网管员必读——网络安全第2版第八章.pptVIP

8.1 公钥基础结构（PKI）概述 PKI是通过使用公开密钥技术和数字证书来确保系统信息安全并负责验证数字证书持有者身份的一种体系。PKI让个人或企业安全地从事其商业行为。 PKI采用各参与方都信任一个同一CA（认证中心），由该CA来核对和验证各参与方身份的身份这种信任机制。 8.1.1公钥基础结构作用  公钥基础结构的作用因不同的应用环境有不同的体现。在广义的互联网应用方面，通过公钥基础结构（PKI），交易双方（可能是在线银行与其客户或者是雇主与其雇员）共同信任签发其数字证书的认证中心（CA）进行安全可信的商务交易。典型的作用是采用数字证书的应用软件和CA信任有相同的机制。 在一个单位内部，应用PKI的好处主要体现在：增加安全性、简化管理和满足其他安全需求这三个方面。详细内容参见书本P234页。 第1页/共20页 8.1.2 Windows Server 2003公钥基础结构 Windows Server 2003家族的公钥基础结构具有以下功能： 证书 证书基本上是颁发机构所颁发的证明证书持有人的身份的数字声明。证书将公钥与拥有相应私钥的个人、计算机或服务绑在一起。 证书服务 在Windows Server 2003 家族系统中，证书服务是用于创建和管理证书颁发机构（CA）的组件。CA负责建立和确定证件持有者的身份。 证书模板 证书是由CA根据证书申请中提供的信息和证书模板中包含的设置来颁发的。证书模板是针对接收到的证书申请应用的规则和设置的集合。 第2页/共20页 证书自动注册 让计算机自动向企业证书颁发机构提交证书申请并安装颁发的证书，这有助于确保计算机能获得在组织内执行公钥加密操作所需的证书。 Web注册页面 这些网页是证书服务的单独组件，是安装CA时默认安装的，并允许证书申请者使用Web浏览器递交证书申请。 智能卡支持 Windows支持通过智能卡上的证书进行登录，以及使用智能卡来存储证书和私钥。 公钥策略 在Windows中可以使用组策略自动给受领人分发证书，建立公共可信的证书颁发机构，以及为EFS（加密文件系统）管理恢复策略。 本节详细内容参见书本P235~P236页。 第3页/共20页 8.2 证书基础 公钥基础结构与计算机证书是两个息息相关的技术，但计算机证书技术的应用范围要比公钥基础结构技术更广。证书其实就是一种数字签名的声明，将公钥的值绑定到持有对应私钥的个人、设备或服务的身份。 8.2.1 证书概述 在微软的Windows系统中，证书是这样定义的：接收证书的实体是证书的“主题”，而证书的颁发者和签名者称为“证书颁发机构”。通常，证书包含以下信息： 主题的公钥值 主题标识符信息（如名称和电子邮件地址）。 有效期（证书的有效时间） 颁发者标识符信息本节详细内容参见书本P236页。 第4页/共20页 8.2.2 证书的应用 因为证书通常用来为实现安全的信息交换建立身份并创建信任。证书的应用主要体现在组织和个人应用两个方面。 在组织应用中，很多组织安装有自己的证书颁发机构，并将证书颁发给内部的设备、服务和雇员，以创建更安全的计算环境。这样，雇员的证书存储区中就可能有多个由各种内部证书颁发机构所颁发的证书，而所有这些证书颁发机构均通过到根证书颁发机构的证书路径共享一个信任连接。当雇员利用虚拟专用网（VPN）从家里登录到组织的网络时，VPN服务器可以提供服务器证书以向用户证实自己的身份。  在个人应用中，可以向商业证书颁发机构购买证书，以便发送经过安全加密或数字签名以证明真实性的个人电子邮件、向其他人传输重要文件。 本节详细内容参见书本P236~P238页。 第5页/共20页 8.2.3 证书颁发机构 当证书作为识别证书持有者（证书的“主题”）的方法递交给某个实体时，只有当收到该证书的实体信任颁发者（通常是指证书颁发机构（CA））时，证书才是有用的。当您信任证书颁发机构时，就意味着您相信证书颁发机构在评估证书请求时有正确的策略，并且它会拒绝将证书颁发给不符合这些策略的实体。此外，您还确信证书颁发机构会通过发布随时更新的证书吊销列表，撤消它认为已不再有效的证书。 对于Windows Server 2003用户、计算机和服务，在拥有受信根证书颁发机构存储区中的根证书副本，以及拥有表示证书路径中的证书没有取消或过期的有效证书路径时才会建立对证书颁发机构的信任。证书路径包括颁发给从属CA到根CA的证书层次中的每个CA的每份证书。 图7-1是一个典型的证书颁发机构组织结构图