信息安全技术在电子政务和电子商务中的应用.ppt

信息安全技术在电子政务和电子商务中的应用 网络安全培训课程之二张思宇博士客座教授 2 网络信息安全的重要性 Internet解决了信息传播的问题 带来信息安全问题Internet和网络应用在中国高速发展60万网站 8 000万用户 2004年 电子政务 电子商务 网络银行 企业网络迅速发展国务院决定在近几年内全面发展IT 建设政府网络信息安全关系重大黑客袭击 截取信息 篡改数据 病毒发作对政治 军事 经济关系重大 对生产生活关系重大内部安全隐患的危害高于外部威胁 3 网络和信息安全技术 网络边界安全 防火墙 网络隔离 防攻击 入侵检测 漏洞检测等计算机系统安全 漏洞检测 系统强化 防病毒 访问控制等应用系统安全 身份认证 权限管理 访问控制 内容保护等数据通信安全 数据加密传输 线路加密设备 VPN 安全电子邮件数据信息安全 数据库安全 加密存放 完整性检验等网络交易安全 身份认证 数据私密性 防篡改 防抵赖等系统运行安全 网络监控 防攻击 防病毒 访问控制等安全管理和策略 政策法规 信息系统安全保护等级 监控和审计 4 本讲座涉及的一些问题 如何在网络上认证对方的真实身份 如何建立长期可用的身份标识 如何实现用户管理和访问控制 如何保障数据通信的安全 如何保证数据的真实 完整 如何保证交易的不可否认 不可抵赖性 如何保障数据安全 如何安全地实现无线交易 新技术和新进展 5 讲座内容 PKI技术基础 密码技术发展 PKI原理 相关技术介绍PKI系统 数字证书 认证系统 不同的类型和典型产品证书管理 证书的发放流程 证书管理 查询和使用PKI应用方法 安全协议 证书认证 数字签名PKI实践 常用设备 应用举例 WPKI和无线安全通信PMI简介 属性证书 访问控制其它技术 SSO 动态口令 指纹指导政策 网络和信息安全管理 安全保护等级等内容 6 什么是PKI技术 PKI PublicKeyInfrastructure公共密钥体系提供安全服务的具有普遍适用性的基础设施在网络和计算机世界中表示和管理信任关系利用了密码学中的公共密钥技术的加密体制包含了多种算法 协议 标准 规范成长变化中的加密体制 仍在发展和完善中应用的范围包括互联网 专用网 企业网 手机和无线网络等多种领域 7 PKI技术的发展历史 70 发明公钥算法 提出几种基础技术1976DH算法 1978RSA算法80 几乎没有进展1985Elgemal算法90 全面发展 形成技术框架 进入实际应用1991DSA算法 1994ECC DSS MD系列算法标准化工作 IETFPKIX SPKIWorkgroup NIST DOT DepartmentoftheTreasury TOG TheOpenGroup RSA的PKCS WAPForum等工业应用 CA系统的建立 应用系统的广泛支持等 8 传统密码学 对称密钥算法 历史悠久 基本技术是替换 置换 移位加密和解密采用同一个密钥 对称 一个密钥 Key长度40 168bit或更长加密 Data f Data Key 解密 Data G Data Key 方法简单 加密速度快 交换密钥相当困难 9 DES算法 DES是第一个得到广泛应用的密码算法DES算法的加密和解密公式相同DES是一种分组加密算法 输入的明文为64位 密钥为56位 生成的密文为64位3DES算法采用两个或三个密钥 对同一段数据完成三遍DES运算DES 56 已于1997年被破译 10 RC系列算法 RC系列是RonRivest为RSA公司设计的一系列密码算法RC1没有公开过 RC3在设计过程中被攻破RC2是变长密钥加密密法RC4是Rivest在1987年设计的变长密钥的序列密码RC5是在1994年设计的分组长 密钥长的迭代轮数都可变的分组迭代密码算法RC系列密码算法的应用较广 随着浏览器传遍全球RC5 32 12 5 RC5 32 12 6 RC 32 12 7已分别在1997年被破译 11 AES算法 由于DES算法被破解 美国决定选择新的算法 称为AES AdvancedEncryptionStandard 最后的5个候选算法 Mars RC6 Rijndael Serpent和TwofishRijndael是迭代分组密码 其分组长度和密钥长度都可变AES规范中 分组长度为128bit 密码长度为128 192 256bit 相应的轮数r为10 12 14AES于2000年开始使用 未来使用最广泛的对称算法 12 公开密钥 PublicKey 算法 WhitefieldDiffie MartinHellman NewDirectionsinCryptography 1976 提出了公钥密码技术和算法一对密钥 使用其中的一个密钥加密 用另一个解密私有密钥 PrivateKey 必须安全地存放起来公开密钥 PublicKey 可以公开发布和使用在密码学中称为 非对称密钥算法 计算速度慢 一般不适用于数据加密适用于密钥交换 身份认证 数字签名等应用包括 DH DSA Elgemal RSA ECC等算法 13 RSA算法 RonRivest AdiShamir和LenAdleman于1977年研制 1978年首次发表RSA是一种分组密码 其理论基础是一种特殊的可逆模指数运算 其安全性基于分解大整数的困难性RSA既可用于加密 又可用于数字签名 已得到广泛采用被许多标准化组织 ISO ITU IETF SWIFT WAP 接纳512bit的RSA 155和RSA 140于1999年破解破解RSA1024bit需要数亿台个人电脑共同计算一个月 14 公共密钥算法的使用 使用方法 用一个密钥加密 用另一个密钥解密甲用乙的公钥加密 乙用私钥解密 密文传递 数字信封 甲用私钥加密 乙用甲的公钥解密 确认身份 签名 验证 用自己的公钥加密 自己的私钥解密 文件或数据加密保护公钥算法的出现解决了大规模安全通信中密钥分发的问题数字信封 用对方的公钥加密需要分发的对称密钥密钥分发 可以动态地完成 可以实现 一次一密 密钥对可以长期使用 为网络安全技术提供了实用的工具私有密钥是安全的关键 拥有者必须安全保存 15 数字摘要 Hash 算法 数字摘要计算 散列算法 Digest Hash Data 固定长度充分离散 不可逆 对原数据的变化指示明显MD系列算法 RonRivest 1990 1995年设计 MD4 MD5 128bit较早被标准化组织IETF接纳 已经获得广泛应用SHA和SHA 1 NIST和NSA组织设计 1991 结构类似于MD4 160bit 安全度较高 已获广泛应用RIPE MD 欧共体使用 128或160bit 16 数字签字和验证方法 数字签字 Signature 计算原数据的摘要用私有密钥加密摘要将数据和摘要密文传送给接收方接收方用对方公钥解密摘要自行计算所接收数据的摘要比较两个摘要保障数据的完整性和抗否认性 ABCDEFGHIJKLMNOPQRSTUVWSYZ1234567890 17 讲座内容 PKI技术基础 密码技术发展 PKI原理 相关技术介绍PKI系统 数字证书 认证系统 不同的类型和典型产品证书管理 证书的发放流程 证书管理 查询和使用PKI应用方法 安全协议 证书认证 数字签名PKI实践 常用设备 应用举例 WPKI和无线安全通信PMI简介 属性证书 访问控制其它技术 SSO 动态口令 指纹指导政策 网络和信息安全管理 安全等级等 18 PKI系统的组成部分 认证机构 目录服务 安全策略 支持PKI的应用 19 数字证书 用户公钥 用户信息 CA认证数字证书 Certificate 标准 X 509v3 WTLS等密钥长度 1024 2048bit长度 1 2KB种类 签字证书 加密证书等用户 根 服务器 个人证书等寿命 根据类型和策略确定证书链 认证的继承关系 20 证书吊销列表 黑名单 证书吊销列表 CRL CertificateRevocationList 吊销 用户变更 用户失去信任 私有密钥泄漏等原因构成 吊销证书的序列号 CA的数字签名使用 认证对方身份时要查询其有效性发布 查询 LDAP等方法 发布到指定地址证书吊销列表的信息对安全认证非常重要 21 单密钥和双密钥体系 单密钥对 单证书 数字签名 加密和密钥交换 私有密钥由用户保管全部商业产品都支持 生产厂家较多双密钥对 双证书 签名证书 代表用户的身份 私有密钥由用户方保存加密证书 完成数据加密或密钥交换 私有密钥由服务器托管典型的双密钥系统 加拿大Entrust公司的CA和安全产品我国电子政务建议采用双证书体系 无锡江南所 吉大正元 22 PKI基础设施 1 PKI基础设施 CA CertificationAuthority 系统组成 软硬件系统 认证和管理策略层次 根CA 子CA RA的分层结构体系 主要有单密钥体系和双密钥体系两种规模 大 国家级 中 省 行业 小 企业级 工作 给网络中各类设备和用户发放证书任务 认证和管理网络中各类设备和用户的身份目的 保持网络系统内各参与者之间的相互信任关系 23 PKI基础设施 2 PKI基础设施 目录服务 LDAP服务器 组成 软硬件系统 LDAP服务器任务 公布各类设备和用户的证书 公布黑名单目的 排除证书已失效用户使网络用户可以方便地查找自己或他人的证书作为用户管理中心 同时支持多种应用系统OCSP OnlineCertificateStatusProtocol 证书状态在线查询协议 24 小型CA系统的组成 25 大型CA中心的模块和组成 26 RA 注册机构 中心的组成 27 大型CA系统的拓扑结构 28 CFCA的拓扑结构 中国金融CA 1999年采用Entrust公司产品为多家银行提供认证服务为税务等其它机构提供服务 29 不同CA系统间的关系 一个CA系统建立并维持一个安全信任域不同安全域之间是不能互通的 需要建立一种信任机制交叉认证两个CA系统相互为对方的根CA签证书融合了两个信任域 扩展信任范围桥CA与多个CA系统建立对等信任关系本身不向用户发证书 不是信任原点 30 国内一些大型CA系统 中国电信CA安全认证中心 CTCA 中国联通CA系统 CUCA 中国金融认证中心 CFCA 中国国际电子商务认证中心中国邮政CA认证中心 CPCA 中国海关CA认证中心上海市 SHECA 北京市 BJCA 广东 福建 河南等省级认证中心公安系统CA系统等部级认证中心 31 讲座内容 PKI技术基础 密码技术发展 PKI原理 相关技术介绍PKI系统 数字证书 认证系统 不同的类型和典型产品证书管理 证书的发放流程 证书管理 查询和使用PKI应用方法 安全协议 证书认证 数字签名PKI实践 常用设备 应用举例 WPKI和无线安全通信PMI简介 属性证书 访问控制其它技术 SSO 动态口令 指纹指导政策 网络和信息安全管理 安全等级等 32 单证书申请流程 33 流程的变种 没有RA系统 直接向CA申请附加了付费处理等流程没有邮件通知 按指定时间或方法领取证书没有审批流程 申请提交后即获得数字证书证书发到软盘 IC卡 USBKey介质内 再交给用户证书续签流程 产生 或者不产生 新的密钥 34 双证书申请流程 35 证书容器 关键 保护私有密钥的安全IC卡和USBKey卡片内产生密钥对无法读出私有密钥卡片内完成加密 解密卡片内完成数字签名PIN保护 3次错误会造成卡片锁死文件保护和线路保护 防辐射措施严格的证书发放流程管理 36 卡片和证书发放流程 37 证书查询服务 Web服务器与证书申请 下载有关LDAP服务器查询 下载他人证书查询黑名单实现认证服务OCSP服务器在线查询证书的有效性 38 讲座内容 PKI技术基础 密码技术发展 PKI原理 相关技术介绍PKI系统 数字证书 认证系统 不同的类型和典型产品证书管理 证书的发放流程 证书管理 查询和使用PKI应用方法 安全协议 证书认证 数字签名PKI实践 常用设备 应用举例 WPKI和无线安全通信PMI简介 属性证书 访问控制其它技术 SSO 动态口令 指纹指导政策 网络和信息安全管理 安全等级等 39 SSL TLS安全通信协议 Netscape公司93年提出SSL协议 后来形成TLS协议包括握手协议和数据格式协议 对应HTTPS 在TCP IT之上 在HTTP FTP等协议层之下 安全套接层 提出建立安全通信通道 开始握手交换证书和签字 身份认证确定加密算法 交换密钥加密通信 安全通信通道 终断连接单向身份认证 双向身份认证加密算法和密钥长度 40 Web和SSL安全协议 SSLv2 v3 TLSv1CA给服务器和用户发证书对内容 网页 设置为HTTPS各种商用的应用服务器都支持部分服务器支持复杂的应用提供了证书登录服务允许证书登录或口令登录实现参数传递实现单点登录 41 安全电子邮件 S MIME协议 S MIME安全电子邮件协议使用者拥有个人数字证书对邮件加密和签字与邮件服务器无关使用方法发出一个签字邮件给对方或到LDAP下载他人证书实现邮件加密和 或 签字 42 数字签名和验证 客户端调用签字模块表单签字和文件签字数据内容 签字 证书PKCS 7标准服务器软件调用验证模块API调用接口自动的证书和密钥管理多种安全功能 43 登录控制 安全连接和证书登录控制SSL TLS完成证书验证提取证书内用户个人信息传递给应用 完成登录数字签字方法在应用层 用户做数字签名服务器验证用户签字 提取证书中的用户信息 完成登录 44 主机 数据和文件安全 文件加密工作原理每次产生不同的对称密钥用自己 他人 的公钥加密对称密钥用自己的私有密钥解密对称密钥解密文件桌面安全产品本机证书登录 局域网络证书登录文件加密 目录加密数据安全容器 USB 移动硬盘 用户管理 密钥托管和恢复 45 讲座内容 PKI技术基础 密码技术发展 PKI原理 相关技术介绍PKI系统 数字证书 认证系统 不同的类型和典型产品证书管理 证书的发放流程 证书管理 查询和使用PKI应用方法 安全协议 证书认证 数字签名PKI实践 常用设备 应用举例 WPKI和无线安全通信PMI简介 属性证书 访问控制其它技术 SSO 动态口令 指纹指导政策 网络和信息安全管理 安全等级等 46 硬件加密技术和设备 加密机 多功能型 产生密钥 管理证书 加解密 签名 验证等线路加密机 IP加密机 帧中继加密机等其它硬件 加密板卡 加密读卡器 加密芯片 IC卡等专用产品 保密电话 加密传真机 视频加密系统等 47 安全通信代理服务器 HTTPS代理服务反向代理服务器专用加密硬件SSL TLS协议安全通信多种连接和通信方式访问控制单点登录 SSO 48 客户端通用技术 标准模块 客户端产品密钥和证书安全PKCS 11和CSP技术CAPI和CSP1 0 2 0数字签名模块标准API接口 49 客户端 非标准模块 客户端安全代理在浏览器内设置代理支持SSL或者非标准协议可以利用智能卡浏览器插件ActiveX等技术在Web页面内编程调用可以利用智能卡 50 Entrust PKI应用方法 EntrustTechnologiesCFCA和中国金融界采用其技术银行等机构应用其安全技术系统构成安全客户端 支持智能卡技术 安全代理服务器CFCA的LDAP等服务 51 典型的网络安全通信系统 完整的PKI体系适合LAN WAN 公网 Internet主要设备CA服务器安全代理服务器VPN设备数据安全服务器客户端智能卡 52 WAP协议下的证书发放 53 端到端无线安全通信 54 其它无线安全应用技术 双卡片手机手机附件 PDA附件手机内的VPN通信 Motorola产品 PDA手持设备内的加密模块和服务器端加密模块Java手机内的加密模块和服务器端加密模块 55 讲座内容 PKI技术基础 密码技术发展 PKI原理 相关技术介绍PKI系统 数字证书 认证系统 不同的类型和典型产品证书管理 证书的发放流程 证书管理 查询和使用PKI应用方法 安全协议 证书认证 数字签名PKI实践 常用设备 应用举例 WPKI和无线安全通信PMI简介 属性证书 访问控制其它技术 SSO 动态口令 指纹指导政策 网络和信息安全管理 安全等级等 56 PMI技术 PMI PrivilegeManagementInfrastructure授权管理体系目的 把授权管理功能从应用系统内独立出来便于实现用户和授权的集中管理 同时支持多种应用减轻用户管理工作 减少不一致性技术特点支持多种授权模型 复合授权方式 权限组合 动态授权等支持多级安全控制 实现对授权和认证的多级别的安全控制支持多种认证方式 用户名 口令 动态口令 指纹 PKI等 57 用户集中授权 认证系统 58 PMI实用系统举例 Baltimore SelectAccess 59 属性证书 X 509v4 AttributeCertificate目的 实现灵活的授权和访问控制属性 描述持有者的角色或权限安全级别所在用户组角色发放 由授权机构颁发 60 授权管理基础设施 AA系统与CA系统的体系结构相对应 树状继承关系可以配置不同的证书发放策略和管理策略证书及黑名单发布在LDAP服务器 61 属性证书应用体系 AA系统与CA系统的体系结构相对应 树状继承关系可以配置不同的证书发放策略和管理策略LDAP服务器发布证书及黑名单 供查询 62 属性证书的适用性 适用于 应用系统访问者比较随机 凭票入门 临时授权去访问通常不访问的应用 推荐 方式的用户授权分布式系统下的交叉授权主要问题 商用服务器和客户端软件尚不支持属性证书单一属性证书不适合描述复杂的用户属性属性证书发布和吊销工作量比较大 63 讲座内容 PKI技术基础 密码技术发展 PKI原理 相关技术介绍PKI系统 数字证书 认证系统 不同的类型和典型产品证书管理 证书的发放流程 证书管理 查询和使用PKI应用方法 安全协议 证书认证 数字签名PKI实践 常用设备 应用举例 WPKI和无线安全通信PMI简介 属性证书 访问控制其它技术 SSO 动态口令 指纹指导政策 网络和信息安全管理 安全等级等 64 单点登录技术 SSO SSO SingleSignOn单点登录目的 用户不用记忆和多次输入 用户名 口令 发展了多种做法和技术客户端插件口令服务器服务器插件 见前面内容 代理服务器 IBMTAM等Portal服务器 用户认证集成 cookies和参数传递 65 SSO的两种典型技术 66 动态口令技术 1 客户令牌 认证服务器时钟同步方式支持各种网络应用实现安全身份认证 67 动态口令技术 2 客户IC卡 认证服务器有序随机算法方式的动态口令支持Internet应用实现安全身份认证计算确认码 防止抵赖 支持无线网络应用使用SIM卡片产生口令结合短信方式的手机应用支持WAP等应用 68 指纹识别技术 生物特征识别 身份识别方法考勤 门禁 保险箱等主机登录 网络登录 应用登录光学传感器 半导体电容传感器指纹图像处理和数学处理获得约300字节的特征参数应用方法 指纹存放在数据库内指纹存放在IC卡等介质内 69 讲座内容 PKI技术基础 密码技术发展 PKI原理 相关技术介绍PKI系统 数字证书 认证系统 不同的类型和典型产品证书管理 证书的发放流程 证书管理 查询和使用PKI应用方法 安全协议 证书认证 数字签名PKI实践 常用设备 应用举例 WPKI和无线安全通信PMI简介 属性证书 访问控制其它技术 SSO 动态口令 指纹指导政策 网络和信息安全管理 安全等级等 70 主要管理机构 国务院信息化工作办公室网络与信息安全组 策略 指导 国家计算机网络与信息安全管理中心 策略 法规 协调 全国信息安全标准化技术委员会 技术标准 中国互联网协会网络与信息安全工作委员会 沟通 推进 国家密码管理委员会办公室 密码和密码产品管理 国家保密局 涉密网络 项目 产业管理 公安部公共信息网络安全监察局 公共应用 安全产品 国家计算机病毒应急处理中心 反病毒 多家安全产品测评机构等 产品认证 71 信息网络的系统化安全 电子政务网络实现系统化安全管理 国办2003年27号文件 发展国内自主版权的信息安全产品形成标准规范 实现全网安全内网必须与Internet实现物理隔离外网必须与Internet实现逻辑隔离电子商务安全领域全面发展丰富的安全产品 主要规范已经形成PKI等技术获得广泛应用国家正在起草 电子签名法 72 安全保护等级制度 计算机信息系统安全保护等级制度和规范 GB17859 1999 五个安全保护等级用户自主保护级 系统审计保护级 安全标记保护级 结构化保护级 访问验证保护级全面的技术规范通用技术要求 网络技术要求 操作系统技术要求 数据库技术要求电子政务评估准则 工程管理要求 信息系统评估准则 操作系统评估准则 Web服务器评估准则 路由器评估准则 防火墙评估准则 数据库评估准则等 73 谢谢