信息安全技術(shù)在電子政務(wù)和電子商務(wù)中的應(yīng)用

信息安全技術(shù)

在電子政務(wù)和電子商務(wù)中的應(yīng)用網(wǎng)絡(luò)安全培訓(xùn)課程之二張思宇博士客座教授1網(wǎng)絡(luò)信息安全的重要性Internet解決了信息傳播的問題，帶來信息平安問題Internet和網(wǎng)絡(luò)應(yīng)用在中國高速開展60萬網(wǎng)站，8,000萬用戶〔2004年〕電子政務(wù)、電子商務(wù)、網(wǎng)絡(luò)銀行、企業(yè)網(wǎng)絡(luò)迅速開展國務(wù)院決定在近幾年內(nèi)全面開展IT，建設(shè)政府網(wǎng)絡(luò)信息平安關(guān)系重大黑客襲擊、截取信息、篡改數(shù)據(jù)、病毒發(fā)作對政治、軍事、經(jīng)濟(jì)關(guān)系重大，對生產(chǎn)生活關(guān)系重大內(nèi)部平安隱患的危害高于外部威脅2網(wǎng)絡(luò)和信息安全技術(shù)網(wǎng)絡(luò)邊界平安—防火墻、網(wǎng)絡(luò)隔離、防攻擊、入侵檢測、漏洞檢測等計(jì)算機(jī)系統(tǒng)平安—漏洞檢測、系統(tǒng)強(qiáng)化、防病毒、訪問控制等應(yīng)用系統(tǒng)平安—身份認(rèn)證、權(quán)限管理、訪問控制、內(nèi)容保護(hù)等數(shù)據(jù)通信平安—數(shù)據(jù)加密傳輸、線路加密設(shè)備、VPN、平安電子郵件數(shù)據(jù)信息平安—數(shù)據(jù)庫平安、加密存放、完整性檢驗(yàn)等網(wǎng)絡(luò)交易平安—身份認(rèn)證、數(shù)據(jù)私密性、防篡改、防抵賴等系統(tǒng)運(yùn)行平安—網(wǎng)絡(luò)監(jiān)控、防攻擊、防病毒、訪問控制等平安管理和策略—政策法規(guī)、信息系統(tǒng)平安保護(hù)等級、監(jiān)控和審計(jì)3本講座涉及的一些問題如何在網(wǎng)絡(luò)上認(rèn)證對方的真實(shí)身份？如何建立長期可用的身份標(biāo)識？如何實(shí)現(xiàn)用戶管理和訪問控制？如何保障數(shù)據(jù)通信的平安？如何保證數(shù)據(jù)的真實(shí)、完整？如何保證交易的不可否認(rèn)、不可抵賴性？如何保障數(shù)據(jù)平安？如何平安地實(shí)現(xiàn)無線交易？新技術(shù)和新進(jìn)展…………4講座內(nèi)容PKI技術(shù)根底—密碼技術(shù)開展、PKI原理、相關(guān)技術(shù)介紹PKI系統(tǒng)—數(shù)字證書、認(rèn)證系統(tǒng)、不同的類型和典型產(chǎn)品證書管理—證書的發(fā)放流程、證書管理、查詢和使用PKI應(yīng)用方法—平安協(xié)議、證書認(rèn)證、數(shù)字簽名PKI實(shí)踐—常用設(shè)備、應(yīng)用舉例、WPKI和無線平安通信PMI簡介—屬性證書、訪問控制其它技術(shù)—SSO、動態(tài)口令、指紋指導(dǎo)政策—網(wǎng)絡(luò)和信息平安管理、平安保護(hù)等級等內(nèi)容5什么是PKI技術(shù)PKI：PublicKeyInfrastructure公共密鑰體系提供平安效勞的具有普遍適用性的根底設(shè)施在網(wǎng)絡(luò)和計(jì)算機(jī)世界中表示和管理信任關(guān)系利用了密碼學(xué)中的公共密鑰技術(shù)的加密體制包含了多種算法、協(xié)議、標(biāo)準(zhǔn)、標(biāo)準(zhǔn)成長變化中的加密體制，仍在開展和完善中應(yīng)用的范圍包括互聯(lián)網(wǎng)、專用網(wǎng)、企業(yè)網(wǎng)、和無線網(wǎng)絡(luò)等多種領(lǐng)域6PKI技術(shù)的發(fā)展歷史70’：創(chuàng)造公鑰算法，提出幾種根底技術(shù)1976DH算法，1978RSA算法80’：幾乎沒有進(jìn)展1985Elgemal算法90’：全面開展，形成技術(shù)框架，進(jìn)入實(shí)際應(yīng)用1991DSA算法，1994ECC、DSS，MD系列算法標(biāo)準(zhǔn)化工作：IETFPKIX，SPKIWorkgroup，NIST，DOT(DepartmentoftheTreasury)，TOG(TheOpenGroup)，RSA的PKCS，WAPForum等工業(yè)應(yīng)用：CA系統(tǒng)的建立，應(yīng)用系統(tǒng)的廣泛支持等7傳統(tǒng)密碼學(xué)—對稱密鑰算法歷史悠久，根本技術(shù)是替換、置換、移位加密和解密采用同一個(gè)密鑰〔對稱〕一個(gè)密鑰：Key長度40~168bit或更長加密：[Data]=f(Data,Key) 解密：Data=G([Data],Key)方法簡單，加密速度快；交換密鑰相當(dāng)困難加密設(shè)備

A加密設(shè)備

B密鑰管理中心8DES算法DES是第一個(gè)得到廣泛應(yīng)用的密碼算法DES算法的加密和解密公式相同DES是一種分組加密算法，輸入的明文為64位，密鑰為56位，生成的密文為64位3DES算法采用兩個(gè)或三個(gè)密鑰，對同一段數(shù)據(jù)完成三遍DES運(yùn)算DES(56)已于1997年被破譯9RC系列算法RC系列是RonRivest為RSA公司設(shè)計(jì)的一系列密碼算法RC1沒有公開過，RC3在設(shè)計(jì)過程中被攻破RC2是變長密鑰加密密法RC4是Rivest在1987年設(shè)計(jì)的變長密鑰的序列密碼RC5是在1994年設(shè)計(jì)的分組長、密鑰長的迭代輪數(shù)都可變的分組迭代密碼算法RC系列密碼算法的應(yīng)用較廣，隨著瀏覽器傳遍全球RC5-32/12/5，RC5-32/12/6，RC-32/12/7已分別在1997年被破譯10AES算法由于DES算法被破解，美國決定選擇新的算法，稱為AES〔AdvancedEncryptionStandard〕最后的5個(gè)候選算法：Mars，RC6，Rijndael，Serpent和TwofishRijndael是迭代分組密碼，其分組長度和密鑰長度都可變AES標(biāo)準(zhǔn)中，分組長度為128bit，密碼長度為128/192/256bit，相應(yīng)的輪數(shù)r為10/12/14AES于2000年開始使用，未來使用最廣泛的對稱算法11公開密鑰〔PublicKey〕算法WhitefieldDiffie，MartinHellman，?NewDirectionsinCryptography?，1976，提出了公鑰密碼技術(shù)和算法一對密鑰，使用其中的一個(gè)密鑰加密，用另一個(gè)解密私有密鑰〔PrivateKey〕必須平安地存放起來公開密鑰〔PublicKey〕可以公開發(fā)布和使用在密碼學(xué)中稱為“非對稱密鑰算法〞計(jì)算速度慢，一般不適用于數(shù)據(jù)加密適用于密鑰交換、身份認(rèn)證、數(shù)字簽名等應(yīng)用包括：DH/DSA、Elgemal、RSA、ECC等算法12RSA算法RonRivest，AdiShamir和LenAdleman于1977年研制，1978年首次發(fā)表RSA是一種分組密碼，其理論根底是一種特殊的可逆模指數(shù)運(yùn)算，其平安性基于分解大整數(shù)的困難性RSA既可用于加密，又可用于數(shù)字簽名，已得到廣泛采用被許多標(biāo)準(zhǔn)化組織〔ISO、ITU、IETF、SWIFT、WAP〕接納512bit的RSA-155和RSA-140于1999年破解破解RSA1024bit需要數(shù)億臺個(gè)人電腦共同計(jì)算一個(gè)月13公共密鑰算法的使用使用方法：用一個(gè)密鑰加密，用另一個(gè)密鑰解密甲用乙的公鑰加密，乙用私鑰解密—密文傳遞〔數(shù)字信封〕甲用私鑰加密，乙用甲的公鑰解密—確認(rèn)身份〔簽名/驗(yàn)證〕用自己的公鑰加密，自己的私鑰解密—文件或數(shù)據(jù)加密保護(hù)公鑰算法的出現(xiàn)解決了大規(guī)模平安通信中密鑰分發(fā)的問題數(shù)字信封：用對方的公鑰加密需要分發(fā)的對稱密鑰密鑰分發(fā)：可以動態(tài)地完成，可以實(shí)現(xiàn)“一次一密〞密鑰對可以長期使用，為網(wǎng)絡(luò)平安技術(shù)提供了實(shí)用的工具私有密鑰是平安的關(guān)鍵，擁有者必須平安保存14數(shù)字摘要〔Hash〕算法數(shù)字摘要計(jì)算〔散列算法〕Digest=Hash(Data)，固定長度充別離散，不可逆，對原數(shù)據(jù)的變化指示明顯MD系列算法〔RonRivest，1990～1995年設(shè)計(jì)〕MD4、MD5，128bit較早被標(biāo)準(zhǔn)化組織IETF接納，已經(jīng)獲得廣泛應(yīng)用SHA和SHA-1〔NIST和NSA組織設(shè)計(jì)，1991〕結(jié)構(gòu)類似于MD4，160bit，平安度較高，已獲廣泛應(yīng)用RIPE-MD〔歐共體使用，128或160bit〕15數(shù)字簽字和驗(yàn)證方法數(shù)字簽字〔Signature〕計(jì)算原數(shù)據(jù)的摘要用私有密鑰加密摘要將數(shù)據(jù)和摘要密文傳送給接收方接收方用對方公鑰解密摘要自行計(jì)算所接收數(shù)據(jù)的摘要比較兩個(gè)摘要保障數(shù)據(jù)的完整性和抗否認(rèn)性ABCDEFGHIJKLMNOPQRSTUVWSYZ1234567890

íe?T?óá?à??￠￡¤￥|§¨?±μ??o???ú?16講座內(nèi)容PKI技術(shù)根底—密碼技術(shù)開展、PKI原理、相關(guān)技術(shù)介紹PKI系統(tǒng)—數(shù)字證書、認(rèn)證系統(tǒng)、不同的類型和典型產(chǎn)品證書管理—證書的發(fā)放流程、證書管理、查詢和使用PKI應(yīng)用方法—平安協(xié)議、證書認(rèn)證、數(shù)字簽名PKI實(shí)踐—常用設(shè)備、應(yīng)用舉例、WPKI和無線平安通信PMI簡介—屬性證書、訪問控制其它技術(shù)—SSO、動態(tài)口令、指紋指導(dǎo)政策—網(wǎng)絡(luò)和信息平安管理、平安等級等17PKI系統(tǒng)的組成部分認(rèn)證機(jī)構(gòu)目錄效勞平安策略支持PKI的應(yīng)用18數(shù)字證書用戶公鑰＋用戶信息＋CA認(rèn)證數(shù)字證書〔Certificate〕標(biāo)準(zhǔn)：X.509v3、WTLS等密鑰長度：1024、2048bit長度：1~2KB種類：簽字證書、加密證書等用戶：根、效勞器、個(gè)人證書等壽命：根據(jù)類型和策略確定證書鏈，認(rèn)證的繼承關(guān)系證書版本信息證書序列號簽名算法標(biāo)識認(rèn)證機(jī)構(gòu)信息有效期限持有者信息持有者公鑰證書擴(kuò)展項(xiàng)認(rèn)證機(jī)構(gòu)簽字X.509v3格式的數(shù)字證書19證書吊銷列表〔黑名單〕證書撤消列表〔CRL，CertificateRevocationList〕撤消：用戶變更、用戶失去信任、私有密鑰泄漏等原因構(gòu)成：撤消證書的序列號，CA的數(shù)字簽名使用：認(rèn)證對方身份時(shí)要查詢其有效性發(fā)布：查詢〔LDAP等方法〕、發(fā)布到指定地址證書撤消列表的信息對平安認(rèn)證非常重要20單密鑰和雙密鑰體系單密鑰對、單證書：數(shù)字簽名、加密和密鑰交換，私有密鑰由用戶保管全部商業(yè)產(chǎn)品都支持，生產(chǎn)廠家較多雙密鑰對、雙證書：簽名證書：代表用戶的身份，私有密鑰由用戶方保存加密證書：完成數(shù)據(jù)加密或密鑰交換，私有密鑰由效勞器托管典型的雙密鑰系統(tǒng)：加拿大Entrust公司的CA和平安產(chǎn)品我國電子政務(wù)建議采用雙證書體系〔無錫江南所、吉大正元〕21PKI基礎(chǔ)設(shè)施〔1〕PKI根底設(shè)施—CA〔CertificationAuthority〕系統(tǒng)組成：軟硬件系統(tǒng)，認(rèn)證和管理策略層次：根CA、子CA、RA的分層結(jié)構(gòu)體系：主要有單密鑰體系和雙密鑰體系兩種規(guī)模：大〔國家級〕、中〔省、行業(yè)〕、小〔企業(yè)級〕工作：給網(wǎng)絡(luò)中各類設(shè)備和用戶發(fā)放證書任務(wù)：認(rèn)證和管理網(wǎng)絡(luò)中各類設(shè)備和用戶的身份目的：保持網(wǎng)絡(luò)系統(tǒng)內(nèi)各參與者之間的相互信任關(guān)系22PKI基礎(chǔ)設(shè)施〔2〕PKI根底設(shè)施—目錄效勞〔LDAP效勞器〕組成：軟硬件系統(tǒng)，LDAP效勞器任務(wù)：公布各類設(shè)備和用戶的證書，公布黑名單目的：排除證書已失效用戶使網(wǎng)絡(luò)用戶可以方便地查找自己或他人的證書作為用戶管理中心，同時(shí)支持多種應(yīng)用系統(tǒng)OCSP〔OnlineCertificateStatusProtocol〕，證書狀態(tài)在線查詢協(xié)議23小型CA系統(tǒng)的組成證書管理模塊

數(shù)據(jù)庫管理模塊證書請求庫有效證書庫吊銷證書庫系統(tǒng)管理員庫審計(jì)日志庫證書簽名模塊PCI

加密卡證書、黑名單發(fā)布模塊密鑰管理模塊備份與恢復(fù)模塊管理審計(jì)操作CA系統(tǒng)管理模塊24大型CA中心的模塊和組成證書簽發(fā)加密機(jī)密鑰管理加密機(jī)數(shù)據(jù)庫事件審計(jì)操作員管理證書管理網(wǎng)絡(luò)監(jiān)視查詢服務(wù)注冊申請證書發(fā)布CRL發(fā)布Web服務(wù)器LDAP服務(wù)器郵件服務(wù)器防火墻CA中心的組成KM

系統(tǒng)OCSP

服務(wù)器25RA〔注冊機(jī)構(gòu)〕中心的組成CA中心事件審計(jì)操作員管理申請轉(zhuǎn)發(fā)數(shù)據(jù)庫管理查詢服務(wù)審批服務(wù)Web服務(wù)器LDAP服務(wù)器防火墻RA的組成26大型CA系統(tǒng)的拓?fù)浣Y(jié)構(gòu)根CA（全國）子CA（北京）子CA（上海）子CA（湖北）子CA（廣東）RARA根CA子CA（銀行）子CA（證券）子CA（保險(xiǎn)）子CA（電子商務(wù)）RA北京RA上海27CFCA的拓?fù)浣Y(jié)構(gòu)中國金融CA，1999年采用Entrust公司產(chǎn)品為多家銀行提供認(rèn)證效勞為稅務(wù)等其它機(jī)構(gòu)提供效勞28不同CA系統(tǒng)間的關(guān)系一個(gè)CA系統(tǒng)建立并維持一個(gè)平安信任域不同平安域之間是不能互通的，需要建立一種信任機(jī)制交叉認(rèn)證兩個(gè)CA系統(tǒng)相互為對方的根CA簽證書融合了兩個(gè)信任域，擴(kuò)展信任范圍橋CA與多個(gè)CA系統(tǒng)建立對等信任關(guān)系本身不向用戶發(fā)證書，不是信任原點(diǎn)29國內(nèi)一些大型CA系統(tǒng)中國電信CA平安認(rèn)證中心〔CTCA〕中國聯(lián)通CA系統(tǒng)〔CUCA〕中國金融認(rèn)證中心〔CFCA〕中國國際電子商務(wù)認(rèn)證中心中國郵政CA認(rèn)證中心〔CPCA〕中國海關(guān)CA認(rèn)證中心上海市〔SHECA〕、北京市〔BJCA〕廣東、福建、河南等省級認(rèn)證中心公安系統(tǒng)CA系統(tǒng)等部級認(rèn)證中心30講座內(nèi)容PKI技術(shù)根底—密碼技術(shù)開展、PKI原理、相關(guān)技術(shù)介紹PKI系統(tǒng)—數(shù)字證書、認(rèn)證系統(tǒng)、不同的類型和典型產(chǎn)品證書管理—證書的發(fā)放流程、證書管理、查詢和使用PKI應(yīng)用方法—平安協(xié)議、證書認(rèn)證、數(shù)字簽名PKI實(shí)踐—常用設(shè)備、應(yīng)用舉例、WPKI和無線平安通信PMI簡介—屬性證書、訪問控制其它技術(shù)—SSO、動態(tài)口令、指紋指導(dǎo)政策—網(wǎng)絡(luò)和信息平安管理、平安等級等31單證書申請流程2.提交申請CA服務(wù)器LDAP服務(wù)器RA服務(wù)器用戶端1.填寫申請表產(chǎn)生密鑰對形成申請數(shù)字簽名3.審批數(shù)據(jù)記錄4.報(bào)簽5.簽發(fā)證書存檔6.發(fā)證8.郵件通知證書下載9.證書發(fā)布7.備案32流程的變種沒有RA系統(tǒng)，直接向CA申請附加了付費(fèi)處理等流程沒有郵件通知，按指定時(shí)間或方法領(lǐng)取證書沒有審批流程，申請?zhí)峤缓蠹传@得數(shù)字證書證書發(fā)到軟盤、IC卡、USBKey介質(zhì)內(nèi)，再交給用戶證書續(xù)簽流程，產(chǎn)生〔或者不產(chǎn)生〕新的密鑰33雙證書申請流程2.提交申請CA服務(wù)器LDAP服務(wù)器RA服務(wù)器用戶端1.填寫申請表產(chǎn)生密鑰對形成申請數(shù)字簽名3.審批數(shù)據(jù)記錄4.報(bào)簽6.制作第二證書簽發(fā)證書、存檔7.發(fā)證9.證書下載10.證書發(fā)布8.備案密鑰管理服務(wù)器5.產(chǎn)生密鑰安全保存34證書容器關(guān)鍵：保護(hù)私有密鑰的平安IC卡和USBKey卡片內(nèi)產(chǎn)生密鑰對無法讀出私有密鑰卡片內(nèi)完成加密、解密卡片內(nèi)完成數(shù)字簽名PIN保護(hù)，3次錯(cuò)誤會造成卡片鎖死文件保護(hù)和線路保護(hù)，防輻射措施嚴(yán)格的證書發(fā)放流程管理35卡片和證書發(fā)放流程4.提交申請CA服務(wù)器LDAP服務(wù)器RA服務(wù)器發(fā)證終端1.審查客戶資料2.管理員持卡登錄3.填寫證書申請5.數(shù)據(jù)記錄6.報(bào)簽7.簽發(fā)證書存檔、記錄8.發(fā)證10.證書下載11.證書發(fā)布9.備案0.卡片初始化36證書查詢服務(wù)Web效勞器與證書申請、下載有關(guān)LDAP效勞器查詢、下載他人證書查詢黑名單實(shí)現(xiàn)認(rèn)證效勞OCSP效勞器在線查詢證書的有效性CA服務(wù)器用戶InternetWeb

LDAPOCSP37講座內(nèi)容PKI技術(shù)根底—密碼技術(shù)開展、PKI原理、相關(guān)技術(shù)介紹PKI系統(tǒng)—數(shù)字證書、認(rèn)證系統(tǒng)、不同的類型和典型產(chǎn)品證書管理—證書的發(fā)放流程、證書管理、查詢和使用PKI應(yīng)用方法—平安協(xié)議、證書認(rèn)證、數(shù)字簽名PKI實(shí)踐—常用設(shè)備、應(yīng)用舉例、WPKI和無線平安通信PMI簡介—屬性證書、訪問控制其它技術(shù)—SSO、動態(tài)口令、指紋指導(dǎo)政策—網(wǎng)絡(luò)和信息平安管理、平安等級等38SSL/TLS安全通信協(xié)議Netscape公司93年提出SSL協(xié)議，后來形成TLS協(xié)議包括握手協(xié)議和數(shù)據(jù)格式協(xié)議，對應(yīng)HTTPS://在TCP/IT之上，在HTTP、FTP等協(xié)議層之下〔平安套接層〕提出建立平安通信通道，開始握手交換證書和簽字，身份認(rèn)證確定加密算法，交換密鑰加密通信〔平安通信通道〕終斷連接單向身份認(rèn)證、雙向身份認(rèn)證加密算法和密鑰長度39Web和SSL安全協(xié)議SSLv2/v3、TLSv1CA給效勞器和用戶發(fā)證書對內(nèi)容〔網(wǎng)頁〕設(shè)置為HTTPS各種商用的應(yīng)用效勞器都支持局部效勞器支持復(fù)雜的應(yīng)用提供了證書登錄效勞允許證書登錄或口令登錄實(shí)現(xiàn)參數(shù)傳遞實(shí)現(xiàn)單點(diǎn)登錄CA服務(wù)器Web

服務(wù)器用戶Internet服務(wù)器SSL/TLS瀏覽器SSL/TLSTCP/IPTCP/IP40安全電子郵件：S/MIME協(xié)議S/MIME平安電子郵件協(xié)議使用者擁有個(gè)人數(shù)字證書對郵件加密和簽字與郵件效勞器無關(guān)使用方法發(fā)出一個(gè)簽字郵件給對方或到LDAP下載他人證書實(shí)現(xiàn)郵件加密和〔或〕簽字

CA服務(wù)器LDAP郵件服務(wù)器用戶AInternet用戶

B41數(shù)字簽名和驗(yàn)證客戶端調(diào)用簽字模塊表單簽字和文件簽字?jǐn)?shù)據(jù)內(nèi)容＋簽字＋證書PKCS#7標(biāo)準(zhǔn)效勞器軟件調(diào)用驗(yàn)證模塊API調(diào)用接口自動的證書和密鑰管理多種平安功能驗(yàn)證模塊應(yīng)用服務(wù)器簽字模塊42登錄控制平安連接和證書登錄控制SSL/TLS完成證書驗(yàn)證提取證書內(nèi)用戶個(gè)人信息傳遞給應(yīng)用，完成登錄數(shù)字簽字方法在應(yīng)用層，用戶做數(shù)字簽名效勞器驗(yàn)證用戶簽字，提取證書中的用戶信息，完成登錄Web

服務(wù)器用戶Internet43主機(jī)、數(shù)據(jù)和文件安全文件加密工作原理每次產(chǎn)生不同的對稱密鑰用自己〔他人〕的公鑰加密對稱密鑰用自己的私有密鑰解密對稱密鑰解密文件桌面平安產(chǎn)品本機(jī)證書登錄、局域網(wǎng)絡(luò)證書登錄文件加密、目錄加密數(shù)據(jù)平安容器〔USB、移動硬盤〕用戶管理，密鑰托管和恢復(fù)專用模塊專用模塊密鑰托管44講座內(nèi)容PKI技術(shù)根底—密碼技術(shù)開展、PKI原理、相關(guān)技術(shù)介紹PKI系統(tǒng)—數(shù)字證書、認(rèn)證系統(tǒng)、不同的類型和典型產(chǎn)品證書管理—證書的發(fā)放流程、證書管理、查詢和使用PKI應(yīng)用方法—平安協(xié)議、證書認(rèn)證、數(shù)字簽名PKI實(shí)踐—常用設(shè)備、應(yīng)用舉例、WPKI和無線平安通信PMI簡介—屬性證書、訪問控制其它技術(shù)—SSO、動態(tài)口令、指紋指導(dǎo)政策—網(wǎng)絡(luò)和信息平安管理、平安等級等45硬件加密技術(shù)和設(shè)備加密機(jī)：多功能型：產(chǎn)生密鑰、管理證書、加解密、簽名/驗(yàn)證等線路加密機(jī)：IP加密機(jī)、幀中繼加密機(jī)等其它硬件：加密板卡、加密讀卡器、加密芯片、IC卡等專用產(chǎn)品：保密、加密機(jī)、視頻加密系統(tǒng)等46安全通信代理服務(wù)器HTTPS代理效勞反向代理效勞器專用加密硬件SSL/TLS協(xié)議平安通信多種連接和通信方式訪問控制單點(diǎn)登錄〔SSO〕安全代理服務(wù)器Web應(yīng)用服務(wù)器47客戶端通用技術(shù)—標(biāo)準(zhǔn)模塊瀏覽器E-mailSSL/TLS加密服務(wù)Windows底層登錄控制KerberosVPN客戶端IPsecWindows

操作系統(tǒng)安全客戶端加密服務(wù)CSP1.0/2.0PKCS#11客戶端產(chǎn)品密鑰和證書平安PKCS#11和CSP技術(shù)CAPI和CSP1.0/2.0數(shù)字簽名模塊標(biāo)準(zhǔn)API接口48客戶端—非標(biāo)準(zhǔn)模塊客戶端平安代理在瀏覽器內(nèi)設(shè)置代理支持SSL或者非標(biāo)準(zhǔn)協(xié)議可以利用智能卡瀏覽器插件ActiveX等技術(shù)在Web頁面內(nèi)編程調(diào)用可以利用智能卡瀏覽器Windows

操作系統(tǒng)加密服務(wù)安全代理49Entrust/PKI應(yīng)用方法EntrustTechnologiesCFCA和中國金融界采用其技術(shù)銀行等機(jī)構(gòu)應(yīng)用其平安技術(shù)系統(tǒng)構(gòu)成平安客戶端〔支持智能卡技術(shù)〕平安代理效勞器CFCA的LDAP等效勞EntrustProxyWeb應(yīng)用服務(wù)器EntrustClientNet-Pass1.0E50典型的網(wǎng)絡(luò)安全通信系統(tǒng)完整的PKI體系適合LAN、WAN、公網(wǎng)、Internet主要設(shè)備CA效勞器平安代理效勞器VPN設(shè)備數(shù)據(jù)平安效勞器客戶端智能卡內(nèi)部用戶應(yīng)用服務(wù)器

CA服務(wù)器加密卡卡片發(fā)放多功能加密機(jī)加密卡遠(yuǎn)程用戶Web服務(wù)器代理服務(wù)器或VPN公共網(wǎng)絡(luò)51WAP協(xié)議下的證書發(fā)放應(yīng)用服務(wù)器CA系統(tǒng)WAP網(wǎng)關(guān)WIM卡片52端到端無線安全通信WTLSTLS1.0WAP網(wǎng)關(guān)應(yīng)用服務(wù)器InternetWAP手機(jī)WIM卡片無線網(wǎng)絡(luò)GSM/GPRS53其它無線安全應(yīng)用技術(shù)雙卡片附件、PDA附件內(nèi)的VPN通信〔Motorola產(chǎn)品〕PDA手持設(shè)備內(nèi)的加密模塊和效勞器端加密模塊Java內(nèi)的加密模塊和效勞器端加密模塊應(yīng)用服務(wù)器Java手機(jī)加密模塊（Java）加密模塊54講座內(nèi)容PKI技術(shù)根底—密碼技術(shù)開展、PKI原理、相關(guān)技術(shù)介紹PKI系統(tǒng)—數(shù)字證書、認(rèn)證系統(tǒng)、不同的類型和典型產(chǎn)品證書管理—證書的發(fā)放流程、證書管理、查詢和使用PKI應(yīng)用方法—平安協(xié)議、證書認(rèn)證、數(shù)字簽名PKI實(shí)踐—常用設(shè)備、應(yīng)用舉例、WPKI和無線平安通信PMI簡介—屬性證書、訪問控制其它技術(shù)—SSO、動態(tài)口令、指紋指導(dǎo)政策—網(wǎng)絡(luò)和信息平安管理、平安等級等55PMI技術(shù)PMI：PrivilegeManagementInfrastructure授權(quán)管理體系目的：把授權(quán)管理功能從應(yīng)用系統(tǒng)內(nèi)獨(dú)立出來便于實(shí)現(xiàn)用戶和授權(quán)的集中管理，同時(shí)支持多種應(yīng)用減輕用戶管理工作，減少不一致性技術(shù)特點(diǎn)支持多種授權(quán)模型：復(fù)合授權(quán)方式，權(quán)限組合，動態(tài)授權(quán)等支持多級平安控制：實(shí)現(xiàn)對授權(quán)和認(rèn)證的多級別的平安控制支持多種認(rèn)證方式：用戶名/口令、動態(tài)口令、指紋、PKI等56用戶集中授權(quán)、認(rèn)證

系統(tǒng)1.提交ID用戶集中管理服務(wù)器用戶認(rèn)證服務(wù)器(LDAP)應(yīng)用服務(wù)器客戶端服務(wù)插件服務(wù)插件2.用戶認(rèn)證3.用戶權(quán)限57PMI實(shí)用系統(tǒng)舉例Baltimore:SelectAccess58屬性證書X.509v4：AttributeCertificate目的：實(shí)現(xiàn)靈活的授權(quán)和訪問控制屬性：描述持有者的角色或權(quán)限平安級別所在用戶組角色發(fā)放：由授權(quán)機(jī)構(gòu)頒發(fā)證書版本信息持有者信息頒發(fā)者信息證書序列號有效期限屬性值（權(quán)限）證書擴(kuò)展項(xiàng)簽名算法標(biāo)識頒發(fā)機(jī)構(gòu)簽字X.509v4格式屬性證書59授權(quán)管理基礎(chǔ)設(shè)施AA系統(tǒng)與CA系統(tǒng)的體系結(jié)構(gòu)相對應(yīng)，樹狀繼承關(guān)系可以配置不同的證書發(fā)放策略和管理策略證書及黑名單發(fā)布在LDAP效勞器證書管理層證書服務(wù)層授權(quán)服務(wù)中心AA證書應(yīng)用層安全策略服務(wù)授權(quán)服務(wù)應(yīng)用服務(wù)器LDAP信任源點(diǎn)SOA申請受理點(diǎn)申請受理點(diǎn)60屬性證書應(yīng)用體系A(chǔ)A系統(tǒng)與CA系統(tǒng)的體系結(jié)構(gòu)相對應(yīng)，樹狀繼承關(guān)系可以配置不同的證書發(fā)放策略和管理策略LDAP效勞器發(fā)布證書及黑名單，供查詢目錄服務(wù)器Internet提交屬性證書屬性證書發(fā)放屬性證書服務(wù)器授權(quán)屬性證書發(fā)布屬性證書查詢拉模式推模式授權(quán)屬性證書應(yīng)用AA服務(wù)器應(yīng)用服務(wù)器61屬性證書的適用性適用于：應(yīng)用系統(tǒng)訪問者比較隨機(jī)，“憑票入門〞臨時(shí)授權(quán)去訪問通常不訪問的應(yīng)用“推薦〞方式的用戶授權(quán)分布式系統(tǒng)下的交叉授權(quán)主要問題：商用效勞器和客戶端軟件尚不支持屬性證書單一屬性證書不適合描述復(fù)雜的用戶屬性屬性證書發(fā)布和撤消工作量比較大62講座內(nèi)容PKI技術(shù)根底—密碼技術(shù)開展、PKI原理、相關(guān)技術(shù)介紹PKI系統(tǒng)—數(shù)字證書、認(rèn)證系統(tǒng)、不同的類型和典型產(chǎn)品證書管理—證書的發(fā)放流程、證書管理、查詢和使用PKI應(yīng)用方法—平安協(xié)議、證書認(rèn)證、數(shù)字簽名PKI實(shí)踐—常用設(shè)備、應(yīng)用舉例、WPKI和無線平安通信PMI簡介—屬性證書、訪問控制其它技術(shù)—SSO、動態(tài)口令、指紋指導(dǎo)政策—網(wǎng)絡(luò)和信息平安管理、平安等級等63單點(diǎn)登錄技術(shù)〔SSO〕SSO：SingleSignOn單點(diǎn)登錄目的：用戶不用記憶和屢次輸入“用戶名/口令〞開展了多種做法和技術(shù)客戶端插件口令效勞器效勞器插件〔見前面內(nèi)容〕代理效勞器：IBMTAM等Portal效勞器：用戶認(rèn)證集成，cookies和參數(shù)傳遞64SSO的兩種典型技術(shù)SSO