《信息安全技术在电子政务和电子商务中的应用》由会员分享,可在线阅读,更多相关《信息安全技术在电子政务和电子商务中的应用(73页珍藏版)》请在金锄头文库上搜索。
1、信信 息息 安安 全全 技技 术术在电子政务和电子商务中在电子政务和电子商务中的应用的应用网 络 安 全 培 训 课 程 之 二张思宇 博士 客座教授2网 络 信 息 安 全 的 重 要 性Internet 解决了 信息传播 的问题,带来 信息安全 问题Internet 和网络应用在中国高速发展 60 万网站,8,000 万用户(2004 年) 电子政务、电子商务、网络银行、企业网络迅速发展 国务院决定在近几年内全面发展 IT,建设政府网络信息安全关系重大 黑客袭击、截取信息、篡改数据、病毒发作 对政治、军事、经济关系重大,对生产生活关系重大 内部安全隐患的危害高于外部威胁3网 络 和 信 息
2、 安 全 技 术网络边界安全 防火墙、网络隔离、防攻击、入侵检测、漏洞检测等计算机系统安全 漏洞检测、系统强化、防病毒、访问控制等应用系统安全 身份认证、权限管理、访问控制、内容保护等数据通信安全 数据加密传输、线路加密设备、VPN、安全电子邮件数据信息安全 数据库安全、加密存放、完整性检验等网络交易安全 身份认证、数据私密性、防篡改、防抵赖等系统运行安全 网络监控、防攻击、防病毒、访问控制等安全管理和策略 政策法规、信息系统安全保护等级、监控和审计4本 讲 座 涉 及 的 一 些 问 题 如何在网络上认证对方的真实身份? 如何建立长期可用的身份标识? 如何实现用户管理和访问控制? 如何保障数
3、据通信的安全? 如何保证数据的真实、完整? 如何保证交易的不可否认、不可抵赖性? 如何保障数据安全? 如何安全地实现无线交易? 新技术和新进展 5讲 座 内 容1.PKI 技术基础 密码技术发展、PKI 原理、相关技术介绍2.PKI 系统 数字证书、认证系统、不同的类型和典型产品3.证书管理 证书的发放流程、证书管理、查询和使用4.PKI 应用方法 安全协议、证书认证、数字签名5.PKI 实践 常用设备、应用举例、WPKI 和无线安全通信6.PMI 简介 属性证书、访问控制7.其它技术 SSO、动态口令、指纹8.指导政策 网络和信息安全管理、安全保护等级等内容6什 么 是 PKI 技 术 PK
4、I:Public Key Infrastructure 公共密钥体系 提供安全服务的具有普遍适用性的基础设施 在网络和计算机世界中表示和管理信任关系 利用了密码学中的公共密钥技术的加密体制 包含了多种算法、协议、标准、规范 成长变化中的加密体制,仍在发展和完善中 应用的范围包括互联网、专用网、企业网、手机和无线网络等多种领域7PKI 技 术 的 发 展 历 史 70:发明公钥算法,提出几种基础技术 1976 DH 算法,1978 RSA 算法80:几乎没有进展 1985 Elgemal 算法90:全面发展,形成技术框架,进入实际应用 1991 DSA 算法,1994 ECC、DSS,MD 系列
5、算法 标准化工作: IETF PKIX,SPKI Workgroup,NIST,DOT (Department of the Treasury),TOG (The Open Group),RSA 的 PKCS,WAP Forum 等工业应用:CA 系统的建立,应用系统的广泛支持等8传 统 密 码 学 对 称 密 钥 算 法历史悠久,基本技术是 替换、置换、移位加密和解密采用同一个密钥(对称) 一个密钥: Key 长度 40168 bit 或更长 加密: Data = f (Data, Key) 解密: Data = G (Data, Key)方法简单,加密速度快;交换密钥相当困难加密设备 A加
6、密设备 B密钥管理中心9DES 算 法DES 是第一个得到广泛应用的密码算法DES 算法的加密和解密公式相同DES 是一种分组加密算法,输入的明文为 64 位,密钥为 56 位,生成的密文为 64 位3DES 算法采用两个或三个密钥,对同一段数据完成三遍 DES 运算DES(56)已于 1997 年被破译10RC 系 列 算 法RC 系列是 Ron Rivest 为 RSA 公司设计的一系列密码算法 RC1 没有公开过,RC3 在设计过程中被攻破 RC2 是变长密钥加密密法 RC4 是 Rivest 在 1987 年设计的变长密钥的序列密码 RC5 是在 1994 年设计的分组长、密钥长的迭代
7、轮数都可变的分组迭代密码算法RC 系列密码算法的应用较广,随着浏览器传遍全球RC5-32/12/5,RC5-32/12/6,RC-32/12/7 已分别在 1997 年被破译11AES 算 法由于 DES 算法被破解,美国决定选择新的算法,称为 AES (Advanced Encryption Standard)最后的 5 个候选算法:Mars,RC6,Rijndael,Serpent 和 TwofishRijndael 是迭代分组密码,其分组长度和密钥长度都可变AES 规范中,分组长度为128 bit,密码长度为128/192/256bit,相应的轮数 r 为 10/12/14AES 于 2
8、000 年开始使用,未来使用最广泛的对称算法12公 开 密 钥 (Public Key)算 法n nWhitefield DiffieWhitefield Diffie,Martin HellmanMartin Hellman,New Directions in New Directions in CryptographyCryptography,19761976,提出了公钥密码技术和算法提出了公钥密码技术和算法n n一对密钥,使用其中的一个密钥加密,用另一个解密一对密钥,使用其中的一个密钥加密,用另一个解密u u 私有密钥私有密钥(Private Key)必须安全地存放起来必须安全地存放起来
9、u u 公开密钥公开密钥(Public Key) 可以公开发布和使用可以公开发布和使用n n在密码学中称为在密码学中称为 “ “非对称密钥算法非对称密钥算法” ”n n计算速度慢,一般不适用于数据加密计算速度慢,一般不适用于数据加密n n适用于密钥交换、身份认证、数字签名等应用适用于密钥交换、身份认证、数字签名等应用n n包括:包括:DH/DSADH/DSA、ElgemalElgemal、RSARSA、ECC ECC 等算法等算法13RSA 算 法Ron Rivest,Adi Shamir 和 Len Adleman 于 1977 年研制,1978 年首次发表RSA 是一种分组密码,其理论基础
10、是一种特殊的可逆模指数运算,其安全性基于分解大整数的困难性RSA 既可用于加密,又可用于数字签名,已得到广泛采用被许多标准化组织(ISO、ITU、IETF、SWIFT、WAP)接纳512 bit 的 RSA-155 和 RSA-140 于 1999 年破解破解 RSA 1024 bit 需要数亿台个人电脑共同计算一个月14公 共 密 钥 算 法 的 使 用使用方法:用一个密钥加密,用另一个密钥解密 甲用乙的公钥加密,乙用私钥解密 密文传递(数字信封) 甲用私钥加密,乙用甲的公钥解密 确认身份(签名 / 验证) 用自己的公钥加密,自己的私钥解密 文件或数据加密保护公钥算法的出现解决了大规模安全通
11、信中密钥分发的问题数字信封:用对方的公钥加密需要分发的对称密钥密钥分发:可以动态地完成,可以实现 “一次一密”密钥对可以长期使用,为网络安全技术提供了实用的工具私有密钥是安全的关键,拥有者必须安全保存15数 字 摘 要(Hash)算法n n数字摘要计算(散列算法)数字摘要计算(散列算法)u Digest = Hash (Data) ,固定长度u 充分离散,不可逆,对原数据的变化指示明显nMD 系列算法(Ron RivestRon Rivest,19901995 年设计) u MD4、MD5,128bitu u 较早被标准化组织较早被标准化组织 IETF IETF 接纳,已经获得广泛应用接纳,已
12、经获得广泛应用nSHA 和 SHA-1(NIST 和 NSA 组织设计,1991) u结构类似于 MD4,160bit,安全度较高,已获广泛应用安全度较高,已获广泛应用nRIPE-MD(欧共体使用,128 或 160bit) 16数 字 签 字 和 验 证 方 法n n数字签字数字签字 (SignatureSignature)u 计算原数据的摘要u 用私有密钥加密摘要u 将数据和摘要密文传送给接收方u 接收方用对方公钥解密摘要u 自行计算所接收数据的摘要u 比较两个摘要n n保障数据的保障数据的 完整性完整性 和和 抗否认性抗否认性ABCDEFGHIJKLMABCDEFGHIJKLMNOPQR
13、STUVWSYZNOPQRSTUVWSYZ12345678901234567890 17讲 座 内 容1.PKI 技术基础 密码技术发展、PKI 原理、相关技术介绍2.PKI 系统 数字证书、认证系统、不同的类型和典型产品3.证书管理 证书的发放流程、证书管理、查询和使用4.PKI 应用方法 安全协议、证书认证、数字签名5.PKI 实践 常用设备、应用举例、WPKI 和无线安全通信6.PMI 简介 属性证书、访问控制7.其它技术 SSO、动态口令、指纹8.指导政策 网络和信息安全管理、安全等级等18PKI 系 统 的 组 成 部 分认证机构认证机构目录服务目录服务安全策略安全策略支持支持 PK
14、I PKI 的应用的应用19数 字 证 书n n用户公钥用户信息用户公钥用户信息CA CA 认证认证n n数字证书数字证书 (CertificateCertificate)u 标准:标准:X.509 v3X.509 v3、WTLS WTLS 等等u u 密钥长度:密钥长度:10241024、2048 2048 bitbitu u 长度:长度:12 12 KBKBu u 种类:签字证书、加密证书等种类:签字证书、加密证书等u u 用户:根、服务器、个人证书等用户:根、服务器、个人证书等u u 寿命:根据类型和策略确定寿命:根据类型和策略确定n n证书链,认证的继承关系证书链,认证的继承关系 证书
15、版本信息证书版本信息 证书序列号证书序列号 签名算法标识签名算法标识 认证机构信息认证机构信息 有效期限有效期限 持有者信息持有者信息 持有者公钥持有者公钥 证书扩展项证书扩展项 认证机构签字认证机构签字X.509v3 X.509v3 格式的数字证书格式的数字证书20证 书 吊 销 列 表 (黑 名 单)n n证书吊销列表证书吊销列表 (CRLCRL,Certificate Revocation ListCertificate Revocation List)u 吊销:用户变更、用户失去信任、私有密钥泄漏等原因吊销:用户变更、用户失去信任、私有密钥泄漏等原因u u 构成:吊销证书的序列号,构成
16、:吊销证书的序列号,CA CA 的数字签名的数字签名u u 使用:认证对方身份时要查询其有效性使用:认证对方身份时要查询其有效性u u 发布:查询(发布:查询(LDAP LDAP 等方法)、发布到指定地址等方法)、发布到指定地址n n证书吊销列表的信息对安全认证非常重要证书吊销列表的信息对安全认证非常重要21单 密 钥 和 双 密 钥 体 系n n单密钥对、单证书:单密钥对、单证书:u u 数字签名、加密和密钥交换,私有密钥由用户保管数字签名、加密和密钥交换,私有密钥由用户保管u u 全部商业产品都支持,生产厂家较多全部商业产品都支持,生产厂家较多n n双密钥对、双证书:双密钥对、双证书:u
17、u 签名证书签名证书:代表用户的身份,私有密钥由用户方保存:代表用户的身份,私有密钥由用户方保存u u 加密证书:加密证书:完成数据加密或密钥交换,私有密钥由服务器托管完成数据加密或密钥交换,私有密钥由服务器托管 n n典型的双密钥系统:典型的双密钥系统:u u 加拿大加拿大 Entrust Entrust 公司的公司的 CA CA 和安全产品和安全产品u u 我国电子政务建议采用双证书体系(无锡江南所、吉大正元)我国电子政务建议采用双证书体系(无锡江南所、吉大正元)22PKI 基 础 设 施(1)n nPKI PKI 基础设施基础设施 CACA (Certification Authorit
18、yCertification Authority)系统)系统u u 组成:组成:软硬件系统,认证和管理策略软硬件系统,认证和管理策略u u 层次:层次: 根根CACA、子子CACA、 RA RA 的分层结构的分层结构u u 体系:体系:主要有单密钥体系和双密钥体系两种主要有单密钥体系和双密钥体系两种u u 规模:规模:大(国家级)、中(省、行业)、小(企业级)大(国家级)、中(省、行业)、小(企业级)u u 工作:工作:给网络中各类设备和用户发放证书给网络中各类设备和用户发放证书u u 任务:任务:认证和管理网络中各类设备和用户的身份认证和管理网络中各类设备和用户的身份u u 目的:目的:保持
19、网络系统内各参与者之间的相互信任关系保持网络系统内各参与者之间的相互信任关系 23PKI 基 础 设 施(2)n nPKI PKI 基础设施基础设施 目录服务目录服务 (LDAP LDAP 服务器)服务器)u u 组成:组成:软硬件系统,软硬件系统,LDAP LDAP 服务器服务器u u 任务:任务:公布各类设备和用户的证书,公布黑名单公布各类设备和用户的证书,公布黑名单u u 目的:目的: 排除证书已失效用户排除证书已失效用户 使网络用户可以方便地查找自己或他人的证书使网络用户可以方便地查找自己或他人的证书 作为用户管理中心,同时支持多种应用系统作为用户管理中心,同时支持多种应用系统n nO
20、CSP OCSP (Online Certificate Status Protocol Online Certificate Status Protocol ),),证书状态在证书状态在线查询协议线查询协议24小 型 CA 系 统 的 组 成证书管理模块 数 据 库 管 理 模 块证书请求库有效证书库吊销证书库系统管理员库审计日志库证书签名模块PCI 加密卡证书、黑名单发布模块密钥管理模块备份与恢复模块管理 审计操 作CA系统管理模块25大 型 CA 中 心 的 模 块 和 组 成证书签发 加密机 密钥管理 加密机数据库事件审计操作员管理证书管理网络监视查询服务注册申请证书发布CRL发布We
21、b 服务器LDAP 服务器邮件 服务器防火墙CA 中心的组成KM 系统OCSP 服务器26RA (注 册 机 构)中 心 的 组 成CA 中心事件审计操作员管理申请转发数据库管理查询服务审批服务Web 服务器LDAP 服务器防火墙RA 的组成27大 型 CA 系 统 的 拓 扑 结 构根 CA (全国)子 CA (北京)子 CA (上海)子 CA (湖北)子 CA (广东)RARA根 CA子 CA (银行)子 CA (证券)子 CA (保险)子 CA (电子商务)RA 北京RA 上海28CFCA 的 拓 扑 结 构n n中国金融中国金融 CACA,1999 1999 年年n n采用采用 Ent
22、rust Entrust 公司产品公司产品n n为多家银行提供认证服务为多家银行提供认证服务n n为税务等其它机构提供服务为税务等其它机构提供服务29不 同 CA 系 统 间 的 关 系n n一个一个 CA CA 系统建立并维持一个安全信任域系统建立并维持一个安全信任域n n不同安全域之间是不能互通的,需要建立一种信任机制不同安全域之间是不能互通的,需要建立一种信任机制n n交叉认证交叉认证u u 两个两个 CA CA 系统相互为对方的根系统相互为对方的根 CA CA 签证书签证书u u 融合了两个信任域,扩展信任范围融合了两个信任域,扩展信任范围n n桥桥 CACAu u 与多个与多个 CA
23、 CA 系统建立对等信任关系系统建立对等信任关系u u 本身不向用户发证书,不是信任原点本身不向用户发证书,不是信任原点30国 内 一 些 大 型 CA 系 统n n中国电信中国电信 CA CA 安全认证中心(安全认证中心(CTCACTCA)n n中国联通中国联通 CA CA 系统(系统(CUCACUCA)n n中国金融认证中心(中国金融认证中心(CFCACFCA)n n中国国际电子商务认证中心中国国际电子商务认证中心n n中国邮政中国邮政 CA CA 认证中心(认证中心(CPCACPCA)n n中国海关中国海关 CA CA 认证中心认证中心n n上海市(上海市(SHECASHECA)、)、北
24、京市(北京市(BJCABJCA)n n广东、福建、河南等省级认证中心广东、福建、河南等省级认证中心n n公安系统公安系统 CA CA 系统等部级认证中心系统等部级认证中心31讲 座 内 容1.PKI 技术基础 密码技术发展、PKI 原理、相关技术介绍2.PKI 系统 数字证书、认证系统、不同的类型和典型产品3.证书管理 证书的发放流程、证书管理、查询和使用4.PKI 应用方法 安全协议、证书认证、数字签名5.PKI 实践 常用设备、应用举例、WPKI 和无线安全通信6.PMI 简介 属性证书、访问控制7.其它技术 SSO、动态口令、指纹8.指导政策 网络和信息安全管理、安全等级等32单 证 书
25、 申 请 流 程2. 提交申请CA 服务器LDAP 服务器RA 服务器用户端1. 填写申请表 产生密钥对 形成申请 数字签名3.审批 数据记录4. 报签5. 签发证书 存档6. 发证8. 邮件通知 证书下载9. 证书发布7. 备案33流 程 的 变 种n n没有没有 RA RA 系统,直接向系统,直接向 CA CA 申请申请n n附加了付费处理等流程附加了付费处理等流程n n没有邮件通知,按指定时间或方法领取证书没有邮件通知,按指定时间或方法领取证书n n没有审批流程,申请提交后即获得数字证书没有审批流程,申请提交后即获得数字证书n n证书发到软盘、证书发到软盘、IC IC 卡、卡、USB K
26、ey USB Key 介质内,再交给用户介质内,再交给用户n n证书续签流程,产生(或者不产生)新的密钥证书续签流程,产生(或者不产生)新的密钥34双 证 书 申 请 流 程2. 提交申请CA 服务器LDAP 服务器RA 服务器用户端1. 填写申请表 产生密钥对 形成申请 数字签名3.审批 数据记录4. 报签6. 制作第二证书签发证书、存档7. 发证9. 证书下载10. 证书发布8. 备案密钥管理 服务器5. 产生密钥 安全保存35证 书 容 器 n n关键:保护私有密钥的安全关键:保护私有密钥的安全n nIC IC 卡和卡和 USB KeyUSB Keyu 卡片内产生密钥对u 无法读出私有密
27、钥 u 卡片内完成加密、解密u 卡片内完成数字签名u PIN 保护,3 次错误会造成卡片锁死u 文件保护和线路保护,防辐射措施u 严格的证书发放流程管理36卡 片 和 证 书 发 放 流 程4. 提交申请CA 服务器LDAP 服务器RA 服务器发证终端1. 审查客户资料2. 管理员持卡登录3. 填写证书申请5. 数据记录6. 报签7. 签发证书 存档、记录8. 发证10. 证书下载11. 证书发布9. 备案0. 卡片初始化37证 书 查 询 服 务n nWeb Web 服务器服务器u 与证书申请、下载有关n nLDAP LDAP 服务器服务器u 查询、下载他人证书u 查询黑名单u 实现认证服务
28、n nOCSP OCSP 服务器服务器u 在线查询证书的有效性CA 服务器用户InterneInternet t Web LDAP OCSP38讲 座 内 容1.PKI 技术基础 密码技术发展、PKI 原理、相关技术介绍2.PKI 系统 数字证书、认证系统、不同的类型和典型产品3.证书管理 证书的发放流程、证书管理、查询和使用4.PKI 应用方法 安全协议、证书认证、数字签名5.PKI 实践 常用设备、应用举例、WPKI 和无线安全通信6.PMI 简介 属性证书、访问控制7.其它技术 SSO、动态口令、指纹8.指导政策 网络和信息安全管理、安全等级等39SSL/TLS 安 全 通 信 协 议
29、nNetscape 公司 93 年提出 SSL 协议,后来形成 TLS 协议n包括握手协议和数据格式协议,对应 HTTPS:/ n在 TCP/IT 之上,在 HTTP、FTP 等协议层之下(安全套接层)u 提出建立安全通信通道,开始握手u 交换证书和签字,身份认证 u 确定加密算法,交换密钥u 加密通信(安全通信通道)u 终断连接n单向身份认证、双向身份认证n加密算法和密钥长度40Web 和 SSL 安 全 协 议 SSL v2/v3、TLS v1CA 给 服务器 和 用户 发证书对内容(网页)设置为 HTTPS各种商用的应用服务器都支持部分服务器支持复杂的应用 提供了证书登录服务 允许证书登
30、录或口令登录 实现参数传递 实现单点登录CA 服务器Web 服务器用户InterneInternet t服务器SSL/TLS浏览器SSL/TLSTCP/IPTCP/IP41安 全 电 子 邮 件:S/MIME 协 议S/MIME 安全电子邮件协议 使用者拥有个人数字证书 对邮件加密和签字 与邮件服务器无关使用方法 发出一个签字邮件给对方 或到 LDAP 下载他人证书 实现邮件加密和(或)签字 CA 服务器LDAP邮件服务器用户 AInterneInternet t用户 B42数 字 签 名 和 验 证客户端调用 签字模块 表单签字和文件签字 数据内容签字证书 PKCS#7 标准服务器软件调用
31、验证模块 API 调用接口 自动的证书和密钥管理 多种安全功能验证模块应用服务器签字模块43登 录 控 制 安全连接和证书登录控制1.SSL/TLS 完成证书验证2.提取证书内用户个人信息传递给应用,完成登录数字签字方法1.在应用层,用户做数字签名2.服务器验证用户签字,提取证书中的用户信息,完成登录Web 服务器用户InterneInternet t44主 机、数 据 和 文 件 安 全 文件加密工作原理 每次产生不同的对称密钥 用自己(他人)的公钥加密对称密钥 用自己的私有密钥解密对称密钥 解密文件桌面安全产品 本机证书登录、局域网络证书登录 文件加密、目录加密 数据安全容器(USB、移动
32、硬盘) 用户管理,密钥托管和恢复 专用模块专用模块密钥托管45讲 座 内 容1.PKI 技术基础 密码技术发展、PKI 原理、相关技术介绍2.PKI 系统 数字证书、认证系统、不同的类型和典型产品3.证书管理 证书的发放流程、证书管理、查询和使用4.PKI 应用方法 安全协议、证书认证、数字签名5.PKI 实践 常用设备、应用举例、WPKI 和无线安全通信6.PMI 简介 属性证书、访问控制7.其它技术 SSO、动态口令、指纹8.指导政策 网络和信息安全管理、安全等级等46硬 件 加 密 技 术 和 设 备加密机: 多功能型:产生密钥、管理证书、加解密、签名/验证等 线路加密机:IP 加密机、
33、帧中继加密机等 其它硬件:加密板卡、加密读卡器、加密芯片、IC 卡等专用产品:保密电话、加密传真机、视频加密系统等47安 全 通 信 代 理 服 务 器HTTPS 代理服务 反向代理服务器 专用加密硬件 SSL/TLS 协议安全通信 多种连接和通信方式 访问控制 单点登录(SSO)安全代理服务器Web应用 服务器48客 户 端 通 用 技 术 标 准 模 块浏览器E-mailSSL/TLS加密服务Windows 底层登录 控制KerberosVPN客户端IPsecWindows 操作系统 安全客户端加密服务CSP 1.0/2.0 PKCS #11n n客户端产品客户端产品 密钥和证书安全密钥和
34、证书安全1.1.PKCS PKCS # #11 11 和和 CSP CSP 技术技术2.2.CAPI CAPI 和和 CSP 1.0/2.0CSP 1.0/2.03.3.数字签名模块数字签名模块4.4.标准标准 API API 接口接口49客 户 端 非 标 准 模 块1.1.客户端安全代理客户端安全代理u 在浏览器内设置代理在浏览器内设置代理u 支持支持 SSL SSL 或者非标准协议或者非标准协议u 可以利用智能卡可以利用智能卡2.2.浏览器插件浏览器插件u uActiveX ActiveX 等技术等技术u u在在 Web Web 页面内编程调用页面内编程调用u u可以利用智能卡可以利用智
35、能卡浏览器Windows 操作系统加密服务安全代理50Entrust/PKI 应 用 方 法Entrust Technologies CFCA 和中国金融界采用其技术 银行等机构应用其安全技术系统构成 安全客户端(支持智能卡技术) 安全代理服务器 CFCA 的 LDAP 等服务 Entrust ProxyWeb应用 服务器Entrust ClientNet-Pass 1.0E51典 型 的 网 络 安 全 通 信 系 统完整的 PKI 体系适合 LAN、WAN、 公网、Internet主要设备 CA 服务器 安全代理服务器 VPN 设备 数据安全服务器 客户端智能卡内部用户应用 服务器 CA
36、服务器加密卡卡片发放多功能 加密机加密卡远程用户Web 服务器代理服务器或VPN公共网络52WAP 协 议 下 的 证 书 发 放应用服务器CA 系统WAP网关WIM卡片53端 到 端 无 线 安 全 通 信WTLSTLS 1.0WAP网关应用服务器InternetWAP 手机WIM卡片无线网络GSM/GPRS54其 它 无 线 安 全 应 用 技 术 双卡片手机 手机附件、PDA 附件 手机内的 VPN 通信(Motorola 产品) PDA 手持设备内的加密模块和服务器端加密模块 Java 手机内的加密模块和服务器端加密模块应用服务器Java手机加密模块(Java)加密模块55讲 座 内
37、容1.PKI 技术基础 密码技术发展、PKI 原理、相关技术介绍2.PKI 系统 数字证书、认证系统、不同的类型和典型产品3.证书管理 证书的发放流程、证书管理、查询和使用4.PKI 应用方法 安全协议、证书认证、数字签名5.PKI 实践 常用设备、应用举例、WPKI 和无线安全通信6.PMI 简介 属性证书、访问控制7.其它技术 SSO、动态口令、指纹8.指导政策 网络和信息安全管理、安全等级等56PMI 技 术PMI:Privilege Management Infrastructure 授权管理体系目的:把授权管理功能从应用系统内独立出来 便于实现用户和授权的集中管理,同时支持多种应用
38、减轻用户管理工作,减少不一致性技术特点 支持多种授权模型:复合授权方式,权限组合,动态授权等 支持多级安全控制:实现对授权和认证的多级别的安全控制 支持多种认证方式:用户名/口令、动态口令、指纹、PKI 等57用 户 集 中 授 权、认 证 系 统1. 提交 ID用户集中 管理服务器用户认证服务器(LDAP)应用服务器客户端服务插件服务插件2. 用户认证3. 用户权限58PMI 实 用 系 统 举 例Baltimore: SelectAccess59属 性 证 书X.509v4:Attribute Certificate目的:实现灵活的授权和访问控制属性:描述持有者的角色或权限 安全级别 所在
39、用户组 角色发放:由授权机构颁发 证书版本信息证书版本信息 持有者信息持有者信息 颁发者信息颁发者信息 证书序列号证书序列号 有效期限有效期限 属性值(权限)属性值(权限) 证书扩展项证书扩展项 签名算法标识签名算法标识 颁发机构签字颁发机构签字X.509v4 X.509v4 格式属性证书格式属性证书60授 权 管 理 基 础 设 施AA 系统与 CA 系统的体系结构相对应,树状继承关系可以配置不同的证书发放策略和管理策略证书及黑名单发布在 LDAP 服务器证书证书管理层管理层证书证书服务层服务层授权服务中心AA证书证书应用层应用层安全策略服务授权服务应用服务器LDAP信任源点 SOA申请受理
40、点申请受理点61属 性 证 书 应 用 体 系AA 系统与 CA 系统的体系结构相对应,树状继承关系可以配置不同的证书发放策略和管理策略LDAP 服务器发布证书及黑名单,供查询目录服务器Internet提交属性证书属性证书发放属性证书 服务器授权属性证书发布属性证书查询拉模式推模式授权属性证书应用AA 服务器应用服务器62属 性 证 书 的 适 用 性适用于: 应用系统访问者比较随机,“凭票入门” 临时授权去访问通常不访问的应用 “推荐”方式的用户授权 分布式系统下的交叉授权主要问题: 商用服务器和客户端软件尚不支持属性证书 单一属性证书不适合描述复杂的用户属性 属性证书发布和吊销工作量比较大
41、63讲 座 内 容1.PKI 技术基础 密码技术发展、PKI 原理、相关技术介绍2.PKI 系统 数字证书、认证系统、不同的类型和典型产品3.证书管理 证书的发放流程、证书管理、查询和使用4.PKI 应用方法 安全协议、证书认证、数字签名5.PKI 实践 常用设备、应用举例、WPKI 和无线安全通信6.PMI 简介 属性证书、访问控制7.其它技术 SSO、动态口令、指纹8.指导政策 网络和信息安全管理、安全等级等64单 点 登 录 技 术 (SSO)n nSSOSSO:Single Sign On Single Sign On 单点登录单点登录u 目的:用户不用记忆和多次输入“用户名/口令”n
42、 n发展了多种做法和技术发展了多种做法和技术u 客户端插件u 口令服务器u 服务器插件(见前面内容)u 代理服务器:代理服务器:IBM TAM 等u Portal 服务器:用户认证集成,cookies 和参数传递65SSO 的 两 种 典 型 技 术SSO 代理服务器应用服务器授权管理用户端Portal 服务器应用服务器用户端66动 态 口 令 技 术 (1)n n客户令牌客户令牌 认证服务器认证服务器n n时钟同步方式时钟同步方式n n支持各种网络应用支持各种网络应用n n实现安全身份认证实现安全身份认证67动 态 口 令 技 术 (2)n n客户客户 IC IC 卡卡 认证服务器认证服务器
43、n n有序随机算法方式的动态口令有序随机算法方式的动态口令n n支持支持 Internet Internet 应用应用u 实现安全身份认证实现安全身份认证u u 计算确认码(防止抵赖)计算确认码(防止抵赖)n n支持无线网络应用支持无线网络应用u u 使用使用 SIM SIM 卡片产生口令卡片产生口令u u 结合短信方式的手机应用结合短信方式的手机应用u 支持 WAP 等应用68指 纹 识 别 技 术生物特征识别,身份识别方法考勤、门禁、保险箱等主机登录、网络登录、应用登录光学传感器,半导体电容传感器指纹图像处理和数学处理 获得约 300 字节的特征参数应用方法: 指纹存放在数据库内 指纹存放
44、在 IC 卡等介质内 69讲 座 内 容1.PKI 技术基础 密码技术发展、PKI 原理、相关技术介绍2.PKI 系统 数字证书、认证系统、不同的类型和典型产品3.证书管理 证书的发放流程、证书管理、查询和使用4.PKI 应用方法 安全协议、证书认证、数字签名5.PKI 实践 常用设备、应用举例、WPKI 和无线安全通信6.PMI 简介 属性证书、访问控制7.其它技术 SSO、动态口令、指纹8.指导政策 网络和信息安全管理、安全等级等70主 要 管 理 机 构国务院信息化工作办公室 网络与信息安全组(策略、指导)国家计算机网络与信息安全管理中心 (策略、法规、协调)全国信息安全标准化技术委员会
45、 (技术标准)中国互联网协会 网络与信息安全工作委员会 (沟通、推进)国家密码管理委员会 办公室 (密码和密码产品管理)国家保密局 (涉密网络、项目、产业管理)公安部公共信息网络安全监察局 (公共应用、安全产品)国家计算机病毒应急处理中心 (反病毒)多家安全产品测评机构等 (产品认证)71信 息 网 络 的 系 统 化 安 全电子政务网络实现系统化安全管理(国办2003年27号文件)发展国内自主版权的信息安全产品形成标准规范,实现全网安全内网必须与 Internet 实现物理隔离外网必须与 Internet 实现逻辑隔离电子商务安全领域全面发展丰富的安全产品,主要规范已经形成PKI 等技术获得广泛应用国家正在起草电子签名法72安 全 保 护 等 级 制 度计算机信息系统安全保护等级制度和规范(GB 17859-1999 )五个安全保护等级 用户自主保护级、系统审计保护级、安全标记保护级、结构化保护级、访问验证保护级全面的技术规范通用技术要求、网络技术要求、操作系统技术要求、数据库技术要求电子政务评估准则、 工程管理要求、信息系统评估准则、操作系统评估准则、Web服务器评估准则、路由器评估准则、防火墙评估准则、数据库评估准则等73谢 谢!
