網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)

身份認(rèn)證技術(shù)訪問控制技術(shù)主機(jī)安全技術(shù)防火墻技術(shù)密碼技術(shù)反入侵（黑客防范）技術(shù)防病毒技術(shù)安全審計(jì)技術(shù)安全管理技術(shù)對網(wǎng)絡(luò)中的主體進(jìn)行驗(yàn)證的過程三種驗(yàn)證方法：只有該主體了解的秘密口令，密鑰主體攜帶的物品智能卡，令牌卡只有主體具有的獨(dú)一無二的特征或能力指紋，聲音，視網(wǎng)膜，簽字網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)1身份認(rèn)證技術(shù)訪問控制技術(shù)主機(jī)安全技術(shù)防火墻技術(shù)密碼技術(shù)反入侵（黑客防范）技術(shù)防病毒技術(shù)安全管理技術(shù)保證網(wǎng)絡(luò)資源不被非法使用和非法訪問企業(yè)網(wǎng)絡(luò)的訪問控制：網(wǎng)內(nèi)用戶的訪問控制內(nèi)聯(lián)網(wǎng)對外部的訪問控制外部用戶對內(nèi)聯(lián)網(wǎng)的訪問控制網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)2身份認(rèn)證技術(shù)訪問控制技術(shù)主機(jī)安全技術(shù)防火墻技術(shù)密碼技術(shù)反入侵（黑客防范）技術(shù)防病毒技術(shù)安全審計(jì)技術(shù)安全管理技術(shù)主要指操作系統(tǒng)的安全UNIX系統(tǒng)安全Windows系統(tǒng)安全漏洞安全配置網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)3身份認(rèn)證技術(shù)訪問控制技術(shù)主機(jī)安全技術(shù)防火墻技術(shù)密碼技術(shù)反入侵（黑客防范）技術(shù)防病毒技術(shù)安全審計(jì)技術(shù)安全管理技術(shù)加強(qiáng)網(wǎng)絡(luò)間的訪問控制防止易受攻擊的服務(wù)控制訪問網(wǎng)絡(luò)系統(tǒng)集中安全性有關(guān)網(wǎng)絡(luò)使用、濫用的記錄和統(tǒng)計(jì)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)4身份認(rèn)證技術(shù)訪問控制技術(shù)主機(jī)安全技術(shù)防火墻技術(shù)密碼技術(shù)反入侵（黑客防范）技術(shù)防病毒技術(shù)安全審計(jì)技術(shù)安全管理技術(shù)加密和解密1、算法2、體制對稱加密體制非對稱加密體制3、VPN網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)5身份認(rèn)證技術(shù)訪問控制技術(shù)主機(jī)安全技術(shù)防火墻技術(shù)密碼技術(shù)反入侵技術(shù)防病毒技術(shù)安全管理技術(shù)漏洞掃描技術(shù)入侵偵測技術(shù)安全審計(jì)技術(shù)網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)6身份認(rèn)證技術(shù)訪問控制技術(shù)主機(jī)安全技術(shù)防火墻技術(shù)密碼技術(shù)反入侵技術(shù)安全管理技術(shù)網(wǎng)絡(luò)安全的規(guī)劃安全風(fēng)險(xiǎn)評估和分析安全實(shí)施網(wǎng)絡(luò)信息安全的關(guān)鍵技術(shù)7電子商務(wù)系統(tǒng)的安全電子商務(wù)主要的安全要素可靠性；完整性；保密性；確定性；不可否認(rèn)性；合法性。8電子商務(wù)安全技術(shù)之一網(wǎng)絡(luò)間的訪問----需隔離FIREWALL內(nèi)部網(wǎng)與互聯(lián)網(wǎng)怎樣有效隔離9防火墻示意圖Internet1.企業(yè)內(nèi)聯(lián)網(wǎng)2.部門子網(wǎng)3.分公司網(wǎng)絡(luò)10防火墻的概念念（1）最初含義：當(dāng)當(dāng)房屋還處于于木制結(jié)構(gòu)的的時(shí)侯，人們們將石塊堆砌砌在房屋周圍圍用來防止火火災(zāi)的發(fā)生。。這種墻被稱稱之為防火墻墻。防火墻是一種種訪問控制技技術(shù)，在某個(gè)個(gè)機(jī)構(gòu)的網(wǎng)絡(luò)絡(luò)和不安全的的網(wǎng)絡(luò)之間設(shè)設(shè)置障礙，阻阻止對信息資資源的非法訪訪問。換句話話說，防火墻墻是一道門檻檻，控制進(jìn)/出兩個(gè)方向向的通信。11防火墻的概念念（2）具有下列性質(zhì)質(zhì)：只允許本地安安全策略授權(quán)權(quán)的通信信息息通過雙向通信信息息必須通過防防火墻防火墻本身不不會影響信息息的流通12防火墻概念（（3）防火墻的實(shí)質(zhì)質(zhì)是一對矛盾（或或稱機(jī)制)：：限制數(shù)據(jù)流通通允許數(shù)據(jù)流通通兩種極端的表表現(xiàn)形式：除了允許的都都被禁止，安安全但不好用用。（限制政政策）除了禁止的都都被允許，好好用但不安全全。（寬松政政策）多數(shù)防火墻都都在兩種之間間采取折衷。。13在一個(gè)沒有防防火墻環(huán)境中中，網(wǎng)絡(luò)安全全完全依賴于于主機(jī)安全，，并且在某種種意義上所有有主機(jī)都必須須協(xié)同達(dá)到統(tǒng)統(tǒng)一的安全標(biāo)標(biāo)準(zhǔn)基于主機(jī)的安安全伸縮性不不好：當(dāng)一個(gè)個(gè)站點(diǎn)上主機(jī)機(jī)的數(shù)量增加加時(shí)，確定每每臺主機(jī)處于于高安全級別別之上，勢必必會使性能下下降如果某個(gè)網(wǎng)絡(luò)絡(luò)軟件的薄弱弱點(diǎn)被發(fā)現(xiàn)，，沒有防火墻墻保護(hù)的站點(diǎn)點(diǎn)必須盡可能能快地更正每每個(gè)暴露的系系統(tǒng)。為什么需要防防火墻14互聯(lián)網(wǎng)非法獲取內(nèi)部數(shù)據(jù)防火墻墻的作作用示示意圖圖15防火墻墻的局局限性性防火墻墻不是是解決決所有有網(wǎng)絡(luò)絡(luò)安全全問題題的萬萬能藥藥方，，只是是網(wǎng)絡(luò)絡(luò)安全全政策策和策策略中中的一一個(gè)組組成部部分。。防火墻墻不能能防范范繞過過防火火墻的的攻擊擊，，如內(nèi)內(nèi)部提提供撥撥號服服務(wù)。。防火墻墻不能能防范范來自自內(nèi)部部人員員惡意意的攻攻擊。。防火墻墻不能能阻止止被病病毒感感染的的程序序或文文件的的傳遞遞。防火墻墻不能能防止止數(shù)據(jù)據(jù)驅(qū)動動式攻攻擊。。如特特洛伊伊木馬馬。16加密技技術(shù)數(shù)據(jù)加加密從從技術(shù)術(shù)上的的實(shí)現(xiàn)現(xiàn)分為為在軟軟件和和硬件件兩方方面。。按作作用不不同，，數(shù)據(jù)據(jù)加密密技術(shù)術(shù)主要要分為為數(shù)據(jù)據(jù)傳輸輸、數(shù)數(shù)據(jù)存存儲、、數(shù)據(jù)據(jù)完整整性的的鑒別別以及及密鑰鑰管理理技術(shù)術(shù)這四四種。。在網(wǎng)絡(luò)絡(luò)應(yīng)用用中一一般采采取兩兩種加加密形形式：：對稱稱密鑰鑰和公公開密密鑰。。17下面介介紹幾幾種最最常見見的加加密體體制的的技術(shù)術(shù)實(shí)現(xiàn)現(xiàn)：1．?dāng)?shù)數(shù)據(jù)加加密標(biāo)標(biāo)準(zhǔn)DES2．公公開密密鑰密密碼體體制18對稱式式加密密算法法對稱加加密的的算法法與體體制是是加密密和解解密雙雙方共共用一一個(gè)公公共的的密鑰鑰，加加密方方使用用這個(gè)個(gè)密鑰鑰對數(shù)數(shù)據(jù)進(jìn)進(jìn)行加加密，，而解解密方方只有有用這這個(gè)密密鑰才才能使使數(shù)據(jù)據(jù)還原原。典型代代表是是：數(shù)據(jù)加加密標(biāo)標(biāo)準(zhǔn)----DES19對稱密密鑰加加密法法加密密鑰解密安全通通道20對稱加加密算算法的的優(yōu)劣劣優(yōu)點(diǎn)：：加密密、解解密速速度非非?？炜?。缺點(diǎn)：：要求提提供一一個(gè)安安全的的渠道道使交交易雙雙方在在首次次通信信時(shí)能能夠協(xié)協(xié)商一一個(gè)共共同的的密鑰鑰。密鑰難難以管管理。。不能提提供信信息完完整性性的鑒鑒別，，無法法驗(yàn)證證發(fā)送送者和和接受受者的的身份份。對稱密密鑰的的管理理和分分發(fā)工工作是是一項(xiàng)項(xiàng)具有有潛在在危險(xiǎn)險(xiǎn)和煩煩瑣的的過程程。21在Internet中使用用更多多的是是公鑰鑰系統(tǒng)統(tǒng)。即即公開開密鑰鑰加密密，它它的加加密密密鑰和和解密密密鑰鑰是不不同的的。一一般對對于每每個(gè)用用戶生生成一一對密密鑰后后，將將其中中一個(gè)個(gè)作為為公鑰鑰公開開，另另外一一個(gè)則則作為為私鑰鑰由屬屬主保保存。。常用用的公公鑰加加密算算法是是RSA算法。。公開密密鑰密密碼體體制22公開密密鑰技技術(shù)亦稱非對稱稱加密密算法法，是由由斯坦坦福大大學(xué)三三人研研究發(fā)發(fā)明的的，自自1977年進(jìn)進(jìn)入市市場以以來，，成為為目前前應(yīng)用用最普普遍的的一種種加密密算法法(RSA)。。重要特特點(diǎn)：：加密密和解解密使使用不不同的的密鑰鑰，每每個(gè)用用戶保保存著著兩個(gè)個(gè)密鑰鑰：一一個(gè)公公開密密鑰，，簡稱稱公鑰鑰，一一個(gè)私私人密密鑰，，簡稱稱私鑰鑰。23非對對稱稱加加密密算算法法原文文公鑰鑰加密密加密密原原文文私鑰鑰解密密原文文24甲方方：：乙乙方方：：（甲甲密密鑰鑰和和乙乙公公鑰鑰））（（乙乙密密鑰鑰和和甲甲公公鑰鑰））用甲甲密密鑰鑰加加密密用甲甲公公鑰鑰解解密密用乙乙公公鑰鑰加加密密用乙乙密密鑰鑰解解密密25數(shù)字字信信封封“數(shù)數(shù)字字信信封封””技技術(shù)術(shù)結(jié)結(jié)合合了了對對稱稱加加密密和和非非對對稱稱加加密密的的優(yōu)優(yōu)點(diǎn)點(diǎn)，，使使用用兩兩個(gè)個(gè)層層次次的的加加密密來來獲獲得得非非對對稱稱加加密密的的靈靈活活性性和和對對稱稱加加密密的的高高效效性性。。26普通通報(bào)報(bào)文文對稱稱密密鑰鑰公鑰鑰B加密密加密密密文文加密密的的密密鑰鑰對稱稱密密鑰鑰私鑰鑰B解密密普通通報(bào)報(bào)文文解密密具體體操操作作方方法法27數(shù)字字簽簽名名數(shù)字字簽簽名名技技術(shù)術(shù)是是實(shí)實(shí)現(xiàn)現(xiàn)交交易易安安全全的的核核心心技技術(shù)術(shù)之之一一，，它它的的實(shí)實(shí)現(xiàn)現(xiàn)基基礎(chǔ)礎(chǔ)就就是是加加密密技技術(shù)術(shù)。。數(shù)數(shù)字字簽簽名名必必須須保保證證以以下下幾幾點(diǎn)點(diǎn)：：接收收者者能能夠夠核核實(shí)實(shí)發(fā)發(fā)送送者者對對報(bào)報(bào)文文的的簽簽名名；；發(fā)送送者者事事后后不不能能抵抵賴賴對對報(bào)報(bào)文文的的簽簽名名；；接收收者者不不能能偽偽造造對對報(bào)報(bào)文文的的簽簽名名。。28數(shù)字字簽簽名名的的原原理理原理理為為：：被發(fā)發(fā)送送的的文文件件用用HASH編編碼碼加加密密產(chǎn)產(chǎn)生生一一定定長長度度的的數(shù)數(shù)字字摘摘要要；；發(fā)送送方方用用自自己己的的私私鑰鑰對對摘摘要要再再加加密密，，這這就就形形成成了了數(shù)數(shù)字字簽簽名名；；將原原文文和和加加密密的的摘摘要要同同時(shí)時(shí)傳傳送送給給對對方方；；29數(shù)字字簽簽名名對方方用用發(fā)發(fā)送送方方的的公公鑰鑰對對摘摘要要進(jìn)進(jìn)行行解解密密，，同同時(shí)時(shí)對對收收到到的的文文件件用用HASH編編碼碼加加密密產(chǎn)產(chǎn)生生另另外外一一個(gè)個(gè)摘摘要要；；將解解密密后后的的摘摘要要和和收收到到的的文文件件在在接接收收方方重重新新加加密密產(chǎn)產(chǎn)生生的的摘摘要要相相互互對對比比。。如如兩兩者者一一致致，，則則說說明明傳傳送送過過程程中中信信息息沒沒被被破破壞壞或或纂纂改改過過，，否否則則就就有有偽偽劣劣假假冒冒的的嫌嫌疑疑。。30原文文Hash加密摘要IK加密密數(shù)字簽名名發(fā)送數(shù)字簽名名原文文PK解密密摘要摘要原文文Hash加密發(fā)送方接收方原理示意意圖31發(fā)送端原信息數(shù)字時(shí)間間戳數(shù)字時(shí)間間戳技術(shù)術(shù)就是對對電子文文件簽署署的日期期和時(shí)間間進(jìn)行的的安全性性保護(hù)和和有效證證明的技技術(shù)。它它是由專專門的認(rèn)認(rèn)證機(jī)構(gòu)構(gòu)來加的的，并以以認(rèn)證機(jī)機(jī)構(gòu)收到到文件的的時(shí)間為為依據(jù)。。摘要Hash函數(shù)加密新摘要Hash函數(shù)加密第三方私鑰加密數(shù)字時(shí)間戳internet摘要摘要時(shí)間加時(shí)間internet數(shù)字時(shí)間戳摘要時(shí)間32雙重簽名名網(wǎng)上購物物過程中中，客戶戶需要發(fā)發(fā)送定購購信息OI給商商戶，發(fā)發(fā)送支付付信息PI給銀行。。這兩條條信息是是相關(guān)聯(lián)聯(lián)的。用用DS連接這兩兩條消息息的摘要要（PIMD和OIMD），并并安全地地將連接接后的消消息分別別傳送到到不同的的接收方方PIOIHHHEPIMDOIMDPOMDKRcDS‖33雙重簽名名DS=EKRc[H(H(PI)‖H(OI))]式中KRC為客戶私有簽名名密鑰商戶接收收客戶發(fā)發(fā)來的OI、PIMD=H(PI)、DS后，利用用從客戶戶證書中中獲得的的客戶公公鑰KUC，計(jì)算如下下兩項(xiàng)結(jié)結(jié)果，若若相等則則客戶簽簽名正確確H(PIMD‖H(OI))DKUc[DS]銀行接收收客戶發(fā)發(fā)來的DS、PI、OIMD=H(OI)和客戶戶公鑰KUC，若如下下運(yùn)算所得的兩兩個(gè)數(shù)值值相等，，則銀行行確認(rèn)了了客戶的的簽名H(H(PI‖‖OIMD))DKUc[DS]34密鑰管理理目前，公公認(rèn)的有有效方法法是通過過密鑰分分配中心心KDC來管理理和分配配公開密密鑰。每每個(gè)用戶戶只保存存自己的的秘密密密鑰和KDC的的公開密密鑰PK。用戶戶可以通通過KDC獲得得任何其其他用戶戶的公開開密鑰。。首先，A向向KDC申申請公開密密鑰，將信信息（A，，B）發(fā)給給KDC。。KDC返返回給A的的信息為（（CA，CB），其其中，CA=DSK（A，PKA，T1），CB=DSK（B，，PKB，，T2）。。CA和CB稱為證證書（Certificate），分分別含有A和B的公公開密鑰。。KDC使使用其解密密密鑰SK對CA和和CB進(jìn)行行了簽名，，以防止偽偽造。時(shí)間間戳T1和和T2的作作用是防止止重復(fù)攻擊擊。最后，A將將證書CA和CB傳傳送給B。。B獲得了了A的公開開密鑰PKA，同時(shí)時(shí)也可檢驗(yàn)驗(yàn)他自己的的公開密鑰鑰PKB。。35用戶A用戶B密鑰分配中中心123436PKISETSSLS/MIMEIPSecProtocolsDatabasesDirectoriesSmartCardsTechnologiesPaymentsMailWebVPNsCommunicationsEDICRMERPBankinge-CommerceDigitalSigningApplicationsPKI(公公共密鑰基基礎(chǔ)設(shè)施)37CA的定義義與功能CA是頒發(fā)、管管理數(shù)字證證書的機(jī)構(gòu)構(gòu)，是可信信第三方。。其功能包括：：驗(yàn)證申請人人身份生成數(shù)字證證書歸檔數(shù)字證證書廢除數(shù)字證證書發(fā)布數(shù)字證證書和數(shù)字字證書廢除除清單38CARA證書用戶目錄服務(wù)證書申請證書存檔證書過期證書廢止證書公布證書生成證書用戶企事業(yè)單位位、個(gè)體、應(yīng)用商等使用PKI-Enabled安全軟件申請使用數(shù)數(shù)字證書CA-CertificationAuthority證書管理中中心制訂證書相相關(guān)規(guī)定生成證書管理廢止證證書（黑名名單）更新證書目目錄密鑰管理RA-RegistrationAuthority證書審批受受理點(diǎn)辦理和審批批證書申請請目錄服務(wù)公布用戶的的證書信息息CA的組成、證證書周期39數(shù)字證書數(shù)字證書就就是在網(wǎng)絡(luò)絡(luò)通信中，，標(biāo)志通信信各方身份份信息的一一系列數(shù)據(jù)據(jù)，其作用用類似于現(xiàn)現(xiàn)實(shí)生活中中的身份證證。它是用用電子手段段來證實(shí)一一個(gè)用戶的的身份和對對網(wǎng)絡(luò)資源源訪問的權(quán)權(quán)限，它是是由一個(gè)權(quán)權(quán)威機(jī)構(gòu)發(fā)發(fā)行的。40數(shù)字證書貿(mào)易伙伴間間可以使用用數(shù)字證書書(公開密密鑰證書)來交換公公開密鑰。。數(shù)字證書通通常包含有有：唯一標(biāo)識證證書所有者者(即貿(mào)易易方)的名名稱唯一標(biāo)識證證書發(fā)布者者的名稱證書所有者者的公開密密鑰證書發(fā)布者者的數(shù)字簽簽名證書的有效效期及證書書的序列號號等。41公鑰密碼與與數(shù)字證書書公鑰密碼使使公鑰的分分配不需要要機(jī)密性保保證公鑰密碼需需要保證公公鑰的真實(shí)實(shí)性數(shù)字證書證證明公鑰的的真實(shí)性公鑰證書數(shù)字證書42數(shù)字證書的的作用證實(shí)在電子子商務(wù)或信信息交換中中參加者的的身份；授權(quán)交易，，如信用卡卡支付；授權(quán)接入重重要信息庫庫，代替口口令或其他他傳統(tǒng)的進(jìn)進(jìn)入方式；；提供經(jīng)過因因特網(wǎng)發(fā)送送信息的不不可抵賴的的證據(jù)；驗(yàn)證通過因因特網(wǎng)交換換的信息的的完整性。。43數(shù)字證書原原理簡介：：數(shù)字證書采采用的是非非對稱加密密體系，既既利用一對對互相匹配配的密鑰進(jìn)進(jìn)行加密、、解密。每每個(gè)用戶自自己設(shè)定一一把特定的的僅為本人人所知的私私鑰，用它它進(jìn)行解密密和簽名；；同時(shí)設(shè)定定一把公鑰鑰并由本人人公開，為為一組用戶戶所共享，，用于加密密和驗(yàn)證簽簽名。當(dāng)發(fā)發(fā)送一份保保密文件時(shí)時(shí)發(fā)送方使使用接收方方的公鑰對對數(shù)據(jù)進(jìn)行行加密，而而接收方則則使用自己己的私鑰解解密，這樣樣信息就可可以安全無無誤地到達(dá)達(dá)目的地了了。44454647國內(nèi)PKI建設(shè)的基基本情況1998年年開始建立立主要技術(shù)體體系：SET，Non-SET（包括括SSL））建設(shè)主體行業(yè)：電信信、對外經(jīng)經(jīng)貿(mào)部、人人民銀行、、商業(yè)銀行行、海關(guān)地方：北京京、上海、、廣東、深深圳、山東東、山西、、天津、湖湖北、云南南、四川、、重慶、青青海48中國金融認(rèn)認(rèn)證中心（（CFCA）建設(shè)：中國國人民銀行行組織，12家商業(yè)業(yè)銀行共建建時(shí)間：今年年底或明年年初建成構(gòu)成：SETCA與Non-SETCA(如支持SSL）承包商：Non-SETCA：Entrust/SUN/德德達(dá)SETCA：IBM應(yīng)用：為首首都電子商商城服務(wù)，，為網(wǎng)上銀銀行服務(wù)，并推推廣至全國國。49CFCA的的機(jī)制作用證實(shí)身份證實(shí)銀行信信用向安全服務(wù)務(wù)（加密、、認(rèn)證和數(shù)數(shù)字簽簽名等）提提供支持實(shí)現(xiàn)可信的權(quán)威威的第三方方----人民銀行行采用一整套套國際通用用規(guī)范（X.509、PKIX）提供相應(yīng)的的應(yīng)