4_使用公共密钥基础结构配置网络安全.pdf

1 使用公共密钥基础结构 配置网络安全 目录 概述 介绍公共密钥基础结构 部署证书服务 使用证书 管理证书 为证书配置活动目录 排除证书服务的故障 附录 1 2 概述 组织机构的网络可能由 intranet、internet 和 extranet 组成。在这些网络中都 有潜在的危险存在，一些被未经授权且心怀歹意的个别人访问网络，企图篡改和 破坏网上数据信息。一个规划周密的公共密钥基础结构（PKI ）可以帮助组织机 构保护数据信息，并在机构范围内分布与管理验证凭证。Windows 2K/03 操作系 统包括一个本机的PKI，它的设计充分利用了Windows 2K/03 安全体系结构优点。 公钥基础结构（通常缩写为 PKI ）是指使用公钥加密检验和验证电子事务中 每一方有效性的数字证书、证书颁发机构 (CA) 和其他注册机构 (RA) 系统。 介绍公共密钥基础结构 （PKI） 在 windows 2003 中，可以将公共密钥的安全性用于很多领域的加密和身份 验证，包括智能卡验证、加密文件系统 EFS 和 internet 协议安全性 IPSes 。 注 ：windows 2003 中的PKI 支持由 internet engineering task force （IETF ）和 rsa data secutity inc 开发的标准。 参考页面： /technet/prodtechnol/windowsserver2003/zh-chs/librar y/ServerHelp/8ce4fc9c-b84e-49a4-8447-ea00d6a75aec.mspx?mfr=true 1、公共密钥加密技术 公共密钥加密技术使用两个密钥：加密密钥和解密密钥。（公共密钥加密技 术是一种使用两个密钥实现加密、解密的方法，这两个密钥不同，但在数学上彼 比相关联） 所谓密钥（Key）就是一个随机字符串与某种算法的联合应用。采用公共密 钥加密技术时，每一个用户有一对数学上相互关联的密钥，包括： 一个私用密钥（private key ）：用户自已保存 一个公共密钥（public key ）：可以完全公开在所有场合 注：在启用了 PKI 的功能程序中，已经提供了数据加密技术。所以在这样的 程序中使用上述密钥对用户来说是透明的。 加密的目标是以某种方式将数据信息变换成难以理解的代码，只有预期的用 户能够阅读它。 在一种典型的方案中，发送者利用接收者的公共密钥加密一个消息，只有该 接收者拥有用来解密该消息的私用密钥才能解密消息。同时，你的公钥可供他人 所用，他人就可以用你的共钥向你发送加密消息，这些消息只能利用你的私钥才 能被解密。 公共密钥加密技术的基本属性是：加密密钥和解密密钥采用是不同的方法， 而公钥的功能是单向的。当你用一个公钥加密文档时，明文被转换为密码文本。 解密密钥与加密密钥有关，但又不等于加密密钥。利用解密密钥将密码文本转换 回明文。如果窃密者截获了在传输过程中加密的消息，该消息因为是密码文本， 又没有私钥，所以是不可读的 2、公共密钥身份验证 3 公共密钥身份验证也使用一对密钥。 公共密钥身份验证技术是利用公共密钥密码系统，来验证和确认电子数据的 始发者的真实性，这些电子数据可能是电子邮件，电子商务或其它电子事务中。 与公共密钥加密技术类似，公共密钥身份验证也利用一对密钥。然而，它是利用 发送者的私用密钥加密消息，利用发送者的公共密钥解密消息，来验证和确认该 消息的发送者的有效性。这一私用密钥被叫做数字签名。数字签名将私钥和公钥 的角色交换了。 注：加密技术可以提供安全性和机密性，而数字签名可以确认信息的真