密码技术在信息安全中的应用

什么是PKI？
密码 技术
解决网上身份认证 、信息的完整性
和不可抵赖性等
安全问题，为网
络应用（如浏览
器、电子邮件、
电子交易）提供
可靠的安全服务
。
PKI如何实现信息安全
信息安全要素
机密性 (Confidentiality)
完整性 (Integrity)
可用性 （Availability）
认证 (Authentication)
信息安全法律法规
23.认证培训机构管理办法 24.中华人民共和国产品质量法 25.中华人民共和国产品质量认证管理条例 26.商用密码管理条例 27.网上证券委托暂行管理办法 28.信息安全产品测评认证管理办法 29.产品质量认证收费管理办法
信息安全升至国家战略层面！！！
从等保看信息安全的演进
1994年 国务院颁布《中华人民 共和国计算机信息系统 安全保护条例》
2007年7月至10月在全国范围 内组织开展重要信息系统安全 等级保护定级工作 ，其中包括 公用通信网、广播电视传输网 等基础信息网络 以及铁路、银 行、海关、税务、民航、电力、 证券、保险、外交、人事劳动 和社会保障、财政、等行业
开始了等级保护的实质性 工作的第一阶段
等级保护的政策标准的演进
2员息保安护为0G会安护全定0B8正全基技级/年T式技术指本，2目《批术南要2信国2G前》复求信息3家B》 ，并9已息安标-/和编发2安全T准正0号布《全等02化式8分《信2等级委、2别信息颁级保3布9-的20有08：信2发 安 作 提 作 重息0》布 全 出 的 点0安8《 （等 等 细 政年公 试级 级 则 府全7安 行保 保 ， 行月技机 ）护 护 并 业，术关 文检 检 发 用公信 件查 查 布 户安信息 ，工 工 到部息系统安全等级《 级 对 参 重信保等考防保息护级。护护安技保提”基术全护出体设技的“系本计术方一要要案个信求求设中息》》计心安报提下全批出的等稿了三， GB/T22《24G0-B20/0T822240-2008 信息安全技术 信息系统安全等级保护定级指南》
我们的网络世界充满不安。。。
2012年10月百所大学近 12万账户信息被窃
2012年7月雅虎45.34万 名用户的认证信息， 超过2700个数据库表 被盗
2012年6月LinkedIn650万 加密的密码被发送到了 一家俄罗斯的黑客网站
2012年7月，云存储服务 商Dropbox用户名和 密码
2012年1月，亚马逊旗下美 国电子商务网站Zappos 遭到黑客网络攻击
目录
1 网络世界充满不安 2 信息安全相关政策、法规 3 密码技术在信息安全中的应用 4 基于密码技术的PKI+数字证书如何实现信息安全 5 东方中讯简介
信息安全的基本属性
可控性
真实性/ 可靠性
可用性
信息 安全
不可否 认性
机密性 完整性
针对信息的安全属性存在的攻击模式
中断 (Interruption)： 是对系统的可用 性进行攻击，如 破坏计算机硬件、 网络或文件管理
机密性
加密技术 ❖对称加密
▪ 共享密钥 ❖非对称加密
▪ 公开密钥
28
PKI对各安全要素的解决方法
完整性
数字签名
❖ 如果数字签名验证失败， 说明数据的完整性遭到了 破坏
信息安全法律法规
12.中国互联网络域名管理办法 13.科学技术保密规定 14.计算机信息系统国际联网保密管理规定 15.计算机软件保护条例 16.国家信息化领导小组关于我国电子政务建
设指导意见 17.电子认证服务密码管理办法 18.互联网IP地址备案管理办法 19.计算机病毒防治管理办法 20.中华人民共和国电子签名法 21.认证咨询机构管理办法 22.中华人民共和国认证认可条例
❖ IDEA
▪ International Data Encryption Algorithm——国际数据加密算法 ，是1990年由瑞士联邦技术学院 来学嘉X.J.Lai 和Massey提出的 建议标准算法。
❖ AES(高级加密标准Advanced Encryption Standard)
X.J. Lai
信息安全法律法规
国内主要的信息安全相关法律法规如下：
1. 信息网络传播权保护条例 2. 2006—2020年国家信息化发展战略 3. 网络信息安全等级保护制度 4. 信息安全等级保护管理办法(试行) 5. 互联网信息服务管理办法 6. 中华人民共和国电信条例 7. 中华人民共和国计算机信息系统安全保护条例 8. 公用电信网间互联管理规定 9. 联网单位安全员管理办法（试行） 10.文化部关于加强网络文化市场管理的通知 11.证券期货业信息安全保障管理暂行办法
密码技术—— 信息安全的坚强守护者
LOGO
目录
1 网络世界充满不安 2 信息安全相关政策、法规 3 密码技术在信息安全中的应用 4 基于密码技术的PKI+数字证书如何实现信息安全 5 东方中讯简介
目录
1 网络世界充满不安 2 信息安全相关政策、法规 3 密码技术在信息安全中的应用 4 基于密码技术的PKI+数字证书如何实现信息安全 5 东方中讯简介
定义了五个保护级别、 监管方式、职责分工 和时间计划
2005年9月 国信办文件 《 关于转发《电子政务信息 系统信息安全等级保护实施 指南》的通知 》 （国信办[2004]25号）
2定00义5年了公电安子部政标务准等级 《保等护级的保护实安施全过要程求和》方 《法等级保护定级指南》
《等级保护实施指南》 《等级保护测评准则》
2007年 四部委会签 公通字[2007]43号文 件《信息安全等级保护 管理办法》
替代公通字[2006]7号文 件，明确了等级保护的具 体操作办法和各部委的职 责，以及推进等级保护的 具体事宜
为等级保护工作开展提 供了参考
提出了等级保护的推 进和管理办法
2007年7月16日 四部门会签 公信安[2007]861号文件：四 部门下发《关于开展全国重要 信息系统安全等级保护定级工 作的通知》
公钥加密 ❖ RSA
▪ Rivest Shamir Adleman
❖ ECC
▪ Elliptic Curve cryptsystem
常用的密码技术
常用的密码技术
鉴别和散列函数
❖ 散列函数-Hash函数 ❖ MD5
▪ Message-Digest Algorithm 5 ▪ 消息-摘要算法(R)
❖ SHA
• 发送实体 • 接收实体
路由控制 公证机制
▪ 数据单元序列的完整性
• 防止假冒、丢失、重发、插入 或修改数据。
密码技术在信息安全中的价值
让攻击Fra Baidu bibliotek得困难：
▪ 数字猜测 ▪ 破解密码 ▪ 推知私钥 ▪ 越权访问 ▪ 截获安全信道 ▪ 。。。。。。
目录
1 网络世界充满不安 2 信息安全相关政策、法规 3 密码技术在信息安全中的应用 4 基于密码技术的PKI+数字证书如何实现信息安全 5 东方中讯简介
2012年7月 DNSChanger修改多 达30万台电脑用户的 DNS…
我们的网络世界充满不安。。。
Gauss病毒窃取浏览器保 存的密码、网银账户 、Cookies和系统配 置信息等敏感数据
2012年8月维基解密网站 遭受到每秒10G流量 持续攻击
京东商城充值系统于2012年 10月30日晚22点30分左 右出现重大漏洞，用户 可以用京东积分无限制 充值Q币和话费
记录
信息安全需要哪些安全服务？
可认证 性
访问控 制
数据保 密性
实现这些服务的技术？
不可否 认性
数据完 整性
数学、信息、通信、 计算机网络等多学科 技术领域的综合，其
中密码学是网络安
全的基础理论和关键 技术。
信息安全中常用的密码技术
对称/分组加密
❖ DES-(数据加密标准Data Encryption Standard)
授权
2.你能干这个,不能干那个.
保密性应用系统 3.如何让别人无法偷听?
3. 我有密钥?
完整性
4.如何保证不能被篡改?
防抵赖
4.别怕,我有数字签名.
Rick Mary
5.我有你的罪证.
5.我偷了机密文件,我不承认
PKI对各安全要素的解决方法
认证
身份证明： 证书中告诉别人，你是谁？
身份验证： 数字签名和证书的唯一性 向别人证明，你确是此人？
提实要了出施达详2公（等了办到细0通关级0等法的的6字于保年级，安定[印护2四发管0保并全义0部《理护对能，6委]信办7的不力同会号息法定同要时签文安（级等求对件全试方级进系法需行统、 保护行能）力》等的通级知评）测指出了具 体的指标。
总结成一种安全工 作的方法和原则
确认为国家信息安 全的基本制度，安 全工作的根本方法
抗抵赖 (Non-repudiation) 授权与访问控制 (Authorization & Access
Control)
所对付的威胁
可用的PKI技术
窃听 非法窃取资料 敏感信息泄露 篡改 重放攻击 破坏 堵塞网络 消耗计算资源
加密 数字信封 数字签名 时戳服务（TimeStamp）
定义形了成等等级级保保护护的的管基理办法， 后被本4理3号论文框件架取，代制。定
了方法，过程和标 准
等级保护的政策标准的演进
2006年 公安部、国信办 下发了《关于开展信息系 统安全等级保护基础调查 工作的通知》
从2006年1月10日到4月 10日，分三个阶段对国家 重要的基础信息系统进行 摸底，包括党政机关、财 政、海关、能源、金融、 社会保障等行业
首次提出计算机 信息系统必须实 行安全等级保护。
最先作为“适度 安全”的工作思 路提出
2003年9月 中办国办颁发 《关于加强信息安全保 障工作的意见》 （中办发[2003]27号）
明确做等级保护，等级保 护工作的重点是 基础信息 网络和关系国家安全、经 济命脉、社会稳定等方面 的重要信息系统
2004年11月 四部委会签 《关于信息安全等级保 护工作的实施意见》 （公通字[2004]66号）
2012年5月新型蠕虫病毒 火焰(Flame) 肆虐中 东
2009年韩国国会、国防部、 外交通商部等机构的网 站一度无法打开
2012年3月著名黑客组织 Anonymous威胁干掉 整个互联网
目录
1 网络世界充满不安 2 信息安全相关政策、法规 3 密码技术在信息安全中的应用 4 基于密码技术的PKI+数字证书如何实现信息安全 5 东方中讯简介
《公安机关信息安全等级保护检查工作规范》
2008年定级备案工作基本结束 2+2X用户已完成在公安机关的定级备案工作； 备案的四级系统大约200多个； 等 作级为保参三二护考级级有依了据系系国统统家大大标准约约2352000000多多个个等 了；。级 实保 质护 性的 的落 一地 步迈出
同步提出了等级保护基础 技术的课题研究
N/A
冒名传送假资料 数字签名
否认已收到资料 否认已送资料
数字签名
非法存取资料 统一身份认证平台
PKI+数字证书实现信息安全模型
使用公钥加 密算法、分 组加密等
PKI中信息安全交互实例
1.1你是谁?
1.1我是Rick.
1.2怎么确认你就是你?
1.2 口令是1234.
认证
2. 我能干什么? Internet/Intranet
▪ Secure Hash Algorithm ▪ 安全散列算法(NSA)
信息安全机制
加密
交换鉴别
数字签名
– 口令
▪ 否认 ▪ 伪造 ▪ 冒充 ▪ 篡改
访问控制 数据完整性
– 密码技术 • 时间标记和同步时钟 • 双方或三方“握手” • 数字签名和公证机构
业务流量填充
▪ 数据单元的完整性
引言
近年来，网络安全事件“层出不穷”，商业 泄密案“触目惊心”，个人信息“唾手可得”， 网络犯罪“蒸蒸日上”。一系列信息泄密事件， 已经引起一场轩然大波。人们刚迎来2013年不久， 数据泄露事件又接连不断：香港八达通卡泄密、 富士通ipad2后壳设计图泄密、RSA公司SecurID 技术及客户资料被窃取和索尼公司的PlayStation 用户数据外泄、大众都熟知的棱镜事件等等。这 样触目惊心的消息我们再也伤不起!
系篡统改。 (Modification)： 是对系统的完整 性进行攻击，如 修改数据文件中 的数据、替换某 一程序使其执行 不同的功能、修 改网络中传送的
窃听 (Interception):在 通信信道中进行
监听等。
伪造(Fabication)： 是对系统的真实 性进行攻击。如 在网络中插入伪 造的消息或在文 件中插入伪造的