信息安全技术及其应用.pptx

私钥由用户保存，RA将 公钥和用户身份信息传送 给CA – CA为用户签发证书并放 入目录服务器中 – 用户通过RA或自已从目 录服务器上下载安装证书
1.2.3 数字证书简介（八）
数字证书的存储介质
– 硬盘或软盘 – IC卡 – USB Token – 主板模块（BIOS）
1.2.4 PKI的技术标准
1.1.3 HASH算法
概念
– 是一种把任意长度的输入转换成固定长度输出的算 法。算法是单向不可逆的，不需要密钥。
– 输出结果称为消息摘要
常用算法
– SHA-1，MD5
1.1.4数字签名
概念
– 对原消息进行HASH运算， – 私钥对消息摘要进行运算 – 最终结果称为消息的数字签名。
非对称算法与HASH算法的结合。 实现
– 了解信息安全技术中的一些基本概念 – 了解常用的信息安全技术及对应的规范和协议 – 了解公司开发的一些安全产品
一、信息安全技术中的基本概念
1. 常用密码技术 2. PKI基础及数字证书
1.1.常用密码技术
1. 对称密码技术 2. 非对称密码技术 3. HASH算法 4. 数字签名 5. 数字信封
PKI的标准化是其发展的前提和基础，才能保证不同PKI产品之 间的正常交互。以下仅列出了常用的PKI技术标准： 与数字证书相关
1.1.1对称密码技术
概念
– 通讯双方使用同一个密钥来加解密信息。
常用算法
– DES、3DES、AES、SSF33
密钥长度和分组大小 块加密和流加密 块加密模式
– ECB（Electronic Code Book）、CBC（Cipher Block Chaining）、 CFB（Cipher Feedback Mode）、OFB（Output Feedback Mode）
– 数字证书的格式目前一般采用X.509国际标准。
1.2.3 数字证书简介（二）
数字证书的作用？
– 将公钥与个人信息绑定在一起。 – 在网上进行电子商务和电子政务活动时，交易双方使用数字
证书来表明自己的身份，并使用数字证书来进行有关的网上 安全交易操作。 – 数字证书可提供以下安全服务
数据保密性：除发送方和接收方外信息不被其他人窃取； 数据完整性：信息在传输过程中不会被篡改； 身份认证：接收方能够通过数字证书来确认发送方的身份； 不可否认性：发送方对于自己发送的信息将不可抵赖。
密钥备份与恢复系统 证书吊销系统 数字证书策略
– CA证书、用户证书 – 代码签名证书、电子邮件证书、服务器证书
应用开发API
– CryptoAPI – PKCS11
1.2.3 数字证书简介（一）
什么是数字证书？
– 数字证书又称为数字标识，它提供了一种在 Internet上进行身份验证的方式，是用来标志和证 明网络通信双方身份的数字信息文件。通俗地讲， 数字证书就是单位或个人在Internet的身份证
1.2.3 数字证书简介（三）
数字证书的内容与格式
– 证书所有者信息 – 证书所有者公钥 – 证书颁发机构签名
证书内容
签名算法 签名
版本
序列号 签名算法标识
·算法 ·参数 签发者 有效期 ·起始日期 ·结束日期 主体 主体的公开密钥 ·算法 ·参数 ·公开密钥 签发者唯一标识符 主体唯一标识符 扩展项
– PKI与PKI应用系统之间是相互独立、分离的。
➢ PKI的设计、开发、生产和管理可以独立进行，无需考虑 应用的特殊性
➢ 应用不必关心密码算法的实现，只需按标准使用即可。
1.2.2 PKI的框架结构
数字证书
– PKI中的基本数据元素
数字证书颁发机构CA和RA 数字证书库
– LDAP (Lightweight Directory Access Protocol)
信息安全技术及其应用
新员工培训教程
定义与范围ቤተ መጻሕፍቲ ባይዱ
信息安全技术是一个涉及面非常广泛技术，包括网络 安全、防火墙、入侵检测和防病毒等诸多方面。根据 公司产品开发的方向，本次培训的范围主要局限于网 络安全中的以下几个方面： 数据保密性（加密） 数据抗否认性（签名） 身份认证 访问控制
培训目标
本次培训希望达到以下目标：
1.2.3 数字证书简介（四）
证书链的概念
– 根证书:CA中心的自签名证书，是CA认证中心与用户建立信 任关系的基础
– 证书链:从CA根证书到用户证书所包含的所有证书路径。
1.2.3 数字证书简介（五）
数字证书的验证过程
– 验证证书链的上级证书直到根证书可信 – 验证证书的签名 – 验证证书的有效期 – 验证证书的状态（OCSP或CRL查询） – 验证证书的用途
1. 什么是PKI 2. PKI的框架结构 3. 数字证书简介 4. PKI的技术标准
1.2.1 PKI基本概念
什么是PKI？
– Public Key Infrastructure的缩写，是一种普遍适用 的网络安全基础设施，包括软件、硬件、人和策略 的集合。PKI目前是公认的保障网络社会安全的最 佳体系。
加密填充
– PKCS#5
1.1.2非对称密码技术
概念
– 通讯双方使用一对密钥来分别完成加密和解密操作。一个分 开发布（公钥），一个由用户秘密保存（私钥）。
常用算法
– RSA
公钥：N，E 私钥：P，Q，DP，DQ，QINV 签名填充和加密填充（PKCS#1）
– ECC（Elliptic Curve Cryptography）与RSA相比，可用短的 多的密钥获得同样的安全性。
1.2.3 数字证书简介（六）
数字证书的文件类型
– DER 二进制编码 (*.cer) – BASE64编码（*.cer, *.pem） – PKCS#7消息语法编码 (*.p7b) – PKCS#12编码证书 (*.pfx, *.p12)
1.2.3 数字证书简介（七）
数字证书的签发过程
– 用户在RA录入身份信息 – RA为用户产生密钥对。
– 身份认证 – 数据完整 – 非否认
1.1.5 数字信封
概念
– 随机产生一对称密钥，用该密钥对消息进行加密 – 用接收方公钥加密随机产生的对称密钥 – 两组密文加在一起称为数字信封
非对称算法与对称算法的结合。
1.1.6 程序资源
Crypto++ PGP OPEN SSL
1.2 PKI基础及数字证书