《CIWSecurity_第二部分_网络安全技术与实践》由会员分享,可在线阅读,更多相关《CIWSecurity_第二部分_网络安全技术与实践(352页珍藏版)》请在金锄头文库上搜索。
1、欢迎参加欢迎参加 CIW v5 CIW v5 安全分析师安全分析师 认证培训认证培训嘉为嘉为ITIT培训学院(广州培训学院(广州 深圳)深圳)第二部分第二部分 网络安全技术与实践网络安全技术与实践内容单元 第4单元:加密技术与应用实践 第5单元:身份认证技术 第6单元:防火墙技术与应用实践 第7单元:防病毒技术与应用实践 第8单元:VPN技术与应用实践 第9单元:入侵检测技术与应用实践 第10单元:无线网络安全技术与应用实践 第11单元:其他网络安全技术介绍第第4 4单元单元 加密技术与应用实践加密技术与应用实践内容提要1. 加密技术介绍2. 加密技术实验3. PKI与CA介绍4. PKI与C
2、A实验1. 加密技术介绍加密的作用加密算法的类型 对称加密算法 非对称加密算法 哈希(Hash)算法加密算法的特点对比 基本术语消息被称为明文(Plaintext),用某种方法伪装消息以隐藏它的内容 的过程称为加密(Encryption),被加密的消息称为密文(Ciphertext) ,而把密文转变为明文的过程称为解密(Decryption)密码算法(Cryptography Algorithm):是用于加密和解密的数学函 数加密技术通常分为三类:对称加密:使用一个字符串(密钥)去加密数据,同样的密钥用于 加密和解密。非对称加密:也称为公钥加密,使用一对密钥来加密数据。一个用 于加密,一个用于
3、解密,反之亦然。HASH加密:使用一个叫HASH函数的数学方程式去加密数据。加密能做什么? 服务描述数据保密性这是加密技术的常用用途,通过使用算法,可 以确保只有目标接受者才能查看数据。数据完整性仅实现数据保密是不够安全的,数据仍然能够 被非法破解并修改。使用HASH算法能确定数据 是否被修改过。认证数字签名提供认证服务,以确保数据来源安全 可靠。不可否定性数字签名用于证明一项事务确实发生过。金融 系统尤其依赖于这种加密方式,用于电子货币 交易。加密技术的强度 加密技术的强度基于三个主要因素: 算法强度:我们应该运用工业标准算法,任何新算法在没有经 过商业验证之前是不能被信任的。 密钥的保密性
4、能 :数据的保密程度与密钥的隐秘性是联系在一 起的。 密钥的长度:密钥的长度增加一位将使可能的密钥组合的数量 增加一倍。对称密钥加密系统BobAlice共享加/解密 密钥Internet/Intranet密文传送加密解密明文明文公钥加密系统的数字加密BobAliceInternet/Intranet密文传送加密 解密明文明文Alice公钥Alice私钥Alice公钥 使用公钥加密法交换对称密钥BobAliceInternet/Intranet密文传送公钥加密公钥解密明文明文Alice公钥Alice私钥Alice公钥 共享会话密钥对称加密对称解密Hash加密与数字签名BobAliceIntern
5、et/IntranetBob私钥Bob公钥文本签名文本Hash加密消息 摘要数字 签名Bob公钥Hash 加密公钥加密OK公钥解密?+Yes加密算法的特点对对比算法类型密钥构成算法特点算法应用算法举例对称加密算 法一把密钥算法足够强大 ,性能好,但 密钥安全难以 保护加密较大数据 量的数据DES、3DES 、 RC2、AES公钥算法公钥和私钥安全性好,但 性能较慢加密对称密钥 或较小的核心 数据DSA、RSAHash算法直接产生认证 码,hash函数 不使用密钥单向不可逆用于保护数据 的完整性SHA、MD5 、对称加密算法对称加密算法有: DES (Data Encryption Standa
6、rd) 数据加密标准 Triple DES 三重DES RSA算法 RC2 and RC4 RC5 RC6 Blowfish (up to 448bit) and Twofish(up to 256) Skipjack 美国国家安全局设计的加密程序 MARS 由IBM设计,速度比DES要快 AES(Advanced Encryption Standard)非对称加密算法 非对称加密算法包括: RSA美国国家技术标准局的标准,被广泛采用 DSA (Digital Signature Algorithm) 用于LINUX Differ-Hellman 密钥交换协议,开放式标准HASH算法 HASH
7、算法包括: MD2,MD4 and MD5:使用不同长度的数据流,产生一 个唯一的指纹,用于对E-mail、证书,保证内容完整性的 相关应用。 安全HASH算法(SHA) :由NIST和NSA开发并应用于美 国政府,160位hash值,结构与MD5类似,速度比MD5 慢25%,比MD5更安全,产生的Hash值比MD5长25%。PGP和GPG针对电子邮件和文本文件最流行的高技术加密程序就是PGP 和GPG,两者是最成功的采用对称加密和非对称加密技术以 及HASH加密的优点的加密程序。安装了PGP或GPG以后,需要生成一对密钥对,这一对密钥 是非对称的,即公钥和私钥是各不相同又紧密联系的。PGP和
8、GPG也采用了对称加密技术,在生成公钥和私钥的时 候会要求输入一个简单好记的密钥,这个密钥用于保护刚才 生成的密钥对。 2.加密技术实验 部署PGP Desktop Pro 9.5 生成密钥对,对公共密钥导出、交换、签名 配置PGP Messaging,实现电子邮件的签名与加密 使用PGP ZIP实现文件和文件夹的加密保护 使用PGP Disk实现磁盘和分区卷的加密保护 使用PGP NetShare实现网络共享文件夹的加密保护3. PKI与CA介绍数字证书介绍公钥架构(PKI)介绍PKI/CA体系架构证书颁发机构(CA)国内外PKI/CA现状和展望PKI应用何谓数字证书?数字证书又称为数字标识
9、(Digital Certificate,Digital ID)。它提供了一种在Internet上身份验证的方式,是 用来标志和证明网络通信双方身份的数字信息文件。数字证书的用途在使用数字证书的过程中应用公钥加密技术,建立起一套严密的 身份认证系统,它能够保证: 信息除发送方和接受方外不被其他人窃取;信息在传输过程中不被篡改;接收方能够通过数字证书来确认发送方的身份;发送方对于自己发送的信息不能抵赖。随着Internet的普及、各种电子商务活动和电子政务活动的飞速 发展,数字证书开始广泛地应用到各个领域之中,目前主要包括 :发送安全电子邮件、访问安全站点、网上招标投标网上签约、网上订购、安全网
10、上公文传送网上缴费、网上缴税、网上炒股、网上购物和网上报关等。数字证书的内容数字证书主要包括三方面的内容:证书所有者的信息、证 书所有者的公钥和证书颁发机构的签名。一个标准的X.509数字证书包含以下一些内容:证书的版本信息;证书的序列号,每个证书都有一个唯一的证书序列号;证书所使用的签名算法;证书的发行机构名称(命名规则一般采用X.500格式)及其用 私钥的签名;证书的有效期;证书使用者的名称及其公钥的信息。数字证书的颁发数字证书是由证书颁发机构(CA)颁发的证书颁发机构是一家能向用户签发数字证书以确认用户身份的管理机构 。为了防止数字凭证的伪造,CA的公钥必须是可靠的, CA必须公布其公钥
11、或 由更高级别的CA提供一个电子凭证来证明其公钥的有效性,后一种方法导致 了多级别CA的出现。 数字证书颁发过程如下:用户首先产生自己的密钥对,并将公钥及部分个人身份信息传送给证书颁发 机构(CA) ;CA在核实身份后,将执行一些必要的步骤,以确信请求确实由用户发送而来 ;然后, CA将发给用户一个数字证书,该证书内包含用户的个人信息和他的 公钥信息,同时还附有CA的签名信息;用户就可以使用自己的数字证书进行相关的各种活动。数字证书的生命周期CA 生成一张证书2CA 为用户、计算机和 服务发布证书3证书用于支持PKI体系的应用上4证书到达了使用时间后5用户、计算机、服务向 CA申请证书1证书被
12、撤回6证书被续约6证书到期6使用Web方式申请证书输入或确认你的 身份信息4http:/ServerName/certsrv Name: Tony Company: Contoso, Ltd.安装证书5http:/ServerName/certsrvConnect to http:/ServerName/certsrv using a browser1点击申请一张证书2http:/ServerName/certsrvRequest a certificate选择申请的证书类型3吊销证书的原因Reason codeUse when密钥损失计算机被盗或智能卡遗失CA损坏CA损坏从属关系改变员工离职
13、或停职替代当智能卡登陆失败或用户更改名字时操作停止颁发的证书被取代证书挂起某张证书需要临时挂起从CRL中删除常用于撤回挂起的证书未指定吊销证书没有指定具体的原因什么是PKI? PKI是“Public Key Infrastructure”的缩写,意为“公钥基 础设施”。简单地说,PKI技术就是利用公钥理论和技术 建立的提供信息安全服务的基础设施。 PKI技术的意义: 通过PKI可以构建一个可管、可控、安全的互联网络。 通过PKI可以在互联网中构建一个完整的授权服务体系。 通过PKI可以建设一个普适性好、安全性高的统一平台 。PKI的体系构成使用支持PKI应用的帐号用户计算机服务PKI的构建 自
14、建模式(In-house Model) 是指用户购买整套的PKI软件和所需的硬件设备,按照PKI的构 建要求自行建立起一套完整的服务体系。 托管模式 是指用户利用现有的可信第三方认证中心CA提供的PKI服务 ,用户只需配置并全权管理一套集成的PKI平台即可建立起一 套完整的服务体系,对内对外提供全部的PKI服务。典型的CA系统体系结构多层次结构,优点:管理层次分明,便于集中管理、政策制订和实施提高CA中心的总体性能、减少瓶颈有充分的灵活性和可扩展性有利于保证CA中心的证书验证效率CA的信任关系当一个安全个体看到另一个安全个体出示的证书时,他是否信任此 证书? 信任难以度量,总是与风险联系在一起
15、可信CA 如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间 的绑定,则他可以信任该CA,该CA为可信CA信任模型 基于层次结构的信任模型 交叉认证 以用户为中心的信任模型基于层次结构的信任模型对于一个运行CA的大型权威机构而言,签发证书的工作不能仅 仅由一个CA来完成它可以建立一个CA层次结构根CA中间CAn根CA具有一个自签名的证 书n根CA依次对它下面的CA进 行签名n层次结构中叶子节点上的 CA用于对安全个体进行签 名n对于个体而言,它需要信 任根CA,中间的CA可以不 必关心(透明的);同时它的 证书是由底层的CA签发的以用户为中心的信任模型对于每一个用户而言,应该建
16、立各种信任关系,这种信任关系 可以被扩展例子:用户的浏览器配置国外PKI/CA现状和展望1976年,RSA算法提出20世纪80年代,美国学者提出了PKI的概念为了推进PKI在联邦政府范围内的应用,1996年就成立了联邦PKI 指导委员会1996年,以Visa、MastCard、IBM、Netscape、MS、数家银行推 出SET协议,推出CA和证书概念1999年,PKI论坛成立2000年4月,美国国防部宣布要采用PKI安全倡议方案。2001年6月13日,在亚洲和大洋洲推动PKI进程的国际组织宣告成 立,该国际组织的名称为“亚洲PKI论坛”,其宗旨是在亚洲地区推 动PKI标准化,为实现全球范围的电子商务奠定基础国外PKI/CA现状和展
