(xué)的應(yīng)用VPN簡(jiǎn)介VPN配置VPN定義虛擬專用網(wǎng)VPN(VirtualPrivateNetwork)是一種“通過(guò)共享的公共網(wǎng)絡(luò)建立私有的數(shù)據(jù)通道，將各個(gè)需要接入這張?zhí)摂M網(wǎng)的網(wǎng)絡(luò)或終端通過(guò)通道連接起來(lái)，構(gòu)成一個(gè)專用的、具有一定安全性和服務(wù)質(zhì)量保證的網(wǎng)絡(luò)”。虛擬：用戶不再需要擁有實(shí)際的專用長(zhǎng)途數(shù)據(jù)線路，而是利用Internet的長(zhǎng)途數(shù)據(jù)線路建立自己的私有網(wǎng)絡(luò)。專用網(wǎng)絡(luò)：用戶可以為自己制定一個(gè)最符合自己需求的網(wǎng)絡(luò)。VPN分類數(shù)據(jù)鏈路層網(wǎng)絡(luò)層L3VPNL2VPNGREIPSecL2TPPPTPL2F傳輸層SSLVPNVPN的應(yīng)用場(chǎng)景Site-to-SiteVPN用于兩個(gè)局域網(wǎng)之間建立連接。可采用的VPN技術(shù)：IPSec、L2TP、L2TPoverIPSec、GREoverIPSec、IPSecoverGRE。Client-to-SiteVPN用于客戶端與企業(yè)內(nèi)網(wǎng)之間建立連接?？刹捎玫腣PN技術(shù)：SSL、IPSec、L2TP、L2TPoverIPSec。L2TPVPN簡(jiǎn)介L(zhǎng)2TP(LayerTwoTunnelingProtocol)二層隧道協(xié)議為在用戶和企業(yè)的服務(wù)器之間透明傳輸PPP報(bào)文而設(shè)置的隧道協(xié)議。提供了對(duì)PPP鏈路層數(shù)據(jù)包的通道（Tunnel）傳輸支持。L2TPVPN主要有三種使用場(chǎng)景NAS-InitiatedVPNLAC自動(dòng)撥號(hào)Client-InitiatedVPNClient-InitiatedVPN方式L2TPVPN一般用于出差員工使用PC、手機(jī)等移動(dòng)設(shè)備接入總部服務(wù)器，實(shí)現(xiàn)移動(dòng)辦公的場(chǎng)景，也是最為常用L2TP撥號(hào)方式。Client-InitiatedVPN隧道和會(huì)話建立過(guò)程GREVPN簡(jiǎn)介GeneralRoutingEncapsulation，簡(jiǎn)稱GRE，是一種三層VPN封裝技術(shù)。GRE可以對(duì)某些網(wǎng)絡(luò)層協(xié)議（如IPX、AppleTalk、IP等）的報(bào)文進(jìn)行封裝，使封裝后的報(bào)文能夠在另一種網(wǎng)絡(luò)中（如IPv4）傳輸，從而解決了跨越異種網(wǎng)絡(luò)的報(bào)文傳輸問(wèn)題。異種報(bào)文傳輸?shù)耐ǖ婪Q為Tunnel（隧道）。GRE報(bào)文處理過(guò)程GRE安全策略PC_A發(fā)出的原始報(bào)文進(jìn)入Tunnel接口這個(gè)過(guò)程中，報(bào)文經(jīng)過(guò)的安全域間是Trust—>DMZ；原始報(bào)文被GRE封裝后，F(xiàn)W_A在轉(zhuǎn)發(fā)這個(gè)報(bào)文時(shí)，報(bào)文經(jīng)過(guò)的安全域間是Local—>Untrust當(dāng)報(bào)文到達(dá)FW_B時(shí)，F(xiàn)W_B會(huì)進(jìn)行解封裝。在此過(guò)程中，報(bào)文經(jīng)過(guò)的安全域間是Untrust—>Local；GRE報(bào)文被解封裝后，F(xiàn)W_B在轉(zhuǎn)發(fā)原始報(bào)文時(shí)，報(bào)文經(jīng)過(guò)的安全域間是DMZ—>Trust。IPSecVPN簡(jiǎn)介IPSec（IPSecurity）協(xié)議族是IETF制定的一系列安全協(xié)議，它為端到端IP報(bào)文交互提供了基于密碼學(xué)的、可互操作的、高質(zhì)量的安全保護(hù)機(jī)制。IPSecVPN是利用IPSec隧道建立的網(wǎng)絡(luò)層VPN。IPSec協(xié)議體系IPSec通過(guò)驗(yàn)證頭AH（AuthenticationHeader）和封裝安全載荷ESP（EncapsulatingSecurityPayload）兩個(gè)安全協(xié)議實(shí)現(xiàn)IP報(bào)文的安全保護(hù)。IPSec安全聯(lián)盟IPSec安全傳輸數(shù)據(jù)的前提是在IPSec對(duì)等體（即運(yùn)行IPSec協(xié)議的兩個(gè)端點(diǎn)）之間成功建立安全聯(lián)盟SA（SecurityAssociation）。SA是通信的IPSec對(duì)等體間對(duì)某些要素的約定。封裝模式-

傳輸模式在傳輸模式中，AH頭或ESP頭被插入到IP頭與傳輸層協(xié)議頭之間，保護(hù)TCP/UDP/ICMP負(fù)載。封裝模式-

隧道模式在隧道模式下，AH頭或ESP頭被插到原始IP頭之前，另外生成一個(gè)新的報(bào)文頭放到AH頭或ESP頭之前，保護(hù)IP頭和負(fù)載。IKESAIKE

SA是為IPSecSA服務(wù)的，為IPSec提供了自動(dòng)協(xié)商密鑰、建立IPSec安全聯(lián)盟的服務(wù)。IPSec加解密及驗(yàn)證過(guò)程SSLVPN簡(jiǎn)介SSL是一個(gè)安全協(xié)議，為基于TCP的應(yīng)用層協(xié)議提供安全連接。IPTCPHTTPSSLNotSecureSecureIPTCPHTTPSSLVPN主要功能SVN安全接入網(wǎng)關(guān)網(wǎng)絡(luò)擴(kuò)展端口轉(zhuǎn)發(fā)用戶認(rèn)證Web代理可靠性文件共享USG系列設(shè)備加密學(xué)的應(yīng)用VPN簡(jiǎn)介VPN配置Client-Initialized方式L2TP應(yīng)用場(chǎng)景描述組網(wǎng)需求某公司建有自己的VPN網(wǎng)絡(luò)，在公司總部的公網(wǎng)出口處，放置了一臺(tái)VPN網(wǎng)關(guān)，即USG防火墻。要求出差人員能夠通過(guò)L2TP隧道與公司內(nèi)部業(yè)務(wù)服務(wù)器進(jìn)行通信。L2TPVPN配置流程開啟L2TP功能選擇“網(wǎng)絡(luò)>L2TP>L2TP”，在“配置L2TP”中，選中L2TP后的“啟用”，單擊“應(yīng)用”。配置L2TP參數(shù)在“L2TP組列表”中，點(diǎn)擊新建，設(shè)置L2TP組的參數(shù)。設(shè)置撥號(hào)用戶信息選擇“對(duì)象>用戶”。選中“default”認(rèn)證域，在“用戶管理”中，單擊“新建”，并選擇“新建用戶”，配置撥號(hào)用戶名和密碼。VPN客戶端設(shè)置及驗(yàn)證GRE應(yīng)用場(chǎng)景描述需求描述運(yùn)行IP協(xié)議的兩個(gè)子網(wǎng)網(wǎng)絡(luò)1和網(wǎng)絡(luò)2，通過(guò)在防火墻A和防火墻B之間建立的GRE隧道實(shí)現(xiàn)互訪。GREVPN配置流程GRE接口配置-FWA選擇“網(wǎng)絡(luò)>GRE>GRE”。單擊“新建”，配置GRE接口的各項(xiàng)參數(shù)。路由配置-FWA選擇“網(wǎng)絡(luò)>路由>靜態(tài)路由”。單擊“新建”,配置到網(wǎng)絡(luò)2的靜態(tài)路由。結(jié)果驗(yàn)證網(wǎng)絡(luò)1中的PC與網(wǎng)絡(luò)2中的PC能夠相互ping通。查看FWA“網(wǎng)絡(luò)>路由>路由表”可以看到目的地址為/24，出接口為Tunnel1的路由。點(diǎn)到點(diǎn)IPSecVPN應(yīng)用場(chǎng)景描述需求描述網(wǎng)絡(luò)A和網(wǎng)絡(luò)B通過(guò)防火墻A和B之間建立的IPSec隧道互聯(lián)互通IPSec和IKE提議參數(shù)采用默認(rèn)值采用IKE方式建立IPSec隧道IPSecVPN配置流程路由配置設(shè)置到達(dá)對(duì)端的路由，以FW_A為例，下一跳設(shè)置為FW_B的地址。域間安全策略IPSecFW_AFW_B允許網(wǎng)絡(luò)A和網(wǎng)絡(luò)B互訪ipsec1方向：trsut>untrust源地址：/24目的地址：/24動(dòng)作：允許方向：trsut>untrust源地址：/24目的地址：/24動(dòng)作：允許ipsec2方向：untrsut>trust源地址：/24目的地址：/24動(dòng)作：允許方向：untrsut>trust源地址：/24目的地址：/24動(dòng)作：允許允許IKE協(xié)商報(bào)文通過(guò)ipsec3方向：local>untrust源地址：/24目的地址：/24動(dòng)作：允許方向：local>untrust源地址：/24目的地址：/24動(dòng)作：允許ipsec4方向：untrust>local源地址：/24目的地址：/24動(dòng)作：允許方向：untrust>local源地址：/24目的地址：/24動(dòng)作：允許IPSec策略參數(shù)配置-FW_A加密數(shù)據(jù)流配置應(yīng)用IPSec策略配置結(jié)束后單擊配置界面最下方的“應(yīng)用”，保存并應(yīng)用IPSec策略。判斷：IPSec采用的是非對(duì)稱加密算法加密用戶數(shù)據(jù)的方式來(lái)保證信息傳遞機(jī)密性的？（）正確錯(cuò)誤以下哪些屬于USG6000系列防火墻SSLVPN的主要功能？（）端口轉(zhuǎn)發(fā)網(wǎng)絡(luò)擴(kuò)展文件共享Web代理

加密技術(shù)的應(yīng)用VPN的基本概念GREVPN、L2TPVPN的工作原理IPSecVPN加解密及驗(yàn)證過(guò)程四種VPN的配置流程防火墻配置綜合實(shí)訓(xùn)維護(hù)網(wǎng)絡(luò)安全不應(yīng)有雙重標(biāo)準(zhǔn)，不能一個(gè)國(guó)家安全而其他國(guó)家不安全,一部分國(guó)家安全而另—部分國(guó)家不安全,更不能以犧牲別國(guó)安全謀求自身所謂的“絕對(duì)安全”。文字學(xué)習(xí)“中國(guó)衛(wèi)星之父”孫家棟，國(guó)家需要，我就去做！拓展主題愛國(guó)主義、科技強(qiáng)國(guó)、技能強(qiáng)國(guó)隨著教育信息化的加速，高校網(wǎng)絡(luò)建設(shè)日趨完善，在師生暢享豐富網(wǎng)絡(luò)資源的同時(shí)，校園網(wǎng)絡(luò)的安全問(wèn)題也逐漸凸顯，并直接影響學(xué)校的教學(xué)、管理、科研等活動(dòng)。如何構(gòu)建一個(gè)安全、高速的校園網(wǎng)絡(luò)，已成為高校網(wǎng)絡(luò)管理者需要迫切解決的問(wèn)題。學(xué)完本課程后，您將能夠：描述校園網(wǎng)的基本需求描述校園網(wǎng)的組網(wǎng)結(jié)構(gòu)區(qū)分不同的安全風(fēng)險(xiǎn)規(guī)劃對(duì)校園網(wǎng)業(yè)務(wù)進(jìn)行規(guī)劃對(duì)校園網(wǎng)策略進(jìn)行配置與管理對(duì)網(wǎng)絡(luò)進(jìn)行測(cè)試需求分析典型組網(wǎng)業(yè)務(wù)規(guī)劃注意事項(xiàng)配置步驟結(jié)果驗(yàn)證需求分析校園網(wǎng)從網(wǎng)絡(luò)層到應(yīng)用層的各個(gè)層面都面臨著不同的安全威脅：網(wǎng)絡(luò)邊界防護(hù)：校園網(wǎng)一般擁有多個(gè)出口，鏈路帶寬高，網(wǎng)絡(luò)結(jié)構(gòu)復(fù)雜；病毒、蠕蟲的傳播成為最大安全隱患；越來(lái)越多的遠(yuǎn)程網(wǎng)絡(luò)接入，對(duì)安全性構(gòu)成極大挑戰(zhàn)。內(nèi)容安全防護(hù)：無(wú)法及時(shí)發(fā)現(xiàn)和阻斷網(wǎng)絡(luò)入侵行為；需要對(duì)用戶訪問(wèn)的URL進(jìn)行控制，允許或禁止訪問(wèn)某些網(wǎng)頁(yè)資源，規(guī)范上網(wǎng)行為；需要防范不當(dāng)?shù)木W(wǎng)絡(luò)留言和內(nèi)容發(fā)布，防止造成不良的社會(huì)影響。網(wǎng)絡(luò)拓?fù)銯W作為高性能的下一代防火墻，可以部署在校園網(wǎng)出口，幫助高校降低安全威脅，實(shí)現(xiàn)有效的網(wǎng)絡(luò)管理。FW不僅可以提供安全隔離和日常攻擊防范，還具備多種高級(jí)應(yīng)用安全能力，如攻擊防范、IPS、防病毒、上網(wǎng)行為審計(jì)等，在實(shí)施邊界防護(hù)的同時(shí)提供應(yīng)用層防護(hù)。業(yè)務(wù)規(guī)劃FW可以滿足校園網(wǎng)的所有需求，下面給出具體功能的介紹并結(jié)合組網(wǎng)進(jìn)行業(yè)務(wù)規(guī)劃。網(wǎng)絡(luò)基礎(chǔ)及訪問(wèn)控制配置入侵防御與DNS透明代理智能選路與服務(wù)器負(fù)載均衡智能DNSNAT攻擊防范與審計(jì)策略網(wǎng)管設(shè)備注意事項(xiàng)ISP地址集中的IP地址是否齊全直接影響智能選路、智能NDS功能的實(shí)施效果，請(qǐng)充分收集各ISP中的常用地址。多出口場(chǎng)景下，策略路由智能選路不能和IP欺騙攻擊防范功能或URPF（UnicastReversePathForwarding，單播逆向路徑轉(zhuǎn)發(fā)）功能一起使用。如果開啟IP欺騙攻擊防范功能或URPF功能，可能導(dǎo)致FW丟棄報(bào)文。智能DNS功能需要License授權(quán)，并通過(guò)動(dòng)態(tài)加載功能加載相應(yīng)組件包后方可使用。注意事項(xiàng)服務(wù)器負(fù)載均衡功能的虛擬服務(wù)器的IP地址不能和下列IP地址相同：NATServer的公網(wǎng)IP地址（globalIP）NAT地址池中的IP地址、網(wǎng)關(guān)的IP地址、FW的接口IP地址服務(wù)器負(fù)載均衡功能的實(shí)服務(wù)器的IP地址不能和下列IP地址相同：虛擬服務(wù)器的IP地址、NATServer的公網(wǎng)IP（globalIP）NATServer的內(nèi)網(wǎng)服務(wù)器IP地址（insideIP注意事項(xiàng)配置服務(wù)器負(fù)載均衡功能后，在配置安全策略和路由功能時(shí)，需針對(duì)實(shí)服務(wù)器的IP地址進(jìn)行配置，而不是虛擬服務(wù)器的IP地址。配置NAT地址池和NATServer后，需要針對(duì)地址池中的地址和NATServer的公網(wǎng)地址配置黑洞路由，防止產(chǎn)生路由環(huán)路。只有審計(jì)管理員才能配置審計(jì)功能和查看審計(jì)日志。只有支持安裝硬盤且硬盤在位的設(shè)備才能在Web界面上查看和導(dǎo)出審計(jì)日志。在報(bào)文來(lái)回路徑不一致的組網(wǎng)環(huán)境中，審計(jì)日志記錄的內(nèi)容可能不完整。配置步驟配置接口和安全區(qū)域，并為參與選路的出接口配置網(wǎng)關(guān)地址、帶寬和過(guò)載保護(hù)閾值。配置安全策略。分別為教育網(wǎng)、ISP1、ISP2創(chuàng)建安全區(qū)域，并將各接口加入安全區(qū)域。為各域間配置安全策略，控制域間互訪。在安全策略中引用缺省的入侵防御配置文件，配置入侵防御功能。配置入侵防御特征庫(kù)的定時(shí)升級(jí)功能。配置升級(jí)中心。設(shè)備可訪問(wèn)升級(jí)服務(wù)器或可通過(guò)代理服務(wù)器訪問(wèn)升級(jí)服務(wù)器。配置定時(shí)升級(jí)功能，設(shè)置定時(shí)升級(jí)時(shí)間。配置步驟配置IP-Link功能，探測(cè)各ISP鏈路狀態(tài)是否正常。配置路由。配置DNS透明代理。配置各接口綁定DNS服務(wù)器的IP地址。配置排除域名。配置DNS透明代理策略。為DNS請(qǐng)求報(bào)文配置策略路由智能選路，使報(bào)文能夠負(fù)載分擔(dān)到各鏈路上。配置步驟配置智能選路。配置ISP地址集。新建對(duì)應(yīng)遠(yuǎn)程教學(xué)系統(tǒng)軟件的應(yīng)用，并在策略路由中引用，使遠(yuǎn)程教學(xué)系統(tǒng)軟件的流量從教育網(wǎng)和ISP2鏈路轉(zhuǎn)發(fā)。配置策略路由智能選路，使P2P流量從ISP1鏈路轉(zhuǎn)發(fā)。配置單