信息安全技术及其应用.pptx
合集下载
信息安全技术培训PPT课件( 46页)
信息安全技术培训
2013.8
内容摘要
概念 信息安全趋势 信息安全体系 信息安全管理 信息安全技术 信息安全审计
概念
什么是信息?
有意义的内容 敏感信息:对企业正常发展具有影响作用,不论是否属
于有用信息。
信息资产
对企业具有价值的信息,称为信息资产
包括商业秘密、文档、文件、图纸、数据专利、标准、管理 制度等。
向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实
际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简 化具体应用系统的开发与维护。授权管理基础设施PMI是一个属性证书、属性权威、属 性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤 销等功能。PMI使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权 限生命周期的管理。属性证书的申请,签发,注销,验证流程对应着权限的申请,发放,
撤消,使用和验证的过程。而且,使用属性证书进行权限管理方式使得权限的管理不必 依赖某个具体的应用,而且利于权限的安全分布式应用。
PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理,即由资
源的所有者来进行访问控制。同公钥基础设施PKI相比,两者主要区别在于:PKI证明用
户是谁,而PMI证明这个用户有什么权限,能干什么,而且授权管理基础设施PMI需要
举例:计费纪录被恶意修改; 交易信息被删除;公司 主页被篡改;日志文件被删除
信息安全趋势
世界各国纷纷加强网络战备,网络空间剑拔驽张 关键信息基础设施安全状况堪忧,国家安全面临挑战 新兴技术应用范围日益拓展,安全威胁将持续加大
移动互联网、下一代互联网、物联网和大数据
2013.8
内容摘要
概念 信息安全趋势 信息安全体系 信息安全管理 信息安全技术 信息安全审计
概念
什么是信息?
有意义的内容 敏感信息:对企业正常发展具有影响作用,不论是否属
于有用信息。
信息资产
对企业具有价值的信息,称为信息资产
包括商业秘密、文档、文件、图纸、数据专利、标准、管理 制度等。
向用户和应用程序提供授权管理服务,提供用户身份到应用授权的映射功能,提供与实
际应用处理模式相对应的、与具体应用系统开发和管理无关的授权和访问控制机制,简 化具体应用系统的开发与维护。授权管理基础设施PMI是一个属性证书、属性权威、属 性证书库等部件构成的综合系统,用来实现权限和证书的产生、管理、存储、分发和撤 销等功能。PMI使用属性证书表示和容纳权限信息,通过管理证书的生命周期实现对权 限生命周期的管理。属性证书的申请,签发,注销,验证流程对应着权限的申请,发放,
撤消,使用和验证的过程。而且,使用属性证书进行权限管理方式使得权限的管理不必 依赖某个具体的应用,而且利于权限的安全分布式应用。
PMI以资源管理为核心,对资源的访问控制权统一交由授权机构统一处理,即由资
源的所有者来进行访问控制。同公钥基础设施PKI相比,两者主要区别在于:PKI证明用
户是谁,而PMI证明这个用户有什么权限,能干什么,而且授权管理基础设施PMI需要
举例:计费纪录被恶意修改; 交易信息被删除;公司 主页被篡改;日志文件被删除
信息安全趋势
世界各国纷纷加强网络战备,网络空间剑拔驽张 关键信息基础设施安全状况堪忧,国家安全面临挑战 新兴技术应用范围日益拓展,安全威胁将持续加大
移动互联网、下一代互联网、物联网和大数据
信息安全技术培训ppt课件
03
系统安全加固与优化
操作系统安全配置实践
最小化安装原则
仅安装必要的组件和服务,降 低攻击面。
安全补丁应用
及时更新操作系统补丁,修复 已知漏洞。
账号和权限管理
建立严格的账号管理制度,合 理分配用户权限。
安全审计和日志分析
开启操作系统审计功能,定期 分析日志以发现异常行为。
应用软件漏洞修补与更新管理
分析各种身份认证方法的 优缺点,给出选择建议, 如根据安全需求和成本效 益进行选择。
数字证书、电子签名等高级应用
数字证书原理及应用
解释数字证书的概念、原理和作用, 如用于SSL/TLS协议中的服务器身份 验证。
电子签名原理及应用
高级应用场景探讨
探讨数字证书和电子签名在电子政务 、电子商务等高级应用场景中的实际 运用和价值。
02
网络安全基础
网络通信原理与安全漏洞
网络通信原理
网络通信基于TCP/IP协议族,包括 传输层、网络层、数据链路层和物理 层。通过分组交换技术,实现数据的 可靠传输和高效路由。
安全漏洞
网络通信中存在多种安全漏洞,如IP 欺骗、ARP攻击、端口扫描等。攻击 者可利用这些漏洞,窃取数据、篡改 信息或造成网络瘫痪。
恶意软件清除
根据分析结果,制定针对性的清除 方案,如使用专杀工具、手动清除 等。
应急响应流程梳理和演练实施
应急响应流程梳理
明确应急响应的触发条件、处置 流程、责任人等,形成标准化的
应急响应流程。
应急响应演练实施
定期组织应急响应演练,提高团 队对恶意软件事件的快速响应和
处置能力。
演练效果评估
对演练效果进行评估,发现问题 及时改进,不断完善应急响应流
第3章信息安全技术PPT资料46页
DES加密的数据流程
• 明文分组:64位
• 密钥长度:64位,其中8位为奇偶校验位。
• DES综合运用了置换、迭代相结合的密码技术,
把明文分成64位大小的块,使用56位密钥,迭代 轮数为l6轮的加密算法。DES密码算法输入的是 64比特的明文,通过初始置换IP变成T0=IP(T), 再对T0经过16层的加密变换,最后通过逆初始 置换得到64比特的密文。反之输入64比特的密文, 输出64比特的明文。
• NIST制定的AES标准提纲为:
1. AES是公开的;
2. AES是分组密码单钥体制,分组长度为128比特;
3. AES的密钥长度可变,可以为128,192或256比特并可根据 需要增加;
4. AES可以用软件和硬件实现;
4
2020/1/7
中原工学院 孙学军
5
加密系统分类
• 对称加密系统,也叫私有密钥加密系统。 加密
密钥和解密密钥相同,或实质上等同,即从一个 易于推出另一个。又称秘密密钥算法或单密钥算 法。
• 非对称加密系统,也叫公开密钥加密系统。 加
密密钥和解密密钥不相同,从一个很难(不可能) 推出另一个。
公开密钥算法用一个密钥进行加密,而用另一个进行 解密,其中的一个密钥可以公开,又称公开密钥( public key),简称公钥;另一个密钥必须保密,又称私 人密钥(private key),简称私钥。
• 对信息的访问控制:防止对进程、通信及信息资源等各类
资源的非法访问。通过防火墙、出入控制技术来实现。
2020/1/7
中原工学院 孙学军
2
术语
定义
保密性(security) 保护机密信息不被非法存取以及信息在传输 过程中不被非法窃取。
信息安全技术培训ppt课件
掌握了实用的信息安全技能
学员们表示,通过本次培训,他们掌握了一些实用的信息安全技能,如加密通信、安全 编程、漏洞分析等,这些技能将在他们未来的工作和生活中发挥重要作用。
增强了团队协作和沟通能力
在培训过程中,学员们通过小组讨论、案例分析等方式,增强了团队协作和沟通能力, 这对于他们未来的职业发展具有重要意义。
03
系统安全加固与优化
操作系统安全配置实践
最小化安装原则
仅安装必要的组件和服务,降 低系统攻击面。
安全补丁管理
定期更新操作系统补丁,修复 已知漏洞。
账户与权限管理
严格控制账户权限,实施最小 权限原则,避免权限滥用。
安全审计与日志管理
启用系统日志记录功能,定期 审计和分析日志,以便及时发
现异常行为。
VPN技术适用于远程办公、分支机构互联、云计算等场景,为用户提供 安全、可靠的远程接入解决方案。
06
恶意代码防范与应急响应处理流 程
恶意代码类型识别及传播途径分析
01
02
03
恶意代码类型
病毒、蠕虫、木马、勒索 软件等
传播途径
网络下载、电子邮件附件 、恶意网站、移动存储设 备等
识别方法
文件哈希值比对、行为分 析、启发式扫描等
SSO解决方案比较
介绍几种常见的SSO解决方案,如OAuth、OpenID Connect、 SAML等,并分析它们的优缺点及适用场景。
05
数据加密与传输安全保障措施
数据加密原理及算法简介
数据加密原理
通过对明文数据进行特定的数学变换 ,生成难以理解和阅读的密文数据, 以确保数据在传输和存储过程中的机 密性。
防病毒软件部署和更新策略制定
信息安全技术讲义.pptx
解决办法: 1)下载安装系统补丁 2)到网站下载免费的“冲击波”病毒专杀工具
13
3)手动清除(高级用户)
② 木马病毒
实质:是一段计算机程序。木马程序由两部分组成:
客户端:一般由黑客控制 服务端:隐藏在感染了木马的用户机器上
木马控制的基本原理:服务端的木马程序会在用户机器上打开
一个或多个端口(用户不知情),客户端(黑客)利用这些端口来与 服务端进行通信(偷偷地传输敏感数据)。
黑客入侵 4
黑客非法入侵
英国电脑奇才贝文,14岁就成功非法侵入英国电信公司电脑系统, 大打免费电话。后来他出、入世界上防范最严密的系统如入无人之 境,如美国空军、美国宇航局和北约的网络。1996年因涉嫌侵入美 国空军指挥系统,被美国中央情报局指控犯有非法入侵罪。
1998年8月21日,来自上海某著名大学的硕士研究生杨某,擅自非 法闯入上海某大型信息平台,并盗用上网时间,他以“破坏计算机 信息系统”罪被逮捕。
应对措施:起复杂一点的密码,密码位数越多越好,经常更换自己的密码,
当然不要忘记了哦…… 23
(2)IP嗅探(即网络监听):通过改变网卡的操作模
式接受流经该计算机的所有信息包,截获其他计算机的数据 报文或口令。
应对措施:最简单的办法就是对传输的数据进行加密。
24
(3)欺骗:将自己进行伪装,诱骗用户向其发送密码等敏感数据。
① 蠕虫病毒
一种通过网络进行传播的恶性病毒 特点:传染性、隐蔽性、破坏性 实质:是一种计算机程序。 危害:通过网络不断传播自身的拷贝,不仅消耗大量的本机资源,而且占用大 量的网络带宽,导致网络堵塞而使网络服务拒绝,最终造成整个网络系统的瘫痪。 传播途径:系统漏洞、电子邮件、在线聊天、文件夹共享等。
13
3)手动清除(高级用户)
② 木马病毒
实质:是一段计算机程序。木马程序由两部分组成:
客户端:一般由黑客控制 服务端:隐藏在感染了木马的用户机器上
木马控制的基本原理:服务端的木马程序会在用户机器上打开
一个或多个端口(用户不知情),客户端(黑客)利用这些端口来与 服务端进行通信(偷偷地传输敏感数据)。
黑客入侵 4
黑客非法入侵
英国电脑奇才贝文,14岁就成功非法侵入英国电信公司电脑系统, 大打免费电话。后来他出、入世界上防范最严密的系统如入无人之 境,如美国空军、美国宇航局和北约的网络。1996年因涉嫌侵入美 国空军指挥系统,被美国中央情报局指控犯有非法入侵罪。
1998年8月21日,来自上海某著名大学的硕士研究生杨某,擅自非 法闯入上海某大型信息平台,并盗用上网时间,他以“破坏计算机 信息系统”罪被逮捕。
应对措施:起复杂一点的密码,密码位数越多越好,经常更换自己的密码,
当然不要忘记了哦…… 23
(2)IP嗅探(即网络监听):通过改变网卡的操作模
式接受流经该计算机的所有信息包,截获其他计算机的数据 报文或口令。
应对措施:最简单的办法就是对传输的数据进行加密。
24
(3)欺骗:将自己进行伪装,诱骗用户向其发送密码等敏感数据。
① 蠕虫病毒
一种通过网络进行传播的恶性病毒 特点:传染性、隐蔽性、破坏性 实质:是一种计算机程序。 危害:通过网络不断传播自身的拷贝,不仅消耗大量的本机资源,而且占用大 量的网络带宽,导致网络堵塞而使网络服务拒绝,最终造成整个网络系统的瘫痪。 传播途径:系统漏洞、电子邮件、在线聊天、文件夹共享等。
74第二章 信息安全技术PPT课件
2020/11/9
电子商务安全与管理
16
密码技术的基本概念
密码分析
研究如何分析和破译密码
对于一个密码体制,如果能够根据密文确定 明文或密钥,或者能够根据明文和相应的密 文确定密钥,则我们说这个密码体制是可破 译的;否则,称其为不可破译的。
密码体制的密钥量:密钥空间中不同密钥的 个数,是衡量密码体制安全性的一个重要指 标
现在,银行为客户提供的安全工具和措施基本可分为三 种:
•一是数字证书; •二是动态密码; •三是短信安全提醒和网上安全便条。
2020/11/9
电子商务安全与管理
5
引例——网银的三种加密认证方式
网上银行的安全措施(国际金融报,2006-11-10)
数字证书安全性最高
•数字证书可分为文件数字证书和移动数字证书两种。 •文件数字证书可直接从网上下载,保存在电脑、移动介质中,并 可进行复制,安全性较大众版大幅提升。不过,如果在不同的地 方使用必须在网上备份,然后拷贝下来,装入其他电脑,恢复证 书,不很方便。不过,文件数字证书大多不需付费。
网银的三种加密认证方式所采用的技术是怎 样实现安全保障的?除了这些技术,还需要哪 些技术来保障信息安全?
2020/11/9
电子商务安全与管理
11
加密技术 数字签名技术 安全协议 密钥管理技术 验证技术
2020/11/9
电子商务安全与管理
目录
12
加密技术
•密码体制的基本概念 •古典密码 •流密码与分组密码 •散列函数 •对称加密与不子商务安全与管理
9
引例——网银的三种加密认证方式
网上银行的安全措施(国际金融报,2006-11-10)
短信安全提醒和网上安全便条
《信息安全技术》课件
技术漏洞
软硬件缺陷、配置错误等。
信息安全的防护策略
物理安全
保护硬件设施和通信线 路,防止物理破坏和非
法访问。
网络安全
建立防火墙、入侵检测 系统等,防范外部威胁
。
主机安全
加强用户账户管理、访 问控制等,防范内部威
胁。
应用安全
对应用程序进行安全测 试、漏洞扫描等,确保
应用程序的安全性。
02
密码学基础
《信息安全技术》ppt课件
contents
目录
• 信息安全概述 • 密码学基础 • 网络安全技术 • 应用安全技术 • 信息安全法律法规与标准 • 信息安全实践案例分析
01
信息安全概述
信息安全的定义
信息安全是指保护信息系统免受未经 授权的访问、使用、泄露、破坏、修 改,以及中断等风险,确保信息的机 密性、完整性和可用性。
防火墙部署
防火墙的部署应根据网络结构和安 全需求进行合理配置,一般可部署 在网络的入口处或重要节点上。
入侵检测系统
入侵检测定义
入侵检测系统是一种用于检测和 响应网络攻击的安全系统,能够 实时监控网络流量和用户行为,
发现异常情况并及时报警。
入侵检测类型
根据数据来源和应用场景,入侵 检测系统可分为基于主机的入侵 检测系统和基于网络的入侵检测
信息安全的目的是维护组织或个人在 处理敏感信息时的安全和隐私,防止 因非法入侵、恶意攻击、内部泄露等 原因导致的信息泄露、篡改或损坏。
信息安全的威胁来源
外部威胁
黑客攻击、病毒、蠕虫、特洛 伊木马、勒索软件等。
内部威胁
内部人员误操作、恶意行为、 权限滥用等。
自然灾害
地震、洪水、火灾等自然灾害 对信息系统的破坏。
软硬件缺陷、配置错误等。
信息安全的防护策略
物理安全
保护硬件设施和通信线 路,防止物理破坏和非
法访问。
网络安全
建立防火墙、入侵检测 系统等,防范外部威胁
。
主机安全
加强用户账户管理、访 问控制等,防范内部威
胁。
应用安全
对应用程序进行安全测 试、漏洞扫描等,确保
应用程序的安全性。
02
密码学基础
《信息安全技术》ppt课件
contents
目录
• 信息安全概述 • 密码学基础 • 网络安全技术 • 应用安全技术 • 信息安全法律法规与标准 • 信息安全实践案例分析
01
信息安全概述
信息安全的定义
信息安全是指保护信息系统免受未经 授权的访问、使用、泄露、破坏、修 改,以及中断等风险,确保信息的机 密性、完整性和可用性。
防火墙部署
防火墙的部署应根据网络结构和安 全需求进行合理配置,一般可部署 在网络的入口处或重要节点上。
入侵检测系统
入侵检测定义
入侵检测系统是一种用于检测和 响应网络攻击的安全系统,能够 实时监控网络流量和用户行为,
发现异常情况并及时报警。
入侵检测类型
根据数据来源和应用场景,入侵 检测系统可分为基于主机的入侵 检测系统和基于网络的入侵检测
信息安全的目的是维护组织或个人在 处理敏感信息时的安全和隐私,防止 因非法入侵、恶意攻击、内部泄露等 原因导致的信息泄露、篡改或损坏。
信息安全的威胁来源
外部威胁
黑客攻击、病毒、蠕虫、特洛 伊木马、勒索软件等。
内部威胁
内部人员误操作、恶意行为、 权限滥用等。
自然灾害
地震、洪水、火灾等自然灾害 对信息系统的破坏。
信息安全技术与应用课件(PPT 42张)
• 总体安全策略包括分析安全需求、分析安全威胁、定义 安全目标、确定安全保护范围、分配部门责任、配备人 力物力、确认违反策略的行为和相应的制裁措施; • 安全管理细则规定了具体的实施方法和内容;
信息安全技术与应用
1
• 均衡性原则
信息安全策略总则
在安全需求、易用性、效能和安全成本之间保持相对平衡; • 时效性原则 影响信息安全的因素随时间变化,信息安全问题具有显著的时效性; • 最小化原则 系统提供的服务越多,安全漏洞和威胁也就越多; 关闭安全策略中没有规定的网络服务; 以最小限度原则配置满足安安全技术与应用》
• 教学要求
在成本、环境、风险及技术等约束条件下;
依据国家信息安全保护相关政策、法津、法规和标准; 综合应用信息安全知识和技术; 分析、构造、设计、实施和运行信息安全保障系统的工 程技能。
信息安全技术与应用
1
第1章 信息安全概述
信息安全技术与应用
1
1.1 信息安全基本概念
1
2 3 4 5 6 7 8 9 10 11
CC标准定义的安全功能类
序号 类名 类功能
FAU
FCO FCS FDP FIA FMT FPR FPT FRU FTA FTP
安全审计(security audit)
通信(communication) 密码支持(cryptographic support) 用户数据保护(user data protection) 身份认证(identification and authentication) 安全管理(security management) 隐私(privacy) TOE安全功能保护(protection of TOE security function 资源利用(resource utilization) TOE访问(TOE access) 可信通路(trusted path)
信息安全技术与应用
1
• 均衡性原则
信息安全策略总则
在安全需求、易用性、效能和安全成本之间保持相对平衡; • 时效性原则 影响信息安全的因素随时间变化,信息安全问题具有显著的时效性; • 最小化原则 系统提供的服务越多,安全漏洞和威胁也就越多; 关闭安全策略中没有规定的网络服务; 以最小限度原则配置满足安安全技术与应用》
• 教学要求
在成本、环境、风险及技术等约束条件下;
依据国家信息安全保护相关政策、法津、法规和标准; 综合应用信息安全知识和技术; 分析、构造、设计、实施和运行信息安全保障系统的工 程技能。
信息安全技术与应用
1
第1章 信息安全概述
信息安全技术与应用
1
1.1 信息安全基本概念
1
2 3 4 5 6 7 8 9 10 11
CC标准定义的安全功能类
序号 类名 类功能
FAU
FCO FCS FDP FIA FMT FPR FPT FRU FTA FTP
安全审计(security audit)
通信(communication) 密码支持(cryptographic support) 用户数据保护(user data protection) 身份认证(identification and authentication) 安全管理(security management) 隐私(privacy) TOE安全功能保护(protection of TOE security function 资源利用(resource utilization) TOE访问(TOE access) 可信通路(trusted path)
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
PKI的标准化是其发展的前提和基础,才能保证不同PKI产品之 间的正常交互。以下仅列出了常用的PKI技术标准: 与数字证书相关
1.1.1对称密码技术
概念
– 通讯双方使用同一个密钥来加解密信息。
常用算法
– DES、3DES、AES、SSF33
密钥长度和分组大小 块加密和Fra bibliotek加密 块加密模式
– ECB(Electronic Code Book)、CBC(Cipher Block Chaining)、 CFB(Cipher Feedback Mode)、OFB(Output Feedback Mode)
1.2.3 数字证书简介(六)
数字证书的文件类型
– DER 二进制编码 (*.cer) – BASE64编码(*.cer, *.pem) – PKCS#7消息语法编码 (*.p7b) – PKCS#12编码证书 (*.pfx, *.p12)
1.2.3 数字证书简介(七)
数字证书的签发过程
– 用户在RA录入身份信息 – RA为用户产生密钥对。
1.1.3 HASH算法
概念
– 是一种把任意长度的输入转换成固定长度输出的算 法。算法是单向不可逆的,不需要密钥。
– 输出结果称为消息摘要
常用算法
– SHA-1,MD5
1.1.4数字签名
概念
– 对原消息进行HASH运算, – 私钥对消息摘要进行运算 – 最终结果称为消息的数字签名。
非对称算法与HASH算法的结合。 实现
私钥由用户保存,RA将 公钥和用户身份信息传送 给CA – CA为用户签发证书并放 入目录服务器中 – 用户通过RA或自已从目 录服务器上下载安装证书
1.2.3 数字证书简介(八)
数字证书的存储介质
– 硬盘或软盘 – IC卡 – USB Token – 主板模块(BIOS)
1.2.4 PKI的技术标准
加密填充
– PKCS#5
1.1.2非对称密码技术
概念
– 通讯双方使用一对密钥来分别完成加密和解密操作。一个分 开发布(公钥),一个由用户秘密保存(私钥)。
常用算法
– RSA
公钥:N,E 私钥:P,Q,DP,DQ,QINV 签名填充和加密填充(PKCS#1)
– ECC(Elliptic Curve Cryptography)与RSA相比,可用短的 多的密钥获得同样的安全性。
– 数字证书的格式目前一般采用X.509国际标准。
1.2.3 数字证书简介(二)
数字证书的作用?
– 将公钥与个人信息绑定在一起。 – 在网上进行电子商务和电子政务活动时,交易双方使用数字
证书来表明自己的身份,并使用数字证书来进行有关的网上 安全交易操作。 – 数字证书可提供以下安全服务
数据保密性:除发送方和接收方外信息不被其他人窃取; 数据完整性:信息在传输过程中不会被篡改; 身份认证:接收方能够通过数字证书来确认发送方的身份; 不可否认性:发送方对于自己发送的信息将不可抵赖。
1.2.3 数字证书简介(三)
数字证书的内容与格式
– 证书所有者信息 – 证书所有者公钥 – 证书颁发机构签名
证书内容
签名算法 签名
版本
序列号 签名算法标识
·算法 ·参数 签发者 有效期 ·起始日期 ·结束日期 主体 主体的公开密钥 ·算法 ·参数 ·公开密钥 签发者唯一标识符 主体唯一标识符 扩展项
密钥备份与恢复系统 证书吊销系统 数字证书策略
– CA证书、用户证书 – 代码签名证书、电子邮件证书、服务器证书
应用开发API
– CryptoAPI – PKCS11
1.2.3 数字证书简介(一)
什么是数字证书?
– 数字证书又称为数字标识,它提供了一种在 Internet上进行身份验证的方式,是用来标志和证 明网络通信双方身份的数字信息文件。通俗地讲, 数字证书就是单位或个人在Internet的身份证
1. 什么是PKI 2. PKI的框架结构 3. 数字证书简介 4. PKI的技术标准
1.2.1 PKI基本概念
什么是PKI?
– Public Key Infrastructure的缩写,是一种普遍适用 的网络安全基础设施,包括软件、硬件、人和策略 的集合。PKI目前是公认的保障网络社会安全的最 佳体系。
信息安全技术及其应用
新员工培训教程
定义与范围
信息安全技术是一个涉及面非常广泛技术,包括网络 安全、防火墙、入侵检测和防病毒等诸多方面。根据 公司产品开发的方向,本次培训的范围主要局限于网 络安全中的以下几个方面: 数据保密性(加密) 数据抗否认性(签名) 身份认证 访问控制
培训目标
本次培训希望达到以下目标:
– 了解信息安全技术中的一些基本概念 – 了解常用的信息安全技术及对应的规范和协议 – 了解公司开发的一些安全产品
一、信息安全技术中的基本概念
1. 常用密码技术 2. PKI基础及数字证书
1.1.常用密码技术
1. 对称密码技术 2. 非对称密码技术 3. HASH算法 4. 数字签名 5. 数字信封
– 身份认证 – 数据完整 – 非否认
1.1.5 数字信封
概念
– 随机产生一对称密钥,用该密钥对消息进行加密 – 用接收方公钥加密随机产生的对称密钥 – 两组密文加在一起称为数字信封
非对称算法与对称算法的结合。
1.1.6 程序资源
Crypto++ PGP OPEN SSL
1.2 PKI基础及数字证书
– PKI与PKI应用系统之间是相互独立、分离的。
➢ PKI的设计、开发、生产和管理可以独立进行,无需考虑 应用的特殊性
➢ 应用不必关心密码算法的实现,只需按标准使用即可。
1.2.2 PKI的框架结构
数字证书
– PKI中的基本数据元素
数字证书颁发机构CA和RA 数字证书库
– LDAP (Lightweight Directory Access Protocol)
1.2.3 数字证书简介(四)
证书链的概念
– 根证书:CA中心的自签名证书,是CA认证中心与用户建立信 任关系的基础
– 证书链:从CA根证书到用户证书所包含的所有证书路径。
1.2.3 数字证书简介(五)
数字证书的验证过程
– 验证证书链的上级证书直到根证书可信 – 验证证书的签名 – 验证证书的有效期 – 验证证书的状态(OCSP或CRL查询) – 验证证书的用途
1.1.1对称密码技术
概念
– 通讯双方使用同一个密钥来加解密信息。
常用算法
– DES、3DES、AES、SSF33
密钥长度和分组大小 块加密和Fra bibliotek加密 块加密模式
– ECB(Electronic Code Book)、CBC(Cipher Block Chaining)、 CFB(Cipher Feedback Mode)、OFB(Output Feedback Mode)
1.2.3 数字证书简介(六)
数字证书的文件类型
– DER 二进制编码 (*.cer) – BASE64编码(*.cer, *.pem) – PKCS#7消息语法编码 (*.p7b) – PKCS#12编码证书 (*.pfx, *.p12)
1.2.3 数字证书简介(七)
数字证书的签发过程
– 用户在RA录入身份信息 – RA为用户产生密钥对。
1.1.3 HASH算法
概念
– 是一种把任意长度的输入转换成固定长度输出的算 法。算法是单向不可逆的,不需要密钥。
– 输出结果称为消息摘要
常用算法
– SHA-1,MD5
1.1.4数字签名
概念
– 对原消息进行HASH运算, – 私钥对消息摘要进行运算 – 最终结果称为消息的数字签名。
非对称算法与HASH算法的结合。 实现
私钥由用户保存,RA将 公钥和用户身份信息传送 给CA – CA为用户签发证书并放 入目录服务器中 – 用户通过RA或自已从目 录服务器上下载安装证书
1.2.3 数字证书简介(八)
数字证书的存储介质
– 硬盘或软盘 – IC卡 – USB Token – 主板模块(BIOS)
1.2.4 PKI的技术标准
加密填充
– PKCS#5
1.1.2非对称密码技术
概念
– 通讯双方使用一对密钥来分别完成加密和解密操作。一个分 开发布(公钥),一个由用户秘密保存(私钥)。
常用算法
– RSA
公钥:N,E 私钥:P,Q,DP,DQ,QINV 签名填充和加密填充(PKCS#1)
– ECC(Elliptic Curve Cryptography)与RSA相比,可用短的 多的密钥获得同样的安全性。
– 数字证书的格式目前一般采用X.509国际标准。
1.2.3 数字证书简介(二)
数字证书的作用?
– 将公钥与个人信息绑定在一起。 – 在网上进行电子商务和电子政务活动时,交易双方使用数字
证书来表明自己的身份,并使用数字证书来进行有关的网上 安全交易操作。 – 数字证书可提供以下安全服务
数据保密性:除发送方和接收方外信息不被其他人窃取; 数据完整性:信息在传输过程中不会被篡改; 身份认证:接收方能够通过数字证书来确认发送方的身份; 不可否认性:发送方对于自己发送的信息将不可抵赖。
1.2.3 数字证书简介(三)
数字证书的内容与格式
– 证书所有者信息 – 证书所有者公钥 – 证书颁发机构签名
证书内容
签名算法 签名
版本
序列号 签名算法标识
·算法 ·参数 签发者 有效期 ·起始日期 ·结束日期 主体 主体的公开密钥 ·算法 ·参数 ·公开密钥 签发者唯一标识符 主体唯一标识符 扩展项
密钥备份与恢复系统 证书吊销系统 数字证书策略
– CA证书、用户证书 – 代码签名证书、电子邮件证书、服务器证书
应用开发API
– CryptoAPI – PKCS11
1.2.3 数字证书简介(一)
什么是数字证书?
– 数字证书又称为数字标识,它提供了一种在 Internet上进行身份验证的方式,是用来标志和证 明网络通信双方身份的数字信息文件。通俗地讲, 数字证书就是单位或个人在Internet的身份证
1. 什么是PKI 2. PKI的框架结构 3. 数字证书简介 4. PKI的技术标准
1.2.1 PKI基本概念
什么是PKI?
– Public Key Infrastructure的缩写,是一种普遍适用 的网络安全基础设施,包括软件、硬件、人和策略 的集合。PKI目前是公认的保障网络社会安全的最 佳体系。
信息安全技术及其应用
新员工培训教程
定义与范围
信息安全技术是一个涉及面非常广泛技术,包括网络 安全、防火墙、入侵检测和防病毒等诸多方面。根据 公司产品开发的方向,本次培训的范围主要局限于网 络安全中的以下几个方面: 数据保密性(加密) 数据抗否认性(签名) 身份认证 访问控制
培训目标
本次培训希望达到以下目标:
– 了解信息安全技术中的一些基本概念 – 了解常用的信息安全技术及对应的规范和协议 – 了解公司开发的一些安全产品
一、信息安全技术中的基本概念
1. 常用密码技术 2. PKI基础及数字证书
1.1.常用密码技术
1. 对称密码技术 2. 非对称密码技术 3. HASH算法 4. 数字签名 5. 数字信封
– 身份认证 – 数据完整 – 非否认
1.1.5 数字信封
概念
– 随机产生一对称密钥,用该密钥对消息进行加密 – 用接收方公钥加密随机产生的对称密钥 – 两组密文加在一起称为数字信封
非对称算法与对称算法的结合。
1.1.6 程序资源
Crypto++ PGP OPEN SSL
1.2 PKI基础及数字证书
– PKI与PKI应用系统之间是相互独立、分离的。
➢ PKI的设计、开发、生产和管理可以独立进行,无需考虑 应用的特殊性
➢ 应用不必关心密码算法的实现,只需按标准使用即可。
1.2.2 PKI的框架结构
数字证书
– PKI中的基本数据元素
数字证书颁发机构CA和RA 数字证书库
– LDAP (Lightweight Directory Access Protocol)
1.2.3 数字证书简介(四)
证书链的概念
– 根证书:CA中心的自签名证书,是CA认证中心与用户建立信 任关系的基础
– 证书链:从CA根证书到用户证书所包含的所有证书路径。
1.2.3 数字证书简介(五)
数字证书的验证过程
– 验证证书链的上级证书直到根证书可信 – 验证证书的签名 – 验证证书的有效期 – 验证证书的状态(OCSP或CRL查询) – 验证证书的用途