无线网络安全汇编.ppt

13.2.2 规划证书颁发机构 面向企业内网的所有用户或计算机颁发证书，应选择企业CA，前提是要建立Active Directory。 面向Internet，应选择独立CA。 13.2.3 安装证书服务器 安装前准备工作 确认计算机名称和域成员身份 Web注册必须依赖IIS组件，最好在证书服务器上安装IIS组件 安装证书服务组件（以独立根证书服务为例） 13.2.4 配置和管理证书颁发机构 证书颁发机构控制台 通过该控制台对证书颁发机构进行配置管理 查看证书颁发机构的证书 证书颁发机构本身需要证书 该证书为根CA证书，是自己颁发给自己的证书 13.2.5 在证书服务器端管理证书 审查证书申请和颁发证书 独立CA一般不自动颁发证书，由管理员负责验证证书申请者身份 管理员可查看审阅挂起的证书申请 拒绝证书申请或颁发证书 吊销证书 通过证书吊销将还未过期的证书强制作废 13.2.6 证书申请和注册 申请和安装用户证书（以Web在线申请为例） 13.3 基于SSL的安全网站 13.3.1 理解SSL协议 SSL协议（secure socket layer） 工作在网络传输层和应用层之间的安全套接字层。 采用公钥加密和私钥两种加密体制对服务器和客户端的通信提供保密性、数据完整性和身份认证服务。 13.3.1 理解SSL协议 SSL协议工作层次 SSL协议工作过程 13.3.1 理解SSL协议 SSL协议解决的关键问题 客户端对服务器的身份确认 服务器对客户的身份确认 在服务器和客户之间建立安全的数据通道 13.3.2 SSL安全网站解决方案 SSL网站安全目标 用户确认Web服务器（网站）的身份，防止假冒网站 在Web服务器和用户之间建立安全的数据通道，确保安全地传输敏感数据，防止数据被第三方非法获取 让Web服务器（网站）确认用户的身份，防止假冒用户 SSL网站安全软件 大多数Web服务器软件都支持SSL，如微软的IIS、Apache等 大多数Web浏览器软件都支持SSL 13.3.2 SSL安全网站解决方案 架设SSL安全网站的关键条件 需要从可信的证书颁发机构（CA）获取Web服务器证书并在Web服务器上安装 必须在Web服务器上启用SSL功能 如果要求对客户端（浏览器端）进行身份验证，客户端需要申请和安装用户证书 如果不要求对客户端进行身份验证，客户端必须与Web服务器信任同一证书认证机构，需要安装CA证书 13.4 基于S/MIME的安全电子邮件 13.4.1 理解S/MIME与安全电子邮件证书 电子邮件安全解决方案 S/MIME：适合商业用途 PGP：适用于个人电子邮件安全服务 S/MIME安全规范 依赖于安全电子邮件证书，能够实现电子邮件安全地发送和接收 13.4 基于S/MIME的安全电子邮件 13.4.2 配置安全电子邮件证书 注册安全电子邮件证书 申请安全电子邮件证书，邮件地址必须使用安全邮件账户中的地址 将证书安装到Outlook Express中 13.4 基于S/MIME的安全电子邮件 13.4.2 配置安全电子邮件证书 查验安全电子邮件证书 确认证书具有安全电子邮件功能 13.4 基于S/MIME的安全电子邮件 13.4.2 配置安全电子邮件证书 设置安全邮件账户 使邮件账户具备安全邮件的处理能力 13.4 基于S/MIME的安全电子邮件 13.4.3 邮件的数字签名和验证 发送签名邮件 只要具备自己的私钥，就可对邮件进行签名 13.4 基于S/MIME的安全电子邮件 13.4.3 邮件的数字签名和验证 验证签名邮件 使用发件人的公钥即可验证该邮件发件人的身份 13.4 基于S/MIME的安全电子邮件 13.4.4 邮件的加密和解密 获取收件人的数字标识 必须获取收件人的公钥证书 获取公钥的常用途径：让收件人发来带数字签名的邮件 13.4 基于S/MIME的安全电子邮件 13.4.4 邮件的加密和解密 发送加密邮件 使用收件人的公钥对邮件进行加密 解密加密邮件 收件人收到加密邮件后，使用自己的私钥解密邮件 13.4.5 邮件同时签名和加密 对邮件同时进行签名和加密，既能验证身份，又能防止邮件被篡改 13.4 基于S/MIME的安全电子邮件 13.4.5 邮件同时签名和加密 发送加密邮件 使用收件人的公钥对邮件进行加密 解密加密邮件 收件人收到加密邮件后，使用自己的私钥解密邮件 * 1.无线网络安全威胁及系统满足的需求 2.加密基本理论： 对称加密和非对称加密（公钥加密及应用） 3.数字证书及应用 4.无线网络认证技术 5.无线网络加密技术 无线网络安全基本理论 无线网络面临的威胁 MAC地址