《数字证书服务》PPT课件.ppt

数 字 证 书 服 务使 用 浏 览 器 访 问 Web页 面 能 够 轻 松 实 现 网上 购 物 、 网 上 炒 股 和 网 上 银 行 等 作 业 ， 其中 会 通 过 网 络 传 送 一 些 敏 感 信 息 ， 包 括 合同 、 金 融 帐 号 、 帐 号 密 码 和 支 付 信 息 等 。TCP/IP在 制 定 之 初 处 于 网 络 技 术 的 初 级 阶段 ， 并 没 有 考 虑 安 全 问 题 ， 数 据 流 采 用 明文 传 输 。 因 此 ， 对 于 一 些 有 保 密 要 求 的 应用 如 电 子 商 务 、 电 子 政 务 、 网 络 银 行 等 ，首 先 考 虑 的 是 安 全 性 。 安 全 的 网 络 信 息 最 基 本 的 3个 特 征n 1 机 密 性 -n 2 完 整 性 -n 3 可 用 性 - 信 息 仅 能 够 被 授 权 的 用 户 得 到信 息 不 被 未 授 权 者 篡 改 和 破 坏保 证 信 息 和 信 息 系 统 随 时 为授 权 者 服 务概 括 起 来 ， 安 全 的 网 络 信 息 就 是 指 授 权 的用 户 可 以 访 问 到 完 整 的 信 息 。 采 用 对 网 上 传 输 的 信 息进 行 加 密 的 方 式n 信 息 的 发 送 方 对 要 传 输 的 信 息 进 行 加 密 ，在 Internet上 传 输 的 信 息 是 加 密 后 的 信息 。 信 息 的 接 受 方 收 到 加 密 后 的 信 息 进行 解 密 ， 还 原 成 原 来 的 信 息 ， 这 就 是 网络 信 息 加 密 技 术 的 原 理 。 常 规 加 解 密 技 术加 密 算 法 解 密 算 法Internet/Intranet明 文 明 文密 文 传 送发 送 方 /接 受 方 共 同 的 密 钥 发 送 方 /接 收 方共 同 的 密 钥发 送 方 接 收 方 常 规 加 解 密 技 术 的 名 词n 明 文 ： 未 被 加 密 的 信 息n 密 文 ： 被 加 密 后 的 信 息n 加 密 ： 使 用 某 种 方 法 伪 装 信 息 以 隐 藏 其 内 容 的 过 程 ，把 明 文 转 变 为 密 文 。n 解 密 ： 把 密 文 转 变 为 明 文 的 过 程 。n 加 密 算 法 ： 对 明 文 进 行 加 密 时 采 用 的 一 组 算 法 n 解 密 算 法 ： 对 密 文 进 行 解 密 时 采 用 的 一 组 规 则n 加 密 密 钥 ： 加 密 过 程 中 使 用 的 密 钥n 解 密 密 钥 ： 解 密 过 程 中 使 用 的 密 钥常 规 加 解 密 技 术 中 ， 接 受 方 和 发 送 方 使 用 同 样 的 密 钥 ，加 密 密 钥 和 解 密 密 钥 完 全 相 同 。 网 络 信 息 安 全 的 新 需 求n 1身 份 认 证 和 鉴 别 : 对 信 息 传 输 的 双 方 进 行 身 份 认证 和 鉴 别 ， 需 要 某 种 机 制 来 证 明 双 方 的 真 实 身 份 。n 2 不 可 否 认 性 : 信 息 的 发 送 方 必 须 对 自 己 的 操 作 承担 责 任 ， 不 可 否 认 。n 3 数 字 签 名 : 日 常 生 活 中 ， 通 信 双 方 为 了 解 决 抵 赖和 欺 骗 的 问 题 ， 会 在 文 档 上 进 行 手 写 签 名 ， 把 这 个 原理 用 在 网 络 上 就 是 数 字 签 名 。数 字 签 名 的 目 的 ： 用 于 证 明 是 作 者 的 签 名 、 签 名 日 期 和时 间 ； 在 签 名 的 同 时 对 内 容 的 真 伪 进 行 鉴 别 ； 签 名 能 够被 公 正 、 权 威 的 第 三 方 进 行 仲 裁 。 公 钥 加 密 技 术n 公 钥 加 解 密 技 术 的 结 构 ：n 每 个 网 络 用 户 有 两 个 密 钥 ， 称 为 公 钥 和 私 钥 。在 信 息 的 发 送 和 接 受 过 程 中 ， 使 用 一 个 密 钥 加密 ， 使 用 另 一 个 密 钥 解 密 ， 同 一 个 用 户 的 两 个密 钥 可 以 互 相 加 解 密 ， 但 这 两 个 密 钥 相 互 之 间很 难 相 互 推 导 得 出 。 n 公 钥 ： 称 为 公 开 密 钥 ， 可 以 向 其 他 用 户 公 开n 私 钥 ： 称 为 私 有 密 钥 ， 是 用 户 自 己 拥 有 ， 不 能公 开 。 公 钥 结 构 的 保 密 通 信 原 理加 密 算 法 解 密 算 法Internet/Intranet密 文 传 送明 文 明 文发 送 方 接 收 方发 送 方 的 私 钥 接 收 方 的 私 钥发 送 方 的 公 钥 发 送 方 的 公 钥接 收 方 的 公 钥 接 收 方 的 公 钥 要进行保密通信，发送方使用接收方的公钥对明文进行加密，接受方使用自己的私钥对密文进行解密。由于只有接收方才能对由自己的公钥加密的信息解密，因此可以实现保密通信。 公 钥 结 构 的 鉴 别 通 信 的 原 理加 密 算 法 解 密 算 法Internet/Intranet密 文 传 送明 文 明 文发 送 方 接 收 方发 送 方 的 私 钥 接 收 方 的 私 钥发 送 方 的 公 钥 发 送 方 的 公 钥接 收 方 的 公 钥 接 收 方 的 公 钥 要进行鉴别通信，发送方使用自己的私钥对明文进行加密，接收方使用发送方的公钥对密文进行解密。接收方使用发送方的公钥进行解密，可以确信信息是由发送方加密的，也就可以鉴别了发送方的身份。 公 钥 结 构 的 鉴 别 +保 密 通 信 的 原 理加 密 算 法 解 密 算 法Internet/Intranet密 文 传 送明 文 明 文发 送 方 接 收 方发 送 方 的 私 钥 接 收 方 的 私 钥发 送 方 的 公 钥 发 送 方 的 公 钥接 收 方 的 公 钥 接 收 方 的 公 钥 发送方先使用自己的私钥对明文进行加密，然后使用接收方的公钥进行加密。接收方先使用发送方的公钥进行解密，然后使用自己的私钥进行解密，这样就实现了鉴别和保密通信。 数 字 证 书 的 PKI解 决 方 案n PKI(Public Key Infrastructure 公 钥结 构 )是 利 用 公 钥 加 解 密 技 术 来 实 现 信 息安 全 的 技 术 ， 代 表 了 当 今 世 界 网 络 安 全技 术 的 最 高 水 平 。n PKI方 案 的 核 心 就 是 数 字 证 书 。 数 字 证 书n 在 Internet上 从 事 一 些 需 要 保 密 的 业 务 时 必 备 的“ 个 人 身 份 证 ” ， 有 权 威 机 构 发 行 ， 在 网 络 通 信 中标 志 通 信 各 方 身 份 的 一 系 列 数 据 。n 网 络 上 通 信 各 方 向 PKI的 数 字 证 书 颁 发 机 构 申 请 数 字证 书 ， 通 过 PKI系 统 建 立 的 一 套 严 密 的 身 份 认 证 系 统来 保 证 ：n 1 信 息 除 发 送 方 和 接 受 方 外 不 被 其 他 人 截 取 n 2 信 息 在 传 输 过 程 中 不 被 篡 改n 3 发 送 方 能 够 通 过 数 字 证 书 来 确 认 接 受 方 的 身 份n 4 发 送 方 对 于 自 己 的 信 息 不 能 抵 赖 数 字 证 书 的 格 式n 版 本 、 序 列 号 、 签 名 算 法 、 颁 发 者 、 使用 者 、 标 识 、 有 效 期 。 数 字 证 书 的 原 理公钥公钥私钥私钥 数 字 证 书 采 用 公 钥 机 制 ， 证 书 颁 发 机 构 提 供 的 程 序 为 用 户 产 生 一 对 密 钥 ，一 把 是 公 开 的 公 钥 ， 它 将 在 用 户 的 数 字 证 书 中 公 布 并 寄 存 于 数 字 证 书 认证 中 心 。 另 一 把 是 私 人 的 私 钥 ， 它 将 存 放 在 用 户 的 计 算 机 上 。数字证书认证中心CA(Certificate Agency) 数字证书认证中心CA证书申请与颁发证书申请与颁发 PKI解 决 方 案 实 例 -Internet电 子 商 务 解 决 方 案n 售 物 方 和 购 物 方 向 CA中 心 申 请 用 户 证 书n 电 子 商 务 服 务 器 向 CA中 心 申 请 服 务 器 证书n 售 物 方 和 购 物 方 的 开 户 银 行 向 CA中 心 申请 服 务 器 证 书 。 PKI的 发 展 情 况n 美 国 的 犹 他 州 于 1995年 颁 布 的 数 字 签 名 法 是 全 世界 范 围 内 第 一 部 全 面 规 范 电 子 签 名 的 法 律 。 美 国 2000年 开 始 实 行 数 字 签 名 法 ， 数 字 签 名 法 具 有 法 律 效率 。 美 国 目 前 已 经 建 立 了 覆 盖 全 国 的 PKI网 络 ， 联 邦 、州 和 大 型 企 业 之 间 的 PKI实 现 了 桥 接 。n 欧 洲 各 国 已 经 建 立 了 自 己 的 PKI。 2001年 欧 盟 建 立 了 桥接 的 CA， 2002年 欧 盟 开 始 实 行 数 字 签 名 法 。 n 亚 洲 范 围 内 的 日 本 、 韩 国 和 新 加 坡 在 PKI建 设 方 面 起 步较 早 ， 这 3个 国 家 目 前 已 经 实 现 了 交 叉 认 证 。 我 国 的 电 子 签 名 法n 我 国 的 立 法 从 2002年 开 始 的 ， 最 初 的 定 位 是 行 政 法 规 ， 但 在 网络 经 济 迅 猛 发 展 的 背 景 下 ， 国 务 院 决 定 直 接 将 该 立 法 的 层 级 提高 为 法 律 。 在 对 原 来 起 草 的 条 例 内 容 进 行 了 修 改 后 ， 形 成 了 中 华 人 民 共 和 国 电 子 签 名 法 (草 案 ) 。 2004年 3月 24日 ， 在温 家 宝 总 理 主 持 的 国 务 院 常 务 会 议 上 ， 电 子 签 名 法 (草 案 )获 得 原 则 通 过 ， 随 即 被 提 交 全 国 人 大 讨 论 。 4月 2日 ， 十 届 全 国人 大 常 委 会 第 八 次 会 议 第 一 次 对 该 法 进 行 了 审 议 ， 6月 21日 ，十 届 全 国 人 大 常 委 会 第 十 次 会 议 再 次 对 该 草 案 进 行 了 审 议 。2004年 8月 28日 中 华 人 民 共 和 国 第 十 届 全 国 人 民 代 表 大 会 常 务委 员 会 第 十 一 次 会 议 通 过 了 中 华 人 民 共 和 国 电 子 签 名 法 ，并 于 2005年 4月 1日 起 施 行 。 在 Windows 2003 Server上 的 数字 证 书 服 务n 证 书 服 务 的 安 装 -添 加 删 除 组 件n CA的 配 置 -控 制 面 板 /管 理 工 具 /证 书 颁 发 机 构n CA的 启 动 与 关 闭 -证 书 颁 发 机 构 /操 作 /所 有 任 务n CA的 备 份 与 还 原 -证 书 颁 发 机 构 /操 作 /所 有 任 务n 向 CA申 请 数 字 证 书 -证 书 颁 发 机 构 /挂 起 的 申 请 n 颁 发 数 字 证 书 -http:/yourserver/CertSrv 网 站 加 密 SSL站 点n 只 要 浏 览 器 和 Web服 务 器 都 配 置 成 使 用 SSL(Secure Socket Layer 安全套接层)， 就 可 以 在 传 输 层 实 现 网络 信 息 安 全 。n SSL会 话 -通 信 双 方 就 通 信 规 则 达 成 一 致 就 是 一 个SSL会 话 ， 会 话 由 SSL握 手 协 议 完 成 ， 定 义 加 密 安 全参 数 的 集 合 。n SSL连 接 -利 用 会 话 参 数 进 行 的 一 次 实 际 的 数 据 传 输过 程 。 基 于 SSL的 一 个 完 整 的Web访 问 过 程1.客 户 机 浏 览 器 的 数 字 证 书 和 公 钥2.服务器的数字证书和公钥3.用 服 务 器 的 公 钥 加 密 信 息 4.用 服 务器 的 私 钥解 密 信 息5.用 客 户 机 浏 览 器 的 公 钥 加 密 会 话 密 钥6.用 客 户机 浏 览 器的 私 钥 解密 信 息 7.用 会 话 密 钥 加 密 传 输 的 数 据客 户 端 服 务 器 公 钥 、 私 钥 和 会 话 密 钥 的 关 系n 只 要 Web服 务 器 和 客 户 机 浏 览 器 使 用 的 数 字 证书 不 变 ， 它 们 的 公 钥 和 私 钥 就 不 变 ， 而 每 次 会话 的 会 话 密 钥 会 改 变 。 会 话 密 钥 的 不 断 变 化 ，使 信 息 的 破 译 难 度 加 大 ， 确 保 信 息 的 安 全 。n 使 用 SSL协 议 通 信 ， 获 得 的 数 字 证 书 中 的 公 钥用 于 安 全 传 递 会 话 密 钥 ， 每 次 产 生 的 不 同 的 会话 密 钥 才 是 对 传 输 数 据 进 行 真 正 的 加 密 和 解 密 ，因 此 SSL的 通 信 是 常 规 加 解 密 技 术 和 公 钥 加 解密 技 术 的 融 合 。 在 Windows 2003 Server上 构 建SSL的 Web站 点n 生 成 Web服 务 器 数 字 证 书 申 请 文 件 -IIS管 理 /默 认网 站 /属 性 /目 录 安 全 性 /服 务 器 证 书n 申 请 Web服 务 器 数 字 证 书 - http:/YourServer/CertSrv 高 级 证 书 申 请n 颁 发 Web服 务 器 数 字 证 书 -证 书 颁 发 机 构 /挂 起 的 申 请n 获 取 Web服 务 器 数 字 证 书 - http:/YourServer/CertSrv 下 载 CA证 书 n 安 装 Web服 务 器 数 字 证 书 -IIS管 理 /默 认 网 站 /属性 /目 录 安 全 性 /服 务 器 证 书 /Web服 务 器 存 在 挂 起 的 证书 请 求n 在 Web服 务 器 上 设 置 SSL-IIS管 理 /默 认 网 站 /属性 /目 录 安 全 性 /编 辑 IE浏 览 器 的 SSL配 置n 申 请 浏 览 器 数 字 证 书 - http:/YourServer/CertSrv 申 请 Web浏 览 器 证 书n 颁 发 浏 览 器 数 字 证 书 -证 书 颁 发 机 构 /挂 起 的申 请n 获 取 及 安 装 浏 览 器 数 字 证 书 - http:/YourServer/CertSrv n 访 问 SSL站 点 -https:/YourServer