win2003网络服务管理-加密服务

第六章加密服务Windows2008网络管理学习目标在完成本章的学习后，您将能够：通过Sniffer分析网络错误利用CA搭建HTTPS站点

课程安排密码学简介CA证书服务密码学是研究数据的加密和解密及其变换的科学，它是数学和计算机科学交叉的学科过去，只有谍报、外交和军事人员对加密技术感兴趣，并投入大量的人力和资金进行秘密研究直到最近，由于各种民用有线、无线通信的普及和计算机及其网络技术的迅速发展，密码学才得到前所未有的广泛重视定义密码学概述密码学的应用军事、政治和外交80年代以后，在雷达、导航、遥控、遥测等领域占有重要地位通信、电子邮政、计算机、金融系统、各种管理信息系统甚至家庭认证、鉴别和数字签名等新的功能密码学概述密码学应用场合密码学的基本概念研究密码系统或通信安全的科学它包含密码学（cryptology）和密码分析学（cryptanalytics）两个分支密码学是对信息进行编码实现隐蔽信息的一门学问密码分析学是研究分析破译密码的学问密码学概述密码学的基本概念密码学的基本概念明文（plaintext）:未被隐蔽的消息密文（ciphertext）:隐蔽形式明文加密（encryption）:将明文变换成密文解密（decryption）:从密文恢复出明文加密算法:对明文加密采用的一组规则解密算法:对密文解密时采用的一组规则密钥（key）:控制加密和解密算法的数据单钥或对称密码体制（one-keyorsymmetriccryptosystem）:从一个易于得出另一个密码学概述密码分析:通过分析可能从截获的密文中推断出原来的明文的过程被动攻击（passiveattack）:对一个保密系统采取截获密文进行分析的这类攻击主动攻击（activeattack）:非法入侵者主动向系统干扰，采用删除、更改、增添、重放、伪造等方法向系统加入假消息认证系统（authenticationsystem）:使发送的消息具有被验证的能力，使接收者或第三者能够识别和确认消息的真伪，实现这类功能的密码系统密码学的基本概念密码学概述保密性:使截获者在不知道密钥的情况下不能解读密文的内容认证性:使任何不知道密钥的人不能构造出一个密报，使预定的接收者脱密成一个可理解的消息（合法的消息）完整性（integrity）:在有自然和认为干扰条件下，系统有鉴别和原来发送消息一致性的能力密码学的基本概念密码学概述加密系统的四个内容待加密的报文，即明文；加密后的报文，即密文；加密、解密装置或算法；用于加密和解密的钥匙，可以是数字、词汇或语句。 加密是在不安全的信息渠道中实现信息的安全传输的重要方法密码学概述常见的加密方法代码加密替换加密变位加密一次性密码簿加密密码学概述代码加密发送秘密消息的最简单做法，就是使用通信双方预先设定的一组代码。代码可以是日常词汇、专有名词或特殊用语，但都有一个预先设定的确切含义。它简单而有效，得到广泛的应用。例如:密文：黄姨白姐安全到家了明文：黄金和白银已经走私出境了代码简单好用，但只能传送一组预先设定好的信息密码学概述替换加密明文中的每个字母或字母被替换为另一个或一组字母。例如，下面的一组字母对应关系就构成了一个替换加密器。明文字母：ABCD…...密文字母：HGUA……替换加密器可以用来传达任何信息，但有时还不及代码加密安全。窃密者只要多搜集一些密文就能够发现其中的规律。密码学概述变位加密替换加密保持着明文的字符顺序，只是将原字符替换并隐藏起来。变位加密不隐藏原明文的字符，但却将字符重新排序。例如，加密方首先选择用一个数字表示的密钥，写成一行，然后把明文逐行写在数字下。按密钥中指示的顺序，逐列将原文抄写下来，就是加密后的密文。密钥：4168257390明文：来人已出现住在平安里密文：里人现平来住已在出安密码学概述一次性密码簿加密如要保持代码加密的可靠性，又保持替换加密器的灵活性，可以采用一次性密码簿进行加密。密码簿每一页都是不同的代码表。可以用一页上的代码来加密一些词，用后撕掉或毁掉；再用另一页上的代码加密另一些词，直到全部的明文全部被加密。破译密文的唯一办法，就是获得一份相同的密码簿。只可使用一次。如果密码使用多次，密文会呈现某种规律，也就有破密的可能。密码学概述加密算法凯撒密码每一字母向前推k位。例如k=5便有明文和密文对应关系如下:明文:abcdefghIjklmnopqrstuvwxyz密文:FGHIJKLMNOPQRSTUVWXYZABCDE则明文:datasecurityhasevolvedrapidly对应密文为：IFYFXJHZWNYDMFXJATQAJIWFUNIQD密码学概述密码分析密码分析是截收者在不知道解密密钥及通信者所采用的加密体制的细节条件下，对密文进行分析，试图获取机密信息研究分析解密规律的科学称密码分析学密码设计是利用数学来构造密码，而密码分析除了依靠数学、工程背景、语言学等知识外，还要靠经验、统计、测试、眼力、直觉判断能力……，有时还靠点运气。密码分析过程通常包括：分析（统计截获报文材料）、假设、推断和证实等步骤。密码学概述破译或攻击（break或attack）密码的方法穷举破译法分析法密码学概述穷举破译法（exhaustiveattackmethod穷举法又称作暴力法(bruteforcemethod），这是对截收的密报依次用各种可解的密钥试译，直到得到有意义的明文或在不变密钥下，对所有可能的明文加密直到得到与截获密报一致为止，此法又称为完全试凑法(completetrial-and-errormethod)密码学概述分析破译法确定性分析法:利用一个或几个己知量,如已知密文或明文－密文对,用数学关系式表示出所求未知量（如密钥等）。已知量和未知量的关系视加密和解密算法而定寻求这种关系是确定性分析法的关键步骤。统计分析法是利用明文的己知统计规律进行破译的方法。密码破译者对截收的密文进行统计分析，总结出其间的统计规律，并与明文的统计规律进行对照比较，从中提取出明文和密文之间的对应或变换信息。密码学概述几个主要加密算法Diffie-Hellman系统RSA系统CADESHashWLAN:WEP802.1x密码学概述什么是数字签名数字签名是数字签名机制用一种数学方法或一个密钥赋予消息或文件的唯一数值。数字签名是证明文件作者的身份和在文件从发送者到接收者的传输中没有被破坏的唯一数值。数字证书是代表文档的一个唯一性数值，是第三方检查和标识机构用来核实一个文件内容及出版商的可视化证据。密码学概述数字证书的工作原理

发送者首先把待发送的文件利用hash算法得到一个唯一的单向的hash值，然后用发送者私钥加密这个hash值产生数字证书，然后发送含有证书和发送者公钥的这个文件给接收者，接收者解出这个文件利用hash算法产生唯一的hash值，然后用发件人的公钥解密接收到的加密的hash值，然后对比这两个值。密码学概述公钥加密技术公钥（PublicKey）和私钥（PrivateKey）密钥是成对生成的，这两个密钥互不相同，两个密钥可以互相加密和解密不能根据一个密钥来推算得出另一个密钥公钥对外公开；私钥只有私钥的持有人才知道私钥应该由密钥的持有人妥善保管

介绍PKI加密技术对称密钥的加密算法:PKI系统可以快速生成一对互相耦合的密钥对。其中一个称为共有密钥；另一个称为私有密钥。PKI生成的密钥可以用作： 数据加密——共有密钥 数字签名——私有密钥数据加密发送方使用接收方的公钥加密数据当接收方使用自己的私钥解密这些数据数据加密能保证所发送数据的机密性数字签名发送方使用自己的私钥加密接收方使用发送方的公钥解密身份验证、数据的完整性、操作的不可否认性什么是证书2-1PKI系统中的数字证书简称证书它把公钥和拥有对应私钥的主体的标识信息（如名称、电子邮件、身份证号等）捆绑在一起证书的主体可以是用户、计算机、服务等证书可以用于很多方面Web用户身份验证Web服务器身份验证安全电子邮件Internet协议安全（IPSec）CA证书服务在实现网络中的DHCP主机地址动态分布和名称解析WINS和DNS服务以后，网络中的主机之间可以进行自由通信了。但是在彼此进行通信的时候，收发的数据是否安全成为我们关注的问题。要实现通信时的安全，需要：用于加密的密钥把密钥应用到收发的数据上的规则什么是证书2-2数字证书是由权威公正的第三方机构即CA签发的证书包含以下信息使用者的公钥值使用者标识信息（如名称和电子邮件地址）有效期（证书的有效时间）颁发者标识信息颁发者的数字签名

CA的作用CA的核心功能就是颁发和管理数字证书具体描述如下处理证书申请鉴定申请者是否有资格接收证书证书的发放证书的更新接收最终用户数字证书的查询、撤销产生和发布证书吊销列表（CRL）数字证书的归档密钥归档历史数据归档证书的发放过程3-1证书的发放过程3-21）证书申请用户根据个人信息填好申请证书的信息并提交证书申请信息2）RA确认用户在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性3）证书策略处理如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等4）RA提交用户申请信息到CARA用自己私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的证书的发放过程3-35）CA为用户生成密钥对，并用CA的签名密钥对用户的公钥和用户信息ID进行签名，生成电子证书这样，CA就将用户的信息和公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中6）CA将电子证书传送给批准该用户的RA7）RA将电子证书传送给用户（或者用户主动取回）8）用户验证CA颁发的证书确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发数字证书生成过程原文件Hash值加密过的hash值发送者的公钥原文件加密过的hash值发送者的公钥用发送者的私钥加密数字签名标识的文件从原文件经过hash算法产生hash值密码学概述利用数字证书检查文件比较一致性原文件Hash值加密过的hash值发送者的公钥原文件加密过的hash值发送者的公钥数字签名标识的文件用发送者的公钥解密加密的hash值Hash值密码学概述PublicKey数据加密数据在网络中加密传输23A78玲玲使用勇勇的公共密钥加密数据.1Data3A78勇勇使用自己的私有密钥加密数据3DataPublicKey数字签名信息在网络中明文传递2~*~*~*~玲玲使用自己的私有密钥签署文件数据1~*~*~*~~*~*~*~勇勇使用玲玲的公共密钥验证数据3Windows2003Certificate服务证书服务器是为网络中主机进行通信加密提供密钥对的服务。他以证书的形式向网络中的主机提供用于不同目的的密钥。公有密钥加密PlaintextCiphertextUser1PlaintextUser2Certification

AuthorityUser2’sPublicKeyUser2’sPrivateKey数字签名DigestFunctionUser1(Sender)PlaintextUser1’sPrivateKeyDigestEncryptedDigest123User2(Receiver)User1’sPublicKey46Compare5DigestFunction公有密钥加密证书体系结构RootCASubordinateCASubordinateCASubordinateCATrustTrustTrust实现和管理证书服务选择CertificateAuthority(CA)模式安装CertificateServices创建子CA备份和恢复CertificateServices选择CertificateAuthority模式企业根

CA

Atop-levelCAinacertificationhierarchythatsignsitsownCAcertificateandrequiresActiveDirectory.独立根CA

Atop-levelCAinacertificationhierarchythatdoesnotrequireActiveDirectory.企业子CA

AsubordinateCAthatobtainsitsCAcertificatefromanotherCAandrequiresActiveDirectory.独立子CA

AsubordinateCAthatobtainsitsCAcertificatefromanotherCAanddoesnotrequireActiveDirectory.1.在Windows组件中安装证书服务2.安装证书服务后，计算机名和域成员身