网管必读书籍网络安全第8章.pptVIP

第八章 文件加密与数字签名 ;8.1 文件加密概述 ;8.1.2 选择加密的意义 ;8.1.3 代表性的数据加密标准;8.1.4 电子签名与数字签名 ;8.2 静态文件加密——EFS ; 使用EFS类似于使用文件和文件夹上的权限。两种方法都可用于限制数据的访问，然而未经许可对加密文件和文件夹进行物理访问的入侵者将无法阅读这些文件和文件夹中的内容。如果入侵者试图打开或复制已加密文件或文件夹，入侵者将收到拒绝访问消息。文件和文件夹上的权限不能防止未授权的物理攻击。 EFS采用高级的标准加密算法实现透明的文件加密和解密。任何不拥有合适密钥的个人或者程序都不能读取加密数据。即便是物理拥有驻留加密文件的计算机，加密文件仍然受到保护。甚至是有权访问计算机及其文件系统的用户，也无法读取这些数据。还应该采取其他防御策略，加密这种解决方法不是解决每种威胁的恰当对策，加密只是其他防御策略之外的又一种有力措施。 然而，任何一种防御工具，如果不能正确使用，也会带来潜在的危害。必须充分理解，妥善实施和有效管理EFS，确保用户提供技术支持的经验和希望保护的数据不受到破坏。  本节详细内容参见书本P280页。;8.2.2使用EFS加密文件时的注意事项 ;在允许进行远程加密的远程计算机上可以加密或解密文件及文件夹。然而，如果通过网络打开已加密文件，通过此过程在网络上传输的数据并未加密。 EFS加密不是发生在应用层，而是位于文件-系统层，因此对于用户和应用程序来说，加密和解密过程都是透明的。 文件加密使用对称密钥，该密钥本身使用公钥加密对的公钥进行加密。 EFS密钥依靠用户的密码来保护。如果Windows XP或Windows Server 2003家族远程服务器上存储加密文件，则请注意以下事项： Windows XP和Windows Server 2003家族支持远程服务器上加密文件的存储。 当两台计算机都是同一Windows Server 2003家族林的成员时，用户才能远程使用EFS。 加密的数据在网络上传输时是不加密的，只有当它存储在磁盘上时才是加密的。 加密的文件不能从Macintosh客户端访问。 目前不支持在智能卡上存储EFS证书和私钥，也不支持对EFS私钥进行强私钥保护。 管理员必须指定远程服务器为信任委派，用户才能对远程服务器上的文件进行加密。 本节详细内容参见书本P280~P282页。;8.2.3 EFS恢复的工作原理 ;8.3 使用EFS ;8.3.4 复制加密的文件夹或文件;8.4 数据恢复策略 ; EFS使用故障恢复策略（也称“数据恢复策略”）提供内置数据恢复。“故障恢复策略”是一种公钥策略，可提供用于指定为故障恢复代理的一个或多个用户帐户。 故障恢复策略是为单独的计算机在本地配置的。对于网络中的计算机，可以在域、部门或单独计算机级别上配置故障恢复策略，并将其应用到策略可应用的所有基于Windows XP和Windows Server 2003家族的计算机上。证书颁发机构（CA）颁发故障恢复证书，您可以使用Microsoft管理控制台（MMC）中的“证书”来管理它们。 在域中，当设置第一个域控制器时，Windows Server 2003家族执行该域的默认故障恢复策略，自行签署的证书将颁发给域管理员。该证书将域管理员指定为故障恢复代理。要更改域的默认故障恢复策略，须以管理员身份登录到第一个域控制器，可以将其他故障恢复代理添加到本策略中，并且可以随时删除原始故障恢复代理。 本节详细内容参见书本P288页。 【说明】8.4.2节的“更改本地计算机的故??恢复策略”和8.4.3节的“更改域的故障恢复策略”所涉及的具体配置方法参照书本P289~P292页。 ;8.5 数据恢复代理 ;8.5.3 添加其他恢复代理 ;8.7公钥基础结构在文件传输和数字签名方面的应用 ;8.7.1 动态文件加密原理 ;8.7.2 数字签名原理;8.9 电子签章 ;8.9.2 iSignature主要功能 ;8.9.3 数字证书简介 ; 一个标准的X.509 数字证书包含（但不限于）以下内容： 证书的版本信息； 证书的序列号，每个证书都有一个唯一的证书序列号； 证书所使用的签名算法； 证书的发行机构名称（命名规则一般采用X.500 格式）及其私钥的签名；证书的有效期； 证书使用者的名称及其公钥的信息。 在使用数字证书的过程中应用公开密钥加密技术，建立起一套严密的身份认证系统，可以实现： 除发送方和接收方外信息不被其他人窃取； 信息在传输过程中不被篡改； 接收方能够通过数字证书来确认发送方的身份； 发送方对于自己发送的信息不能抵赖。 【说明】8.9.4