网络信息安全的关键技术37279.pptx

《网络信息安全的关键技术37279.pptx》由会员分享，可在线阅读，更多相关《网络信息安全的关键技术37279.pptx（54页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、身份认证技术身份认证技术访问控制技术主机安全技术防火墙技术密码技术反入侵（黑客防范）技术防病毒技术安全审计技术安全管理技术对网络中的主体进行验证的过程对网络中的主体进行验证的过程三种验证方法：三种验证方法：1.只有该主体了解的秘密只有该主体了解的秘密口令，密钥口令，密钥2.主体携带的物品主体携带的物品智能卡，令牌卡智能卡，令牌卡3.只有主体具有的独一无二的特征或能力只有主体具有的独一无二的特征或能力指纹，声音，视网膜，签字指纹，声音，视网膜，签字网络信息安全的关键技术网络信息安全的关键技术1身份认证技术访问控制技术访问控制技术主机安全技术防火墙技术密码技术反入侵（黑客防范）技术防病毒技术安全管

2、理技术保证网络资源不被非法使用和非法访问保证网络资源不被非法使用和非法访问企业网络的访问控制：企业网络的访问控制：1.网内用户的访问控制网内用户的访问控制2.内联网对外部的访问控制内联网对外部的访问控制3.外部用户对内联网的访问控制外部用户对内联网的访问控制网络信息安全的关键技术网络信息安全的关键技术2身份认证技术访问控制技术主机安全技术主机安全技术防火墙技术密码技术反入侵（黑客防范）技术防病毒技术安全审计技术安全管理技术主要指操作系统的安全主要指操作系统的安全1.UNIX系统安全系统安全2.Windows系统安全系统安全漏洞漏洞安全配置安全配置网络信息安全的关键技术网络信息安全的关键技术3身

3、份认证技术访问控制技术主机安全技术防火墙技术防火墙技术密码技术反入侵（黑客防范）技术防病毒技术安全审计技术安全管理技术加强网络间的访问控制加强网络间的访问控制1.防止易受攻击的服务防止易受攻击的服务2.控制访问网络系统控制访问网络系统3.集中安全性集中安全性4.有关网络使用、滥用的记录和统计有关网络使用、滥用的记录和统计网络信息安全的关键技术网络信息安全的关键技术4身份认证技术访问控制技术主机安全技术防火墙技术密码技术密码技术反入侵（黑客防范）技术防病毒技术安全审计技术安全管理技术加密和解密加密和解密1、算法、算法2、体制、体制对称加密体制对称加密体制非对称加密体制非对称加密体制3、VPN网络

4、信息安全的关键技术网络信息安全的关键技术5身份认证技术访问控制技术主机安全技术防火墙技术密码技术反入侵技术反入侵技术防病毒技术安全管理技术1.漏洞扫描技术漏洞扫描技术2.入侵侦测技术入侵侦测技术3.安全审计技术安全审计技术网络信息安全的关键技术网络信息安全的关键技术6身份认证技术访问控制技术主机安全技术防火墙技术密码技术反入侵技术安全管理技术安全管理技术1.网络安全的规划网络安全的规划2.安全风险评估和分析安全风险评估和分析3.安全实施安全实施网络信息安全的关键技术网络信息安全的关键技术7电子商务系统的安全电子商务系统的安全电子商务主要的安全要素电子商务主要的安全要素1.1.可靠性；可靠性；2

5、.2.完整性；完整性；3.3.保密性；保密性；4.4.确定性；确定性；5.5.不可否认性；不可否认性；6.6.合法性。合法性。8网络间的访问网络间的访问 -需隔离需隔离 FIREWALL内部网与互联网怎样有效隔离内部网与互联网怎样有效隔离内部网与互联网怎样有效隔离内部网与互联网怎样有效隔离9防火墙示意图Internet1.企业内联网企业内联网2.部门子网部门子网3.分公司网络分公司网络10防火墙的概念（1）最初含义：当房屋还处于木制结构的时侯，人们将石块堆砌在房屋周围用来防止火灾的发生。这种墙被称之为防火墙。防火墙是一种访问控制技术，在某个机构的网防火墙是一种访问控制技术，在某个机构的网络和不

6、安全的网络之间设置障碍，阻止对信息络和不安全的网络之间设置障碍，阻止对信息资源的非法访问。换句话说，防火墙是一道门资源的非法访问。换句话说，防火墙是一道门槛，控制进槛，控制进/出两个方向的通信。出两个方向的通信。11防火墙的概念（2）具有下列性质：1.只允许本地安全策略授权的通信信息通过只允许本地安全策略授权的通信信息通过2.双向通信信息必须通过防火墙双向通信信息必须通过防火墙3.防火墙本身不会影响信息的流通防火墙本身不会影响信息的流通12防火墙概念（3）防火墙的实质是防火墙的实质是一对矛盾（或称机制一对矛盾（或称机制)：限制数据流通限制数据流通允许数据流通允许数据流通两种极端的表现形式：两种

7、极端的表现形式：除了允许的都被禁止，安全但不好用。除了允许的都被禁止，安全但不好用。（限制政策）（限制政策）除了禁止的都被允许，好用但不安全。除了禁止的都被允许，好用但不安全。（宽松政策）（宽松政策）多数防火墙都在两种之间采取折衷。多数防火墙都在两种之间采取折衷。13在一个没有防火墙环境中，网络安全完全依赖于主机安全，并且在某种意义上所有主机都必须协同达到统一的安全标准基于主机的安全伸缩性不好：当一个站点上主机的数量增加时，确定每台主机处于高安全级别之上，势必会使性能下降如果某个网络软件的薄弱点被发现，没有防火墙保护的站点必须尽可能快地更正每个暴露的系统。为什么需要防火墙为什么需要防火墙14互

8、联网互联网互联网互联网非法获取内部非法获取内部非法获取内部非法获取内部数据数据数据数据防火墙的作用示意图防火墙的作用示意图15防火墙的局限性防火墙不是解决所有网络安全问题的万能药方，只是网络安全政策和策略中的一个组成部分。防火墙不能防范绕过防火墙的攻击防火墙不能防范绕过防火墙的攻击 ，如内，如内部提供拨号服务。部提供拨号服务。防火墙不能防范来自内部人员恶意的攻击。防火墙不能防范来自内部人员恶意的攻击。防火墙不能阻止被病毒感染的程序或文件的防火墙不能阻止被病毒感染的程序或文件的传递。传递。防火墙不能防止数据驱动式攻击。如特洛伊防火墙不能防止数据驱动式攻击。如特洛伊木马木马。16 加密技术数据加密

9、从技术上的实现分为在软件和硬件两方面。按作用不同，数据加密技术主要分为数据传输、数据存储、数据完整性的鉴别以及密钥管理技术这四种。在网络应用中一般采取两种加密形式：对称密钥和公开密钥。17下面介绍几种最常见的加密体制的技术实现：1数据加密标准DES2公开密钥密码体制18对称式加密算法对称加密的算法与体制是加密和解密双方共用一个公共的密钥，加密方使用这个密钥对数据进行加密，而解密方只有用这个密钥才能使数据还原。典型代表是：数据加密标准-DES19对称密钥加密法对称密钥加密法加密密钥解密安全通道20对称加密算法的优劣优点：加密、解密速度非常快。缺点：1.要求提供一个安全的渠道使交易双方在首次通信时

10、能够协商一个共同的密钥。2.密钥难以管理。3.不能提供信息完整性的鉴别，无法验证发送者和接受者的身份。4.对称密钥的管理和分发工作是一项具有潜在危险和烦琐的过程。21 在Internet中使用更多的是公钥系统。即公开密钥加密，它的加密密钥和解密密钥是不同的。一般对于每个用户生成一对密钥后，将其中一个作为公钥公开，另外一个则作为私钥由属主保存。常用的公钥加密算法是RSA算法。公开密钥密码体制公开密钥密码体制22公开密钥技术亦称非对称加密算法，是由斯坦福大学三人研究发明的，自1977年进入市场以来，成为目前应用最普遍的一种加密算法(RSA)。重要特点：加密和解密使用不同的密钥，每个用户保存着两个密

11、钥：一个公开密钥，简称公钥，一个私人密钥，简称私钥。23非对称加密算法原文公钥加密加密原文私钥解密原文24甲方：乙方：（甲密钥和乙公钥）（乙密钥和甲公钥）用甲密钥加密用甲公钥解密用乙公钥加密用乙密钥解密25数字信封“数字信封”技术结合了对称加密和非对称加密的优点，使用两个层次的加密来获得非对称加密的灵活性和对称加密的高效性。26普通报文对称密钥公钥B加密加密密 文加密的密钥对称密钥私钥B解密普通报文解密27数字签名数字签名技术是实现交易安全的核心技术之一，它的实现基础就是加密技术。数字签名必须保证以下几点：接收者能够核实发送者对报文的签名；发送者事后不能抵赖对报文的签名；接收者不能伪造对报文的

12、签名。28数字签名的原理原理为：1.被发送的文件用HASH编码加密产生一定长度的数字摘要；2.发送方用自己的私钥对摘要再加密，这就形成了数字签名；3.将原文和加密的摘要同时传送给对方；29数字签名4.对方用发送方的公钥对摘要进行解密，同时对收到的文件用HASH编码加密产生另外一个摘要；5.将解密后的摘要和收到的文件在接收方重新加密产生的摘要相互对比。如两者一致，则说明传送过程中信息没被破坏或纂改过，否则就有伪劣假冒的嫌疑。30原 文Hash加密摘要IK加密数字签名发送数字签名原 文PK解密摘要摘要原 文Hash加密发送方发送方接收方接收方原理示意图31发送端发送端原原信信息息数字时间戳数字时间

13、戳技术就是对电子文件签署的日期和时间进行的安全性保护和有效证明的技术。它是由专门的认证机构来加的，并以认证机构收到文件的时间为依据。摘摘要要Hash函数加密新新摘摘要要Hash函数加密第三方私钥加密数数字字时时间间戳戳internet摘摘要要摘摘要要时时间间加时间internet数数字字时时间间戳戳摘摘要要时时间间32双重签名网上购物过程中，客户需要发送定购信息OI给商户，发送支付信息PI给银行。这两条信息是相关联的。用DS连接这两条消息的摘要（PIMD和OIMD），并安全地将连接后的消息分别传送到不同的接收方PIOIHHHEPIMDOIMDPOMDKRcDS33双重签名DS=EKRcH(H(

14、PI)H(OI)式中KRC为客户私有签名密钥商户接收客户发来的OI、PIMD=H(PI)、DS后，利用从客户证书中获得的客户公钥KUC，计算如下两项结果，若相等则客户签名正确H(PIMDH(OI)DKUcDS 银行接收客户发来的DS、PI、OIMD=H(OI)和客户公钥KUC，若如下运算所得的两个数值相等，则银行确认了客户的签名 H(H(PIOIMD)DKUcDS34密钥管理目前，公认的有效方法是通过密钥分配中心KDC来管理和分配公开密钥。每个用户只保存自己的秘密密钥和KDC的公开密钥PK。用户可以通过KDC获得任何其他用户的公开密钥。首先，A向KDC申请公开密钥，将信息（A，B）发给KDC。

15、KDC返回给A的信息为（CA，CB），其中，CA=DSK（A，PKA，T1），CB=DSK（B，PKB，T2）。CA和CB称为证书（Certificate），分别含有A和B的公开密钥。KDC使用其解密密钥SK对CA和CB进行了签名，以防止伪造。时间戳T1和T2的作用是防止重复攻击。最后，A将证书CA和CB传送给B。B获得了A的公开密钥PKA，同时也可检验他自己的公开密钥PKB。35用户用户A用户用户B密钥分配中心密钥分配中心123436PKISETSSL S/MIMEIPSecProtocolsProtocolsDatabasesDirectoriesSmart CardsTechnologi

16、esTechnologiesPaymentsMailWebVPNsCommunicationsCommunicationsEDICRM ERP Bankinge-CommerceDigital SigningApplicationsApplicationsPKI(公共密钥基础设施公共密钥基础设施)37CA的定义与功能CA是颁发、管理数字证书的机构，是颁发、管理数字证书的机构，是可信第三方。是可信第三方。其功能包括：验证申请人身份生成数字证书归档数字证书废除数字证书发布数字证书和数字证书废除清单38CARA证书证书用户用户目录目录服务服务证书申请证书申请证书存档证书存档证书过期证书过期证书废止证

17、书废止证书公布证书公布证书生成证书生成证书用户证书用户企事业单位、个体、应用商等使用PKI-Enabled安全软件申请使用数字证书CA-Certification Authority证书管理中心制订证书相关规定生成证书管理废止证书（黑名单）更新证书目录密钥管理RA-Registration Authority证书审批受理点办理和审批证书申请目录服务目录服务公布用户的证书信息 CA的组成、证书周期39数字证书数字证书就是在网络通信中，标志通信各方身份信息的一系列数据，其作用类似于现实生活中的身份证。它是用电子手段来证实一个用户的身份和对网络资源访问的权限，它是由一个权威机构发行的。40数字证书贸

18、易伙伴间可以使用数字证书(公开密钥证书)来交换公开密钥。数字证书通常包含有：1.唯一标识证书所有者(即贸易方)的名称2.唯一标识证书发布者的名称3.证书所有者的公开密钥4.证书发布者的数字签名5.证书的有效期及证书的序列号等。41公钥密码与数字证书公钥密码使公钥的分配不需要机密性保证公钥密码需要保证公钥的真实性数字证书证明公钥的真实性公钥证书数字证书42数字证书的作用证实在电子商务或信息交换中参加者的身份；授权交易，如信用卡支付；授权接入重要信息库，代替口令或其他传统的进入方式；提供经过因特网发送信息的不可抵赖的证据；验证通过因特网交换的信息的完整性。43数字证书原理简介：数字证书采用的是非对

19、称加密体系，既利用一对互相匹配的密钥进行加密、解密。每个用户自己设定一把特定的仅为本人所知的私钥，用它进行解密和签名；同时设定一把公钥并由本人公开，为一组用户所共享，用于加密和验证签名。当发送一份保密文件时发送方使用接收方的公钥对数据进行加密，而接收方则使用自己的私钥解密，这样信息就可以安全无误地到达目的地了。44454647国内PKI建设的基本情况1998年开始建立主要技术体系：SET，Non-SET（包括SSL）建设主体行业：电信、对外经贸部、人民银行、商业银行、海关地方：北京、上海、广东、深圳、山东、山西、天津、湖北、云南、四川、重庆、青海48中国金融认证中心（中国金融认证中心（CFCA

20、）建设：中国人民银行组织，建设：中国人民银行组织，1212家商业银行共建家商业银行共建时间：今年底或明年初建成时间：今年底或明年初建成构成：构成：SET CA SET CA 与与 Non-SET CA(Non-SET CA(如支持如支持SSLSSL）承包商：承包商：Non-SET CA Non-SET CA：Entrust/SUN/Entrust/SUN/德达德达 SET CA SET CA：IBM IBM应用：为首都电子商城服务，为网上银行应用：为首都电子商城服务，为网上银行 服务，并推广至全国。服务，并推广至全国。49CFCA的机制的机制作用作用 证实身份证实身份 证实银行信用证实银行信用

21、 向安全服务（加密、认证和数字向安全服务（加密、认证和数字 签名等）签名等）提供支持提供支持 实现实现 可信的权威的第三方可信的权威的第三方-人民银行人民银行 采用一整套国际通用规范（采用一整套国际通用规范（X.509、PKIX）提供相应的应用接口提供相应的应用接口 严密组织管理的认证机构严密组织管理的认证机构 严密的电子证书策略严密的电子证书策略50BJCA北京认证中心（BJCA）性质：权威的、可信赖的、公正的第三方信任机构。服务内容：制订PKI系统的相关政策；证书用户审核、登记注册；身份认证、权限控制；颁发证书；公布证书目录；证书的废止、更新等管理；保护CA签名密钥。服务对象：从事电子商务

22、、电子政务、网上金融、网上证券、网上办公的政府机关、企事业单位、个人、网站和软件代码开发者等。主要产品：SHECA（协卡）2000数字证书51SHECA（协卡）2000数字证书 一证在手，走遍天下保证信息传输中的机密性保证信息传输中的完整性保证信息发送的不可否认性保证身份的真实性访问权限控制52电子商务消费者，商家，支付网关，银行.电子政务政府采购，工商，税务，海关，招标.电子社区医疗，社保.网上金融证券银行,券商，股民传统商业 制造业 流通业供应链管理，网上交易SHECA2000应用典 型 应 用 对 象范围涉及需要身份认证及数据安全的各个行业53SHECA2000数字证书分类SET证书 按国际SET安全网上交易开发的证书系统消费者证书（个人或单位）：消费者使用信用卡网上交易所需证书；商户证书：在网上销售商品的商户所需证书支付网关：连接银行与网上商户间的网关所需证书代码签名证书 验证软件开发者身份需要的数字证书 通用证书（金证和银证）:结合中国国情自行开发设计的通用证书系统54