实验二PKI实验指导.docVIP

实验二 PKI 一、实验目的 1、加深对CA认证原理及其结构的理解； 2、掌握在Windows 2003 Server环境下独立根CA的安装和使用； 3、掌握证书服务的管理； 4.、掌握基于Web的SSL连接设置，加深对SSL的理解。 二、实验预习提示 1、PKI概述 公钥基础设施PKI（Public Key Infrastructure）是基于公开密钥体制理论和技术建立起来的安全体系，是提供信息安全服务的具有普适性的安全基础设施，它利用加密、数字签名、数字证书来保护应用、通信、事务处理的安全。其核心是解决网络空间中的信任问题，确定网络空间中重要信息的机密性和完整性，以及各行为主体身份的真实性、唯一性和不可否认性。PKI是目前网络安全建设的基础和核心，是实施电子商务、电子政务等的安全基本保障。 PKI的基本思路是信任关系的管理和实现信任关系的传递，这主要是通过可信第三方来实现的，在PKI中可信第三方称为认证中心CA（Certificate Authority）。PKI采用证书进行公钥管理，通过可信第三方即CA把用户的公钥和用户的其他标识信息捆绑在一起，作为可信第三方出示的证明，从而达到传递信任的目的。表2.8.1将现实世界和网络世界对安全的相关需求进行了对比。 表2.8.1 现实世界和网络世界的安全需求对比 信任类型 现实世界 网络世界 真实性 身份证、护照、信用卡、驾照 数字证书、数字签名 完整性 签名、支票、第三方证明 数字签名 保密性 保险箱、信封、警卫、密藏 加密 不可否认性 签名、挂号信、公证、邮戳 数字签名、时间戳 从上表可以看出，PKI技术能够提供真实性（身份认证）、完整性、保密性（机密性）和不可否认性4种基本的信息安全服务，因而能够满足人们对网络通信中信息安全保障的需求。PKI提供的4种主要基本信息安全服务概述如下： （1）真实性（身份认证）服务：为对付假冒攻击而提供对通信实体身份的真实性认证，实现有效鉴别通信双方的身份。 （2）完整性服务：防止信息在传输过程中被非法的第三方恶意篡改或者其他传输中的信息失真。 （3）保密性（机密性）服务：保证信息不泄露或不暴露给未授权实体；保证通信双方的信息保密；在信息交换过程中没有被窃听的危险；或者即使被窃听也无法得到原始信息的真实含义。 （4）不可否认性服务：防止实体对其行为的抵赖，从而保证实体对其行为的诚实性。 2、PKI的组成 PKI实际上是一套软/硬件行系统和安全策略的集合，它提供了一整套以证书为基础，通过信任关系传递来保证安全通信和电子商务交易的服务。数字证书是一个由可信的证书认证中心（CA）颁发并且CA数字签名的包含用户身份信息、用户公钥信息的数据文件。拥有者拥有证书公钥对应的私钥。由认证中心（CA）负责验证数字证书的有效性，以实现对用户身份的认证。数字证书认证技术采用加密传输和数字签名技术，可以较好地保障网上信息安全。可以把数字证书理解为网络世界的电子身份证，与现实世界的身份证类似，它能够证明个人、团体或设备的身份；除了包含所有者的公钥，还包含姓名、地址、公司、电话号码、Email地址等相关信息。 一个典型的PKI系统包括安全策略、PKI终端实体、PKI管理实体（认证机构CA和注册机构RA）、证书发布系统（存放数字证书和证书撤销列表的存储库）以及基于PKI的应用接口。PKI是一种以CA系统为核心，担负证书的创建、管理、存储、发布和撤销的一系列硬件、软件、人员、策略和过程的集合。 （1）PKI安全策略：PKI安全策略定义了组织机构在信息安全应用方面的指导方针和使用的方法和原则。一般有两种类型的策略：一种是证书/认证策略CP（Certification Practice），主要用于管理证书的使用，也定义了一个用户对其它用户数字证书信任的程度；另一种是证书实践上的声明/认证操作管理规范CPS（Certificate Practice Statement），这是证书发放机构需要的一个详细的文档，包含在实践中增强和支持安全策略的一些操作过程。 （2）认证机构CA：CA(Certificate Authority)是一个可信的第三方，是PKI系统的核心组成部分，同时也是PKI系统的信任基础，它管理着公钥的整个生命周期。CA的主要功能包括：发放证书，用数字签名绑定用户或系统的识别号和公钥；规定证书的有效期；通过发布证书废除列表（CRL）确保必要时可以废除证书等。 （3）注册机构RA：RA(Registration Authority)是CA委托的审核授权部门，提供了用户和CA之间的一个接口。RA的主要功能是负责受理证书的申请和注销，对用户提交的相关数据进行审核，并将审核通过后的数据传送到证书管理中心，进行证书签发、注销等作业。可以有多种不同的注册方式，比如面对面的，或者是通过