安全产品培训.ppt

1、安全产品培训,二四年六月,培训提纲,一、PKI的基础知识 二、安全产品介绍 三、安全中间件介绍 四、应用支撑平台介绍,一、 PKI的基础知识,1.1 信息安全概念 1.2 PKI的基础知识,1.1 信息安全概念,1.1.1 为什么需要信息安全？ 1.1.2 信息系统建设需要什么样的信息安全？ 1.1.3 电子政务的信息安全如何实现？,1.1.1 为什么需要信息安全？（一）,信息安全对政治方面的影响 由于信息网络化的发展，信息领域的战斗已经形成了一个新的思想文化阵地和思想政治斗争的战场。 以美国为首的西方国家，始终认为我们是他们的敌对国家。一直没有放弃对我们的西化、分化、弱化的政策。 美国国务卿

2、奥尔布来特在国会讲：“中国为了发展经济，不得不连入互联网。互联网在中国的发展，使得中国的民主，真正的到来了。” 香港广角镜月刊文章：中情局对付中国的十条诫令,1.1.1 为什么需要信息安全？ （二）,信息安全对经济方面的影响 一个国家信息化程度越高，整个国民经济和社会运行对信息资源和信息基础设施的依赖程度也越高。 我国计算机犯罪的增长速度超过了传统的犯罪。 97年20几起，98年142起，99年908起，2000年上半年1420起。 利用计算机实施金融犯罪已经渗透到了我国金融行业的各项业务。 近几年已经破获和掌握100多起。涉及的金额几个亿。 黑客攻击、计算机病毒造成巨大的经济损失,1.1.1

3、 为什么需要信息安全？ （三）,信息安全对社会稳定方面的影响 互连网上散布一些虚假信息、有害信息对社会管理秩序造成的危害，要比现实社会中一个造谣要大的多。 99年4月，河南商都热线一个BBS，一张说交通银行郑州支行行长协巨款外逃的帖子，造成了社会的动荡，三天十万人上街排队，挤提了十个亿。 网上治安问题，民事问题，进行人身侮辱。,1.1.1 为什么需要信息安全？ 总结,由于信息涉及到国家机密和重大决策方面的内容，信息安全与否关系到国家安危、社会的稳定和经济的发展，信息安全在电子政务中至关重要； 目前电子政务、电子商务体系中存在安全漏洞和安全隐患； 现阶段信息系统对互联互通、信息共享的需要对信息安

4、全提出了更高的要求； 对加强政府监管，提高工作效率、促进依法行政的要求对信息安全的需要。,1.1.2 信息系统建设需要什么样的信息安全？,系统的安全可靠性 信息的安全保密性 行为的不可抵赖性 实体的可鉴别性 对象的可授权性 信息的完整性 业务管理的安全性,1.1.3 电子政务的信息安全如何实现？,1.1.3.1 传统的安全防御手段 1.1.3.2 基于PKI技术的信任平台,1.1.3.1 传统的安全防御手段,1.2 PKI的基础知识,1.2.1 PKI概述 1.2.2 PKI基础技术,1.2.1 PKI概述（一）,PKI名词解释 英文：Public Key Infrastructure 中文：

5、公钥基础设施 PKI是一种遵循既定标准的密钥管理平台,能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。 PKI技术是信息安全技术的核心，也是电子政务应用开发的基础技术。,1.2.1 PKI概述（二）,PKI体系组成部分 证书业务服务系统(证书生产、管理) 密钥管理系统(密钥生产、管理) 证书查询验证服务系统(证书查询服务) 密码服务系统(加密/解密、数字签名及签名验证) PKI体系服务模式 “集中式生产、分布式服务”,1.2.1 PKI概述（三）,PKI技术的优势在于可以实现：,1.2.2 PKI基

6、础技术,1.2.2.1 基础知识 1.2.2.2 加 密 1.2.2.3 签 名 1.2.2.4 数字信封,1.2.2.1 基础知识（一）,加密无所不在 口令 军事通讯 明文：未经加密、可直接看懂的信息 密文：经加密后、表面上无意义的信息,1.2.2.1 基础知识（二）,算法的安全性 算法必须足够强大，根据密文难以导出明文 密钥必须足够安全，不必为算法保密 算法满足的准则 破译密码的成本超过信息的价值 破译密码的时间超过信息有用的生命周期,1.2.2.2 加密,加密概述 对称密码算法 非对称密码算法 单向函数算法,加密概述,加密是指使用密码算法对数据作变换，使得只有密钥持有人才能恢复数据面貌。

7、 主要目的：防止信息的非授权泄漏。,对称密码算法（一）,对称密码学:专用密钥（private key）体制 用同一密钥加密和解密，这是对称算法的定义。双方必须共享同一对称密钥。,对称密码算法（二）,加密算法,解密算法,加密密钥,解密密钥,对称密码算法（三）,算法：DES、 3DES、 RC4、RC5 、AES 优点：计算开销小，处理速度快,保证了信息的机密性。 缺点：密钥管理困难，不能提供信息的完整性及不可抵赖性。,非对称密码算法（一）,非对称密码算法是加密密钥与解密密钥不同。每个用户都有一对密钥：一个在信息团体内公开，称为“公钥” ，一个由用户秘密保存，称为“私钥” 。,非对称密码算法（二）

8、,大整数因式分解 RSA 解离散对数的困难问题 Diffie-Hellman 椭圆曲线问题 ECC,非对称密码算法（三）,优点：便于密钥管理、分发、便于签字签名 缺点：计算开销大，处理速度相对较慢,单向函数算法（一）,也称HASH算法，用哈希函数(Hash Function) 变换后得到hash值，通常称为“数据摘要” 哈希函数的意义，是可以将任意长度的信息输入后加以浓缩、转换，成为一长度比较短且固定的输出信息的运算，一般称此输出信息为哈希值。,单向函数算法（二）,哈希函数与加密算法一样，均是将信息加以隐藏 加密算法的结果可以通过适当的方式将结果还原，获得原来的内容 哈希函数则必须具不可逆的单

9、向(One-Way)的特性，使得给定文件时，可以简单快速计算该文件的哈希值，但经过哈希数浓缩、运算后的哈希值，无法还原成先前的信息,单向函数算法（三）,Hash函数： 将任意长字符串映射成一个较短的定长输出 单向性，不可逆 运算上的唯一性 常用Hash算法：MD2、MD4、MD5、SHA、SHA-1,1.2.2.3 签名,签名概述 签名过程 数字签名与签名验证 数字信封,签名概述,签名是指使用密码算法对待发的数据进行加密处理，生成一段信息，附着在原文上一起发送，这段信息类似现实中的签名或印章，接收方对其进行验证，可解决信息传递过程中的完整性和不可抵赖性。 目的：提供数据完整性保护和抗否认功能。

10、 作用：可以确认下面三件事情： 1.消息确实是由发送方发出的(即真实性) 2.签名确实是由发送方发出的(即不可否认性) 3.接收方收到的信息是完整的(即完整性),签名过程（一）,签名过程（二）,签名过程（三）,这两种数字签名的主要区别在于： 前者是一种对整个消息的签名，适用于短文件信息。 后者是一种对压缩信息的签名，适用于长文件信息；,数字签名与签名验证,只要能够唯一确定某个人与非对称密钥对之间的对应关系，通过数字签名机制可以确保数据的完整性、不可否认性,HASH算法,输入数据的数字摘要,非对称算法,私有密钥,比较二者是否相同,HASH算法,接收数据的数字摘要,数字签名,非对称算法,公开密钥,

11、解签名后的结果,数字信封是信息发送端用接收端的公钥，将一个通信密钥加密后，传送给接收端，只有指定的接收端才能打开信封，取得通信密钥，用它来解开传送来的信息。,数字信封（一）,数字信封（二）,结合对称密码算法和非对称密码算法的优点,数据机密性、完整性、不可抵赖性,A,B,对称算法密钥KeyA1 签名公钥KeyA2 签名私钥KeyA3,加密公钥KeyB1 加密私钥KeyB2,Hash,KeyA3,KeyA1,明文,信息摘要,数字签名,KeyB1,数字签名,KeyA2,明文,明文,信息摘要1,信息摘要2,比 较,数字信封,KeyA1,密文,数字信封,密文,KeyB2,KeyA1,KeyA1,Hash

12、,总结：各种算法的特点,对称密码算法 加/解密速度快，但密钥分发问题严重 非对称密码算法 加/解密速度较慢，但无密钥分发问题，可支持大规模使用 杂凑函数 计算速度快，结果长度统一，单向性、数据不能恢复,BOB,加密+数字签名的作用: 完整性 机密性 身份认证 不可否认性,总结：非对称加密和签名的综合应用,加密,数字签名,总结：不同应用的密钥使用统计,进一步的问题,加密： 如何获得接收者的公钥？ 怎样证明是接收者的公钥? 验证签名： 如何获得发送者的公钥？ 怎样证明是发送者的公钥?,培训提纲,一、PKI的基础知识 二、安全产品介绍 三、安全中间件介绍 四、应用支撑平台介绍,二、安全产品介绍,2.

13、1 密码服务器 2. 2 密钥管理系统 2. 3 证书业务系统 2. 4 证书查询验证服务系统 2. 5 智能密码钥匙,2.1 密码服务系统（一）,密码服务器通过统一的对外服务接口，为应用系统提供加解密、签名及签名验证、数字信封服务、产生随机数和对数据进行数字摘要等多种密码服务。,2. 1 密码服务系统（二）,2.2 密钥管理系统（一）,密钥管理策略的制订 密钥的生成 密钥的存储 密钥的查询 密钥的撤消 密钥的恢复,2.2 密钥管理系统（二）,2.3 证书业务服务系统,证书业务服务系统体系结构 证书认证系统（CA） 证书审核注册系统（RA）,证书业务服务系统体系结构,证书业务服务系统特点： “

14、集中式生产、分布式服务” 可伸缩配置 动态平滑可扩展,证书认证系统CA,证书策略服务 证书签发 证书发布 证书管理 证书撤销列表签发 证书撤销列表发布,证书审核注册服务系统RA,证书申请与审核 证书下载 证书注销、暂停、恢复的受理,2.4 证书查询验证服务系统,基于LDAP的目录管理 基于LDAP的证书及证书撤消列表查询 基于OCSP的证书状态在线查询 “集中式管理、分布式服务” 性能动态平滑可扩展,2.5 智能密码钥匙,用于存储数字证书、密钥等信息，并为客户端提供加解密、签名/验证、密钥管理等基础安全服务,附:证书发放流程,下载证书和经加密的加密私钥,RA 实体鉴别密码器 生成签名密钥对 本

15、地保存签名私钥,KM 取出加密密钥对，对加密私钥用签名公钥加密，并托管加密私钥,用户信息及签名公钥提交CA,将经加密的加密私钥和公钥下发CA,将签名公钥和密钥请求提交KM,实体鉴别器密码器,LDAP,发布证书,CA 对用户信息和加密公钥等进行签名，生成证书,附:基于PKI的身份验证流程(签名运算),附:基于PKI的身份验证流程(加密运算),培训提纲,一、PKI的基础知识 二、安全产品介绍 三、安全中间件介绍 四、应用支撑平台介绍,简介,安全中间件的主要内容： 3.1 体系结构 3.2 应用服务器端JAVA接口 3.3 客户端应用安全控件接口 3.4 应用配置,体系结构,SS,SA,硬件驱动程序

16、,安全中间件以上部分称之为应用接口层。在应用层次之上可以采用多种方式来进行封装和实现，满足不同的应用需求。,应用服务器,密码服务器,应用系统体系结构,应用系统工作流程,应用服务器端接口,应用于应用服务器中，作为PKIServer服务器的客户端，调用PKIServer实现所需的功能。 采用JAVA技术，真正的平台无关性 包名：psi-app.jar 主要功能封装类：PSIApp.class,AdvGetCert,public String AdvGetCert ( int certType ) 根据证书类型读取服务器证书，证书标签写在配置文件中，不作为参数。 certType=1 表示加密证书

17、certType=2 表示签名证书 输出编码后的证书信息。,AdvCheckCert,public boolean AdvCheckCert(String i_inCert) 验证输入证书的有效性。 i_inCert 输入为已编码的证书。,AdvSealEnvelope,public String AdvSealEnvelope( String i_encCert, int i_symmAlgo, byte i_inData) 生成数字信封，生成对称密钥加密数据，用公钥加密对称密钥。 i_encCert 输入已编过码加密证书。 i_symmAlgo 信封中所用对称算法标识 CALG_RC4 =

18、 26625 i_inData 输入原文信息 输出的是结果遵循PKCS#7的编码标准（EnvelopedData）。,AdvOpenEnvelope,public byte AdvOpenEnvelope( String keyPasswd, String i_inData) 拆解数字信封，采用配置文件中的私钥标签，输入私钥保护口令，取得私钥后进行解密。 keyPasswd 私钥保护口令 i_inData 输入的密文数据应已编过码 输出原文信息,AdvSignData,public String AdvSignData( String keyPasswd, byte i_inData, int

19、 i_algoType, int i_signType) 对输入数据进行数字签名。采用配置文件中的私钥标签，输入标签保护口令，取得私钥后对摘要进行签名。 keyPasswd 私钥保护口令 i_inData 待签名数据 i_algoType 签名算法 i_signType 签名值类型 输出已编过码的签名数据,AdvVerifySign,public boolean AdvVerifySign( String i_checkCert, byte i_clearText, String i_signature, int i_algoType, int i_signType ) 验证数字签名。 输入的

20、证书信息已编过码。 输入的签名数据已编过码。,AdvBase64Encode,public String AdvBase64Encode(byte i_inData) 对输入数据进行BASE64编码。 i_inData 要编码的二进制数据。 输出编码后的数据。,AdvBase64Decode,public byte AdvBase64Decode(String i_inData) 对已编码的数据进行BASE64解码。,release,public boolean release() 所有功能接口调用完毕后进行内部存储区的清除工作。 每个应用进程在功能使用完成后，都必须调用一次。,3.3 客户端

21、应用安全控件,提供给最终客户使用，实现一些基本的网络认证、数据信封、数字签名等功能。 采用COM技术进行功能封装。 适用于WINDOWNS平台。,OpkiInit,int OpkiInit ( ) 控件初始化。读取客户端证书载体信息及其它初始化工作。 调用每个功能接口前必须先调用本接口。,OpkiEnd,int OpkiEnd () 所有功能接口调用完毕后进行内部存储区的清除工作。 每个应用进程在功能使用完成后，都必须调用一次。,OpkiSealEnvelope,long OpkiSealEnvelope( LPCTSTR encCert, long i_algoType, LPCTSTR i

22、_inData) 生成数字信封。 encCert 编码过的用来加密的证书 。 i_algoType 对称的算法标识。 i_inData 原文。 输出已编码的加密数据。,OpkiOpenEnvelope,long OpkiOpenEnvelope( LPCTSTR decKeyLbl, LPCTSTR keyPwd, LPCTSTR inData) 拆解数字信封。 decKeyLbl 解密私钥的标签。 keyPwd 解密私钥的保护口令 inData 编码过的信封数据 输出解密后的原文。,OpkiSignData,long OpkiSignData (LPCTSTR signKeyLbl, LPC

23、TSTR keyPwd, LPCTSTR inData, long algoType, long signType) 对数据进行数字签名。 输入：签名私钥的标签，签名私钥的保护口令，待签名的数据，签名算法标识，签名值类型。 私钥标签在配置文件中写明。 输出编过码的签名数据。,OpkiVerifyData,BOOL OpkiVerifyData ( BSTR cert, BSTR originalData, BSTR signData， long algoType, long signType) 验证数字签名。,OpkiGenerateRandom,long OpkiGenerateRandom

24、(long i_length) 产生指定长度的随机数/对称密钥。 输出已编码数据。,3.4 应用配置,1）客户端需要安装驱动程序。 2）服务器端需要在应用中引用“psiapp.jar” 包并需要正确配置/usr/local/Config/Client.conf文件中的网络参数 Client.conf文件示例 /*PKIServer服务器网络配置*/ 192.168.1.18 8888 /*服务器端证书及私钥标签*/ ServerCert,培训提纲,一、PKI的基础知识 二、安全产品介绍 三、安全中间件介绍 四、应用支撑平台介绍,四 业务支撑平台介绍,4.1 业务支撑平台概要 4.2 业务支撑平

25、台（注册服务系统） 4.3 业务支撑平台（状态服务系统） 4.4 业务支撑平台（鉴权服务系统） 4.5 业务支撑平台（可信资源整合网关） 4.6 业务支撑平台（授权管理系统） 4.7 业务支撑平台（VPN网关） 4.8 业务支撑平台（业务开发引擎） 4.9 智能客户端,4.1 业务支撑平台的概要（一）,业务支撑平台是以下一代网络技术、下一代服务技术为基础： 提供可信呼叫控制服务 提供灵活业务控制服务 提供媒体控制服务 实现信任服务快速部署,提供呼叫控制服 为业务系统、网络会议、网络办公和即时消息以及其它多媒体业务实现端到端的通信控制提供支撑 提供媒体控制服务 提供安全的数据交互、音频交互、视频

26、交互以及可信的会议管理等服务,4.1 业务支撑平台的概要（二）,业务支撑平台解决协同办公、呼叫控制等问题 业务支撑平台提高领导的执政能力与办公效率 业务支撑平台为全程全网全业务系统的实现提供支撑,4.1 业务支撑平台的概要（三）,4.2 业务支撑平台（注册服务系统）,注册服务系统负责为用户提供呼叫代理（Proxy Server） 、注册（Registrar Server） 、定位（Location Server）和重定向服务（Redirect Server） 。,4.3 业务支撑平台（状态服务系统）,状态服务系统负责订阅、收集、维护用户的状态信息，并对外提供状态信息查询服务。,4.4 业务支撑

27、平台（鉴权服务系统）,鉴权服务系统负责管理网络实体的互通权限，并向网络实体提供鉴权服务。互通权限指用户可以和其他哪些用户通信，业务系统可以和其他哪些业务系统互通。,4.5 业务支撑平台（可信资源控制网关）,可信资源整合网关以断路方式部署在应用系统之前，为应用资源提供注册代理和访问控制服务。可信资源整合网关能够从安全和应用支撑平台获取用户列表，并按照应用系统管理员设置的权限配置生成访问控制列表，在用户访问该资源时根据访问控制列表对应用资源进行访问控制。,4.6 业务支撑平台（授权管理系统）,授权管理系统将用户职务属性和业务系统资源相关联，为业务系统的资源拥有者提供资源管理、用户管理、资源授权、授权裁决服务。,4.7 业务支撑平台（VPN网关）,WH-VPN网关只为特定的用户群体所专用，从VPN用户角度看来，使用VPN与传统专网没有区别。 WH-VPN网关具有强大的软/硬证书的支撑功能，