操作系统安全5公钥基础设施删减版本-2课时

五章：公钥基础结构PKI,PKI的功能PKI的组件数字证书PKI的发展现状windows支持的PKI服务,5.1PKI功能,PKI(PublicKeyInfrastructure)是一个用非对称密码算法原理和技术实现的，具有通用性的安全基础设施。PKI利用数字证书标识密钥持有人的身份，通过对密钥的规范化管理，透明地为应用系统提供身份认证、数据保密性和完整性、不可否认性等各种必要的安全保障。,PKI正成为安全体系结构的核心部分，有了它，许多标准的安全应用成为可能。例如：(1)电子商务(2)电子政务(3)网上银行(4)安全电子邮件(5)虚拟专用网(VPN),PKI的功能PKI的组件数字证书PKI的发展现状windows支持的PKI服务,5.2、PKI的组件,PKI的组件：证书签发机构（CA）证书注册机构（RA）证书库档案库用户密钥备份及恢复系统证书废除处理系统应用系统接口,组件1：证书注册机构（RA）,RA(RegistrationAuthority)是面对用户的窗口，它负责接收用户的证书申请，审核用户的身份，RA也负责向用户发放证书。注册功能有时可以通过CA直接实现，但有时将这部分功能分离成RA(registrationauthority)来实现。,组件2：证书颁发机构（CA）,CA(CertificationAuthority)是PKI的核心，CA通过签发证书将一个主体与其公钥进行捆绑公证CA有两个知名的属性：CA的名字和CA的公钥。功能CA执行的基本的PKI功能：签发证书(例如：创建和签名)；发布它的当前(例如：期限未满)证书和CRL，因此用户可以获得他们需要实现安全服务的信息；维持有关到期证书的状态信息档案,证书将用户公钥和名字等其他信息绑定起来，CA使用它的签名私钥对证书信息进行数字签名。CA机构的数字签名使得攻击者不能伪造和篡改证书，CA不能否认它签名的证书（抗抵赖性）。,用户公钥和名字,CA签名,信任模式,第三方信任是指两个实体以前没有建立起信任关系，但双方与共同的第三方有信任关系，第三方为两者的可信任性进行了担保，由此建立起来的信任关系。,信任模式,如果两个CA交换密钥信息，这样每个CA都可以有效地验证另一方CA密钥的可信任性，我们称这样的过程为交叉认证。交叉认证是第三方信任的扩展。,组件3：证书库,证书库是证书的集中存放地，用户可以从此处获得其他用户的证书构造证书库可以采用X.500(目录标准)，数据库等。,组件4：档案库,档案库是一个被用来解决将来争执的信息库，为CA承担长期存储文档信息的责任。档案的主要任务是储存和保护充足的信息来决定在一份旧的文档中数字签名是可以信任的。,组件5：密钥备份及恢复系统,如果用户的解密私钥丢失，则密文无法解密，造成数据丢失密钥的备份与恢复应由可信机构来完成。密钥的备份与恢复只能针对解密私钥，签名私钥不能备份。,组件6：证书废除处理系统,证书在有效期之内由于某些原因可能需要废除废除证书是将证书列入证书黑名单（CRL）来完成。CRL一般存放在目录系统中。,组件7：PKI应用系统接口,PKI的价值在于使用户能够方便地使用加密，数字签名等安全服务一个完整的PKI必须提供良好的应用接口，使各种应用能够与PKI交互，确保所建立起来的网络环境的可信性,PKI的功能PKI的组件数字证书PKI的发展现状windows2000支持的PKI的特性,5.3、数字证书,证书结构证书存储标准证书的验证,1x.509数字证书,主体对象,由各种公钥安全服务和提供身份验证的应用程序、数据完整性和通过网络的安全通讯所使用。,2windows中数字证书的存储标准,X.509标准最基本的证书存储标准格式（DER，Based64）PKCS#7标准用来传输签名数据的标准格式PKCS#12标准用来传输证书和私钥的标准格式,个人信息交换（PKCS#12）是Windows支持导出证书及相关私钥的唯一格式。证书用户EFS（加密文件系统）或EFS故障恢复才可导出私钥加密消息语法标准（PKCS#7）(不常见)允许将证书及证书路径中的所有证书从一台计算机传输到另一台计算机或可移动媒体上。扩展名为.p7bDER编码的二进制X.509可由不在Windows服务器上的证书颁发机构使用，因此它支持互操作性。扩展名为.cerBase64编码的X.509同上。,3证书的验证,第一步：验证真实性。证书是否为可信任的CA认证中心签发？,证书真实性的验证是基于证书链验证机制的,证书链,第二步：验证有效性。证书是否在证书的有效使用期之内。第三步：验证可用性。证书是否已废除？,证书有效性的验证是通过比较当前时间与证书截止时间来进行的。,证书可用性的验证是通过证书吊销机制来实现的。,PKI的功能PKI的组件数字证书PKI的发展现状windows支持的PKI服务,5.4国内PKI发展现状,PKI的功能PKI的组件数字证书PKI的发展现状windows支持的PKI服务,5.5Windows支持的PKI的服务,证书证书服务（安装在Server版上）创建和管理证书颁发机构的组件。个别组件是CAWeb登记页面智能卡支持公钥策略可以使用组策略自动给计算机指派证书、建立证书信任列表和公用的信任证书颁发机构。,使用Windows中的PKI,创建证书颁发机构（安装证书服务）用户申请证书证书的导出和导入通过组策略自动注册证书的吊销,安装证书服务,“控制面板”添加/删除程序”“添加/删除Windows组件”,证书颁发机构的类型企业根CA企业下级CA独立根CA独立下级CA企业CA和独立CA的区别企业根CA和企业下级CA需要ActiveDirectory独立根CA和独立下级CA不需要ActiveDirectory,选择高级选项加密服务提供服务、密钥长度、散列算法输入证书颁发机构标识信息指定数据库和配置存储位置只有在安装了独立的CA但没有ActiveDirectory时，该选项才有效。默认为%SYSTEMROOT%system32certlog,安装证书服务,使用Windows中的PKI,创建证书颁发机构（安装证书服务）用户申请证书证书的导出和导入通过组策略自动注册证书的吊销,为用户颁发证书-申请证书（1）,使用证书申请向导只有在Windows域中可用，且只提供“加密服务提供程序”等可选的申请功能。打开”证书”管理单元选择证书存储区”所有任务”申请新证书”,在企业级的证书申请机构中，才能申请就获批，因为个人信息的真实性，可直接通过活动目录进行验证而独立的CA需要管理员认为的审核之后才可以获批。安装证书，就是把证书下载下来，安装在证书个人存储区里,为用户颁发证书-申请证书（2）,使用Web页面访问证书服务即可用于企业证书颁发机构，也可用于独立颁发机构（不依赖于域）提供了更多可选的申请功能将密钥标记为可导出、设置密钥长度，选择散列算法以及将申请保存到PKCS#10文件等。,使用Web浏览器访问http:/servername/certsrv,前提：启动IIS服务,为用户颁发证书-处理证书申请,处理证书申请证书请求提交到企业证书颁发机构，将被立即处理。当证书请求提交到独立证书颁发机构时，该证书被挂起，等待管理员的批准。,问题：如何增加可申请的证书类型,（1）通过AD站点和服务的属性中的安全选项做设置,（2）或者打开证书颁发管理模块/证书模版/管理,授予用户权限,在证书颁发机构的证书模板中添加需要的证书模板,客户端出现正常模版,windows企业证书机构与独立证书机构的区别,企业证书机构需要活动目录，独立颁发机构不需要用户申请证书时：企业用户既可使用证书申请向导，也可用WEB页。独立用户只能用WEB页。3.处理证书申请时：对企业证书机构是立即处理，对独立证书机构请求将被挂起，直到管理员批准,使用Windows中的PKI,创建证书颁发机构（安装证书服务）用户申请证书证书的导出和导入通过组策略自动注册证书的吊销,证书和密钥的导出和导入,使用Windows中的PKI,创建证书颁发机构（安装证书服务）用户申请证书证书的导出和导入通过组策略自动注册证书的吊销,通过组策略自动注册,上述手动申请过程我们可认为是一种注册行为，对大型网络而言十分复杂。证书自动注册是一个允许客户端自动向CA提交证书申请，并允许检索和存储颁发证书的过程，整个过程由网络管理员进行控制。使用自动注册功能，单位能对用户证书的声明周期进行管理。,证书自动注册基于组策略设置证书模板可使用户登录到域时注册用户，或在计算机启动时注册该计算机。,使用Windows中的PKI,创建证书颁发机构（安装证书服务）用户申请证书证书的导出和导入通过组策略自动注册证书的吊销,证书的吊销,证书为什么需要吊销证书受领人已离开单位证书受领人的私钥已泄露其他一些与安全相关的事件规定它不再需要将证书视为“有效”证书吊销列表（CRL）当证书被CA吊销时，它将被添加到该CA的证书吊销列表中。,证书的吊销-安排CRL的发布,CRL的发布期发布期是CA自动发布更新的CRL的时间间隔。CRL的有效期有效期是证书验证者将CRL视为权威的时间段只要证书验证者在其本地缓存中具有有效的CRL，它就不会尝试从发布它的CA检索另一个CRL默认情况下，证书服务将发布期延长10%（最多可加12小时）来建立有效期。,CRL的发布和客户端的缓存,证书的使用方法,Web服务的安全用SSL加密IIS的传输E-mail的安全加密文