Windows网络服务-PPT05-V1.0.ppt

* * * PKI（Public Key Infrastructure，公钥基础设施）是通过使用公钥技术和数字签名来确保信息安全，并负责验证数字证书持有者身份的一种技术。 PKI由公钥加密技术、数字证书、认证机构CA、注册机构RA等共同组成。 数字证书用于用户的身份验证。 认证机构CA是PKI的核心，负责管理PKI中所有用户（包括各种应用程序）的数字证书的生成、分发、验证和撤销。 RA（注册机构）接受用户的请求，负责将用户的有关申请信息存档备案，并存储在数据库中，等待审核，并将审核通过的证书请求发送给证书颁发机构。RA分担了CA的部分任务，使管理变得更方便。 PKI体系依据公钥加密技术具有以下特点。 身份验证：确认用户的身份标识。 数据完整性：确保数据在传输过程中没有被修改。 数据机密性：防止非授权用户获取数据。 操作的不可否认性：确保用户不能冒充其他用户的身份。 * 可以先讲解对称加密，从对称加密的缺点而引出公钥加密技术。 对称加密：用相同的密钥加密和解密。缺点是不安全，密钥一旦泄露，加密的数据也变得不安全。优点是处理速度快。 公钥与私钥的特点不需要深究为什么，如为什么是成对生成的，为什么不能根据一个密钥推算出另外一个密钥等，只需要让学员记住这是公钥与私钥的特点就可以了。 学员只有明白了公钥与私钥的特点，才能理解后面要讲解的加密和签名原理 * 发送方发送的是原文及用私钥加密的摘要信息 * SSL（Secure Socket Layer）安全套接字层 SSL使用PKI和X.509数字证书技术保护信息的传输，可确保数据在网络传输过程中不会被截取及窃听并且保证数据的完整性。目前的浏览器都支持SSL。 * 根据图示讲解证书发放的过程。 1.用户生成密钥对，根据个人信息填好申请证书的信息，并提交证书申请信息。 2.在企业内部网中，一般使用手工验证的方式，这样更能保证用户信息的安全性和真实性。 3.如果验证请求成功，那么，系统指定的策略就被运用到这个请求上，比如名称的约束、密钥长度的约束等。 4.RA用自己的私钥对用户申请信息签名，保证用户申请信息是RA提交给CA的。 5.CA用自己的私钥对用户的公钥和用户信息ID进行签名，生成电子证书。这样，CA就将用户的信息和公钥捆绑在一起了，然后，CA将用户的数字证书和用户的公用密钥公布到目录中。 6.CA将电子证书传送给批准该用户的RA。 7.RA将电子证书传送给用户（或者用户主动取回）。 8.用户验证CA颁发的证书，确保自己的信息在签名过程中没有被篡改，而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发。 * * CA的类型有两大类：企业CA和独立CA。 企业CA的主要特点如下。 企业CA需要AD服务，即计算机在活动目录中才可以使用。 当安装企业根CA时，对于域中的所有用户和计算机，都会被自动添加到受信任的根证书颁发机构的证书存储区中。 必须是域管理员，或是对AD具有写权限的管理员，才能安装企业根CA。 独立CA主要有下列特征。 独立CA不需要使用AD目录服务。独立CA可以在涉及Extranet和Internet时使用。 向独立CA提交证书申请时，证书申请者必须在证书申请中明确提供所有关于自己的标识信息以及所需的证书类型（向企业CA提交证书申请时无需提供这些信息，因为企业用户的信息已经在AD中）。 默认情况下，发送到独立CA的所有证书申请都被设置为挂起，直到独立CA的管理员验证申请者的身份并批准申请。这完全是出于安全性的考虑，因为证书申请者的凭证还没有被独立CA验证。 企业CA和独立CA中又分别可以分为根CA和从属CA（子级CA），两者的含义如下。 根CA是指在组织的PKI中最受信任的CA。一般情况下，根CA的物理安全性和证书颁发策略都比下级CA更严格。如果根CA的安全性受到威胁或者向未授权的机构颁发了证书，则组织中任何基于证书的安全性都会很容易受到攻击。虽然根CA也可以向最终用户颁发证书，但是在大多数情况中，根CA只是用于向其他CA（称为从属CA）颁发证书。 从属CA是由组织中的另一CA（一般是根CA）颁发证书的CA。通常，从属CA为特定的任务（如安全的电子邮件、基于Web的身份验证或智能卡验证）颁发证书，一般可以给用户和计算机颁发证书。从属CA还可以向其他更下级的CA颁发证书。 加密服务提供程序（CSP）：加密服务提供程序（CSP）是执行身份验证、编码和加密服务的程序，基于Windows的应用程序通过Microsoft加密应用程序编程接口（CryptoAPI）访问该程序。每个CSP提供不同的CryptoAPI，某些还提供更强大的加密算法，而另外一些则使用硬件组件（如智能卡）。加密服务提供程序列表中填充了计算机上满足以下配置选项组合所指定条件的所有可用提供程序。 哈希算