《《數(shù)字證書服務(wù)》PPT課件.ppt》由會員分享,可在線閱讀,更多相關(guān)《《數(shù)字證書服務(wù)》PPT課件.ppt(23頁珍藏版)》請?jiān)谘b配圖網(wǎng)上搜索。
1、數(shù) 字 證 書 服 務(wù)使 用 瀏 覽 器 訪 問 Web頁 面 能 夠 輕 松 實(shí) 現(xiàn) 網(wǎng)上 購 物 、 網(wǎng) 上 炒 股 和 網(wǎng) 上 銀 行 等 作 業(yè) , 其中 會 通 過 網(wǎng) 絡(luò) 傳 送 一 些 敏 感 信 息 , 包 括 合同 、 金 融 帳 號 、 帳 號 密 碼 和 支 付 信 息 等 。TCP/IP在 制 定 之 初 處 于 網(wǎng) 絡(luò) 技 術(shù) 的 初 級 階段 , 并 沒 有 考 慮 安 全 問 題 , 數(shù) 據(jù) 流 采 用 明文 傳 輸 。 因 此 , 對 于 一 些 有 保 密 要 求 的 應(yīng)用 如 電 子 商 務(wù) 、 電 子 政 務(wù) 、 網(wǎng) 絡(luò) 銀 行 等 ,首 先 考 慮 的
2、是 安 全 性 。 安 全 的 網(wǎng) 絡(luò) 信 息 最 基 本 的 3個(gè) 特 征n 1 機(jī) 密 性 -n 2 完 整 性 -n 3 可 用 性 - 信 息 僅 能 夠 被 授 權(quán) 的 用 戶 得 到信 息 不 被 未 授 權(quán) 者 篡 改 和 破 壞保 證 信 息 和 信 息 系 統(tǒng) 隨 時(shí) 為授 權(quán) 者 服 務(wù)概 括 起 來 , 安 全 的 網(wǎng) 絡(luò) 信 息 就 是 指 授 權(quán) 的用 戶 可 以 訪 問 到 完 整 的 信 息 。 采 用 對 網(wǎng) 上 傳 輸 的 信 息進(jìn) 行 加 密 的 方 式n 信 息 的 發(fā) 送 方 對 要 傳 輸 的 信 息 進(jìn) 行 加 密 ,在 Internet上 傳 輸
3、的 信 息 是 加 密 后 的 信息 。 信 息 的 接 受 方 收 到 加 密 后 的 信 息 進(jìn)行 解 密 , 還 原 成 原 來 的 信 息 , 這 就 是 網(wǎng)絡(luò) 信 息 加 密 技 術(shù) 的 原 理 。 常 規(guī) 加 解 密 技 術(shù)加 密 算 法 解 密 算 法Internet/Intranet明 文 明 文密 文 傳 送發(fā) 送 方 /接 受 方 共 同 的 密 鑰 發(fā) 送 方 /接 收 方共 同 的 密 鑰發(fā) 送 方 接 收 方 常 規(guī) 加 解 密 技 術(shù) 的 名 詞n 明 文 : 未 被 加 密 的 信 息n 密 文 : 被 加 密 后 的 信 息n 加 密 : 使 用 某 種 方 法
4、 偽 裝 信 息 以 隱 藏 其 內(nèi) 容 的 過 程 ,把 明 文 轉(zhuǎn) 變 為 密 文 。n 解 密 : 把 密 文 轉(zhuǎn) 變 為 明 文 的 過 程 。n 加 密 算 法 : 對 明 文 進(jìn) 行 加 密 時(shí) 采 用 的 一 組 算 法 n 解 密 算 法 : 對 密 文 進(jìn) 行 解 密 時(shí) 采 用 的 一 組 規(guī) 則n 加 密 密 鑰 : 加 密 過 程 中 使 用 的 密 鑰n 解 密 密 鑰 : 解 密 過 程 中 使 用 的 密 鑰常 規(guī) 加 解 密 技 術(shù) 中 , 接 受 方 和 發(fā) 送 方 使 用 同 樣 的 密 鑰 ,加 密 密 鑰 和 解 密 密 鑰 完 全 相 同 。 網(wǎng) 絡(luò)
5、信 息 安 全 的 新 需 求n 1身 份 認(rèn) 證 和 鑒 別 : 對 信 息 傳 輸 的 雙 方 進(jìn) 行 身 份 認(rèn)證 和 鑒 別 , 需 要 某 種 機(jī) 制 來 證 明 雙 方 的 真 實(shí) 身 份 。n 2 不 可 否 認(rèn) 性 : 信 息 的 發(fā) 送 方 必 須 對 自 己 的 操 作 承擔(dān) 責(zé) 任 , 不 可 否 認(rèn) 。n 3 數(shù) 字 簽 名 : 日 常 生 活 中 , 通 信 雙 方 為 了 解 決 抵 賴和 欺 騙 的 問 題 , 會 在 文 檔 上 進(jìn) 行 手 寫 簽 名 , 把 這 個(gè) 原理 用 在 網(wǎng) 絡(luò) 上 就 是 數(shù) 字 簽 名 。數(shù) 字 簽 名 的 目 的 : 用 于 證
6、 明 是 作 者 的 簽 名 、 簽 名 日 期 和時(shí) 間 ; 在 簽 名 的 同 時(shí) 對 內(nèi) 容 的 真 偽 進(jìn) 行 鑒 別 ; 簽 名 能 夠被 公 正 、 權(quán) 威 的 第 三 方 進(jìn) 行 仲 裁 。 公 鑰 加 密 技 術(shù)n 公 鑰 加 解 密 技 術(shù) 的 結(jié) 構(gòu) :n 每 個(gè) 網(wǎng) 絡(luò) 用 戶 有 兩 個(gè) 密 鑰 , 稱 為 公 鑰 和 私 鑰 。在 信 息 的 發(fā) 送 和 接 受 過 程 中 , 使 用 一 個(gè) 密 鑰 加密 , 使 用 另 一 個(gè) 密 鑰 解 密 , 同 一 個(gè) 用 戶 的 兩 個(gè)密 鑰 可 以 互 相 加 解 密 , 但 這 兩 個(gè) 密 鑰 相 互 之 間很 難 相
7、 互 推 導(dǎo) 得 出 。 n 公 鑰 : 稱 為 公 開 密 鑰 , 可 以 向 其 他 用 戶 公 開n 私 鑰 : 稱 為 私 有 密 鑰 , 是 用 戶 自 己 擁 有 , 不 能公 開 。 公 鑰 結(jié) 構(gòu) 的 保 密 通 信 原 理加 密 算 法 解 密 算 法Internet/Intranet密 文 傳 送明 文 明 文發(fā) 送 方 接 收 方發(fā) 送 方 的 私 鑰 接 收 方 的 私 鑰發(fā) 送 方 的 公 鑰 發(fā) 送 方 的 公 鑰接 收 方 的 公 鑰 接 收 方 的 公 鑰 要進(jìn)行保密通信,發(fā)送方使用接收方的公鑰對明文進(jìn)行加密,接受方使用自己的私鑰對密文進(jìn)行解密。由于只有接收方才
8、能對由自己的公鑰加密的信息解密,因此可以實(shí)現(xiàn)保密通信。 公 鑰 結(jié) 構(gòu) 的 鑒 別 通 信 的 原 理加 密 算 法 解 密 算 法Internet/Intranet密 文 傳 送明 文 明 文發(fā) 送 方 接 收 方發(fā) 送 方 的 私 鑰 接 收 方 的 私 鑰發(fā) 送 方 的 公 鑰 發(fā) 送 方 的 公 鑰接 收 方 的 公 鑰 接 收 方 的 公 鑰 要進(jìn)行鑒別通信,發(fā)送方使用自己的私鑰對明文進(jìn)行加密,接收方使用發(fā)送方的公鑰對密文進(jìn)行解密。接收方使用發(fā)送方的公鑰進(jìn)行解密,可以確信信息是由發(fā)送方加密的,也就可以鑒別了發(fā)送方的身份。 公 鑰 結(jié) 構(gòu) 的 鑒 別 +保 密 通 信 的 原 理加 密
9、 算 法 解 密 算 法Internet/Intranet密 文 傳 送明 文 明 文發(fā) 送 方 接 收 方發(fā) 送 方 的 私 鑰 接 收 方 的 私 鑰發(fā) 送 方 的 公 鑰 發(fā) 送 方 的 公 鑰接 收 方 的 公 鑰 接 收 方 的 公 鑰 發(fā)送方先使用自己的私鑰對明文進(jìn)行加密,然后使用接收方的公鑰進(jìn)行加密。接收方先使用發(fā)送方的公鑰進(jìn)行解密,然后使用自己的私鑰進(jìn)行解密,這樣就實(shí)現(xiàn)了鑒別和保密通信。 數(shù) 字 證 書 的 PKI解 決 方 案n PKI(Public Key Infrastructure 公 鑰結(jié) 構(gòu) )是 利 用 公 鑰 加 解 密 技 術(shù) 來 實(shí) 現(xiàn) 信 息安 全 的 技
10、 術(shù) , 代 表 了 當(dāng) 今 世 界 網(wǎng) 絡(luò) 安 全技 術(shù) 的 最 高 水 平 。n PKI方 案 的 核 心 就 是 數(shù) 字 證 書 。 數(shù) 字 證 書n 在 Internet上 從 事 一 些 需 要 保 密 的 業(yè) 務(wù) 時(shí) 必 備 的“ 個(gè) 人 身 份 證 ” , 有 權(quán) 威 機(jī) 構(gòu) 發(fā) 行 , 在 網(wǎng) 絡(luò) 通 信 中標(biāo) 志 通 信 各 方 身 份 的 一 系 列 數(shù) 據(jù) 。n 網(wǎng) 絡(luò) 上 通 信 各 方 向 PKI的 數(shù) 字 證 書 頒 發(fā) 機(jī) 構(gòu) 申 請 數(shù) 字證 書 , 通 過 PKI系 統(tǒng) 建 立 的 一 套 嚴(yán) 密 的 身 份 認(rèn) 證 系 統(tǒng)來 保 證 :n 1 信 息 除 發(fā)
11、 送 方 和 接 受 方 外 不 被 其 他 人 截 取 n 2 信 息 在 傳 輸 過 程 中 不 被 篡 改n 3 發(fā) 送 方 能 夠 通 過 數(shù) 字 證 書 來 確 認(rèn) 接 受 方 的 身 份n 4 發(fā) 送 方 對 于 自 己 的 信 息 不 能 抵 賴 數(shù) 字 證 書 的 格 式n 版 本 、 序 列 號 、 簽 名 算 法 、 頒 發(fā) 者 、 使用 者 、 標(biāo) 識 、 有 效 期 。 數(shù) 字 證 書 的 原 理公鑰公鑰私鑰私鑰 數(shù) 字 證 書 采 用 公 鑰 機(jī) 制 , 證 書 頒 發(fā) 機(jī) 構(gòu) 提 供 的 程 序 為 用 戶 產(chǎn) 生 一 對 密 鑰 ,一 把 是 公 開 的 公 鑰
12、, 它 將 在 用 戶 的 數(shù) 字 證 書 中 公 布 并 寄 存 于 數(shù) 字 證 書 認(rèn)證 中 心 。 另 一 把 是 私 人 的 私 鑰 , 它 將 存 放 在 用 戶 的 計(jì) 算 機(jī) 上 。數(shù)字證書認(rèn)證中心CA(Certificate Agency) 數(shù)字證書認(rèn)證中心CA證書申請與頒發(fā)證書申請與頒發(fā) PKI解 決 方 案 實(shí) 例 -Internet電 子 商 務(wù) 解 決 方 案n 售 物 方 和 購 物 方 向 CA中 心 申 請 用 戶 證 書n 電 子 商 務(wù) 服 務(wù) 器 向 CA中 心 申 請 服 務(wù) 器 證書n 售 物 方 和 購 物 方 的 開 戶 銀 行 向 CA中 心 申請
13、 服 務(wù) 器 證 書 。 PKI的 發(fā) 展 情 況n 美 國 的 猶 他 州 于 1995年 頒 布 的 數(shù) 字 簽 名 法 是 全 世界 范 圍 內(nèi) 第 一 部 全 面 規(guī) 范 電 子 簽 名 的 法 律 。 美 國 2000年 開 始 實(shí) 行 數(shù) 字 簽 名 法 , 數(shù) 字 簽 名 法 具 有 法 律 效率 。 美 國 目 前 已 經(jīng) 建 立 了 覆 蓋 全 國 的 PKI網(wǎng) 絡(luò) , 聯(lián) 邦 、州 和 大 型 企 業(yè) 之 間 的 PKI實(shí) 現(xiàn) 了 橋 接 。n 歐 洲 各 國 已 經(jīng) 建 立 了 自 己 的 PKI。 2001年 歐 盟 建 立 了 橋接 的 CA, 2002年 歐 盟 開
14、 始 實(shí) 行 數(shù) 字 簽 名 法 。 n 亞 洲 范 圍 內(nèi) 的 日 本 、 韓 國 和 新 加 坡 在 PKI建 設(shè) 方 面 起 步較 早 , 這 3個(gè) 國 家 目 前 已 經(jīng) 實(shí) 現(xiàn) 了 交 叉 認(rèn) 證 。 我 國 的 電 子 簽 名 法n 我 國 的 立 法 從 2002年 開 始 的 , 最 初 的 定 位 是 行 政 法 規(guī) , 但 在 網(wǎng)絡(luò) 經(jīng) 濟(jì) 迅 猛 發(fā) 展 的 背 景 下 , 國 務(wù) 院 決 定 直 接 將 該 立 法 的 層 級 提高 為 法 律 。 在 對 原 來 起 草 的 條 例 內(nèi) 容 進(jìn) 行 了 修 改 后 , 形 成 了 中 華 人 民 共 和 國 電 子 簽
15、 名 法 (草 案 ) 。 2004年 3月 24日 , 在溫 家 寶 總 理 主 持 的 國 務(wù) 院 常 務(wù) 會 議 上 , 電 子 簽 名 法 (草 案 )獲 得 原 則 通 過 , 隨 即 被 提 交 全 國 人 大 討 論 。 4月 2日 , 十 屆 全 國人 大 常 委 會 第 八 次 會 議 第 一 次 對 該 法 進(jìn) 行 了 審 議 , 6月 21日 ,十 屆 全 國 人 大 常 委 會 第 十 次 會 議 再 次 對 該 草 案 進(jìn) 行 了 審 議 。2004年 8月 28日 中 華 人 民 共 和 國 第 十 屆 全 國 人 民 代 表 大 會 常 務(wù)委 員 會 第 十 一
16、次 會 議 通 過 了 中 華 人 民 共 和 國 電 子 簽 名 法 ,并 于 2005年 4月 1日 起 施 行 。 在 Windows 2003 Server上 的 數(shù)字 證 書 服 務(wù)n 證 書 服 務(wù) 的 安 裝 -添 加 刪 除 組 件n CA的 配 置 -控 制 面 板 /管 理 工 具 /證 書 頒 發(fā) 機(jī) 構(gòu)n CA的 啟 動 與 關(guān) 閉 -證 書 頒 發(fā) 機(jī) 構(gòu) /操 作 /所 有 任 務(wù)n CA的 備 份 與 還 原 -證 書 頒 發(fā) 機(jī) 構(gòu) /操 作 /所 有 任 務(wù)n 向 CA申 請 數(shù) 字 證 書 -證 書 頒 發(fā) 機(jī) 構(gòu) /掛 起 的 申 請 n 頒 發(fā) 數(shù) 字
17、證 書 -http:/yourserver/CertSrv 網(wǎng) 站 加 密 SSL站 點(diǎn)n 只 要 瀏 覽 器 和 Web服 務(wù) 器 都 配 置 成 使 用 SSL(Secure Socket Layer 安全套接層), 就 可 以 在 傳 輸 層 實(shí) 現(xiàn) 網(wǎng)絡(luò) 信 息 安 全 。n SSL會 話 -通 信 雙 方 就 通 信 規(guī) 則 達(dá) 成 一 致 就 是 一 個(gè)SSL會 話 , 會 話 由 SSL握 手 協(xié) 議 完 成 , 定 義 加 密 安 全參 數(shù) 的 集 合 。n SSL連 接 -利 用 會 話 參 數(shù) 進(jìn) 行 的 一 次 實(shí) 際 的 數(shù) 據(jù) 傳 輸過 程 。 基 于 SSL的 一
18、個(gè) 完 整 的Web訪 問 過 程1.客 戶 機(jī) 瀏 覽 器 的 數(shù) 字 證 書 和 公 鑰2.服務(wù)器的數(shù)字證書和公鑰3.用 服 務(wù) 器 的 公 鑰 加 密 信 息 4.用 服 務(wù)器 的 私 鑰解 密 信 息5.用 客 戶 機(jī) 瀏 覽 器 的 公 鑰 加 密 會 話 密 鑰6.用 客 戶機(jī) 瀏 覽 器的 私 鑰 解密 信 息 7.用 會 話 密 鑰 加 密 傳 輸 的 數(shù) 據(jù)客 戶 端 服 務(wù) 器 公 鑰 、 私 鑰 和 會 話 密 鑰 的 關(guān) 系n 只 要 Web服 務(wù) 器 和 客 戶 機(jī) 瀏 覽 器 使 用 的 數(shù) 字 證書 不 變 , 它 們 的 公 鑰 和 私 鑰 就 不 變 , 而
19、每 次 會話 的 會 話 密 鑰 會 改 變 。 會 話 密 鑰 的 不 斷 變 化 ,使 信 息 的 破 譯 難 度 加 大 , 確 保 信 息 的 安 全 。n 使 用 SSL協(xié) 議 通 信 , 獲 得 的 數(shù) 字 證 書 中 的 公 鑰用 于 安 全 傳 遞 會 話 密 鑰 , 每 次 產(chǎn) 生 的 不 同 的 會話 密 鑰 才 是 對 傳 輸 數(shù) 據(jù) 進(jìn) 行 真 正 的 加 密 和 解 密 ,因 此 SSL的 通 信 是 常 規(guī) 加 解 密 技 術(shù) 和 公 鑰 加 解密 技 術(shù) 的 融 合 。 在 Windows 2003 Server上 構(gòu) 建SSL的 Web站 點(diǎn)n 生 成 Web服
20、 務(wù) 器 數(shù) 字 證 書 申 請 文 件 -IIS管 理 /默 認(rèn)網(wǎng) 站 /屬 性 /目 錄 安 全 性 /服 務(wù) 器 證 書n 申 請 Web服 務(wù) 器 數(shù) 字 證 書 - http:/YourServer/CertSrv 高 級 證 書 申 請n 頒 發(fā) Web服 務(wù) 器 數(shù) 字 證 書 -證 書 頒 發(fā) 機(jī) 構(gòu) /掛 起 的 申 請n 獲 取 Web服 務(wù) 器 數(shù) 字 證 書 - http:/YourServer/CertSrv 下 載 CA證 書 n 安 裝 Web服 務(wù) 器 數(shù) 字 證 書 -IIS管 理 /默 認(rèn) 網(wǎng) 站 /屬性 /目 錄 安 全 性 /服 務(wù) 器 證 書 /Web服 務(wù) 器 存 在 掛 起 的 證書 請 求n 在 Web服 務(wù) 器 上 設(shè) 置 SSL-IIS管 理 /默 認(rèn) 網(wǎng) 站 /屬性 /目 錄 安 全 性 /編 輯 IE瀏 覽 器 的 SSL配 置n 申 請 瀏 覽 器 數(shù) 字 證 書 - http:/YourServer/CertSrv 申 請 Web瀏 覽 器 證 書n 頒 發(fā) 瀏 覽 器 數(shù) 字 證 書 -證 書 頒 發(fā) 機(jī) 構(gòu) /掛 起 的申 請n 獲 取 及 安 裝 瀏 覽 器 數(shù) 字 證 書 - http:/YourServer/CertSrv n 訪 問 SSL站 點(diǎn) -https:/YourServer