Windows PKI ——公用密钥基础结构.ppt

公用密钥基础结构 本章要点 公共密钥基础结构 证书服务 Windows 2003PKI的组件 部署认证服务 认证与IIS结合 故障恢复代理 PKI---公用密钥基础结构 1 概述 2 公共密钥基础结构（PKI） 3 部署证书服务 4 利用证书 5 管理证书 6 利用证书实现WEB站点的安全性 1 概述 随着Internet的迅猛发展，越来越多的重要数据要在网上传输，如何保证这些数据不受到恶意的攻击或窃取，成为网络管理最关键的问题之一。 在Windows 2003中，可以利用公共密钥提供网络安全。 对于电子商务、Intranets、extranets和启用了Web功能的应用程序来说，公共密钥密码系统是一项重要的技术。 1 概述 Windows 2003中有两种验证协议，Kerberos和公钥基础结构(Public Key Infrastructure ，PKI)，这两者的不同之处在于：Kerberos是对称密钥，而PKI是非对称密钥。 对称密钥——加密和解密的密钥相同。 非对称密钥——加密和解密密钥不同。 2 公共密钥基础结构（PKI） 在WIN2003中，可以将公共密钥安全性用于很多领域的加密和身份验证，如：智能卡登陆、加密文件系统（EFS）、IPsec(Internet协议安全性)、数字签名 有两种基本的操作与公共密钥密码系统有关，即加密技术和身份验证。 2 公共密钥基础结构（PKI） 2.1 公共密钥加密技术 2.2 公共密钥身份验证 2.3 认证中心 2.4 证书（CA）层次结构 2.5 Windows 2003 PKI 2.1 公共密钥加密技术 加密的目的：以某种方式将数据变得难懂，使得只有预期用户能够阅读它。 加密：通过数学运算将明文和加密密钥结合起来，产生密文。 解密：通过数学运算将密文和解密密钥结合起来，产生明文。 公共密钥加密技术用到了两个密钥：加密密钥和解密密钥 密钥（key）：一个随机字符串与某种算法的联合使用。 2.1 公共密钥加密技术 系统使用一对密钥来完成对数据的加密解密： 公共密钥（公钥）：是自由发布的，可以公开，以供他人向自己传输信息时加密使用。 私用密钥（私钥）：在系统中保存，从不发布，只有拥有对应私钥的本人才能解密，从而保证数据传输的必威体育官网网址性。 2.1 公共密钥加密技术 2.2 公共密钥身份验证（使用密钥对） 与公共密钥加密技术类似，公共密钥身份验证也使用了密钥对。 但它不利用发送者的私用密钥解密消息，而是利用发送者的公共密钥鉴别和确认该消息的发送者的有效性。这一私用密钥被称为数字签名。 2.2 公共密钥身份验证 数字签名 说明：加密技术可以提供安全性和机密性，而数字签名可以确认信息的真实性和来源。 数字签名：一种由消息、文件或者其他数字化编码信息的创建者将其身份标识和这些消息利用私钥约束在一起的方法。 数字签名用于发送者的不可抵赖性，因为私钥只有自己有，所以当接收者用你的公钥解密后就可以证明是你无疑。 数字签名本身就是数据，因此它们可以与受保护的原数据一起进行传输，供接收者验证。 2.2 公共密钥身份验证 数字签名使用私钥对签名数据进行加密，可以确保达到下述目的： 只有拥有私钥的人才能进行数字签名。 任何人都可以通过相应的公钥鉴别数字签名的真伪。 如果对签名后进行了数据的任何修改，数字签名将失效。 2.2 公共密钥身份验证 2.3 认证中心 如何获得通信对方的公钥并且相信此公钥确实是该人所有，这就要用到电子证书。 电子证书由收发双方共同信任的第三方即认证中心颁发的，包含某人的身份信息、公钥和认证中心的数字签名。 2.3 认证中心 1、CA（认证中心）：负责提供和指派加密密钥、解密密钥、身份验证。 CA通过发放证书来分布密钥。证书中包含公共密钥和一组属性，CA可将证书发给某个计算机、用户帐号或者服务。 CA扮演了一种担保人的角色。 2.3 认证中心 2、外部的CA和内部的CA 外部CA：外部商用CA，为成千上万的用户提供认证服务。 内部CA：面向企业内部用户、计算机或服务器的策略模型。 2.3 认证中心 3、颁发证书的过程 认证中心CA颁发证书涉及如下4个步骤: CA收到证书请求信息（包括个人资料和公钥等）。 CA对请求用户所提供的信息进行核实。 CA用自己的私钥将它的数字签名应用于该证书。 CA将证书发给用户，将它用作PKL内的安全性凭证。 2.3 认证中心 4、吊销证书 证书的吊销使得证书在自然过期之前便宣告作废，由CA负责，CA宣布证书的无效，并发布“证书撤销清单”（CRL）。 在证书有效期满之前，需要废除证书的原因： 证书拥有者的私钥泄漏或被怀疑泄漏。 发现证书是用欺骗手段获得的。 证书拥有者的情况发生了改变。 2.4 证书