1 / 44

公用密钥基础结构

公用密钥基础结构. 本章要点. 公共密钥基础结构 证书服务 Windows 2003PKI 的组件 认证与 IIS 结合 部署认证服务 故障恢复代理. PKI--- 公用密钥基础结构. 1 概述 2 公共密钥基础结构( PKI ) 3 部署证书服务 4 利用证书 5 管理证书 6 利用证书实现 WEB 站点的安全性. 1 概述. 随着 Internet 的迅猛发展,越来越多的重要数据要在网上传输,如何保证这些数据不受到恶意的攻击或窃取,成为网络管理最关键的问题之一。 在 Windows 2003 中,可以利用公共密钥提供网络安全。

brett-gould
Télécharger la présentation

公用密钥基础结构

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 公用密钥基础结构

  2. 本章要点 • 公共密钥基础结构 • 证书服务 • Windows 2003PKI的组件 • 认证与IIS结合 • 部署认证服务 • 故障恢复代理

  3. PKI---公用密钥基础结构 • 1 概述 • 2 公共密钥基础结构(PKI) • 3 部署证书服务 • 4 利用证书 • 5 管理证书 • 6 利用证书实现WEB站点的安全性

  4. 1 概述 • 随着Internet的迅猛发展,越来越多的重要数据要在网上传输,如何保证这些数据不受到恶意的攻击或窃取,成为网络管理最关键的问题之一。 • 在Windows 2003中,可以利用公共密钥提供网络安全。 • 对于电子商务、Intranets、extranets和启用了Web功能的应用程序来说,公共密钥密码系统是一项重要的技术。

  5. 1 概述 • Windows 2003中有两种验证协议,Kerberos和公钥基础结构(Public Key Infrastructure ,PKI),这两者的不同之处在于:Kerberos是对称密钥,而PKI是非对称密钥。 • 对称密钥——加密和解密的密钥相同。 • 非对称密钥——加密和解密密钥不同。

  6. 2 公共密钥基础结构(PKI) • 在WIN2003中,可以将公共密钥安全性用于很多领域的加密和身份验证,如:智能卡登陆、加密文件系统(EFS)、IPsec(Internet协议安全性)、数字签名 • 有两种基本的操作与公共密钥密码系统有关,即加密技术和身份验证。

  7. 2 公共密钥基础结构(PKI) • 2.1 公共密钥加密技术 • 2.2 公共密钥身份验证 • 2.3 认证中心 • 2.4 证书(CA)层次结构 • 2.5 Windows 2003 PKI

  8. 2.1 公共密钥加密技术 • 加密的目的:以某种方式将数据变得难懂,使得只有预期用户能够阅读它。 • 加密:通过数学运算将明文和加密密钥结合起来,产生密文。 • 解密:通过数学运算将密文和解密密钥结合起来,产生明文。 • 公共密钥加密技术用到了两个密钥:加密密钥和解密密钥 • 密钥(key):一个随机字符串与某种算法的联合使用。

  9. 2.1 公共密钥加密技术 • 系统使用一对密钥来完成对数据的加密解密: • 公共密钥(公钥):是自由发布的,可以公开,以供他人向自己传输信息时加密使用。 • 私用密钥(私钥):在系统中保存,从不发布,只有拥有对应私钥的本人才能解密,从而保证数据传输的保密性。

  10. B的公钥 B的私钥 A 加密 B 解密 明文 密文 加密模型 2.1 公共密钥加密技术

  11. 2.2 公共密钥身份验证(使用密钥对) • 与公共密钥加密技术类似,公共密钥身份验证也使用了密钥对。 • 但它不利用发送者的私用密钥解密消息,而是利用发送者的公共密钥鉴别和确认该消息的发送者的有效性。这一私用密钥被称为数字签名。

  12. 2.2 公共密钥身份验证 数字签名 • 说明:加密技术可以提供安全性和机密性,而数字签名可以确认信息的真实性和来源。 • 数字签名:一种由消息、文件或者其他数字化编码信息的创建者将其身份标识和这些消息利用私钥约束在一起的方法。 • 数字签名用于发送者的不可抵赖性,因为私钥只有自己有,所以当接收者用你的公钥解密后就可以证明是你无疑。 • 数字签名本身就是数据,因此它们可以与受保护的原数据一起进行传输,供接收者验证。

  13. 2.2 公共密钥身份验证 • 数字签名使用私钥对签名数据进行加密,可以确保达到下述目的: • 只有拥有私钥的人才能进行数字签名。 • 任何人都可以通过相应的公钥鉴别数字签名的真伪。 • 如果对签名后进行了数据的任何修改,数字签名将失效。

  14. A的私钥 A的公钥 A 加密 B 解密 明文 明文 密文 认证模型 2.2 公共密钥身份验证

  15. 2.3 认证中心 如何获得通信对方的公钥并且相信此公钥确实是该人所有,这就要用到电子证书。 • 电子证书由收发双方共同信任的第三方即认证中心颁发的,包含某人的身份信息、公钥和认证中心的数字签名。

  16. 2.3 认证中心 1、CA(认证中心):负责提供和指派加密密钥、解密密钥、身份验证。 • CA通过发放证书来分布密钥。证书中包含公共密钥和一组属性,CA可将证书发给某个计算机、用户帐号或者服务。 • CA扮演了一种担保人的角色。

  17. 2.3 认证中心 2、外部的CA和内部的CA • 外部CA:外部商用CA,为成千上万的用户提供认证服务。 • 内部CA:面向企业内部用户、计算机或服务器的策略模型。

  18. 2.3 认证中心 3、颁发证书的过程 • 认证中心CA颁发证书涉及如下4个步骤: • CA收到证书请求信息(包括个人资料和公钥等)。 • CA对请求用户所提供的信息进行核实。 • CA用自己的私钥将它的数字签名应用于该证书。 • CA将证书发给用户,将它用作PKL内的安全性凭证。

  19. 2.3 认证中心 4、吊销证书 • 证书的吊销使得证书在自然过期之前便宣告作废,由CA负责,CA宣布证书的无效,并发布“证书撤销清单”(CRL)。 • 在证书有效期满之前,需要废除证书的原因: • 证书拥有者的私钥泄漏或被怀疑泄漏。 • 发现证书是用欺骗手段获得的。 • 证书拥有者的情况发生了改变。

  20. 2.4 证书(CA)层次结构 • 证书层次结构是一种信任模式。 在这种模式中,通过在CA之间建立父/子关系,创建了认证路径。 1、根CA(根本权威)---是一个机构的PKL中最可信任的CA类型。 • 通常情况下,根CA的物理安全性和证书发放策略比下层CA更严格。 • 在大多数机构中,只将根CA用于向其他CA,即下层CA发放证书。 2、下层CA---已经被机构中的另一个CA鉴定过的CA。

  21. 2.4 证书(CA)层次结构 • 通常,下层CA针对特定的用途发放证书(例如安全电子邮件、基于web的身份验证,或者智能卡身份验证)。此外,下层CA也可以向其他的、更下层的CA发放证书。 • 提示:父CA和子CA彼此没有从属关系,不需要使所有的CA共享一个公共的顶级父CA(或根CA)。

  22. 2.5 Windows 2003 PKI 为了利用公共密钥密码系统的好处,必须有一个支持基础结构(PKI)。Windows 2003 PKI由一组服务组成,这组服务则由一组相互连接的组件提供。

  23. Windows 2003 PKI的主要组件 • 证书服务——核心的操作系统服务 • 证书服务使各项业务作为自己的CA,并发放和管理数字证书。可以部署一个或多个企业性的CA。这些CA都可以进行认证发布和撤销服务,它们与活动目录集成在一起。 • 活动目录——用于PKI的发布服务 • 身份验证的发布使得证书和CRL能够在一个机构内公开地使用。 • 启用了PKI功能的应用程序——利用PKI进行加密和身份验证。 • 这些应用程序包括:IE、IIS、Microsoft Outlook、Microsoft Money以及第三方的应用程序。

  24. 安全性协议 • Windows 2003 PKI组件采用了工业安全性协议,包括: 1、安全套接字协议层SSL——用于在Internet通信中确保安全性和机密性。 • SSL支持针对客户机、服务器,或者二者的身份验证。 • SSL在通信会议过程中采用了加密技术。 2、网际协议安全IPSec——用于在IP层支持安全的信息包交换的协议。

  25. 证书的用途 • 证书提供下述功能: • 服务器身份验证——利用证书为网络中的客户机鉴别服务器 • 客户机身份验证——利用证书为服务器提供对客户机的认证(如:远程访问功能和智能卡身份验证) • 程序代码签署(数字签名)——利用与密钥对有关的证书签署活动内容 • 加密E-mail——安全电子邮件,利用与密钥对有关的证书签署电子邮件消息(用于加密信函)。 • EFS(加密文件系统)——利用与密钥对有关的证书,加密和解密用于还原恢复加密数据的对称密钥。 • IPSec——利用与密钥对有关的证书,加密基于IP层的传输。

  26. 7.3 部署证书服务 • Windows 2003支持两类认证中心(CA):企业CA和独立存在的CA。每类CA中都包含根CA和下层CA。 • 企业CA:如果计划在Windows 2003网络内部为用户或者计算机颁发证书,必须安装一个企业CA。企业CA要求所有那些请求证书的用户和计算机在活动目录中有一个帐号。 • 独立存在的CA:如果计划在Windows 2003网络外部为用户或计算机颁发证书,必须安装一个独立存在的CA。独立存在的CA不要求活动目录。

  27. 3 部署证书服务 • 3.1 选择CA模型 • 3.2 安装证书服务 • 3.3 创建下层CA • 3.4 备份和还原证书服务

  28. 3.1 选择CA模型 • 在安装证书服务时,可以从四个不同的CA模型中选择一种,每种模式都有各自的性能和特性。 • 企业根CA——顶级CA,认证体系中最高级别的证书颁发机构 • 企业根CA利用活动目录确定请求者的身份及其权限是否符合。 • 作用:为下层CA发放证书。 • 企业下层CA——不是最可信认的CA,必须有一个父CA来确定自己的身份 • 作用:在机构内直接向用户和计算机颁发特殊用途的证书的CA。或者为下层CA发放证书。

  29. 3.1 选择CA模型 • 注:安装上述企业根CA所需的条件: • 活动目录:放置证书服务所使用的企业策略的信息 • DNS名称解析服务:为活动目录服务 • 对DNS、活动目录和CA服务器的管理特权:安装程序需要修改某些信息。

  30. 3.1 选择CA模型 • 独立存在的根CA——顶级CA,认证体系中最高级别的证书颁发机构 • 独立存在的根CA可以断开与网络的连接,并被放置到安全的地方 • 作用:同企业根CA一样,主要用于为下层CA颁发证书。 • 独立存在的下层CA • 独立存在的下层CA作为一个孤立的证书服务器运行,或者位于某个CA信任层次结构内

  31. 3.2 安装证书服务 默认情况下,Windows 2003安装程序不安装证书服务 重要说明:安装了正式服务后,计算机不能再被重新命名,也不能加入到某个域中,或者从某个域中删除。 注:为了利用证书服务的Web组件,必须先安装IIS。

  32. 3.2 安装证书服务 安装证书服务时,需要配置以下几个选项和设置值: • 设置高级选项(只有在要求特定的密码系统设置时,才修改这些值) • 指定数据库和日志文件的位置 CA发出的证书默认存储在:WINNT\system32\Certlog • 完成安装后,证书服务将会添加下列组件: • 认证中心:——用于对CA进行管理的控制台,位于安装有证书服务的服务器上,通过“管理工具”访问。 • 证书——用于为用户帐号、计算机和服务管理现有的证书。是管理控制台的一个插件。 • 证书服务的Web注册支持——用于请求证书的Web页。 存储位置:http://CA服务器名/certsrv

  33. 3.3 创建下层CA • 安装下层CA时,必须从相应的父CA获取一个证书。 • 为某个下层CA获取证书 • 如果可以联机使用某个父CA,可以采用该方法获取证书。 • 从文件安装证书 • 如果不能联机父CA,则创建证书请求文件提交给父CA,由父CA提供针对这个文件的证书,接受到证书后,必须安装该证书。

  34. 3.4 备份和还原证书服务 • 重要说明:如果IIS元库丢失或被破坏,在恢复CA时,必须恢复IIS元库。 • 备份CA • 备份CA的频繁速度依赖于发放的证书数目。发放的证书越多,备份越频繁。 • 操作步骤:(认证中心) • 恢复CA • 从备份复制件还原CA。 • 操作步骤:(认证中心)

  35. 4 利用证书 • Windows 2003中,用于请求证书的两种方式: • 利用“证书请求”向导——从某个企业CA请求证书 • 利用证书服务Web页——从独立存在的CA或者从企业CA请求证书

  36. 利用“证书请求”向导 • 利用证书模板 向计算机发放证书,可以利用域控制器、计算机和Web服务器模板进行。 企业CA可以发送特定类型的证书,其类型根据证书模板划分。 用于企业CA的证书模板:(书P237) 管理员、域控制器/计算机、基本EFS、EFS恢复代理、用户、Web服务器 • 请求证书 利用证书模板请求证书的操作步骤:(mmc控制台)

  37. 利用证书服务Web页 • 在基于Windows 2003的服务器上安装的每一个CA,都有用户可以访问的Web页,可以利用这些Web页提交基本的和高级的证书请求。 • 注:这些Web页是用户能够从独立存在的CA请求证书的唯一方式。

  38. 利用证书服务Web页 • 提交证书请求 • 操作步骤: • 提交高级证书请求 • 很多类型的证书请求(如:IPSec、客户机身份验证、服务器身份验证的证书请求),要求提交高级证书请求。 • 检查待处理的请求 • 重要说明:为了利用IE检查证书,所用的IE必须与请求该证书时使用的IE相同。

  39. 查看证书 • 证书存储:Windows 2003将计算机证书存储在本地计算机上,而将用户证书存储在用户的配置文件中。 • 默认情况下,MMC控制台中的插件Certificates将按照逻辑存储位置显示证书。

  40. 5 管理证书 • Certificates插件是管理证书的常用管理工具。负责:发放、撤回证书;发布CRL;导入和导出证书。

  41. 5 利用证书实现WEB站点的安全性

  42. 网址 • 天威诚信数字认证服务中心: www.itrus.com.cn/support • PKI 论坛: www.pki.com.cn • 邮件加密 PGP

  43. 小结

  44. 作业

More Related