電子證書服務

實驗中的問題 證書服務的安裝 1 申請證書的兩種方法2 安裝證書服務后不能使用Web方式訪問3 證書服務中的兩個重要組件 證書頒發(fā)機構 組件 證書 組件4 證書的備份和還原5 證書的導入和導出6 證書的吊銷 第11章電子證書服務 本次課要點 一 數(shù)字證書的必要性二 數(shù)字證書的現(xiàn)實應用三 簽名與加密四 案例 一 數(shù)字證書的必要性 進入互聯(lián)網(wǎng)角色之后 許多企業(yè)會經常遇到這樣的困惑 內部管理時怎樣在網(wǎng)上確認員工的身份 網(wǎng)上交易時對方發(fā)出的信息是否真實可信 網(wǎng)上納稅時怎樣有效的表明企業(yè)的身份 等等 網(wǎng)絡中的主要安全隱患 惡意中斷系統(tǒng) 破壞系統(tǒng)的有效性竊聽信息 破壞系統(tǒng)的機密性篡改信息 破壞系統(tǒng)的完整性假冒他人身份對貿易行為進行抵賴 這或許是迄今為止對互聯(lián)網(wǎng)最精辟的概括和最流行的一句話 從另一個側面來理解說明了在互聯(lián)網(wǎng)上很難識別真實身份 這就給犯罪分子提供了可乘之機 使得現(xiàn)在的互聯(lián)網(wǎng)是越來越不安全 但是人們又越來越離不開互聯(lián)網(wǎng)了 怎么辦 如何解決用戶信息安全問題 解決方案 解決上述網(wǎng)絡中信息安全問題的唯一可靠的解決方案是被多年來的實踐證明最有效的基于PKI 公鑰基礎設施 的數(shù)字證書解決方案 二 數(shù)字證書的現(xiàn)實應用 認證中心的基礎設施數(shù)字證書的用途數(shù)字證書的現(xiàn)實應用數(shù)字證書的存放形式數(shù)字證書的分類數(shù)字證書的簽發(fā) 認證中心的基礎設置 證書的用途 證書提供下述功能 服務器身份驗證 利用證書為網(wǎng)絡中的客戶機鑒別服務器客戶機身份驗證 利用證書為服務器提供對客戶機的認證 如 遠程訪問功能和智能卡身份驗證 程序代碼簽署 數(shù)字簽名 利用與密鑰對有關的證書簽署活動內容加密E mail 安全電子郵件 利用與密鑰對有關的證書簽署電子郵件消息 用于加密信函 EFS 加密文件系統(tǒng) 利用與密鑰對有關的證書 加密和解密用于還原恢復加密數(shù)據(jù)的對稱密鑰 IPSec 利用與密鑰對有關的證書 加密基于IP層的傳輸 數(shù)字證書的現(xiàn)實應用 實現(xiàn)Web站點的安全連接數(shù)字簽名或加密電子郵件認證VPN服務恢復加密文件系統(tǒng)加密PDF文檔實現(xiàn)網(wǎng)絡游戲的信息安全數(shù)字簽名網(wǎng)上銀行數(shù)字簽名網(wǎng)絡交易等等 數(shù)字證書的存放形式 存儲于硬盤上加解密速度快 使用方便 備份在軟盤上方便備份 防止丟失 IC卡 CPU卡保密性好 不易被冒充4 USB接口智能棒兼容性好 攜帶方便5 加密卡 加密機機密級別高對大量數(shù)據(jù)處理速度快 電子鑰匙e key 數(shù)字證書的分類 數(shù)字證書按用途可分為 簽名證書 加密證書安全性體現(xiàn)在通過密碼技術 建立嚴密的身份認證系統(tǒng)和加解密的保密系統(tǒng) 能夠保證 信息除發(fā)送方和接收方外不被他人竊取信息在傳輸過程中不被篡改接收方能通過數(shù)字證書確認發(fā)送方身份發(fā)送方對于自己發(fā)送的信息不能抵賴 數(shù)字證書的簽發(fā) 三 簽名證書和加密證書 公共密鑰機密技術 加密的目的 以某種方式將數(shù)據(jù)變得難懂 使得只有預期用戶能夠閱讀它 加密 通過數(shù)學運算將明文和加密密鑰結合起來 產生密文 解密 通過數(shù)學運算將密文和解密密鑰結合起來 產生明文 公共密鑰加密技術用到了兩個密鑰 加密密鑰和解密密鑰密鑰 key 一個隨機字符串與某種算法的聯(lián)合使用 公共密鑰加密技術 公共密鑰加密技術 系統(tǒng)使用一對密鑰來完成對數(shù)據(jù)的加密解密 公共密鑰 公鑰 是自由發(fā)布的 可以公開 以供他人向自己傳輸信息時加密使用 私用密鑰 私鑰 在系統(tǒng)中保存 從不發(fā)布 只有擁有對應私鑰的本人才能解密 從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄?公共密鑰加密技術 公共密鑰加密技術 公共密鑰身份驗證 使用密鑰對 與公共密鑰加密技術類似 公共密鑰身份驗證也使用了密鑰對 但它不利用發(fā)送者的私用密鑰解密消息 而是利用發(fā)送者的公共密鑰鑒別和確認該消息的發(fā)送者的有效性 這一私用密鑰被稱為數(shù)字簽名 公共密鑰身份驗證 數(shù)字簽名說明 加密技術可以提供安全性和機密性 而數(shù)字簽名可以確認信息的真實性和來源 數(shù)字簽名 一種由消息 文件或者其他數(shù)字化編碼信息的創(chuàng)建者將其身份標識和這些消息利用私鑰約束在一起的方法 數(shù)字簽名用于發(fā)送者的不可抵賴性 因為私鑰只有自己有 所以當接收者用你的公鑰解密后就可以證明是你無疑 數(shù)字簽名本身就是數(shù)據(jù) 因此它們可以與受保護的原數(shù)據(jù)一起進行傳輸 供接收者驗證 公共密鑰身份驗證 數(shù)字簽名使用私鑰對簽名數(shù)據(jù)進行加密 可以確保達到下述目的 只有擁有私鑰的人才能進行數(shù)字簽名 任何人都可以通過相應的公鑰鑒別數(shù)字簽名的真?zhèn)?如果對簽名后進行了數(shù)據(jù)的任何修改 數(shù)字簽名將失效 公共密鑰身份驗證 公共密鑰身份驗證 四 商用CA免費案例 1 客戶端個人證書的在線申請2 實用某個客戶端登陸演示系統(tǒng) 1 客戶端個人證書的在線申請 2 實用某個客戶端登陸演示系統(tǒng) 五 案例分析 案例一 EFS加密文件恢復案例二 簽名電子郵件案例三 Web站點的SSL安全連接 案例一 EFS加密文件恢復 案例 Windows系統(tǒng)下 某用戶利用EFS加密文件系統(tǒng)加密Windows系統(tǒng)下的文件 若該用戶丟失 或重做系統(tǒng) 加密的文件將不能夠被訪問 請問 如何避免或解決該問題 案例一 EFS加密文件恢復 實驗設計 步驟一 jw登錄 加密自己的文件 然后將自己的私鑰導出步驟二 將jw用戶刪除掉 查看能否訪問已經加密的文件步驟三 重建jw用戶并登陸 檢驗能否訪問已經加密的文件步驟四 在使用新建的jw用戶登陸的情況下 將步驟一導出的jw私鑰導入 然后訪問已經加密的文件 檢驗能否訪問成功 案例二 簽名電子郵件 案例要求 對某用戶的電子郵件執(zhí)行數(shù)字簽名和加密 使該用戶的電子郵件更安全且達到不可抵賴的目的 案例三 Web站點的SSL安全連接 案例要求 通過證書服務 使Web站點訪問更安全 小結 數(shù)字證書的必要性數(shù)字證書的應用數(shù)字的案例 習題 一 填空題 數(shù)字簽名通常利用公鑰加密方法實現(xiàn) 其中發(fā)送者簽名使用的密鑰為發(fā)送者的 二 簡答題 1 對稱密鑰和非對稱密鑰的特點各是什么 2 什么是電子證書 3 證書的用途是什么 4 企業(yè)根CA和獨立根CA有什么不同 5 安裝Windows2000Server認證服務的核心步驟是什么 6