第六章加密服務Windows2008網絡管理學習目標在完成本章的學習后，您將能夠：通過Sniffer分析網絡錯誤利用CA搭建HTTPS站點

課程安排密碼學簡介CA證書服務密碼學是研究數據的加密和解密及其變換的科學，它是數學和計算機科學交叉的學科過去，只有諜報、外交和軍事人員對加密技術感興趣，并投入大量的人力和資金進行秘密研究直到最近，由于各種民用有線、無線通信的普及和計算機及其網絡技術的迅速發展，密碼學才得到前所未有的廣泛重視定義密碼學概述密碼學的應用軍事、政治和外交80年代以后，在雷達、導航、遙控、遙測等領域占有重要地位通信、電子郵政、計算機、金融系統、各種管理信息系統甚至家庭認證、鑒別和數字簽名等新的功能密碼學概述密碼學應用場合密碼學的基本概念研究密碼系統或通信安全的科學它包含密碼學（cryptology）和密碼分析學（cryptanalytics）兩個分支密碼學是對信息進行編碼實現隱蔽信息的一門學問密碼分析學是研究分析破譯密碼的學問密碼學概述密碼學的基本概念密碼學的基本概念明文（plaintext）:未被隱蔽的消息密文（ciphertext）:隱蔽形式明文加密（encryption）:將明文變換成密文解密（decryption）:從密文恢復出明文加密算法:對明文加密采用的一組規則解密算法:對密文解密時采用的一組規則密鑰（key）:控制加密和解密算法的數據單鑰或對稱密碼體制（one-keyorsymmetriccryptosystem）:從一個易于得出另一個密碼學概述密碼分析:通過分析可能從截獲的密文中推斷出原來的明文的過程被動攻擊（passiveattack）:對一個保密系統采取截獲密文進行分析的這類攻擊主動攻擊（activeattack）:非法入侵者主動向系統干擾，采用刪除、更改、增添、重放、偽造等方法向系統加入假消息認證系統（authenticationsystem）:使發送的消息具有被驗證的能力，使接收者或第三者能夠識別和確認消息的真偽，實現這類功能的密碼系統密碼學的基本概念密碼學概述保密性:使截獲者在不知道密鑰的情況下不能解讀密文的內容認證性:使任何不知道密鑰的人不能構造出一個密報，使預定的接收者脫密成一個可理解的消息（合法的消息）完整性（integrity）:在有自然和認為干擾條件下，系統有鑒別和原來發送消息一致性的能力密碼學的基本概念密碼學概述加密系統的四個內容待加密的報文，即明文；加密后的報文，即密文；加密、解密裝置或算法；用于加密和解密的鑰匙，可以是數字、詞匯或語句。 加密是在不安全的信息渠道中實現信息的安全傳輸的重要方法密碼學概述常見的加密方法代碼加密替換加密變位加密一次性密碼簿加密密碼學概述代碼加密發送秘密消息的最簡單做法，就是使用通信雙方預先設定的一組代碼。代碼可以是日常詞匯、專有名詞或特殊用語，但都有一個預先設定的確切含義。它簡單而有效，得到廣泛的應用。例如:密文：黃姨白姐安全到家了明文：黃金和白銀已經走私出境了代碼簡單好用，但只能傳送一組預先設定好的信息密碼學概述替換加密明文中的每個字母或字母被替換為另一個或一組字母。例如，下面的一組字母對應關系就構成了一個替換加密器。明文字母：ABCD…...密文字母：HGUA……替換加密器可以用來傳達任何信息，但有時還不及代碼加密安全。竊密者只要多搜集一些密文就能夠發現其中的規律。密碼學概述變位加密替換加密保持著明文的字符順序，只是將原字符替換并隱藏起來。變位加密不隱藏原明文的字符，但卻將字符重新排序。例如，加密方首先選擇用一個數字表示的密鑰，寫成一行，然后把明文逐行寫在數字下。按密鑰中指示的順序，逐列將原文抄寫下來，就是加密后的密文。密鑰：4168257390明文：來人已出現住在平安里密文：里人現平來住已在出安密碼學概述一次性密碼簿加密如要保持代碼加密的可靠性，又保持替換加密器的靈活性，可以采用一次性密碼簿進行加密。密碼簿每一頁都是不同的代碼表。可以用一頁上的代碼來加密一些詞，用后撕掉或毀掉；再用另一頁上的代碼加密另一些詞，直到全部的明文全部被加密。破譯密文的唯一辦法，就是獲得一份相同的密碼簿。只可使用一次。如果密碼使用多次，密文會呈現某種規律，也就有破密的可能。密碼學概述加密算法凱撒密碼每一字母向前推k位。例如k=5便有明文和密文對應關系如下:明文:abcdefghIjklmnopqrstuvwxyz密文:FGHIJKLMNOPQRSTUVWXYZABCDE則明文:datasecurityhasevolvedrapidly對應密文為：IFYFXJHZWNYDMFXJATQAJIWFUNIQD密碼學概述密碼分析密碼分析是截收者在不知道解密密鑰及通信者所采用的加密體制的細節條件下，對密文進行分析，試圖獲取機密信息研究分析解密規律的科學稱密碼分析學密碼設計是利用數學來構造密碼，而密碼分析除了依靠數學、工程背景、語言學等知識外，還要靠經驗、統計、測試、眼力、直覺判斷能力……，有時還靠點運氣。密碼分析過程通常包括：分析（統計截獲報文材料）、假設、推斷和證實等步驟。密碼學概述破譯或攻擊（break或attack）密碼的方法窮舉破譯法分析法密碼學概述窮舉破譯法（exhaustiveattackmethod窮舉法又稱作暴力法(bruteforcemethod），這是對截收的密報依次用各種可解的密鑰試譯，直到得到有意義的明文或在不變密鑰下，對所有可能的明文加密直到得到與截獲密報一致為止，此法又稱為完全試湊法(completetrial-and-errormethod)密碼學概述分析破譯法確定性分析法:利用一個或幾個己知量,如已知密文或明文－密文對,用數學關系式表示出所求未知量（如密鑰等）。已知量和未知量的關系視加密和解密算法而定尋求這種關系是確定性分析法的關鍵步驟。統計分析法是利用明文的己知統計規律進行破譯的方法。密碼破譯者對截收的密文進行統計分析，總結出其間的統計規律，并與明文的統計規律進行對照比較，從中提取出明文和密文之間的對應或變換信息。密碼學概述幾個主要加密算法Diffie-Hellman系統RSA系統CADESHashWLAN:WEP802.1x密碼學概述什么是數字簽名數字簽名是數字簽名機制用一種數學方法或一個密鑰賦予消息或文件的唯一數值。數字簽名是證明文件作者的身份和在文件從發送者到接收者的傳輸中沒有被破壞的唯一數值。數字證書是代表文檔的一個唯一性數值，是第三方檢查和標識機構用來核實一個文件內容及出版商的可視化證據。密碼學概述數字證書的工作原理

發送者首先把待發送的文件利用hash算法得到一個唯一的單向的hash值，然后用發送者私鑰加密這個hash值產生數字證書，然后發送含有證書和發送者公鑰的這個文件給接收者，接收者解出這個文件利用hash算法產生唯一的hash值，然后用發件人的公鑰解密接收到的加密的hash值，然后對比這兩個值。密碼學概述公鑰加密技術公鑰（PublicKey）和私鑰（PrivateKey）密鑰是成對生成的，這兩個密鑰互不相同，兩個密鑰可以互相加密和解密不能根據一個密鑰來推算得出另一個密鑰公鑰對外公開；私鑰只有私鑰的持有人才知道私鑰應該由密鑰的持有人妥善保管

介紹PKI加密技術對稱密鑰的加密算法:PKI系統可以快速生成一對互相耦合的密鑰對。其中一個稱為共有密鑰；另一個稱為私有密鑰。PKI生成的密鑰可以用作： 數據加密——共有密鑰 數字簽名——私有密鑰數據加密發送方使用接收方的公鑰加密數據當接收方使用自己的私鑰解密這些數據數據加密能保證所發送數據的機密性數字簽名發送方使用自己的私鑰加密接收方使用發送方的公鑰解密身份驗證、數據的完整性、操作的不可否認性什么是證書2-1PKI系統中的數字證書簡稱證書它把公鑰和擁有對應私鑰的主體的標識信息（如名稱、電子郵件、身份證號等）捆綁在一起證書的主體可以是用戶、計算機、服務等證書可以用于很多方面Web用戶身份驗證Web服務器身份驗證安全電子郵件Internet協議安全（IPSec）CA證書服務在實現網絡中的DHCP主機地址動態分布和名稱解析WINS和DNS服務以后，網絡中的主機之間可以進行自由通信了。但是在彼此進行通信的時候，收發的數據是否安全成為我們關注的問題。要實現通信時的安全，需要：用于加密的密鑰把密鑰應用到收發的數據上的規則什么是證書2-2數字證書是由權威公正的第三方機構即CA簽發的證書包含以下信息使用者的公鑰值使用者標識信息（如名稱和電子郵件地址）有效期（證書的有效時間）頒發者標識信息頒發者的數字簽名

CA的作用CA的核心功能就是頒發和管理數字證書具體描述如下處理證書申請鑒定申請者是否有資格接收證書證書的發放證書的更新接收最終用戶數字證書的查詢、撤銷產生和發布證書吊銷列表（CRL）數字證書的歸檔密鑰歸檔歷史數據歸檔證書的發放過程3-1證書的發放過程3-21）證書申請用戶根據個人信息填好申請證書的信息并提交證書申請信息2）RA確認用戶在企業內部網中，一般使用手工驗證的方式，這樣更能保證用戶信息的安全性和真實性3）證書策略處理如果驗證請求成功，那么，系統指定的策略就被運用到這個請求上，比如名稱的約束、密鑰長度的約束等4）RA提交用戶申請信息到CARA用自己私鑰對用戶申請信息簽名，保證用戶申請信息是RA提交給CA的證書的發放過程3-35）CA為用戶生成密鑰對，并用CA的簽名密鑰對用戶的公鑰和用戶信息ID進行簽名，生成電子證書這樣，CA就將用戶的信息和公鑰捆綁在一起了，然后，CA將用戶的數字證書和用戶的公用密鑰公布到目錄中6）CA將電子證書傳送給批準該用戶的RA7）RA將電子證書傳送給用戶（或者用戶主動取回）8）用戶驗證CA頒發的證書確保自己的信息在簽名過程中沒有被篡改，而且通過CA的公鑰驗證這個證書確實由所信任的CA機構頒發數字證書生成過程原文件Hash值加密過的hash值發送者的公鑰原文件加密過的hash值發送者的公鑰用發送者的私鑰加密數字簽名標識的文件從原文件經過hash算法產生hash值密碼學概述利用數字證書檢查文件比較一致性原文件Hash值加密過的hash值發送者的公鑰原文件加密過的hash值發送者的公鑰數字簽名標識的文件用發送者的公鑰解密加密的hash值Hash值密碼學概述PublicKey數據加密數據在網絡中加密傳輸23A78玲玲使用勇勇的公共密鑰加密數據.1Data3A78勇勇使用自己的私有密鑰加密數據3DataPublicKey數字簽名信息在網絡中明文傳遞2~*~*~*~玲玲使用自己的私有密鑰簽署文件數據1~*~*~*~~*~*~*~勇勇使用玲玲的公共密鑰驗證數據3Windows2003Certificate服務證書服務器是為網絡中主機進行通信加密提供密鑰對的服務。他以證書的形式向網絡中的主機提供用于不同目的的密鑰。公有密鑰加密PlaintextCiphertextUser1PlaintextUser2Certification

AuthorityUser2’sPublicKeyUser2’sPrivateKey數字簽名DigestFunctionUser1(Sender)PlaintextUser1’sPrivateKeyDigestEncryptedDigest123User2(Receiver)User1’sPublicKey46Compare5DigestFunction公有密鑰加密證書體系結構RootCASubordinateCASubordinateCASubordinateCATrustTrustTrust實現和管理證書服務選擇CertificateAuthority(CA)模式安裝CertificateServices創建子CA備份和恢復CertificateServices選擇CertificateAuthority模式企業根

CA

Atop-levelCAinacertificationhierarchythatsignsitsownCAcertificateandrequiresActiveDirectory.獨立根CA

Atop-levelCAinacertificationhierarchythatdoesnotrequireActiveDirectory.企業子CA

AsubordinateCAthatobtainsitsCAcertificatefromanotherCAandrequiresActiveDirectory.獨立子CA

AsubordinateCAthatobtainsitsCAcertificatefromanotherCAanddoesnotrequireActiveDirectory.1.在Windows組件中安裝證書服務2.安裝證書服務后，計算機名和域成員身