信息安全技術(shù)及其應(yīng)用新員工培訓(xùn)教程定義與范圍信息安全技術(shù)是一個涉及面非常廣泛技術(shù)，包括網(wǎng)絡(luò)安全、防火墻、入侵檢測和防病毒等諸多方面。根據(jù)公司產(chǎn)品開發(fā)的方向，本次培訓(xùn)的范圍主要局限于網(wǎng)絡(luò)安全中的以下幾個方面：數(shù)據(jù)保密性（加密）數(shù)據(jù)抗否認(rèn)性（簽名）身份認(rèn)證訪問控制培訓(xùn)目標(biāo)本次培訓(xùn)希望達(dá)到以下目標(biāo)：了解信息安全技術(shù)中的一些基本概念了解常用的信息安全技術(shù)及對應(yīng)的規(guī)范和協(xié)議了解公司開發(fā)的一些安全產(chǎn)品一、信息安全技術(shù)中的基本概念常用密碼技術(shù)PKI基礎(chǔ)及數(shù)字證書1.1.常用密碼技術(shù)對稱密碼技術(shù)非對稱密碼技術(shù)HASH算法數(shù)字簽名數(shù)字信封對稱密碼技術(shù)概念通訊雙方使用同一個密鑰來加解密信息。常用算法DES、3DES、AES、SSF33密鑰長度和分組大小塊加密和流加密塊加密模式ECB（ElectronicCodeBook）、CBC（CipherBlockChaining）、CFB（CipherFeedbackMode）、OFB（OutputFeedbackMode）加密填充PKCS#5非對稱密碼技術(shù)概念通訊雙方使用一對密鑰來分別完成加密和解密操作。一個分開發(fā)布（公鑰），一個由用戶秘密保存（私鑰）。常用算法RSA公鑰：N，E 私鑰：P，Q，DP，DQ，QINV簽名填充和加密填充（PKCS#1）ECC（EllipticCurveCryptography）與RSA相比，可用短的多的密鑰獲得同樣的安全性。1.1.3HASH算法概念是一種把任意長度的輸入轉(zhuǎn)換成固定長度輸出的算法。算法是單向不可逆的，不需要密鑰。輸出結(jié)果稱為消息摘要常用算法SHA-1，MD5數(shù)字簽名概念對原消息進(jìn)行HASH運算，私鑰對消息摘要進(jìn)行運算最終結(jié)果稱為消息的數(shù)字簽名。非對稱算法與HASH算法的結(jié)合。實現(xiàn)身份認(rèn)證數(shù)據(jù)完整非否認(rèn)1.1.5數(shù)字信封概念隨機(jī)產(chǎn)生一對稱密鑰，用該密鑰對消息進(jìn)行加密用接收方公鑰加密隨機(jī)產(chǎn)生的對稱密鑰兩組密文加在一起稱為數(shù)字信封非對稱算法與對稱算法的結(jié)合。程序序資資源源Crypto++PGPOPENSSL1.2PKI基礎(chǔ)礎(chǔ)及及數(shù)數(shù)字字證證書書什么么是是PKIPKI的框框架架結(jié)結(jié)構(gòu)構(gòu)數(shù)字字證證書書簡簡介介PKI的技技術(shù)術(shù)標(biāo)標(biāo)準(zhǔn)準(zhǔn)基本本概概念念什么么是是PKI？PublicKeyInfrastructure的縮縮寫寫，，是是一一種種普普遍遍適適用用的的網(wǎng)網(wǎng)絡(luò)絡(luò)安安全全基基礎(chǔ)礎(chǔ)設(shè)設(shè)施施，，包包括括軟軟件件、、硬硬件件、、人人和和策策略略的的集集合合。。PKI目前前是是公公認(rèn)認(rèn)的的保保障障網(wǎng)網(wǎng)絡(luò)絡(luò)社社會會安安全全的的最最佳佳體體系系。。PKI與PKI應(yīng)用用系系統(tǒng)統(tǒng)之之間間是是相相互互獨獨立立、、分分離離的的。。PKI的設(shè)設(shè)計計、、開開發(fā)發(fā)、、生生產(chǎn)產(chǎn)和和管管理理可可以以獨獨立立進(jìn)進(jìn)行行，，無無需需考考慮慮應(yīng)應(yīng)用用的的特特殊殊性性應(yīng)用用不不必必關(guān)關(guān)心心密密碼碼算算法法的的實實現(xiàn)現(xiàn)，，只只需需按按標(biāo)標(biāo)準(zhǔn)準(zhǔn)使使用用即即可可。。的框框架架結(jié)結(jié)構(gòu)構(gòu)數(shù)字字證證書書PKI中的的基基本本數(shù)數(shù)據(jù)據(jù)元元素素數(shù)字字證證書書頒頒發(fā)發(fā)機(jī)機(jī)構(gòu)構(gòu)CA和RA數(shù)字字證證書書庫庫LDAP(LightweightDirectoryAccessProtocol)密鑰鑰備備份份與與恢恢復(fù)復(fù)系系統(tǒng)統(tǒng)證書書吊吊銷銷系系統(tǒng)統(tǒng)數(shù)字字證證書書策策略略CA證書書、、用用戶戶證證書書代碼碼簽簽名名證證書書、、電電子子郵郵件件證證書書、、服服務(wù)務(wù)器器證證書書應(yīng)用用開開發(fā)發(fā)APICryptoAPIPKCS11數(shù)字字證證書書簡簡介介（（一一））什么么是是數(shù)數(shù)字字證證書書？？數(shù)字字證證書書又又稱稱為為數(shù)數(shù)字字標(biāo)標(biāo)識識，，它它提提供供了了一一種種在在Internet上進(jìn)進(jìn)行行身身份份驗驗證證的的方方式式，，是是用用來來標(biāo)標(biāo)志志和和證證明明網(wǎng)網(wǎng)絡(luò)絡(luò)通通信信雙雙方方身身份份的的數(shù)數(shù)字字信信息息文文件件。。通通俗俗地地講講，，數(shù)數(shù)字字證證書書就就是是單單位位或或個個人人在在Internet的身身份份證證數(shù)字字證證書書的的格格式式目目前前一一般般采采用用X.509國際際標(biāo)標(biāo)準(zhǔn)準(zhǔn)。。數(shù)字字證證書書簡簡介介（（二二））數(shù)字字證證書書的的作作用用？？將公公鑰鑰與與個個人人信信息息綁綁定定在在一一起起。。在網(wǎng)網(wǎng)上上進(jìn)進(jìn)行行電電子子商商務(wù)務(wù)和和電電子子政政務(wù)務(wù)活活動動時時，，交交易易雙雙方方使使用用數(shù)數(shù)字字證證書書來來表表明明自自己己的的身身份份，，并并使使用用數(shù)數(shù)字字證證書書來來進(jìn)進(jìn)行行有有關(guān)關(guān)的的網(wǎng)網(wǎng)上上安安全全交交易易操操作作。。數(shù)字字證證書書可可提提供供以以下下安安全全服服務(wù)務(wù)數(shù)據(jù)據(jù)保保密密性性：除除發(fā)發(fā)送送方方和和接接收收方方外外信信息息不不被被其其他他人人竊竊取?。?；數(shù)據(jù)據(jù)完完整整性性：信信息息在在傳傳輸輸過過程程中中不不會會被被篡篡改改；；身份份認(rèn)認(rèn)證證：接接收收方方能能夠夠通通過過數(shù)數(shù)字字證證書書來來確確認(rèn)認(rèn)發(fā)發(fā)送送方方的的身身份份；；不可否認(rèn)認(rèn)性：發(fā)送方方對于自自己發(fā)送送的信息息將不可可抵賴。。數(shù)字證書書簡介（（三）數(shù)字證書書的內(nèi)容容與格式式證書所有有者信息息證書所有有者公鑰鑰證書頒發(fā)發(fā)機(jī)構(gòu)簽簽名證書內(nèi)容簽名算法簽名版本序列號簽名算法標(biāo)識·算法·參數(shù)簽發(fā)者有效期·起始日期·結(jié)束日期主體主體的公開密鑰·算法

·參數(shù)·公開密鑰簽發(fā)者唯一標(biāo)識符主體唯一標(biāo)識符擴(kuò)展項數(shù)字證書書簡介（（四）證書鏈的的概念根證書:CA中心的自自簽名證證書，是是CA認(rèn)證中心心與用戶戶建立信信任關(guān)系系的基礎(chǔ)礎(chǔ)證書鏈:從CA根證書到到用戶證證書所包包含的所所有證書書路徑。。數(shù)字證書書簡介（（五）數(shù)字證書書的驗證證過程驗證證書書鏈的上上級證書書直到根根證書可可信驗證證書書的簽名名驗證證書書的有效效期驗證證書書的狀態(tài)態(tài)（OCSP或CRL查詢）驗證證書書的用途途數(shù)字證書書簡介（（六）數(shù)字證書書的文件件類型DER二進(jìn)制編編碼(*.cer)BASE64編碼（*.cer,*.pem）PKCS#7消息語法法編碼(*.p7b)PKCS#12編碼證書書(*.pfx,*.p12)數(shù)字證書書簡介（（七）數(shù)字證書書的簽發(fā)發(fā)過程用戶在RA錄入身份份信息RA為用戶產(chǎn)產(chǎn)生密鑰鑰對。私私鑰由用用戶保存存，RA將公鑰和和用戶身身份信息息傳送給給CACA為用戶簽簽發(fā)證書書并放入入目錄服服務(wù)器中中用戶通過過RA或自已從從目錄服服務(wù)器上上下載安安裝證書書數(shù)字證書書簡介（（八）數(shù)字證書書的存儲儲介質(zhì)硬盤或軟軟盤IC卡USBToken主板模塊塊（BIOS）的技術(shù)標(biāo)標(biāo)準(zhǔn)PKI的標(biāo)準(zhǔn)化化是其發(fā)發(fā)展的前前提和基基礎(chǔ)，才才能保證證不同PKI產(chǎn)品之間間的正常常交互。。以下僅僅列出了了常用的的PKI技術(shù)標(biāo)準(zhǔn)準(zhǔn)：與數(shù)字證證書相關(guān)關(guān)X.509CRLOCSP與智能卡卡相關(guān)PC/SCCSP、PKCS#11PKCS（PublicKeyCryptographyStandards）PKCS#1、PKCS#7、PKCS#10、PKCS#11、PKCS#12二、常用用信息安安全技術(shù)術(shù)及規(guī)范范和協(xié)議議身份認(rèn)證證技術(shù)及及協(xié)議網(wǎng)絡(luò)層與與傳輸層層的安全全協(xié)議應(yīng)用層的的安全協(xié)協(xié)議與智能卡卡相關(guān)的的接口規(guī)規(guī)范2.1身份認(rèn)證證技術(shù)及及協(xié)議身份認(rèn)證證是實現(xiàn)現(xiàn)網(wǎng)絡(luò)安安全的重重要機(jī)制制之一。。單項認(rèn)證證與雙向向認(rèn)證靜態(tài)密碼碼認(rèn)證與與動態(tài)密密碼認(rèn)證證多因素身身份認(rèn)證證常用認(rèn)證證協(xié)議RADIUS（RemoteAuthenticationDialInUserService）普通電電話、上上網(wǎng)業(yè)務(wù)務(wù)計費Kerberos認(rèn)證:一種被證證明為非非常安全全的雙向向身份認(rèn)認(rèn)證技術(shù)術(shù)SSLIBC（Identity-BasedCryptograph）2.2網(wǎng)絡(luò)層與與傳輸層層的安全全協(xié)議（（一）IPSec（InternetProtocolSecurity）IPSec實現(xiàn)了網(wǎng)網(wǎng)絡(luò)層的的加密和和認(rèn)證，，它在網(wǎng)網(wǎng)絡(luò)體系系結(jié)構(gòu)中中提供了了一種端端到端的的安全解解決方案案。用于于加密在在兩臺計計算機(jī)間間傳輸?shù)牡臄?shù)據(jù)，，以防止止有人在在網(wǎng)絡(luò)上上查看數(shù)數(shù)據(jù)時對對其進(jìn)行行修改和和破譯。。IPSec是防御內(nèi)內(nèi)部、專專用網(wǎng)絡(luò)絡(luò)和外部部攻擊的的關(guān)鍵防防線。IPSec提供以下下安全服服務(wù)訪問控制制無連接的的完整性性（對IP數(shù)據(jù)包自自身的一一種檢測測方法））數(shù)據(jù)源認(rèn)認(rèn)證拒絕重放放的數(shù)據(jù)據(jù)包（部部分序列列號完整整性的一一種形式式）保密性（（加密））2.2網(wǎng)絡(luò)層與與傳輸層層的安全全協(xié)議（（二）SSL（SecureSocketsLayer）是一種基基于會話話的加密密和認(rèn)證證協(xié)議。。工作在在傳輸層層，并與與使用的的應(yīng)用層層協(xié)議無無關(guān)?，F(xiàn)現(xiàn)被廣泛泛應(yīng)用于于網(wǎng)上的的身份認(rèn)認(rèn)證與Web服務(wù)器和和用戶端端瀏覽器器之間的的數(shù)據(jù)安安全通信信。SSL協(xié)議主要要包含握握手協(xié)議議和記錄錄層協(xié)議議。握手協(xié)議議：負(fù)責(zé)責(zé)建立當(dāng)當(dāng)前會話話狀態(tài)參參數(shù)。雙雙方協(xié)商商一個協(xié)協(xié)議版本本，選擇擇密碼算算法，互互相認(rèn)證證，并協(xié)協(xié)商出共共享密鑰鑰。記錄層協(xié)協(xié)議：負(fù)負(fù)責(zé)對數(shù)數(shù)據(jù)加密密、解密密及完整整性校驗驗。2.3應(yīng)用層的的安全協(xié)協(xié)議（一一）電子郵件件安全協(xié)協(xié)議（S/MIME）保護(hù)電子子郵件的的規(guī)范定義了如如何根據(jù)據(jù)CMS（CryptographicMessageSyntax，來源于于PKCS#7）來創(chuàng)建建增強的的MIME主體：唯唯加密、、唯簽名名和簽名名與加密密2.3應(yīng)用層的的安全協(xié)協(xié)議（二二）安全電子子交易SET為在Internet上進(jìn)行在在線交易易時，保保護(hù)信用用卡支付付的安全全而設(shè)計計開發(fā)的的一個開開放的規(guī)規(guī)范。是是唯一允允許信用用卡信息息被安全全可靠地地通過因因特網(wǎng)傳傳輸?shù)男滦聟f(xié)議SET提供了了消費費者、、商家家和銀銀行之之間的的認(rèn)證證，確確保了了網(wǎng)上上交易易數(shù)據(jù)據(jù)的保保密性性、完完整性性和交交易不不可抵抵賴性性。2.4CSP接口規(guī)規(guī)范微軟的的CryptoAPI為應(yīng)用用程序序開發(fā)發(fā)者提提供了了在Win32環(huán)境下下使用用加密密、驗驗證等等安全全服務(wù)務(wù)時的的標(biāo)準(zhǔn)準(zhǔn)加密密接口口CSP為CryptoAPI體系結(jié)結(jié)構(gòu)中中加解解密運運算的的最底底層實實現(xiàn)，，以DLL的形式式提供供應(yīng)用程程序在在使用用CryptoAPI時只需需指定定CSP的名字字和類類型，，即會會自動動調(diào)用用該CSP模塊來來完成成加密密運算算2.5PKCS11接口規(guī)規(guī)范PKCS11的主要要目標(biāo)標(biāo)是解解決安安全應(yīng)應(yīng)用與與不同同廠商商開發(fā)發(fā)的密密碼組組件之之間的的交互互性和和兼容容性問問題。。將安安全應(yīng)應(yīng)用從從密碼碼組件件的細(xì)細(xì)節(jié)中中分離離出來來，不不再需需為密密碼組組件的的變化化而發(fā)發(fā)生改改變。。PKCS11的編程程接口口模型型如圖圖所示示，安安全應(yīng)應(yīng)用通通過PKCS11接口使使用不不同的的硬件件設(shè)備備進(jìn)行行密碼碼運