PKI与网络安全要点.ppt

PKI 与 网 络 安 全 (当我们在网络上发送信息时,有被其他人截获或修改等行为攻击的可能) 本章主题: PKI概述 企业CA的安装与证书申请实例演示 独立根CA的安装与证书申请 独立从属CA的安装 证书管理 1.PKI概述: 什么是PKI(Pubic Key Cryptography)公钥基础设施? 也就是我们常说的”网络信息安全”中的”加密”. PKI提供了一下功能： 1、加密（Encryption）发送信息。 2、收到信息后，能验证信息是否确实是由你所发送过来的，同时还可以确认信息的完整性，就是看传输中是否被人动过手脚。 PKI根据公开密钥密码学来提供上述加密与身份验证的。而且用户需要一组密钥来支持此功能： 1、公开密钥：用户可以将他的公开密钥发送给其他用户。 2、私有密钥：是用户私有的，且存储在用户的计算机内，只有自己能够访问。 1.1公开密钥加密算法： 上面见的”公开加密法”有一组密钥：公开密钥和私有密钥。其中用公钥加密，用私钥解密。也叫“非对称”加密算法。还有一中加密与解密都用一个密钥，叫“对称”加密算法。 1.2证书认证机构（CA）： 用户除必须拥有公开密钥与私有密钥外，还必须申请证书(certification)或数字识别码（Digital ID),才可以使用公开密钥与私有密钥来执行加密与身份验证的工作．例如：开车除了有车外，还要有驾照。 而发放这个“驾照”的机构就是“证书认证机构”CA。 那用户的公钥和私钥是如何产生的呢？ 当我们申请证书的时候，必须输入些个人信息，它们将被发送到一个被称为“CSP”的程序，而CSP早已安装在用户的计算机内或要访问的设备内。 这时CSP就会自动建立一对密钥，其中将私有密钥放在用户计算机的注册表内，而证书和公钥发送到CA。当检查无误时，他会利用CA自己的私有密钥将要发放的证书加以签名，发放。用户将此证书放在自己的计算机内。 1.3CA的信任： 当用户利用CA发放的证书来发送有签名的邮件时，接收计算机必须信任此CA所发放的证书，否则将被看作有问题的邮件。 所以win2000/XP/2003等操作系统默认有一些知名的认证公司．但是要收费的！ 　　打开ＩＥ浏览器——工具——INTERNET选项——内容——证书——受信任的根证书颁发机构 如何架设自己的CA呢？ 什么是CA架构？ 也就是结构化后的CA，分为“根CA”（ROOT CA）从属CA（subordinate CA) 根CA ：处在系统的最上层，主要是用来发放证书给其他CA的，也就是从属CA。 从属CA：比较适合发放保护电子邮件安全的证书、提供网站安全传输的证书、来登陆域的智能卡证书等。当让也可以向再下一层从属CA。 那CA的种类有那些呢？ 1、企业根CA或企业从属CA：企业CA需要Active Directry,因此必须要建立域的网络环境．可以将ＣＡ安装在域控制器或成员服务器上。他的对象自然也就是域中的用户和计算机。 注：大多数情况他是用来发放证书给从属CA的 。 2、独立根CA或独立从属CA；他的扮演者可以是独立服务器、成员服务器或域控制器。所有用户、计算机都可以申请证书，但必须自行输入申请信息与所申请的证书。以为他不会向 Active Directry询问用户信息。 注：大多数情况他是用来发放证书给从属CA的 。 2.企业CA的安装与证书申请实例演示： 过程：1、安装证书服务并架设企业CA 2、域用户如何向企业CA申请证书 3、利用证书来发送经过签名与加密的电子邮件 4、企业从属CA的安装 2.1、安装证书服务并架设企业CA 添加删除程序—WINDOWS组件——证书服务 2.2域用户如何向企业CA申请证书： 方法一：利用“申请证书向导” 方法二：利用“WEB浏览器来申请” 先为用户设置好他们的邮箱。 方法一：利用“申请证书向导” 在客户端的MMC——添加删除管理单元——添加——证书 方法二：利用“WEB浏览器来申请” 在客户端打开IE——地址 http://IP地址或名称/certsrv 然后根据提示操作。 申请后，用户端查看申请结果： 打开IE——工具——Internet选项——内