實驗中的問題 證書服務的安裝 1 申請證書的兩種方法2 安裝證書服務后不能使用Web方式訪問3 證書服務中的兩個重要組件 證書頒發機構 組件 證書 組件4 證書的備份和還原5 證書的導入和導出6 證書的吊銷 第11章電子證書服務 本次課要點 一 數字證書的必要性二 數字證書的現實應用三 簽名與加密四 案例 一 數字證書的必要性 進入互聯網角色之后 許多企業會經常遇到這樣的困惑 內部管理時怎樣在網上確認員工的身份 網上交易時對方發出的信息是否真實可信 網上納稅時怎樣有效的表明企業的身份 等等 網絡中的主要安全隱患 惡意中斷系統 破壞系統的有效性竊聽信息 破壞系統的機密性篡改信息 破壞系統的完整性假冒他人身份對貿易行為進行抵賴 這或許是迄今為止對互聯網最精辟的概括和最流行的一句話 從另一個側面來理解說明了在互聯網上很難識別真實身份 這就給犯罪分子提供了可乘之機 使得現在的互聯網是越來越不安全 但是人們又越來越離不開互聯網了 怎么辦 如何解決用戶信息安全問題 解決方案 解決上述網絡中信息安全問題的唯一可靠的解決方案是被多年來的實踐證明最有效的基于PKI 公鑰基礎設施 的數字證書解決方案 二 數字證書的現實應用 認證中心的基礎設施數字證書的用途數字證書的現實應用數字證書的存放形式數字證書的分類數字證書的簽發 認證中心的基礎設置 證書的用途 證書提供下述功能 服務器身份驗證 利用證書為網絡中的客戶機鑒別服務器客戶機身份驗證 利用證書為服務器提供對客戶機的認證 如 遠程訪問功能和智能卡身份驗證 程序代碼簽署 數字簽名 利用與密鑰對有關的證書簽署活動內容加密E mail 安全電子郵件 利用與密鑰對有關的證書簽署電子郵件消息 用于加密信函 EFS 加密文件系統 利用與密鑰對有關的證書 加密和解密用于還原恢復加密數據的對稱密鑰 IPSec 利用與密鑰對有關的證書 加密基于IP層的傳輸 數字證書的現實應用 實現Web站點的安全連接數字簽名或加密電子郵件認證VPN服務恢復加密文件系統加密PDF文檔實現網絡游戲的信息安全數字簽名網上銀行數字簽名網絡交易等等 數字證書的存放形式 存儲于硬盤上加解密速度快 使用方便 備份在軟盤上方便備份 防止丟失 IC卡 CPU卡保密性好 不易被冒充4 USB接口智能棒兼容性好 攜帶方便5 加密卡 加密機機密級別高對大量數據處理速度快 電子鑰匙e key 數字證書的分類 數字證書按用途可分為 簽名證書 加密證書安全性體現在通過密碼技術 建立嚴密的身份認證系統和加解密的保密系統 能夠保證 信息除發送方和接收方外不被他人竊取信息在傳輸過程中不被篡改接收方能通過數字證書確認發送方身份發送方對于自己發送的信息不能抵賴 數字證書的簽發 三 簽名證書和加密證書 公共密鑰機密技術 加密的目的 以某種方式將數據變得難懂 使得只有預期用戶能夠閱讀它 加密 通過數學運算將明文和加密密鑰結合起來 產生密文 解密 通過數學運算將密文和解密密鑰結合起來 產生明文 公共密鑰加密技術用到了兩個密鑰 加密密鑰和解密密鑰密鑰 key 一個隨機字符串與某種算法的聯合使用 公共密鑰加密技術 公共密鑰加密技術 系統使用一對密鑰來完成對數據的加密解密 公共密鑰 公鑰 是自由發布的 可以公開 以供他人向自己傳輸信息時加密使用 私用密鑰 私鑰 在系統中保存 從不發布 只有擁有對應私鑰的本人才能解密 從而保證數據傳輸的保密性 公共密鑰加密技術 公共密鑰加密技術 公共密鑰身份驗證 使用密鑰對 與公共密鑰加密技術類似 公共密鑰身份驗證也使用了密鑰對 但它不利用發送者的私用密鑰解密消息 而是利用發送者的公共密鑰鑒別和確認該消息的發送者的有效性 這一私用密鑰被稱為數字簽名 公共密鑰身份驗證 數字簽名說明 加密技術可以提供安全性和機密性 而數字簽名可以確認信息的真實性和來源 數字簽名 一種由消息 文件或者其他數字化編碼信息的創建者將其身份標識和這些消息利用私鑰約束在一起的方法 數字簽名用于發送者的不可抵賴性 因為私鑰只有自己有 所以當接收者用你的公鑰解密后就可以證明是你無疑 數字簽名本身就是數據 因此它們可以與受保護的原數據一起進行傳輸 供接收者驗證 公共密鑰身份驗證 數字簽名使用私鑰對簽名數據進行加密 可以確保達到下述目的 只有擁有私鑰的人才能進行數字簽名 任何人都可以通過相應的公鑰鑒別數字簽名的真偽 如果對簽名后進行了數據的任何修改 數字簽名將失效 公共密鑰身份驗證 公共密鑰身份驗證 四 商用CA免費案例 1 客戶端個人證書的在線申請2 實用某個客戶端登陸演示系統 1 客戶端個人證書的在線申請 2 實用某個客戶端登陸演示系統 五 案例分析 案例一 EFS加密文件恢復案例二 簽名電子郵件案例三 Web站點的SSL安全連接 案例一 EFS加密文件恢復 案例 Windows系統下 某用戶利用EFS加密文件系統加密Windows系統下的文件 若該用戶丟失 或重做系統 加密的文件將不能夠被訪問 請問 如何避免或解決該問題 案例一 EFS加密文件恢復 實驗設計 步驟一 jw登錄 加密自己的文件 然后將自己的私鑰導出步驟二 將jw用戶刪除掉 查看能否訪問已經加密的文件步驟三 重建jw用戶并登陸 檢驗能否訪問已經加密的文件步驟四 在使用新建的jw用戶登陸的情況下 將步驟一導出的jw私鑰導入 然后訪問已經加密的文件 檢驗能否訪問成功 案例二 簽名電子郵件 案例要求 對某用戶的電子郵件執行數字簽名和加密 使該用戶的電子郵件更安全且達到不可抵賴的目的 案例三 Web站點的SSL安全連接 案例要求 通過證書服務 使Web站點訪問更安全 小結 數字證書的必要性數字證書的應用數字的案例 習題 一 填空題 數字簽名通常利用公鑰加密方法實現 其中發送者簽名使用的密鑰為發送者的 二 簡答題 1 對稱密鑰和非對稱密鑰的特點各是什么 2 什么是電子證書 3 證書的用途是什么 4 企業根CA和獨立根CA有什么不同 5 安裝Windows2000Server認證服務的核心步驟是什么 6