1、安全產(chǎn)品培訓,二四年六月,培訓提綱,一、PKI的基礎知識 二、安全產(chǎn)品介紹 三、安全中間件介紹 四、應用支撐平臺介紹,一、 PKI的基礎知識,1.1 信息安全概念 1.2 PKI的基礎知識,1.1 信息安全概念,1.1.1 為什么需要信息安全？ 1.1.2 信息系統(tǒng)建設需要什么樣的信息安全？ 1.1.3 電子政務的信息安全如何實現(xiàn)？,1.1.1 為什么需要信息安全？（一）,信息安全對政治方面的影響 由于信息網(wǎng)絡化的發(fā)展，信息領域的戰(zhàn)斗已經(jīng)形成了一個新的思想文化陣地和思想政治斗爭的戰(zhàn)場。 以美國為首的西方國家，始終認為我們是他們的敵對國家。一直沒有放棄對我們的西化、分化、弱化的政策。 美國國務卿

2、奧爾布來特在國會講：“中國為了發(fā)展經(jīng)濟，不得不連入互聯(lián)網(wǎng)。互聯(lián)網(wǎng)在中國的發(fā)展，使得中國的民主，真正的到來了。” 香港廣角鏡月刊文章：中情局對付中國的十條誡令,1.1.1 為什么需要信息安全？ （二）,信息安全對經(jīng)濟方面的影響 一個國家信息化程度越高，整個國民經(jīng)濟和社會運行對信息資源和信息基礎設施的依賴程度也越高。 我國計算機犯罪的增長速度超過了傳統(tǒng)的犯罪。 97年20幾起，98年142起，99年908起，2000年上半年1420起。 利用計算機實施金融犯罪已經(jīng)滲透到了我國金融行業(yè)的各項業(yè)務。 近幾年已經(jīng)破獲和掌握100多起。涉及的金額幾個億。 黑客攻擊、計算機病毒造成巨大的經(jīng)濟損失,1.1.1

3、 為什么需要信息安全？ （三）,信息安全對社會穩(wěn)定方面的影響 互連網(wǎng)上散布一些虛假信息、有害信息對社會管理秩序造成的危害，要比現(xiàn)實社會中一個造謠要大的多。 99年4月，河南商都熱線一個BBS，一張說交通銀行鄭州支行行長協(xié)巨款外逃的帖子，造成了社會的動蕩，三天十萬人上街排隊，擠提了十個億。 網(wǎng)上治安問題，民事問題，進行人身侮辱。,1.1.1 為什么需要信息安全？ 總結(jié),由于信息涉及到國家機密和重大決策方面的內(nèi)容，信息安全與否關系到國家安危、社會的穩(wěn)定和經(jīng)濟的發(fā)展，信息安全在電子政務中至關重要； 目前電子政務、電子商務體系中存在安全漏洞和安全隱患； 現(xiàn)階段信息系統(tǒng)對互聯(lián)互通、信息共享的需要對信息安

4、全提出了更高的要求； 對加強政府監(jiān)管，提高工作效率、促進依法行政的要求對信息安全的需要。,1.1.2 信息系統(tǒng)建設需要什么樣的信息安全？,系統(tǒng)的安全可靠性 信息的安全保密性 行為的不可抵賴性 實體的可鑒別性 對象的可授權性 信息的完整性 業(yè)務管理的安全性,1.1.3 電子政務的信息安全如何實現(xiàn)？,1.1.3.1 傳統(tǒng)的安全防御手段 1.1.3.2 基于PKI技術的信任平臺,1.1.3.1 傳統(tǒng)的安全防御手段,1.2 PKI的基礎知識,1.2.1 PKI概述 1.2.2 PKI基礎技術,1.2.1 PKI概述（一）,PKI名詞解釋 英文：Public Key Infrastructure 中文：

5、公鑰基礎設施 PKI是一種遵循既定標準的密鑰管理平臺,能夠為所有網(wǎng)絡應用提供加密和數(shù)字簽名等密碼服務及所必需的密鑰和證書管理體系，簡單來說，PKI就是利用公鑰理論和技術建立的提供安全服務的基礎設施。 PKI技術是信息安全技術的核心，也是電子政務應用開發(fā)的基礎技術。,1.2.1 PKI概述（二）,PKI體系組成部分 證書業(yè)務服務系統(tǒng)(證書生產(chǎn)、管理) 密鑰管理系統(tǒng)(密鑰生產(chǎn)、管理) 證書查詢驗證服務系統(tǒng)(證書查詢服務) 密碼服務系統(tǒng)(加密/解密、數(shù)字簽名及簽名驗證) PKI體系服務模式 “集中式生產(chǎn)、分布式服務”,1.2.1 PKI概述（三）,PKI技術的優(yōu)勢在于可以實現(xiàn)：,1.2.2 PKI基

6、礎技術,1.2.2.1 基礎知識 1.2.2.2 加 密 1.2.2.3 簽 名 1.2.2.4 數(shù)字信封,1.2.2.1 基礎知識（一）,加密無所不在 口令 軍事通訊 明文：未經(jīng)加密、可直接看懂的信息 密文：經(jīng)加密后、表面上無意義的信息,1.2.2.1 基礎知識（二）,算法的安全性 算法必須足夠強大，根據(jù)密文難以導出明文 密鑰必須足夠安全，不必為算法保密 算法滿足的準則 破譯密碼的成本超過信息的價值 破譯密碼的時間超過信息有用的生命周期,1.2.2.2 加密,加密概述 對稱密碼算法 非對稱密碼算法 單向函數(shù)算法,加密概述,加密是指使用密碼算法對數(shù)據(jù)作變換，使得只有密鑰持有人才能恢復數(shù)據(jù)面貌。

7、 主要目的：防止信息的非授權泄漏。,對稱密碼算法（一）,對稱密碼學:專用密鑰（private key）體制 用同一密鑰加密和解密，這是對稱算法的定義。雙方必須共享同一對稱密鑰。,對稱密碼算法（二）,加密算法,解密算法,加密密鑰,解密密鑰,對稱密碼算法（三）,算法：DES、 3DES、 RC4、RC5 、AES 優(yōu)點：計算開銷小，處理速度快,保證了信息的機密性。 缺點：密鑰管理困難，不能提供信息的完整性及不可抵賴性。,非對稱密碼算法（一）,非對稱密碼算法是加密密鑰與解密密鑰不同。每個用戶都有一對密鑰：一個在信息團體內(nèi)公開，稱為“公鑰” ，一個由用戶秘密保存，稱為“私鑰” 。,非對稱密碼算法（二）

8、,大整數(shù)因式分解 RSA 解離散對數(shù)的困難問題 Diffie-Hellman 橢圓曲線問題 ECC,非對稱密碼算法（三）,優(yōu)點：便于密鑰管理、分發(fā)、便于簽字簽名 缺點：計算開銷大，處理速度相對較慢,單向函數(shù)算法（一）,也稱HASH算法，用哈希函數(shù)(Hash Function) 變換后得到hash值，通常稱為“數(shù)據(jù)摘要” 哈希函數(shù)的意義，是可以將任意長度的信息輸入后加以濃縮、轉(zhuǎn)換，成為一長度比較短且固定的輸出信息的運算，一般稱此輸出信息為哈希值。,單向函數(shù)算法（二）,哈希函數(shù)與加密算法一樣，均是將信息加以隱藏 加密算法的結(jié)果可以通過適當?shù)姆绞綄⒔Y(jié)果還原，獲得原來的內(nèi)容 哈希函數(shù)則必須具不可逆的單

9、向(One-Way)的特性，使得給定文件時，可以簡單快速計算該文件的哈希值，但經(jīng)過哈希數(shù)濃縮、運算后的哈希值，無法還原成先前的信息,單向函數(shù)算法（三）,Hash函數(shù)： 將任意長字符串映射成一個較短的定長輸出 單向性，不可逆 運算上的唯一性 常用Hash算法：MD2、MD4、MD5、SHA、SHA-1,1.2.2.3 簽名,簽名概述 簽名過程 數(shù)字簽名與簽名驗證 數(shù)字信封,簽名概述,簽名是指使用密碼算法對待發(fā)的數(shù)據(jù)進行加密處理，生成一段信息，附著在原文上一起發(fā)送，這段信息類似現(xiàn)實中的簽名或印章，接收方對其進行驗證，可解決信息傳遞過程中的完整性和不可抵賴性。 目的：提供數(shù)據(jù)完整性保護和抗否認功能。

10、 作用：可以確認下面三件事情： 1.消息確實是由發(fā)送方發(fā)出的(即真實性) 2.簽名確實是由發(fā)送方發(fā)出的(即不可否認性) 3.接收方收到的信息是完整的(即完整性),簽名過程（一）,簽名過程（二）,簽名過程（三）,這兩種數(shù)字簽名的主要區(qū)別在于： 前者是一種對整個消息的簽名，適用于短文件信息。 后者是一種對壓縮信息的簽名，適用于長文件信息；,數(shù)字簽名與簽名驗證,只要能夠唯一確定某個人與非對稱密鑰對之間的對應關系，通過數(shù)字簽名機制可以確保數(shù)據(jù)的完整性、不可否認性,HASH算法,輸入數(shù)據(jù)的數(shù)字摘要,非對稱算法,私有密鑰,比較二者是否相同,HASH算法,接收數(shù)據(jù)的數(shù)字摘要,數(shù)字簽名,非對稱算法,公開密鑰,

11、解簽名后的結(jié)果,數(shù)字信封是信息發(fā)送端用接收端的公鑰，將一個通信密鑰加密后，傳送給接收端，只有指定的接收端才能打開信封，取得通信密鑰，用它來解開傳送來的信息。,數(shù)字信封（一）,數(shù)字信封（二）,結(jié)合對稱密碼算法和非對稱密碼算法的優(yōu)點,數(shù)據(jù)機密性、完整性、不可抵賴性,A,B,對稱算法密鑰KeyA1 簽名公鑰KeyA2 簽名私鑰KeyA3,加密公鑰KeyB1 加密私鑰KeyB2,Hash,KeyA3,KeyA1,明文,信息摘要,數(shù)字簽名,KeyB1,數(shù)字簽名,KeyA2,明文,明文,信息摘要1,信息摘要2,比 較,數(shù)字信封,KeyA1,密文,數(shù)字信封,密文,KeyB2,KeyA1,KeyA1,Hash

12、,總結(jié)：各種算法的特點,對稱密碼算法 加/解密速度快，但密鑰分發(fā)問題嚴重 非對稱密碼算法 加/解密速度較慢，但無密鑰分發(fā)問題，可支持大規(guī)模使用 雜湊函數(shù) 計算速度快，結(jié)果長度統(tǒng)一，單向性、數(shù)據(jù)不能恢復,BOB,加密+數(shù)字簽名的作用: 完整性 機密性 身份認證 不可否認性,總結(jié)：非對稱加密和簽名的綜合應用,加密,數(shù)字簽名,總結(jié)：不同應用的密鑰使用統(tǒng)計,進一步的問題,加密： 如何獲得接收者的公鑰？ 怎樣證明是接收者的公鑰? 驗證簽名： 如何獲得發(fā)送者的公鑰？ 怎樣證明是發(fā)送者的公鑰?,培訓提綱,一、PKI的基礎知識 二、安全產(chǎn)品介紹 三、安全中間件介紹 四、應用支撐平臺介紹,二、安全產(chǎn)品介紹,2.

13、1 密碼服務器 2. 2 密鑰管理系統(tǒng) 2. 3 證書業(yè)務系統(tǒng) 2. 4 證書查詢驗證服務系統(tǒng) 2. 5 智能密碼鑰匙,2.1 密碼服務系統(tǒng)（一）,密碼服務器通過統(tǒng)一的對外服務接口，為應用系統(tǒng)提供加解密、簽名及簽名驗證、數(shù)字信封服務、產(chǎn)生隨機數(shù)和對數(shù)據(jù)進行數(shù)字摘要等多種密碼服務。,2. 1 密碼服務系統(tǒng)（二）,2.2 密鑰管理系統(tǒng)（一）,密鑰管理策略的制訂 密鑰的生成 密鑰的存儲 密鑰的查詢 密鑰的撤消 密鑰的恢復,2.2 密鑰管理系統(tǒng)（二）,2.3 證書業(yè)務服務系統(tǒng),證書業(yè)務服務系統(tǒng)體系結(jié)構 證書認證系統(tǒng)（CA） 證書審核注冊系統(tǒng)（RA）,證書業(yè)務服務系統(tǒng)體系結(jié)構,證書業(yè)務服務系統(tǒng)特點： “

14、集中式生產(chǎn)、分布式服務” 可伸縮配置 動態(tài)平滑可擴展,證書認證系統(tǒng)CA,證書策略服務 證書簽發(fā) 證書發(fā)布 證書管理 證書撤銷列表簽發(fā) 證書撤銷列表發(fā)布,證書審核注冊服務系統(tǒng)RA,證書申請與審核 證書下載 證書注銷、暫停、恢復的受理,2.4 證書查詢驗證服務系統(tǒng),基于LDAP的目錄管理 基于LDAP的證書及證書撤消列表查詢 基于OCSP的證書狀態(tài)在線查詢 “集中式管理、分布式服務” 性能動態(tài)平滑可擴展,2.5 智能密碼鑰匙,用于存儲數(shù)字證書、密鑰等信息，并為客戶端提供加解密、簽名/驗證、密鑰管理等基礎安全服務,附:證書發(fā)放流程,下載證書和經(jīng)加密的加密私鑰,RA 實體鑒別密碼器 生成簽名密鑰對 本

15、地保存簽名私鑰,KM 取出加密密鑰對，對加密私鑰用簽名公鑰加密，并托管加密私鑰,用戶信息及簽名公鑰提交CA,將經(jīng)加密的加密私鑰和公鑰下發(fā)CA,將簽名公鑰和密鑰請求提交KM,實體鑒別器密碼器,LDAP,發(fā)布證書,CA 對用戶信息和加密公鑰等進行簽名，生成證書,附:基于PKI的身份驗證流程(簽名運算),附:基于PKI的身份驗證流程(加密運算),培訓提綱,一、PKI的基礎知識 二、安全產(chǎn)品介紹 三、安全中間件介紹 四、應用支撐平臺介紹,簡介,安全中間件的主要內(nèi)容： 3.1 體系結(jié)構 3.2 應用服務器端JAVA接口 3.3 客戶端應用安全控件接口 3.4 應用配置,體系結(jié)構,SS,SA,硬件驅(qū)動程序

16、,安全中間件以上部分稱之為應用接口層。在應用層次之上可以采用多種方式來進行封裝和實現(xiàn)，滿足不同的應用需求。,應用服務器,密碼服務器,應用系統(tǒng)體系結(jié)構,應用系統(tǒng)工作流程,應用服務器端接口,應用于應用服務器中，作為PKIServer服務器的客戶端，調(diào)用PKIServer實現(xiàn)所需的功能。 采用JAVA技術，真正的平臺無關性 包名：psi-app.jar 主要功能封裝類：PSIApp.class,AdvGetCert,public String AdvGetCert ( int certType ) 根據(jù)證書類型讀取服務器證書，證書標簽寫在配置文件中，不作為參數(shù)。 certType=1 表示加密證書

17、certType=2 表示簽名證書 輸出編碼后的證書信息。,AdvCheckCert,public boolean AdvCheckCert(String i_inCert) 驗證輸入證書的有效性。 i_inCert 輸入為已編碼的證書。,AdvSealEnvelope,public String AdvSealEnvelope( String i_encCert, int i_symmAlgo, byte i_inData) 生成數(shù)字信封，生成對稱密鑰加密數(shù)據(jù)，用公鑰加密對稱密鑰。 i_encCert 輸入已編過碼加密證書。 i_symmAlgo 信封中所用對稱算法標識 CALG_RC4 =

18、 26625 i_inData 輸入原文信息 輸出的是結(jié)果遵循PKCS#7的編碼標準（EnvelopedData）。,AdvOpenEnvelope,public byte AdvOpenEnvelope( String keyPasswd, String i_inData) 拆解數(shù)字信封，采用配置文件中的私鑰標簽，輸入私鑰保護口令，取得私鑰后進行解密。 keyPasswd 私鑰保護口令 i_inData 輸入的密文數(shù)據(jù)應已編過碼 輸出原文信息,AdvSignData,public String AdvSignData( String keyPasswd, byte i_inData, int

19、 i_algoType, int i_signType) 對輸入數(shù)據(jù)進行數(shù)字簽名。采用配置文件中的私鑰標簽，輸入標簽保護口令，取得私鑰后對摘要進行簽名。 keyPasswd 私鑰保護口令 i_inData 待簽名數(shù)據(jù) i_algoType 簽名算法 i_signType 簽名值類型 輸出已編過碼的簽名數(shù)據(jù),AdvVerifySign,public boolean AdvVerifySign( String i_checkCert, byte i_clearText, String i_signature, int i_algoType, int i_signType ) 驗證數(shù)字簽名。 輸入的

20、證書信息已編過碼。 輸入的簽名數(shù)據(jù)已編過碼。,AdvBase64Encode,public String AdvBase64Encode(byte i_inData) 對輸入數(shù)據(jù)進行BASE64編碼。 i_inData 要編碼的二進制數(shù)據(jù)。 輸出編碼后的數(shù)據(jù)。,AdvBase64Decode,public byte AdvBase64Decode(String i_inData) 對已編碼的數(shù)據(jù)進行BASE64解碼。,release,public boolean release() 所有功能接口調(diào)用完畢后進行內(nèi)部存儲區(qū)的清除工作。 每個應用進程在功能使用完成后，都必須調(diào)用一次。,3.3 客戶端

21、應用安全控件,提供給最終客戶使用，實現(xiàn)一些基本的網(wǎng)絡認證、數(shù)據(jù)信封、數(shù)字簽名等功能。 采用COM技術進行功能封裝。 適用于WINDOWNS平臺。,OpkiInit,int OpkiInit ( ) 控件初始化。讀取客戶端證書載體信息及其它初始化工作。 調(diào)用每個功能接口前必須先調(diào)用本接口。,OpkiEnd,int OpkiEnd () 所有功能接口調(diào)用完畢后進行內(nèi)部存儲區(qū)的清除工作。 每個應用進程在功能使用完成后，都必須調(diào)用一次。,OpkiSealEnvelope,long OpkiSealEnvelope( LPCTSTR encCert, long i_algoType, LPCTSTR i

22、_inData) 生成數(shù)字信封。 encCert 編碼過的用來加密的證書 。 i_algoType 對稱的算法標識。 i_inData 原文。 輸出已編碼的加密數(shù)據(jù)。,OpkiOpenEnvelope,long OpkiOpenEnvelope( LPCTSTR decKeyLbl, LPCTSTR keyPwd, LPCTSTR inData) 拆解數(shù)字信封。 decKeyLbl 解密私鑰的標簽。 keyPwd 解密私鑰的保護口令 inData 編碼過的信封數(shù)據(jù) 輸出解密后的原文。,OpkiSignData,long OpkiSignData (LPCTSTR signKeyLbl, LPC

23、TSTR keyPwd, LPCTSTR inData, long algoType, long signType) 對數(shù)據(jù)進行數(shù)字簽名。 輸入：簽名私鑰的標簽，簽名私鑰的保護口令，待簽名的數(shù)據(jù)，簽名算法標識，簽名值類型。 私鑰標簽在配置文件中寫明。 輸出編過碼的簽名數(shù)據(jù)。,OpkiVerifyData,BOOL OpkiVerifyData ( BSTR cert, BSTR originalData, BSTR signData， long algoType, long signType) 驗證數(shù)字簽名。,OpkiGenerateRandom,long OpkiGenerateRandom

24、(long i_length) 產(chǎn)生指定長度的隨機數(shù)/對稱密鑰。 輸出已編碼數(shù)據(jù)。,3.4 應用配置,1）客戶端需要安裝驅(qū)動程序。 2）服務器端需要在應用中引用“psiapp.jar” 包并需要正確配置/usr/local/Config/Client.conf文件中的網(wǎng)絡參數(shù) Client.conf文件示例 /*PKIServer服務器網(wǎng)絡配置*/ 192.168.1.18 8888 /*服務器端證書及私鑰標簽*/ ServerCert,培訓提綱,一、PKI的基礎知識 二、安全產(chǎn)品介紹 三、安全中間件介紹 四、應用支撐平臺介紹,四 業(yè)務支撐平臺介紹,4.1 業(yè)務支撐平臺概要 4.2 業(yè)務支撐平

25、臺（注冊服務系統(tǒng)） 4.3 業(yè)務支撐平臺（狀態(tài)服務系統(tǒng)） 4.4 業(yè)務支撐平臺（鑒權服務系統(tǒng)） 4.5 業(yè)務支撐平臺（可信資源整合網(wǎng)關） 4.6 業(yè)務支撐平臺（授權管理系統(tǒng)） 4.7 業(yè)務支撐平臺（VPN網(wǎng)關） 4.8 業(yè)務支撐平臺（業(yè)務開發(fā)引擎） 4.9 智能客戶端,4.1 業(yè)務支撐平臺的概要（一）,業(yè)務支撐平臺是以下一代網(wǎng)絡技術、下一代服務技術為基礎： 提供可信呼叫控制服務 提供靈活業(yè)務控制服務 提供媒體控制服務 實現(xiàn)信任服務快速部署,提供呼叫控制服 為業(yè)務系統(tǒng)、網(wǎng)絡會議、網(wǎng)絡辦公和即時消息以及其它多媒體業(yè)務實現(xiàn)端到端的通信控制提供支撐 提供媒體控制服務 提供安全的數(shù)據(jù)交互、音頻交互、視頻

26、交互以及可信的會議管理等服務,4.1 業(yè)務支撐平臺的概要（二）,業(yè)務支撐平臺解決協(xié)同辦公、呼叫控制等問題 業(yè)務支撐平臺提高領導的執(zhí)政能力與辦公效率 業(yè)務支撐平臺為全程全網(wǎng)全業(yè)務系統(tǒng)的實現(xiàn)提供支撐,4.1 業(yè)務支撐平臺的概要（三）,4.2 業(yè)務支撐平臺（注冊服務系統(tǒng)）,注冊服務系統(tǒng)負責為用戶提供呼叫代理（Proxy Server） 、注冊（Registrar Server） 、定位（Location Server）和重定向服務（Redirect Server） 。,4.3 業(yè)務支撐平臺（狀態(tài)服務系統(tǒng)）,狀態(tài)服務系統(tǒng)負責訂閱、收集、維護用戶的狀態(tài)信息，并對外提供狀態(tài)信息查詢服務。,4.4 業(yè)務支撐

27、平臺（鑒權服務系統(tǒng)）,鑒權服務系統(tǒng)負責管理網(wǎng)絡實體的互通權限，并向網(wǎng)絡實體提供鑒權服務?；ネ嘞拗赣脩艨梢院推渌男┯脩敉ㄐ?，業(yè)務系統(tǒng)可以和其他哪些業(yè)務系統(tǒng)互通。,4.5 業(yè)務支撐平臺（可信資源控制網(wǎng)關）,可信資源整合網(wǎng)關以斷路方式部署在應用系統(tǒng)之前，為應用資源提供注冊代理和訪問控制服務?？尚刨Y源整合網(wǎng)關能夠從安全和應用支撐平臺獲取用戶列表，并按照應用系統(tǒng)管理員設置的權限配置生成訪問控制列表，在用戶訪問該資源時根據(jù)訪問控制列表對應用資源進行訪問控制。,4.6 業(yè)務支撐平臺（授權管理系統(tǒng)）,授權管理系統(tǒng)將用戶職務屬性和業(yè)務系統(tǒng)資源相關聯(lián)，為業(yè)務系統(tǒng)的資源擁有者提供資源管理、用戶管理、資源授權、授權裁決服務。,4.7 業(yè)務支撐平臺（VPN網(wǎng)關）,WH-VPN網(wǎng)關只為特定的用戶群體所專用，從VPN用戶角度看來，使用VPN與傳統(tǒng)專網(wǎng)沒有區(qū)別。 WH-VPN網(wǎng)關具有強大的軟/硬證書的支撐功能，