数字证书服务.ppt

数字证书服务,使用浏览器访问Web页面能够轻松实现网上购物、网上炒股和网上银行等作业，其中会通过网络传送一些敏感信息，包括合同、金融帐号、帐号密码和支付信息等。TCP/IP在制定之初处于网络技术的初级阶段，并没有考虑安全问题，数据流采用明文传输。因此，对于一些有保密要求的应用如电子商务、电子政务、网络银行等，首先考虑的是安全性。,安全的网络信息最基本的3个特征,1机密性- 2完整性- 3可用性-,信息仅能够被授权的用户得到,信息不被未授权者篡改和破坏,保证信息和信息系统随时为 授权者服务,概括起来，安全的网络信息就是指授权的用户可以访问到完整的信息。,采用对网上传输的信息 进行加密的方式,信息的发送方对要传输的信息进行加密，在Internet上传输的信息是加密后的信息。信息的接受方收到加密后的信息进行解密，还原成原来的信息，这就是网络信息加密技术的原理。,常规加解密技术,加密算法,解密算法,Internet/Intranet,明文,明文,密文传送,发送方/接受方 共同的密钥,发送方/接收方 共同的密钥,发送方,接收方,常规加解密技术的名词,明文：未被加密的信息 密文：被加密后的信息 加密：使用某种方法伪装信息以隐藏其内容的过程，把明文转变为密文。 解密：把密文转变为明文的过程。 加密算法：对明文进行加密时采用的一组算法 解密算法：对密文进行解密时采用的一组规则 加密密钥：加密过程中使用的密钥 解密密钥：解密过程中使用的密钥,常规加解密技术中，接受方和发送方使用同样的密钥，加密密钥和解密密钥完全相同。,网络信息安全的新需求,1身份认证和鉴别: 对信息传输的双方进行身份认证和鉴别，需要某种机制来证明双方的真实身份。 2不可否认性: 信息的发送方必须对自己的操作承担责任，不可否认。 3数字签名: 日常生活中，通信双方为了解决抵赖和欺骗的问题，会在文档上进行手写签名，把这个原理用在网络上就是数字签名。,数字签名的目的：用于证明是作者的签名、签名日期和时间；在签名的同时对内容的真伪进行鉴别；签名能够被公正、权威的第三方进行仲裁。,公钥加密技术,公钥加解密技术的结构： 每个网络用户有两个密钥，称为公钥和私钥。在信息的发送和接受过程中，使用一个密钥加密，使用另一个密钥解密，同一个用户的两个密钥可以互相加解密，但这两个密钥相互之间很难相互推导得出。 公钥：称为公开密钥，可以向其他用户公开 私钥：称为私有密钥，是用户自己拥有，不能公开。,公钥结构的保密通信原理,加密算法,解密算法,Internet/Intranet,密文传送,明文,明文,发送方,接收方,发送方的私钥,接收方的私钥,发送方的公钥,发送方的公钥,接收方的公钥,接收方的公钥,要进行保密通信，发送方使用接收方的公钥对明文进行加密，接受方使用自己的私钥对密文进行解密。由于只有接收方才能对由自己的公钥加密的信息解密，因此可以实现保密通信。,公钥结构的鉴别通信的原理,加密算法,解密算法,Internet/Intranet,密文传送,明文,明文,发送方,接收方,发送方的私钥,接收方的私钥,发送方的公钥,发送方的公钥,接收方的公钥,接收方的公钥,要进行鉴别通信，发送方使用自己的私钥对明文进行加密，接收方使用发送方的公钥对密文进行解密。接收方使用发送方的公钥进行解密，可以确信信息是由发送方加密的，也就可以鉴别了发送方的身份。,公钥结构的鉴别+保密通信的原理,加密算法,解密算法,Internet/Intranet,密文传送,明文,明文,发送方,接收方,发送方的私钥,接收方的私钥,发送方的公钥,发送方的公钥,接收方的公钥,接收方的公钥,发送方先使用自己的私钥对明文进行加密，然后使用接收方的公钥进行加密。接收方先使用发送方的公钥进行解密，然后使用自己的私钥进行解密，这样就实现了鉴别和保密通信。,数字证书的PKI解决方案,PKI(Public Key Infrastructure 公钥结构)是利用公钥加解密技术来实现信息安全的技术，代表了当今世界网络安全技术的最高水平。 PKI方案的核心就是数字证书。,数字证书,在Internet上从事一些需要保密的业务时必备的“个人身份证”，有权威机构发行，在网络通信中标志通信各方身份的一系列数据。 网络上通信各方向PKI的数字证书颁发机构申请数字证书，通过PKI系统建立的一套严密的身份认证系统来保证： 1 信息除发送方和接受方外不被其他人截取 2 信息在传输过程中不被篡改 3 发送方能够通过数字证书来确认接受方的身份 4 发送方对于自己的信息不能抵赖,数字证书的格式,版本、序列号、签名算法、颁发者、使用者、标识、有效期。,数字证书的原理,公钥,公钥,私钥,私钥,数字证书采用公钥机制，证书颁发机构提供的程序为用户产生一对密钥，一把是公开的公钥，它将在用户的数字证书中公布并寄存于数字证书认证中心。另一把是私人的私钥，它将存放在用户的计算机上。 数字证书认证中心CA(Certificate Agency),数字证书认证中心CA,证书申请与颁发,证书申请与颁发,PKI解决方案实例-Internet电子商务解决方案,售物方和购物方向CA中心申请用户证书 电子商务服务器向CA中心申请服务器证书 售物方和购物方的开户银行向CA中心申请服务器证书。,PKI的发展情况,美国的犹他州于1995年颁布的数字签名法是全世界范围内第一部全面规范电子签名的法律。美国2000年开始实行数字签名法，数字签名法具有法律效率。美国目前已经建立了覆盖全国的PKI网络，联邦、州和大型企业之间的PKI实现了桥接。 欧洲各国已经建立了自己的PKI。2001年欧盟建立了桥接的CA，2002年欧盟开始实行数字签名法。 亚洲范围内的日本、韩国和新加坡在PKI建设方面起步较早，这3个国家目前已经实现了交叉认证。,我国的电子签名法,我国的立法从2002年开始的，最初的定位是行政法规，但在网络经济迅猛发展的背景下，国务院决定直接将该立法的层级提高为法律。在对原来起草的条例内容进行了修改后，形成了中华人民共和国电子签名法(草案)。2004年3月24日，在温家宝总理主持的国务院常务会议上，电子签名法(草案)获得原则通过，随即被提交全国人大讨论。4月2日，十届全国人大常委会第八次会议第一次对该法进行了审议，6月21日，十届全国人大常委会第十次会议再次对该草案进行了审议。2004年8月28日中华人民共和国第十届全国人民代表大会常务委员会第十一次会议通过了中华人民共和国电子签名法，并于2005年4月1日起施行。,在Windows 2003 Server上的数字证书服务, 证书服务的安装-添加删除组件 CA的配置-控制面板/管理工具/证书颁发机构 CA的启动与关闭-证书颁发机构/操作/所有任务 CA的备份与还原-证书颁发机构/操作/所有任务 向CA申请数字证书-证书颁发机构/挂起的申请 颁发数字证书-http:/yourserver/CertSrv,网站加密SSL站点,只要浏览器和Web服务器都配置成使用SSL(Secure Socket Layer 安全套接层)，就可以在传输层实现网络信息安全。 SSL会话-通信双方就通信规则达成一致就是一个SSL会话，会话由SSL握手协议完成，定义加密安全参数的集合。 SSL连接-利用会话参数进行的一次实际的数据传输过程。,基于SSL的一个完整的 Web访问过程,1.客户机浏览器的数字证书和公钥,2.服务器的数字证书和公钥,3.用服务器的公钥加密信息,4.用服务器的私钥解密信息,5.用客户机浏览器的公钥加密会话密钥,6.用客户机浏览器的私钥解密信息,7.用会话密钥加密传输的数据,客户端,服务器,公钥、私钥和会话密钥的关系,只要Web服务器和客户机浏览器使用的数字证书不变，它们的公钥和私钥就不变，而每次会话的会话密钥会改变。会话密钥的不断变化，使信息的破译难度加大，确保信息的安全。 使用SSL协议通信，获得的数字证书中的公钥用于安全传递会话密钥，每次产生的不同的会话密钥才是对传输数据进行真正的加密和解密，因此SSL的通信是常规加解密技术和公钥加解密技术的融合。,在Windows 2003 Server上构建SSL的Web站点, 生成Web服务器数字证书申请文件-IIS管理/默认网站/属性/目录安全性/服务器证书 申请Web服务器数字证书- http:/YourServer/CertSrv 高级证书申请 颁发Web服务器数字证书-证书颁发机构/挂起的申请 获取Web服务器数字证书- http:/YourServer/CertSrv 下载CA证书 安装Web服务器数字证书-IIS管理/默认网站/属性/目录安全性/服务器证书/Web服务器存在挂起的证