1、,Page,#,/38,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,Page,1,/38,本章结构,PKI,与证书,服务应用,一、什么是,PKI,四、,CA,证书颁发机构,二、公钥加密技术,三、数字证书,1,、什么是密钥和算法,五、配置证书服务,2,、对称加密技术,3,、公钥加密技术,4,、,HASH,(哈希)算法,5,、公钥加密技术在实际中的应用,1,、,CA,的概述,2,、证书的颁发过程,3,、,CA,的层次结构和类别,六、证书的应用实例,Page,2,/38,网络信息安全问题,小张,小刘,小李,窃听者,窃听者,传递重要的商业信函,传递重要的个人信函
2、,安全问题!,保密性,不可抵赖性,完整性,Page,3,/38,一、什么是,PKI,PKI,的定义:,是:,【,公钥基础结构,】,的简称,,PKI,是一个由,【,公钥加密技术,】,、,【,数字证书,】,、,【,证书颁发机构(,CA,),】,和,【,其他注册机构(,RA,),】,组成的安全实施系统。,作用:用于在进行电子交易时,确保数据的以下安全性:,机密性:保障数据不易被破密。,不可抵赖性:确保数据发送者身份的真实性。,完整性:确保数据没有受到篡改。,Page,4,/38,二、公钥加密技术,1,、什么是密钥和算法,2,、对称加密技术,3,、非对称加密技术(即:公钥加密技术),4,、,HASH,
3、(哈希)算法,5,、公钥加密技术在实际中的应用,Page,5,/38,密钥,是在加密和解密过程中所使用的一个参数(如:数值、字符串)。,如何生成密钥?,人为生成。,由使用某种算法的软件来生成。,密钥长度越长越安全。,算法,用于生成,密钥,,并以,密钥,为参数,对,数据,进行加密,/,解密的数学函数。,算法可以公开,但是密钥必须保密。,1,、什么是密钥和算法,Page,6,/38,2,、对称加密技术,特点:,加密密钥解密密钥。,算法:,DES,算法(,56,位)、,3DES,算法(,112,位)、,IDEA,算法。,优点:,实现简单。,加密,/,解密速度快。,缺点:,通信双方必须相互认识,并同意
4、采用同一个密钥。,保存和管理密钥十分复杂(必须保管好每个密钥)。,安全的传送密钥也非常困难。,Page,7,/38,发送方,接收方,对称密钥加密,对称密钥解密,密文,明文,传送,两个密钥相同,对称加密技术(图解),明文,Page,8,/38,3,、公钥加密技术(即:非对称加密技术),特点:,【,公钥加密技术,】,需要,【,一对密钥,】:【,公钥,】,和,【,私钥,】,。,公钥,和,私钥,互为一对,,公钥,不等于,私钥,,彼此不能相互推算出来。,公钥加密,则必须使用私钥来解密可以实现数据的,机密性,;,私钥加密,则必须使用公钥来解密可以实现数据的,不可抵赖性,。,算法:,RSA,算法(,512,
5、位、,1024,位、,2048,位)、椭圆曲线算法。,优点:,简化了保存和管理密钥的工作(只需要管理好自己的私钥)。,私钥必须保密(只有持有者才知道),不进行网络传输。,公钥可以广为散发,进行网络传递。,缺点:,加密,/,解密速度慢。,Page,9,/38,4,、,HASH,(哈希)算法,用途:,用于实现数据,完整性,验证。,工作原理:,是一种杂凑算法,输入不定长的字符串,返回固定长度的字符串(,HASH,值,)。,为明文产生一个,消息摘要(,HASH,值),。,通过,HASH,值,来唯一的标识,完整的明文,。,特点:,不可逆性,不能通过,HASH,值,推出明文,不同明文的,HASH,值,不同
6、。,不加密,明文,算法:,MD5,(,128,位)、,SHA,(,160,位),Page,10,/38,5,、公钥加密技术在实际中的应用,(,1,),【,数据加密,】,的应用(公钥加密私钥解密),(,2,),【,数字签名,】,的应用(私钥加密公钥解密),(,3,),【,数据加密,】,和,【,数字签名,】,的应用,Page,11,/38,发送方,接收方,接收方的公钥加密,传送,(,1,),【,数据加密,】,的应用(公钥加密私钥解密),明文,接收方的私钥解密,对称密钥,明文,密文,密文,实际应用中的,数据加密,流程,实现:,一对一,的,保密性,不能实现:,发件人身份,的,不可抵赖性,不能实现:确保
7、,数据,的,完整性,Page,12,/38,发送方,接收方,传送,HASH,算法,消息摘要,发送方私钥加密的消息摘要,消息明文,消息明文,消息摘要,消息明文,消息摘要,新创建的消息摘要,发送方公钥解密消息摘要,相同的,HASH,算法,对比两个消息摘要,(,2,),【,数字签名,】,的应用(私钥加密公钥解密),实际应用中的,数字签名,流程,不实现:,数据加密,可以实现:,发件人身份,的,不可抵赖性,通过,HASH,算法:来确保,数据,的,完整性,Page,13,/38,发送方,接收方,接收方的公钥加密,传送,(,3,),【,数据加密,】,和,【,数字签名,】,的应用,明文,接收方的私钥解密,对称
8、密钥,明文,消息摘要,发送方,私钥加密,消息摘要,密文,消息摘要,密文,消息摘要,消息摘要,发送方,公钥解密,消息摘要,核对摘要,Page,14,/38,三、数字证书,问题:,【,公钥,】,可以广为散发,给其他人来使用,但是,【,公钥,】,仅仅是一串,【,密钥代码,】,,别人如何通过这串代码来识别,用户的身份,?,数字证书,Page,15,/38,数字证书(证书)的作用:,既包含着,【,用户的公钥,】,,又标明着,【,用户的身份信息,】,。,将,用户的公钥,和,用户身份信息,绑定起来。,【,应用程序,】,是通过,证书,来实现对,公钥,的实际应用。,用户的公钥,用户身份信息,绑定,姓名,年龄,单
9、位,住址,姓名,年龄,单位,住址,张三,李四,私钥,公钥,证书,李四在使用这个,证书,中的,公钥,时:,也就知道的了张三的,身份信息,【,证书,】,和,【,公钥,】,的关系:,【,公钥,】,不等于,【,证书,】,。,【,证书,】,包含着,【,公钥,】,。,【,证书,】,和,【,私钥,】,的关系:,【,证书,】,【,私钥,】,【,证书,】,唯一对应着一个,【,私钥,】,Page,16,/38,证书的主要用途,主要用途,数据的,机密性,数据的,完整性,数据发送者的,不可抵赖性,如何应用证书?,对,证书(公钥),和,私钥,的使用,需要,系统服务,或,应用程序,功能上的支持。,系统服务,和,应用程序,
10、都能通过使用,Microsoft CryptoAPI,服务,来申请加密服务。,也可以使用,Microsoft CryptoAPI,开发自定义应用程序。,例如:,Windows,自身的,EFS,加密功能,PGP,软件,Outlook,邮件客户端软件,Page,17,/38,数字证书的主要应用程序,Page,18,/38,证书可以标明的对象:,人、路由器、,Web,服务器、计算机、企业、银行等。,用户如何获得自己的,【,证书,】,?,方法一:通过第三方工具软件来生成,例如:,PGP,软件。,方法二:向,【CA,证书服务,】,申请,【,证书,】,。,CA,(权威颁发机构),Page,19,/38,四
11、、,CA,证书颁发机构,1,、,CA,的概述,2,、证书的颁发过程,3,、,CA,的类别和层次结构,Page,20,/38,1,、,CA,的概述,概述:,CA,(,Certificate Authority,,证书权威)证书颁发机构。,是,PKI,体系结构的核心部分。,遵循,X.509,国际标准,使用公钥加密技术。,CA,的核心功能:,负责颁发并管理:,用户的证书。,验证证书申请,审批证书申请,颁发证书,更新、查询、吊销证书,发布,CRL,(证书吊销列表),归档证书、密钥、历史数据,权威的证明:,证书中所标明的用户身份的真实性。,Page,21,/38,CA,的功能组件,CA,自身密钥证书管理
12、子系统,CA,私钥、根证书。,用户密钥证书管理子系统,将用户公钥和用户信息进行绑定。,CA,私钥签名,生成用户数字证书。,将证书发放给,RA,。,证书归档。,密钥存储恢复子系统,允许管理员恢复用户的加密密钥。,CRL,列表管理子系统,公布失效、吊销、用户废除的证书。,目录服务子系统,通过,LDAP,协议,为用户提供证书的查询服务。,Page,22,/38,2,、证书的颁发过程,证书的颁发过程,1,、客户机使用本机的,Microsoft CryptoAPI,和,CSP,(加密服务提供程序),在本机生成一对私钥和公钥。,2,、客户机将公钥和用户信息提交给,RA,(权威注册机构),申请证书。,注:,
13、windows 2003,中,所有的加密功能和私钥管理都由,Microsoft CryptoAPI,和,CSP,共同完成。,任何系统服务和应用程序都能通过使用,Microsoft CryptoAPI,来申请加密服务。,RA,验证用户信息的安全性和真实性,RA,验证通过后,进行证书策略的处理,RA,向,CA,提交用户申请,RA,用自己的私钥来加密用户申请,向,CA,证明,RA,自身的身份合法性,CA,依据,RA,的策略要求,将用户公钥和用户信息绑定在一起,并用,CA,的私钥进行数字签名,形成数字证书。,CA,将用户数字证书进行归档,公布在证书目录中,供其它用户查询。,CA,将用户数字证书传送给,
14、RA,RA,将数字证书传送给用户,用户收取数字证书,同时也会收到,CA,的公钥,并使用该,CA,的公钥来验证数字证书的真实性。,Page,23,/38,了解,CA,所颁发的证书的内容,通过用,CA,私钥,进行,数字签名,,来权威的证明:,该证书上绑定的,私钥持有者的信息,是真实性!,证书中所包含的,用户公钥,证书中所绑定的,用户名称,Page,24,/38,CA,的类别,企业,CA,、企业从属,CA,域环境,需要活动目录的支持。,只为,【,域用户,】,和,【,域成员机,】,提供,【,证书颁发,】,服务。,独立,CA,、独立从属,CA,任意环境(工作组 或 域),可以不需要活动目录的支持。,可以
15、为任何,【,用户,】,和,【,计算机,】,提供,【,证书颁发,】,服务。,CA,的层次结构,倒树形目录结构。,【,根,CA】,:处于顶点,处于核心地位,必须保证绝对的安全。,【,从属,CA】,:分担,【,根,CA】,的工作。,3,、,CA,的类别和层次结构,根,CA,从属,CA,从属,CA,Page,25,/38,五、配置证书服务,1,、安装,【,独立,CA】,、用户申请,【,证书,】,2,、安装,【,企业,CA】,、用户申请,【,证书,】,3,、用户,【,证书,】,的导出、导入,4,、证书的吊销和发布,5,、,CA,的备份,/,恢复,Page,26,/38,1,、安装,【,独立,CA】,、用
16、户申请,【,证书,】,了解,【,独立根,CA】,的安装过程,查看,【,独立根,CA】,的,【,根,CA,证书,】,和,【,根,CA,私钥,】,了解用户向,【,独立,CA】,申请证书的方法,【IE,浏览器的方式,】,注意:,可以为任何,【,用户,】,和,【,计算机,】,提供,【,证书颁发,】,服务。,分析,【,用户,】,向,【,独立,CA】,申请,【,证书,】,时,为什么需要,手动,颁发?,查看,【,独立,CA】,的,【,策略规定,】,!,查看用户,【,证书,】,中的如下信息:,【,用户名称,】,、,【,用户公钥,】,【,证书颁发者,】,、,【CA,数字签名,】,【,证书用途,】,、,【,证书有
17、效期,】,客户端要信任一个,【CA】,,需要如何配置?理解信任,【CA】,的意义?,Page,27,/38,2,、安装,【,企业,CA】,、用户申请,【,证书,】,了解,【,企业根,CA】,的安装过程,查看,【,企业根,CA】,的,【,根,CA,证书,】,和,【,根,CA,私钥,】,了解用户向,【,企业,CA】,申请证书的方法,【IE,浏览器的方式,】,【MMC,方式,】,【,组策略自动颁发,用户证书,、,计算机证书,】,注意:只有当,【,域用户,】,登录到,【,域成员机,】,后,才能使用此方法!,注意:,【,企业,CA】,只为,【,域用户,】,和,【,域成员机,】,提供,【,证书颁发,】,服
18、务。,分析,【,域用户,】,向,【,企业,CA】,申请,【,证书,】,时,为什么可以,自动,颁发?,查看,【,企业,CA】,的,【,策略规定,】,!,了解,【,活动目录,】,对,【,企业,CA】,的支持,了解,【,域用户和域计算机,】,对,【,企业,CA】,的自动信任。,查看,【,域用户,和,域成员机,】,的,【,证书,】,工具中的,【,受信任的根证书颁发机构,】,。,【,企业,CA】,会自动将颁发的证书发布到,AD,活动目录中。,【,企业,CA】,在为,AD,域用户颁发,证书,时,会在,域用户属性,中保留,副本,,以供查询。,Page,28,/38,3,、用户,【,证书,】,的导出、导入,【
19、,证书,】,的导出:,作用:实现,【,证书,】,的移动。,了解,【,证书,】,的导出。,了解,【,证书,】,和,【,私钥,】,的一起导出。,【,证书,】,的导入:,作用:实现,【,证书,】,的应用。,了解,【,证书,】,的导入。,了解,【,证书,】,和,【,私钥,】,的一起导入。,Page,29,/38,4,、证书的吊销和发布,证书的吊销,吊销证书的理由举例:,职员离职、用户滥用特权,密钥泄密,硬件更替、服务终止等等。,Page,30,/38,【CRL,吊销列表,】,:,列出所有被吊销的,【,证书,】,。,类型:,【,基,CRL】,、,【,增量,CRL】,发布:,更新,【,吊销列表,CRL】,
20、中的内容,发布方法:自动发布、手动发布,自动发布的周期:基,CRL,(默认为:一周,10,分钟),增量,CRL,(默认为:一天,10,分钟),【CRL,分发点,】,:,为,【,客户端程序,】,提供了,【,检索,CRL,的路径信息,】,。,活动目录的,LDAP,方式、,Web,网页的,http,方式、局域网的共享访问方式。,客户端可以根据,【,证书,】,中的,【CRL,分发点,】,来检索,【CRL】,,并缓存在本机中。,【CRL,有效期,】,:,本机缓存的时间期限,【CRL,发布周期,】,10,如果,【,客户端,】,本地缓存的,【CRL,吊销列表,】,没有超过,【CRL,有效期,】,,则,【,客
21、户端,】,就不会再去检索,【,新的,CRL,吊销列表,】,。,Page,31,/38,5,、,CA,的备份和恢复,可以备份和还原以下类型的信息(,录像,):,CA,用来进行数字签名的私钥和证书。,证书数据库。,Page,32,/38,六、证书的实际应用,1,、,SSL,安全网站的架设,2,、,配置【VPN客户端】进行【L2TP】的VPN连接,Page,33,/38,1,、,SSL,安全网站的架设,SSL,(安全套接字层),作用:,HTTP,协议没有任何加密措施,通过,SSL,使用,证书机制,,来保证客户机和,Web,服务器之间的网络通讯安全,创建一个,加密的安全通道。,传递,Web,信息的安全
22、通道,Page,34,/38,安全通讯的流程示意图,Web,站点,1,、用户请求,HTTPS,连接,2,、,Web,服务器将,Web,网站的证书,传递给用户,3,、,Web,服务器将,CA,证书,传递给用户,4,、用户使用,CA,证书,验证,Web,网站的证书,5,、用户使用,网站的公钥,实现加密数据,6,、用户使用,自己的私钥,实现数字签名,7,、用户将,用户的证书,传递给,Web,服务器,8,、,Web,服务器使用,CA,证书,验证,用户的证书,9,、,Web,服务器使用,用户的公钥,实现加密数据,10,、,Web,服务器使用,网站的私钥,实现数字签名,Page,35,/38,建立,SSL
23、,机制及证书映射的步骤图,Web,服务器,CA,客户端,Web,网站,向,CA,申请,Web,服务器证书,1,Web,网站,对客户端启用,SSL,安全机制,2,3,客户端使用,HTTPS,方式,访问,Web,网站,Page,36,/38,建立,SSL,机制的步骤:,1,、创建,CA,(独立,/,企业),2,、为,Web,网站,申请,Web,服务器证书,Web,服务器证书,是针对,每个,Web,网站,生效的,而不是针对,整个,Web,服务器,生效的。,针对企业,CA,,证书申请可以自动生效,针对独立,CA,,证书申请必须手动生效,3,、客户端使用,HTTPS,的方式来访问,Web,网站。,多个,
24、【SSL,安全,Web,网站,】,的启动方法:,相同,IP,地址,不同,端口号,不同,IP,地址,相同,端口号,默认端口号:,443,【SSL,安全,Web,网站,】,不支持,【,主机头名,】,。,Page,37,/38,【,网站证书,】,的导出和导入,如果,【SSL,安全网站,】,需要重新创建,我们可以在,【,网站,】,正常的时候将,【,网站证书,】,导出,当我们重新搭建新的网站之后,就不需要重新申请,【,网站证书,】,,只需将过去的,【,网站证书,】,导入即可。,Page,38,/38,2,、,配置【VPN客户端】进行【L2TP】的VPN连接,D,域控制器,独立,CA,服务器,Ip:192
25、.168.10.10,Gw:192.168.10.123,vpn123,(工作组),VPN,服务器,Ip:192.168.10.123,Ip:192.168.20.123,server2,(工作组),VPN,客户端,Ip:192.168.20.2,Page,39,/38,本章总结,PKI,与证书,服务应用,一、什么是,PKI,四、,CA,证书颁发机构,二、公钥加密技术,三、数字证书,1,、什么是密钥和算法,五、配置证书服务,2,、对称加密技术,3,、公钥加密技术,4,、,HASH,(哈希)算法,5,、公钥加密技术在实际中的应用,1,、,CA,的概述,2,、证书的颁发过程,3,、,CA,的层次结构和类别,六、证书的应用实例,
浙ICP备2021020529号-1 | 浙B2-20240490 
