《[精选]网络系统安全基础知识32898.pptx》由会员分享,可在线阅读,更多相关《[精选]网络系统安全基础知识32898.pptx(109页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、网络系统安全基础网络系统安全基础主讲人:刘恒主讲人:刘恒主讲人:刘恒主讲人:刘恒2003200320032003年年年年10101010月月月月 体系体系/技术技术/产品产品主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统什么是安全?什么是安全?Security is the reducti
2、on of risk安全就是降低风险,并使之达到安全就是降低风险,并使之达到“可接受可接受”的程度的程度整体安全整体安全技术因素全面技术因素全面服务保证服务保证信息安全体系的构成信息安全体系的构成 传统网络安全防御体系传统网络安全防御体系动态防御体系动态防御体系在在防防护护检检测测响响应应(PDR)模模型型基基础础上上的的动动态态防防御御体体系系,因因为为其其优优异异的的自自适适应应、自自控控制制、自自反反馈馈特特性性,已已经经在在国国际际上上得得到到了了广广泛的接受和采纳泛的接受和采纳.安全的系统应当满足安全的系统应当满足P(t)P(t)防护时间防护时间D(t)D(t)检测时间检测时间+R(
3、t)+R(t)响应时间响应时间防护的成本取决于风险导致的损失防护的成本取决于风险导致的损失风险的大小和时风险的大小和时间高度正相关间高度正相关防御体系的建立必须围绕实时性和应急机制来充防御体系的建立必须围绕实时性和应急机制来充分提高其性能价格比分提高其性能价格比 PDRPDR安全实用性模型安全实用性模型动态防御体系动态防御体系新型安全体系新型安全体系主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统安全解决方案模型安全解决方案模型安全策略安全策略安全策略安全策略安全组
4、织管理安全组织管理安全组织管理安全组织管理安全运作管理安全运作管理安全运作管理安全运作管理安全技术框架安全技术框架安全技术框架安全技术框架访问控制内容安全审计响应冗余恢复鉴别认证网络安全协议网络安全协议网络安全协议网络安全协议/功能模型功能模型功能模型功能模型 体系与技术的对应关系体系与技术的对应关系防护的主要技术防护的主要技术访问控制访问控制:ACL,VLAN,:ACL,VLAN,防火墙防火墙加密机加密机,VPN,VPN认证认证,CA,CA检测的主要技术检测的主要技术入侵检测系统入侵检测系统漏洞扫描系统漏洞扫描系统病毒防护病毒防护响应的主要技术响应的主要技术报警、记录、阻断、联动、反击报警、
5、记录、阻断、联动、反击PDRPDR主要技术主要技术静态与动态安全技术静态与动态安全技术静态防护:静态防护:被动的,滞后的防御被动的,滞后的防御动态防护:动态防护:主动的、实时的防御主动的、实时的防御综合防御综合防御安全解决方案安全解决方案防病毒制订最高安全方针落实项目的安全审核工作明确安全领导小组工作职责策略的有效发布和执行策略体系开发和建立安全培训与资质认证落实安全责任文件安全组织建设资产鉴别和分类项目制订全员网络安全教育计划第三方安全管理策略的定期审查和修订BS7799认证项目网络安全域隔离和划分统一时钟服务防火墙和网络隔离紧急响应体系动态口令系统入侵监测系统主机安全业务连续性管理聘请专业
6、公司或者专家作为顾问周期性风险评估服务项目日志监控系统冗余、备份和恢复可信信道数据源鉴别网络设备安全安全管理中心和网络安全平台PKI体系可行性分析基础项目基础项目优先项目优先项目非优先项目非优先项目长期项目长期项目技术类项目技术类项目管理类项目管理类项目表示支持或支撑作用IT安全框架资产威胁防护措施策略框架组织框架运作框架技术框架鉴别和认证I&A访问和控制AC审计跟踪AT恢复和冗余R&R内容安全CS体系到解决方案体系到解决方案风险评估服务风险评估服务顾问服务顾问服务顾问服务顾问服务CA/RSA基于系统基于系统AC功能功能漏洞扫描漏洞扫描IDS网络架构网络架构安全分析安全分析网络架构网络架构安全
7、分析安全分析防火墙防火墙系统系统冗余设计冗余设计防病毒防病毒安全管理安全管理平台平台加密加密/完整检查完整检查主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统防火墙功能防火墙功能 防火墙就是一个位于计算机和它所连接的网络之间的硬件或软件。所有流入流出的网络通信均要经过此防火墙。为什么要使用防火墙为什么要使用防火墙?防火墙具有很好的保护作用。入侵者必须首先穿越防火墙的安全防线,才能接触目标计算机。可将防火墙配置成许多不同保护级别。高级别的保护可以禁止一些服务,如视频流
8、,Java,ActiveX,JavaScript脚本等 有时需要将内部网络划分为多个网段,为不同的部门设置不同的访问级别防火墙五大基本功能防火墙五大基本功能 过滤进、出网络的数据,是网络安全的屏障 管理进、出网络的访问行为,防止内部信息的外泄封堵某些禁止的业务,对网络存取和访问进行控制 记录通过防火墙的信息内容和活动对网络攻击的检测和告警,强化网络安全策略 防火墙的分类防火墙的分类按逻辑功能包过滤式防火墙:天融信,联想应用代理式防火墙:TIS状态检测防火墙 按体系结构硬件防火墙:Netscreen,Nokia,Cisco Pix软件防火墙:Checkpoint,ISA Server软硬结合 按
9、操作模式网桥模式路由模式NAT按性能百兆千兆按部署方式边界(企业)防火墙个人(主机)防火墙防火墙中的主要技术防火墙中的主要技术封包过滤(Packet Fileter)状态检测(Stateful inspection)网络地址转换NAT(Network Address Transform)代理技术(Proxy)封包过滤封包过滤封包过滤(Packet Fileter):作用在网络层和传输层,它根据分组包头源地址,目的地址和端口号、协议类型等标志确定是否允许数据包通过。只有满足过滤逻辑的数据包才被转发到相应的目的地出口端,其余数据包则被从数据流中丢弃。状态检测状态检测状态检测(Stateful in
10、spection):其工作原理是检测每一个有效连接的状态,并根据这些状态信息决定网络数据包是否能够通过防火墙。它在协议栈低层截取数据包,然后分析这些数据包,并且将当前数据包及其状态信息和其前一时刻的数据包及其状态信息进行比较,从而得到该数据包的控制信息,以达到提高效率、保护网络安全的目的。状态检测将数据包分成4种连接状态:New,Established,Related,Invalid 使用使用NATNAT的原因的原因解决IP地址空间紧张的问题共享 modem 拨号上网 多重服务器(负载分担load-sharing)代理技术代理技术代理技术(Proxy):也叫应用网关(Application G
11、ateway),作用在应用层,其特点是完全“阻隔”网络通信流,通过对每种应用服务(如http,ftp,smtp)编制专门的代理程序,实现监视和控制应用层通信流的作用。实际中的应用网关通常由专用工作站实现。防火墙典型部署防火墙典型部署防火墙代理式防火墙部署示意图代理式防火墙部署示意图主要防火墙品牌主要防火墙品牌中网川大能士方正数码海信数码华堂华依科技联想龙马卫士通三星防火墙四川迈普亿阳信通中软华泰中网通讯天融信东软青鸟环宇交大捷普重庆银都天网清华得实中科安胜华为广州科达广东海微CheckPointNetscreenCiscoNokia三星如何选择防火墙?如何选择防火墙?主要指标设计性能(M):1
12、0/100M,1000M最大并发连接数(万)接口类型、接口数操作系统类型MTBF(平均无故障时间/小时)策略规则许可值设计性能策略数 管理方式是否支持与IDS联动是否支持VPN、是否支持SNMP是否支持双机热备、负载均衡防火墙性能指标防火墙性能指标吞吐率 千兆防火墙产品比较千兆防火墙产品比较百兆防火墙产品比较百兆防火墙产品比较东软东软NetEyeNetEye与与PIXPIX比较比较使用防火墙是否足够?使用防火墙是否足够?防火墙属于静态防护防火墙难于防内防火墙难于管理和配置,易造成安全漏洞 防火墙的安全控制主要是基于IP地址的,难于为用户在防火墙内提供一致的安全策略防火墙只实现了粗粒度的访问控制
13、,且不能与企业内部使用的其它安全机制(如访问控制)集成使用任何一个系统(尤其是底层系统和应用系统)中可能存在着安全漏洞,造成绕过防火墙的攻击 穿透防火墙的攻击穿透防火墙的攻击Unicode%255c策略80 端口 允许Unicode:%255c绕过防火墙的攻击绕过防火墙的攻击拨号上网遭受攻击来自防火墙内部的攻击来自防火墙内部的攻击针对防火墙的攻击针对防火墙的攻击DOS攻击Fire Walk主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统理解入侵检测系统理解入侵检测系
14、统(IDS)(IDS)监控室监控室=控制中心控制中心后门后门保安保安=防火墙防火墙摄像机摄像机=探测引擎探测引擎Card KeyCard KeyIDSIDS的主要功能的主要功能监视分析用户和系统的行为 审计系统配置和漏洞评估敏感系统和数据的完整性识别攻击行为并告警对异常行为进行统计审计、跟踪、识别违反安全法规的行为 IDSIDS的分类的分类基于网络的入侵检测系统:侦测速度快,隐蔽性好,视野更宽,较少的监测点,攻击者不易转移证据,操作系统无关性,占用资源少 基于主机的入侵检测系统:性能价格比高,更加细腻,视野集中,易于用户剪裁,节省资源,对网络流量不敏感,适用于被加密的以及交换的环境,含有已发生
15、事件信息,易于确定攻击是否成功IDSIDS工作过程工作过程网络数据包的获取网络数据包的获取DMA技术技术网络数据包的解码网络数据包的解码协议分析协议分析网络数据包的检查网络数据包的检查模式匹配模式匹配网络数据包的统计网络数据包的统计异常检测异常检测网络数据包的审查网络数据包的审查事件生成事件生成IDSIDS新的特性新的特性人机界面:人机界面:“GIS”显示与显示与IP定位定位IDSIDS新的特性新的特性人机界面:人机界面:拓扑发现拓扑发现攻 击 类 型双击目标查看详细信息外 部 IP 地 址目标节点用可视化的方式显示当前安全状态用不同的颜色和形状表示关键点。(如外部IP)IDSIDS新的特性新
16、的特性人机界面:人机界面:攻击活动显示攻击活动显示 IDSIDS新的特性新的特性全局的技术管理化全局的技术管理化建立全局预警体系,做到一点发现,全网皆知并及时响应建立全局预警体系,做到一点发现,全网皆知并及时响应IDSIDS(主控)(主控)(主控)(主控)IDSIDS(子控)(子控)(子控)(子控)IDSIDS(子控)(子控)(子控)(子控)重庆重庆重庆重庆大连大连大连大连西安西安西安西安上海上海上海上海北京北京北京北京攻击攻击报警报警报警报警预警预警预警预警预警预警预警预警预警预警预警预警IDSIDS的作用的作用IDS的功能实质的功能实质全面实时了解网络动态现状(而不是仅仅发现黑客的全面实时
17、了解网络动态现状(而不是仅仅发现黑客的攻击)攻击)大规模部署和多级管理的统一监控和全局预警能力大规模部署和多级管理的统一监控和全局预警能力对网络行为进行分析综合和预测对网络行为进行分析综合和预测在第一时间对网络中的危害做出反应在第一时间对网络中的危害做出反应终止危害终止危害,防止损失扩大防止损失扩大使系统恢复到正常的工作状态使系统恢复到正常的工作状态保存攻击证据保存攻击证据分析入侵行为分析入侵行为追究攻击来源追究攻击来源IDSIDS的作用的作用对建设单位对建设单位提升安全理念提升安全理念系统的安全认识系统的安全认识全面的安全布局全面的安全布局深入挖掘自身安全需求,增强投资意识深入挖掘自身安全需
18、求,增强投资意识量化安全投入,有效投入量化安全投入,有效投入增强自身的免疫力增强自身的免疫力便于及时在日常中发现薄弱环节,可以采用便于及时在日常中发现薄弱环节,可以采用多方面的措施加强安全;多方面的措施加强安全;降低风险降低风险及时发现风险,快速定位问题及时发现风险,快速定位问题IDSIDS的作用的作用对建设单位对建设单位减少损失减少损失出现突发事件时,可以做到全局预警,迅速定出现突发事件时,可以做到全局预警,迅速定位,采取措施,使网络整体的损失降到最低位,采取措施,使网络整体的损失降到最低对于已知事件,能够快速响应,对于未知事件,对于已知事件,能够快速响应,对于未知事件,进行高质量的防护进行
19、高质量的防护带来技术与管理的高度统一带来技术与管理的高度统一安全是人操作技术,安全不仅仅是产品的投入,安全是人操作技术,安全不仅仅是产品的投入,应该还有流程、制度应该还有流程、制度IDSIDS的作用的作用对主管领导对主管领导第一时间了解网络的安全形势第一时间了解网络的安全形势把握安全趋势把握安全趋势明确安全责任明确安全责任IDSIDS的作用的作用对一线技术人员对一线技术人员及时发现安全事件及时发现安全事件快速定位安全问题快速定位安全问题更好地利用网络安全设备更好地利用网络安全设备IDSIDS的放置方式的放置方式IDS检测器放在防火墙之外 IDS检测器放在防火墙之内防火墙内外都有IDS检测器 I
20、DSIDS部署示例部署示例MAIL虚拟映射DMZ区防火墙内网防火墙外网InternetMAIL服务器DNS服务器PROXY服务器路由器IDS控制中心网络安全控制平台IDS探测引擎分布式入侵检测系统分布式入侵检测系统InternetInternet内网DMZDMZ区域区域区域区域MAIL服务器IDS控制中心主机入侵检测WIN平台Solaris平台SQL Server网络入侵检测主要主要IDSIDS品牌品牌启明星辰(天阗)中联绿盟(冰之眼)金诺中科网威(天眼)北方计算中心NISDetector 安氏ISS(RealSecure)NFR主流主流IDSIDS产品及指标产品及指标应急响应目标应急响应目标
21、终止危害防止损失扩大使系统恢复到正常的工作状态保存攻击证据分析入侵行为追究攻击来源应急响应应急响应日常安全服务日常安全服务安全监控服务安全通告服务日志分析服务系统评估服务边界设备优化服务系统加固服务应急响应流程(应急响应流程(1 1)重大的安全事件影响骨干网的正常运转的安全事件对众多的桌面系统有危害的安全事件需要在入侵检测系统上进行监控的事件有可能大规模爆发的网络病毒,如sql server蠕虫、弱口令蠕虫、codered F等协调组成员总协调人:副总协调组成员:相关安全/技术负责人接收初步资料作为应急响应的统一入口,总协调人接收安全事件的初步资料,包括来源、性质、大概情况等。并根据情况,通知
22、协调组成员,做好应急准备。应急响应流程(应急响应流程(2 2)查明原因及找出事件特征,在入侵检测系统找采样点进行采样根据接到的资料,在网络或现场查明原因,进行详细分析,总结出事件特征,派人到入侵检测系统的维护现场,在采样点进行数据采样,并将采样情况及时汇报给总协调人。启动紧急信息快递,及时将情况通报给相关客户,做好准备工作。确定是否为大规模安全事件总协调人根据采样数据和其它渠道的信息,与安全管理中心的人员一起确定是否为大规模安全事件。入侵检测系统全面监控利用入侵检测系统,对该事件进行全面监控,并按时提供多种分析报告。应急响应流程(应急响应流程(3 3)数据验证如果从入侵检测系统上得到的数据需要
23、验证,进行验证后,提供给入侵检测系统维护人员,整理后再提供给安全管理中心应急响应流程(应急响应流程(4 4)提供该事件的公告原稿提供该事件的公告原稿给总协调人。应急响应流程(应急响应流程(5 5)审核公告原稿审核通过后,总协调人通知应急响应小组将修改后的稿件,发布到应急响应网站。应急响应流程(应急响应流程(6 6)事件库升级或程序升级,发布到公司网站根据事件情况修改入侵检测事件库,发布到网站紧急信息快递通知本流程中,共有2次紧急信息快递:第一次是在安全事件查明原因时,及时通知相关客户知道有安全事件,并做好准备;第二次是事件库或程序发布到网站后,通知客户具体的解决措施.及时跟踪并解决客户在整个过
24、程所遇到的问题。应急响应流程(应急响应流程(7 7)应急响应示例应急响应示例主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统病毒的新特点病毒的新特点隐藏型病毒自加密、多形态及变异病毒反向病毒邮件型病毒JAVA和ActiveX病毒智能化病毒形式多样化传播方式多样化专用病毒生成工具病毒的分类方法病毒的分类方法无害型:传染时减少磁盘的可用空间外,对系统没有其他影响 无危险型:减少内存、显示图像、发出声音及同类音响 危险型:在计算机系统操作中造成严重的错误 非常危险型:删除
25、程序、破坏数据、清除系统内存区和操作系统中重要的信息 按传染方式则可分为:引导型病毒、文件型病毒和混合型病毒 病毒制造方法病毒制造方法自动化VCS(改文字),VCL(Buggy)组织化ARCV小组(VCL、PS-MPCs)公开化产生成千上万的病毒病毒技术特性病毒技术特性智能性躲避/攻击防病毒系统Tequila to ViruScanPeach to Central Point多态性加密、变换、插入V2Px,MtE-,TPE-类型多级反病毒防御 病毒病毒表现形式表现形式无固定端口,无更多连接远程控制扫描+攻击反向连接可放置在所有网络层ICMP,IP,TCP,UDP,HTTP,SMTP,DNS.难
26、于检测 Secure Communication(Crypto),Covert Channels Kernel Backdoor防病毒产品类型防病毒产品类型网关防病毒群件(邮件)防病毒服务器防病毒客户机防病毒防病毒产品部署防病毒产品部署邮件防病毒MailDNSIntranetMailMailDNSDNSIntranetIntranet防病毒产品主要厂商防病毒产品主要厂商NAI(McAfee)赛门铁克Norton趋势Trend熊猫PandaF-secureNokia瑞星金山毒霸冠群金辰(Kill)启明星辰(天恒安防)江民(KV)主流防毒产品及指标主流防毒产品及指标TrendMicroNorton
27、 McAfee AVP 升级频率每周三 每周五 一周一次 每天两次 自动更新病毒码、扫描引擎 yesyesyesyes客户端-服务器端数据流量 通讯时几K,增量更新时200K以上 3M通讯时9K左右,增量更新时20K-50K,分发策略时100K通讯时1k,增量更新时3-20K 目前可知清毒数目50000余种 71,000 72,618以上 清毒方式忽略,删除,重命名,隔离,清除 删除,清除,忽略,隔离询问、删除、通过、隔离、清除 询问、删除,重命名,清除,记录到日志,忽略,隔离 CPU利用率yes(10%-100%)yes(高、中、低)主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙
28、入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统为什么要进行安全评估?为什么要进行安全评估?风险=X 风险X资产价值 损失=安全评估的内容安全评估的内容网络风险主机风险应用风险安全控制系统可用性管理风险安全评估的内容安全评估的内容目前的系统和安全轮廓(Control)描述系统的理想状况(target)希望改进的方面(hope)安全评估的内容安全评估的内容定义系统安全等级和重要性对各等级系统的安全现状进行描述制定整体架构和理想目标制定可行性策略和改进计划描述系统的漏洞描述系统的事件发现事件的方式是否充分业务流程资产分类弱点分
29、析威胁分析网络架构分析业务流程分析现有安全措施风险分析安全措施建议安全评估方法安全评估方法工作形式文档评估顾问访谈系统工具评估系统人工评估白客测试工作对象策略管理体系组织系统网络主机通用应用业务应用漏洞扫描系统漏洞扫描系统Internetworkstation评估工具:漏洞扫描系统评估工具:漏洞扫描系统漏洞扫描系统检查的内容漏洞扫描系统检查的内容1.1.WebWeb服务服务2.2.FTPFTP服务服务3.3.RPCRPC攻击攻击4.4.NetBiosNetBios类类5.5.GGI-BINGGI-BIN6.6.特定的强力攻击特定的强力攻击7.7.NFS/X windowsNFS/X windo
30、ws攻击类攻击类8.8.共享共享/DCOM/DCOM类类9.9.电子邮件类电子邮件类10.10.安全区检测安全区检测11.11.SMTPSMTP类类12.12.SNMPSNMP类类13.13.后门检查类后门检查类14.14.拒绝服务攻击检测拒绝服务攻击检测15.15.浏览器类浏览器类16.16.守护进程类守护进程类17.17.NTNT组组/NT/NT网络类网络类18.18.NTNT服务类服务类19.19.关键的关键的NTNT问题问题20.20.NT NT 用户策略用户策略21.21.NTNT注册表注册表22.22.NTNT口令类口令类23.23.DNSDNS24.24.NISNIS25.25.
31、缓冲区溢出缓冲区溢出26.26.主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统为什么要进行网络审计?为什么要进行网络审计?我们的网络中到底发生了什么我们的网络中到底发生了什么如何进行事后的追踪如何进行事后的追踪如何对网络进行有效的监控如何对网络进行有效的监控如何改进网络的安全策略如何改进网络的安全策略网络审计的主要内容网络审计的主要内容网络连接审计协议审计端口审计 拨号连接审计 个人帐户审计 文件访问审计 数据审计 流量统计审计 数据库审计 WEB服务器审计 安全
32、事件再现审计键盘审计 屏幕审计 系统统计分析 审计产品部署示例审计产品部署示例审计引擎主要网络审计产品厂商主要网络审计产品厂商启明星辰复旦光华成都大东网安汉邦软科 审计产品比较审计产品比较主要内容主要内容q体系体系q技术技术q产品产品防火墙防火墙入侵检测与应急响应入侵检测与应急响应网络防病毒网络防病毒安全评估与漏洞扫描安全评估与漏洞扫描网络审计网络审计CA系统系统网络中如何识别身份?网络中如何识别身份?什么是什么是 PKI PKI?PKI,Public Key Infrastructure.PKI正在快速地演进中,从不同的角度出发,有不同的定义.PKI是一个用公钥概念和技术来实施和提供安全服务
33、的具有普适性的安全基础设施.PKI是生成、管理、存储、分发和吊销基于公钥密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和.PKIPKI的组成的组成 PKIPKI基础基础公钥密钥学(Public Key Cryptography)公钥密码学解决的核心问题是密钥分发.目录服务(Directory Services)目录服务的目的是建立全局/局部统一的命令方案.数字证书(Digital Certificate)密码学与信息安全密码学与信息安全信息的私密性(Privacy)对称加密信息的完整性(Integrity)数字签名信息的源发鉴别(Authentication)数字签名信息的防抵赖性(
34、Non-Reputation)数字签名时间戳单密钥加密体制单密钥加密体制双密钥加密体制双密钥加密体制证书存放于什么介质?证书存放于什么介质?硬盘:不安全软盘:易损坏IC卡:需要读卡器USBKey:成本低CUP卡:成本高X.509X.509证书应用领域证书应用领域1.SSL:建立SSL/TLS连接时的双向身份认证 2.S/MIME:实现S/MIME协议下的邮件签名和加密 3.IPSec:建立VPN连接时完成基于证书的身份认证 4.SET:电子商务协议5.建立Kerberos连接时,完成基于证书的身份认证 CA结构示意图结构示意图国内主要的国内主要的CACA厂商厂商吉大正元JIT-CA 格尔CA中国电信CTCA 中国金融认证中心CFCA上海CA德达创新CA天威诚信CAVerisignBaltimore演讲完毕,谢谢观看!