企業(yè)數(shù)據(jù)安全技術(shù)基礎(chǔ)

1、企業(yè)數(shù)據(jù)安全技術(shù)基礎(chǔ)技術(shù)創(chuàng)新，變革未來(lái)基于互聯(lián)網(wǎng)的應(yīng)用層出不窮如何保證互聯(lián)網(wǎng)上傳送的數(shù)據(jù)不被篡改如何保證機(jī)密資料不被泄密如何保證用戶身份被惡意假冒迫切需要完整安全解決方案引入描述數(shù)據(jù)傳輸面臨的主要安全威脅理解加密技術(shù)和密鑰的概念。描述數(shù)字簽名相關(guān)技術(shù)原理掌握數(shù)字證書的概念及數(shù)字證書包含的主要內(nèi)容理解PKI體系，描述證書的發(fā)放、維護(hù)、回收的過(guò)程獨(dú)立進(jìn)行PKI基本配置 課程目標(biāo)學(xué)習(xí)完本課程，您應(yīng)該能夠：概念和術(shù)語(yǔ)數(shù)據(jù)加解密數(shù)據(jù)完整性數(shù)字簽名數(shù)字證書公鑰基礎(chǔ)設(shè)施PKI目錄互聯(lián)網(wǎng)應(yīng)用現(xiàn)狀機(jī)遇：全球互聯(lián)網(wǎng)用戶的快速增長(zhǎng)電子商務(wù)有著巨大的市場(chǎng)與無(wú)限的商業(yè)機(jī)遇基于互聯(lián)網(wǎng)的應(yīng)用逐步在電子商務(wù)、電子政務(wù)以及各個(gè)

2、領(lǐng)域應(yīng)用成熟企業(yè)總部合作伙伴SOHO辦公/分支機(jī)構(gòu)移動(dòng)辦公Etranet VPNIntranet VPNRemote Access VPN竊聽篡改冒名黑客挑戰(zhàn)：用戶帳號(hào)、密碼被大量竊取/誤用私有或機(jī)密資料被泄露或被篡改個(gè)人被假冒身份而造成損害由于證據(jù)有限而增加的糾紛及解決成本釣魚網(wǎng)站層出不窮，用戶安全無(wú)法保證由于感受到安全方面的弱點(diǎn)，造成用戶裹足不前。四個(gè)安全要素?Claims未發(fā)出未收到機(jī)密性完整性身份驗(yàn)證不可抵賴攔截篡改偽造發(fā)出的信息被篡改過(guò)嗎？我在與誰(shuí)通訊?/是否有權(quán)？ 是否發(fā)出/收到信息?通訊是否安全?概念和術(shù)語(yǔ)數(shù)據(jù)加解密數(shù)據(jù)完整性數(shù)字簽名數(shù)字證書公鑰基礎(chǔ)設(shè)施PKI目錄加解密簡(jiǎn)介明文：

3、 需要被隱蔽的消息密文： 明文經(jīng)變換形成的隱蔽形式 加密：把明文信息轉(zhuǎn)化為密文的過(guò)程解密：把密文信息還原成明文的過(guò)程密鑰：在明文轉(zhuǎn)換為密文或?qū)⒚芪霓D(zhuǎn)換為明文的算法中輸入的參數(shù)加密算法分為兩類：對(duì)稱密鑰加密算法和非對(duì)稱密鑰加密算法密文明文明文加密解密密鑰密鑰奉天承運(yùn)皇帝詔曰奉天承運(yùn)皇帝詔曰加密對(duì)稱密鑰加密兩個(gè)通訊者之間的密鑰是一樣的。明文密文明文對(duì)稱密鑰 C=E(M, K)M=D(C, K)C = 密文M = 明文K = 密鑰E = 加密算法!?C = 密文M = 明文K = 密鑰D= 解密算法奉天承運(yùn)皇帝詔曰奉天承運(yùn)皇帝詔曰解密對(duì)稱密鑰典型算法算法密鑰開發(fā)者備注數(shù)據(jù)加密標(biāo)準(zhǔn)DES56位IBM為

4、美國(guó)政府(NBS/NIST)開發(fā)很多政府強(qiáng)制性使用3DES3*56位IBM為美國(guó)政府(NBS/NIST)開發(fā)應(yīng)用3次DESCAST40-256位可變北方通信比DES稍快Rivest算法(RC2)可變Ron Rivest(RSA數(shù)據(jù)安全)專利細(xì)節(jié)未公開RC5Ron Rivest(RSA數(shù)據(jù)安全)AESJoan Daemen/Vincent Rijmen非對(duì)稱密鑰加密用戶B擁有兩個(gè)對(duì)應(yīng)的密鑰用其中一個(gè)加密，只有另一個(gè)能夠解密，兩者一一對(duì)應(yīng)“公鑰加密，私鑰解密”或“私鑰加密，公鑰解密”用戶B將其中一個(gè)私下保存（私鑰），另一個(gè)公開發(fā)布（公鑰）公鑰和私鑰不可互相推算如果A想送秘密信息給BA獲得B的公鑰A

5、使用該公鑰加密信息發(fā)送給BB使用自己的私鑰解密信息AB加密解密奉天承運(yùn)皇帝詔曰奉天承運(yùn)皇帝詔曰B的私鑰B的公鑰非對(duì)稱密鑰典型算法算法設(shè)計(jì)者用途安全性RSARSA數(shù)據(jù)安全加密數(shù)字簽名密鑰交換大數(shù)分解DSANSA數(shù)字簽名離散對(duì)數(shù)DHDiffie&Hellman密鑰交換完全向前保密組合加解密技術(shù)使用對(duì)稱加密算法進(jìn)行大批量的數(shù)據(jù)加密 每次產(chǎn)生一個(gè)新的隨機(jī)密鑰（會(huì)話密鑰）使用非對(duì)稱加密算法傳遞隨機(jī)產(chǎn)生的會(huì)話密鑰明文明文會(huì)話密鑰X2c67afGkz78會(huì)話密鑰Adsbufh%&$892AB密文（信息+會(huì)話密鑰）B的公鑰非對(duì)稱加密對(duì)稱加密奉天承運(yùn)皇帝詔曰解密奉天承運(yùn)皇帝詔曰信息會(huì)話密鑰組合加解密技術(shù)明文明文

6、會(huì)話密鑰X2c67afGkz78會(huì)話密鑰Adsbufh%&$892AB密文（信息+會(huì)話密鑰）非對(duì)稱算法對(duì)稱加密奉天承運(yùn)皇帝詔曰奉天承運(yùn)皇帝詔曰加密B的私鑰利用B的私鑰使用非對(duì)稱加密算法解密得到會(huì)話密鑰利用會(huì)話密鑰運(yùn)行對(duì)稱加密算法解密得到明文概念和術(shù)語(yǔ)數(shù)據(jù)加解密數(shù)據(jù)完整性數(shù)字簽名數(shù)字證書公鑰基礎(chǔ)設(shè)施PKI目錄摘要算法Hash公司財(cái)務(wù)報(bào)告銷售額: 186,000$利潤(rùn): 36,000$53963509879公司財(cái)務(wù)報(bào)告銷售額: 186,000$利潤(rùn): 36,000$-53963509879發(fā)送方Hash公司財(cái)務(wù)報(bào)告銷售額: 186,000$利潤(rùn): 6,000$3475283494553963509

7、879公司財(cái)務(wù)報(bào)告銷售額: 186,000$利潤(rùn): 6,000$-53963509879黑客接收方摘要算法可以驗(yàn)證數(shù)據(jù)的完整性HASH函數(shù)計(jì)算結(jié)果稱為摘要，同一種算法，不管輸入長(zhǎng)度是多少，結(jié)果定長(zhǎng)無(wú)法從摘要的值反推回原始內(nèi)容，具有單向性、不可逆性不同的內(nèi)容其摘要也不同HMAC算法Hash公司財(cái)務(wù)報(bào)告銷售額: 186,000$利潤(rùn): 36,000$53963509879公司財(cái)務(wù)報(bào)告銷售額: 186,000$利潤(rùn): 36,000$-53963509879發(fā)送方Hash公司財(cái)務(wù)報(bào)告銷售額: 186,000$利潤(rùn): 6,000$3475283494512943546532公司財(cái)務(wù)報(bào)告銷售額: 186,

8、000$利潤(rùn): 6,000$-12943546532黑客接收方MAC密鑰MAC密鑰HMAC（Hash Message Authentication Code）對(duì)單輸入hash算法進(jìn)行了改進(jìn)收發(fā)雙方共享一個(gè)MAC密鑰，計(jì)算摘要時(shí)不僅輸入數(shù)據(jù)報(bào)文，還輸入MAC密鑰概念和術(shù)語(yǔ)數(shù)據(jù)加解密數(shù)據(jù)完整性數(shù)字簽名數(shù)字證書公鑰基礎(chǔ)設(shè)施PKI目錄數(shù)字簽名概述數(shù)字簽名是用簽名方的私鑰對(duì)信息摘要進(jìn)行加密的一個(gè)過(guò)程簽名過(guò)程所得到的密文即稱為簽名信息數(shù)字簽名主要功能：保證信息傳輸?shù)耐暾园l(fā)送者的身份認(rèn)證防止交易中的抵賴發(fā)生 加密數(shù)字簽名原理明文BA的私鑰 摘要gJ39vzamp4xOurjj9rRr%9$數(shù)字簽名明文gJ

9、39vzamp4x 新摘要gJ39vzamp4x？=相同奉天承運(yùn)皇帝詔曰A加密奉天承運(yùn)皇帝詔曰Ourjj9rRr%9$數(shù)字簽名奉天承運(yùn)皇帝詔曰明文摘要摘要A的公鑰沒(méi)有篡改A發(fā)送的概念和術(shù)語(yǔ)數(shù)據(jù)加解密數(shù)據(jù)完整性數(shù)字簽名數(shù)字證書公鑰基礎(chǔ)設(shè)施PKI目錄公鑰技術(shù)的規(guī)模應(yīng)用難題如何解決公鑰的傳播問(wèn)題如何把自己的公鑰告訴別人得到一個(gè)公鑰后如何驗(yàn)證其真實(shí)性公鑰如何管理如何實(shí)現(xiàn)不可否認(rèn)服務(wù)數(shù)字證書網(wǎng)絡(luò)世界的電子身份證與現(xiàn)實(shí)世界的身份證類似能夠證明個(gè)人、團(tuán)體或設(shè)備的身份包含相關(guān)信息：包含姓名、地址、公司、電話號(hào)碼、Email地址、 包含所有者的公鑰證書的序列號(hào)Name: Brian LiuSerial numb

10、er:484865Issued by:ABC corp CAIssue date:1997 01 02Expiration date: 1999 01 02Public key: 38ighwejbDigital Signature: hwefdsaf證書的有效期限由可信的頒發(fā)機(jī)構(gòu)頒發(fā)比如身份證由公安局頒發(fā)一樣頒發(fā)機(jī)構(gòu)對(duì)證書進(jìn)行簽名與身份證上公安局的蓋章類似可以由頒發(fā)機(jī)構(gòu)證明證書是否有效可防止擅改證書上的任何資料X.509證書的格式版本號(hào)序列號(hào)簽名算法標(biāo)識(shí)符指該證書中的簽名算法簽發(fā)人名字有效時(shí)間起始和終止時(shí)間個(gè)體名字個(gè)體的公鑰信息算法參數(shù)密鑰簽發(fā)人唯一標(biāo)識(shí)符個(gè)體唯一標(biāo)識(shí)符擴(kuò)展域簽名概念和術(shù)語(yǔ)數(shù)

11、據(jù)加解密數(shù)據(jù)完整性數(shù)字簽名數(shù)字證書公鑰基礎(chǔ)設(shè)施PKI目錄PKI概述證書發(fā)布證書注銷證書生成申請(qǐng)與審核證書終止證書歸檔目錄服務(wù)CARA終端用戶PKI是一個(gè)簽發(fā)證書、傳播證書、管理證書、使用證書的環(huán)境PKI保證了公鑰的可獲得性、真實(shí)性、完整性PKI體系結(jié)構(gòu)PKI存儲(chǔ)庫(kù)KMC受理點(diǎn)受理點(diǎn)受理點(diǎn)RARARACACACACACA接受用戶的證書請(qǐng)求，簽發(fā)用戶證書，是PKI的核心接受、驗(yàn)證用戶的申請(qǐng)，將驗(yàn)證通過(guò)的申請(qǐng)?zhí)峤唤oCA，由CA簽發(fā)證書證書的發(fā)放和維護(hù)證書的驗(yàn)證驗(yàn)證證書的簽名，用簽發(fā)該證書的CA的公鑰進(jìn)行驗(yàn)證CRL檢查，證書是否撤銷。有效期驗(yàn)證證書用途配置任務(wù)配置實(shí)體DN（Distinguished

12、Name，可識(shí)別名稱）實(shí)體DN的參數(shù)是實(shí)體的身份信息，CA根據(jù)實(shí)體提供的身份信息來(lái)唯一標(biāo)識(shí)證書申請(qǐng)者。配置PKI域參數(shù)實(shí)體在進(jìn)行PKI證書申請(qǐng)操作之前需要配置一些注冊(cè)信息來(lái)配合完成申請(qǐng)的過(guò)程。這些信息的集合就是一個(gè)實(shí)體的PKI域。PKI證書申請(qǐng)和獲取證書申請(qǐng)就是實(shí)體向CA自我介紹的過(guò)程。實(shí)體向CA提供身份信息，以及相應(yīng)的公開密鑰，這些信息將成為頒發(fā)給該實(shí)體證書的主要組成部分。配置實(shí)體DN創(chuàng)建一個(gè)實(shí)體，并進(jìn)入該實(shí)體視圖。H3C pki entity entity-name配置實(shí)體通用名（可選）H3C-pki-entity-entity1 common-name name配置PKI域參數(shù)創(chuàng)建一個(gè)P

13、KI域，并進(jìn)入PKI域視圖H3C pki domain domain-name配置信任的CA名稱H3C-pki-domain-domain1 ca identifier name指定實(shí)體名稱H3C-pki-domain-domain1 certificate request entity entity-name配置證書申請(qǐng)的注冊(cè)受理機(jī)構(gòu)H3C-pki-domain-domain1 certificate request from ca | ra 配置注冊(cè)服務(wù)器URLH3C-pki-domain-domain1 certificate request url url-string配置證書申請(qǐng)和獲

14、取生成本地RSA或ECDSA密鑰對(duì)H3C public-key local create ecdsa | rsa 獲取證書H3C pki retrieval-certificate ca | local | peer-entity entity-name domain domain-nameH3C pki import-certificate ca | local | peer-entity entity-name domain domain-name der | p12 | pem filename filename 申請(qǐng)本地證書H3C pki request-certificate domain domain-name password pkcs10 filename filename 顯示證書