數(shù)字證書服務課件

數(shù)字證書服務2022/12/19數(shù)字證書服務數(shù)字證書服務2022/12/13數(shù)字證書服務1安全的網絡信息最基本的3個特征1．機密性----2．完整性----3．可用性----信息僅能夠被授權的用戶得到信息不被未授權者篡改和破壞保證信息和信息系統(tǒng)隨時為授權者服務概括起來，安全的網絡信息就是指授權的用戶可以訪問到完整的信息。數(shù)字證書服務安全的網絡信息最基本的3個特征1．機密性----信息僅能夠被2采用對網上傳輸?shù)男畔?/p>

進行加密的方式信息的發(fā)送方對要傳輸?shù)男畔⑦M行加密，在Internet上傳輸?shù)男畔⑹羌用芎蟮男畔?。信息的接受方收到加密后的信息進行解密，還原成原來的信息，這就是網絡信息加密技術的原理。數(shù)字證書服務采用對網上傳輸?shù)男畔?/p>

進行加密的方式信息的發(fā)送方對要傳輸?shù)男?常規(guī)加解密技術加密算法解密算法Internet/Intranet明文明文密文傳送發(fā)送方/接受方共同的密鑰發(fā)送方/接收方共同的密鑰發(fā)送方接收方數(shù)字證書服務常規(guī)加解密技術加密算法解密算法Internet/Intran4常規(guī)加解密技術的名詞明文：未被加密的信息密文：被加密后的信息加密：使用某種方法偽裝信息以隱藏其內容的過程，把明文轉變?yōu)槊芪摹＝饷埽喊衙芪霓D變?yōu)槊魑牡倪^程。加密算法：對明文進行加密時采用的一組算法解密算法：對密文進行解密時采用的一組規(guī)則加密密鑰：加密過程中使用的密鑰解密密鑰：解密過程中使用的密鑰常規(guī)加解密技術中，接受方和發(fā)送方使用同樣的密鑰，加密密鑰和解密密鑰完全相同。數(shù)字證書服務常規(guī)加解密技術的名詞明文：未被加密的信息常規(guī)加解密技術中，接5網絡信息安全的新需求1．身份認證和鑒別:對信息傳輸?shù)碾p方進行身份認證和鑒別，需要某種機制來證明雙方的真實身份。2．不可否認性:信息的發(fā)送方必須對自己的操作承擔責任，不可否認。3．數(shù)字簽名:日常生活中，通信雙方為了解決抵賴和欺騙的問題，會在文檔上進行手寫簽名，把這個原理用在網絡上就是數(shù)字簽名。數(shù)字簽名的目的：用于證明是作者的簽名、簽名日期和時間；在簽名的同時對內容的真?zhèn)芜M行鑒別；簽名能夠被公正、權威的第三方進行仲裁。數(shù)字證書服務網絡信息安全的新需求1．身份認證和鑒別:對信息傳輸?shù)碾p6公鑰加密技術公鑰加解密技術的結構：每個網絡用戶有兩個密鑰，稱為公鑰和私鑰。在信息的發(fā)送和接受過程中，使用一個密鑰加密，使用另一個密鑰解密，同一個用戶的兩個密鑰可以互相加解密，但這兩個密鑰相互之間很難相互推導得出。公鑰：稱為公開密鑰，可以向其他用戶公開私鑰：稱為私有密鑰，是用戶自己擁有，不能公開。數(shù)字證書服務公鑰加密技術公鑰加解密技術的結構：數(shù)字證書服務7公鑰結構的保密通信原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰要進行保密通信，發(fā)送方使用接收方的公鑰對明文進行加密，接受方使用自己的私鑰對密文進行解密。由于只有接收方才能對由自己的公鑰加密的信息解密，因此可以實現(xiàn)保密通信。數(shù)字證書服務公鑰結構的保密通信原理加密算法解密算法Internet/In8公鑰結構的鑒別通信的原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰要進行鑒別通信，發(fā)送方使用自己的私鑰對明文進行加密，接收方使用發(fā)送方的公鑰對密文進行解密。接收方使用發(fā)送方的公鑰進行解密，可以確信信息是由發(fā)送方加密的，也就可以鑒別了發(fā)送方的身份。數(shù)字證書服務公鑰結構的鑒別通信的原理加密算法解密算法Internet/I9公鑰結構的鑒別+保密通信的原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰發(fā)送方先使用自己的私鑰對明文進行加密，然后使用接收方的公鑰進行加密。接收方先使用發(fā)送方的公鑰進行解密，然后使用自己的私鑰進行解密，這樣就實現(xiàn)了鑒別和保密通信。數(shù)字證書服務公鑰結構的鑒別+保密通信的原理加密算法解密算法Interne10數(shù)字證書的PKI解決方案PKI(PublicKeyInfrastructure公鑰結構)是利用公鑰加解密技術來實現(xiàn)信息安全的技術，代表了當今世界網絡安全技術的最高水平。PKI方案的核心就是數(shù)字證書。數(shù)字證書服務數(shù)字證書的PKI解決方案PKI(PublicKeyInf11數(shù)字證書在Internet上從事一些需要保密的業(yè)務時必備的“個人身份證”，有權威機構發(fā)行，在網絡通信中標志通信各方身份的一系列數(shù)據。網絡上通信各方向PKI的數(shù)字證書頒發(fā)機構申請數(shù)字證書，通過PKI系統(tǒng)建立的一套嚴密的身份認證系統(tǒng)來保證：1． 信息除發(fā)送方和接受方外不被其他人截取2． 信息在傳輸過程中不被篡改3． 發(fā)送方能夠通過數(shù)字證書來確認接受方的身份4． 發(fā)送方對于自己的信息不能抵賴數(shù)字證書服務數(shù)字證書在Internet上從事一些需要保密的業(yè)務時必備的“12數(shù)字證書的格式版本、序列號、簽名算法、頒發(fā)者、使用者、標識、有效期。數(shù)字證書服務數(shù)字證書的格式版本、序列號、簽名算法、頒發(fā)者、使用者、標識、13數(shù)字證書的原理公鑰公鑰私鑰私鑰數(shù)字證書采用公鑰機制，證書頒發(fā)機構提供的程序為用戶產生一對密鑰，一把是公開的公鑰，它將在用戶的數(shù)字證書中公布并寄存于數(shù)字證書認證中心。另一把是私人的私鑰，它將存放在用戶的計算機上。數(shù)字證書認證中心CA(CertificateAgency)數(shù)字證書認證中心CA證書申請與頒發(fā)證書申請與頒發(fā)數(shù)字證書服務數(shù)字證書的原理公鑰公鑰私鑰私鑰數(shù)字證書采用公鑰機制，證書頒發(fā)14PKI解決方案實例----Internet電子商務解決方案售物方和購物方向CA中心申請用戶證書電子商務服務器向CA中心申請服務器證書售物方和購物方的開戶銀行向CA中心申請服務器證書。數(shù)字證書服務PKI解決方案實例----Internet電子商務解決方案售15PKI的發(fā)展情況美國的猶他州于1995年頒布的《數(shù)字簽名法》是全世界范圍內第一部全面規(guī)范電子簽名的法律。美國2000年開始實行《數(shù)字簽名法》，數(shù)字簽名法具有法律效率。美國目前已經建立了覆蓋全國的PKI網絡，聯(lián)邦、州和大型企業(yè)之間的PKI實現(xiàn)了橋接。歐洲各國已經建立了自己的PKI。2001年歐盟建立了橋接的CA，2002年歐盟開始實行《數(shù)字簽名法》。亞洲范圍內的日本、韓國和新加坡在PKI建設方面起步較早，這3個國家目前已經實現(xiàn)了交叉認證。數(shù)字證書服務PKI的發(fā)展情況美國的猶他州于1995年頒布的《數(shù)字簽名法》16我國的電子簽名法我國的立法從2002年開始的，最初的定位是行政法規(guī)，但在網絡經濟迅猛發(fā)展的背景下，國務院決定直接將該立法的層級提高為法律。在對原來起草的條例內容進行了修改后，形成了《中華人民共和國電子簽名法(草案)》。2004年3月24日，在溫家寶總理主持的國務院常務會議上，《電子簽名法(草案)》獲得原則通過，隨即被提交全國人大討論。4月2日，十屆全國人大常委會第八次會議第一次對該法進行了審議，6月21日，十屆全國人大常委會第十次會議再次對該草案進行了審議。2004年8月28日中華人民共和國第十屆全國人民代表大會常務委員會第十一次會議通過了《中華人民共和國電子簽名法》，并于2005年4月1日起施行。數(shù)字證書服務我國的電子簽名法我國的立法從2002年開始的，最初的定位是行17在Windows2003Server上的數(shù)字證書服務①證書服務的安裝---添加刪除組件②CA的配置---控制面板/管理工具/證書頒發(fā)機構③CA的啟動與關閉---證書頒發(fā)機構/操作/所有任務④CA的備份與還原---證書頒發(fā)機構/操作/所有任務⑤向CA申請數(shù)字證書---證書頒發(fā)機構/掛起的申請⑥頒發(fā)數(shù)字證書---http://yourserver/CertSrv數(shù)字證書服務在Windows2003Server上的數(shù)字證書服務①18網站加密—SSL站點只要瀏覽器和Web服務器都配置成使用SSL(SecureSocketLayer安全套接層)，就可以在傳輸層實現(xiàn)網絡信息安全。SSL會話----通信雙方就通信規(guī)則達成一致就是一個SSL會話，會話由SSL握手協(xié)議完成，定義加密安全參數(shù)的集合。SSL連接----利用會話參數(shù)進行的一次實際的數(shù)據傳輸過程。數(shù)字證書服務網站加密—SSL站點只要瀏覽器和Web服務器都配置成使用SS19基于SSL的一個完整的

Web訪問過程1.客戶機瀏覽器的數(shù)字證書和公鑰2.服務器的數(shù)字證書和公鑰3.用服務器的公鑰加密信息4.用服務器的私鑰解密信息5.用客戶機瀏覽器的公鑰加密會話密鑰6.用客戶機瀏覽器的私鑰解密信息7.用會話密鑰加密傳輸?shù)臄?shù)據客戶端服務器數(shù)字證書服務基于SSL的一個完整的

Web訪問過程1.客戶機瀏覽器的數(shù)字20公鑰、私鑰和會話密鑰的關系只要Web服務器和客戶機瀏覽器使用的數(shù)字證書不變，它們的公鑰和私鑰就不變，而每次會話的會話密鑰會改變。會話密鑰的不斷變化，使信息的破譯難度加大，確保信息的安全。使用SSL協(xié)議通信，獲得的數(shù)字證書中的公鑰用于安全傳遞會話密鑰，每次產生的不同的會話密鑰才是對傳輸數(shù)據進行真正的加密和解密，因此SSL的通信是常規(guī)加解密技術和公鑰加解密技術的融合。數(shù)字證書服務公鑰、私鑰和會話密鑰的關系只要Web服務器和客戶機瀏覽器使用21在Windows2003Server上構建SSL的Web站點①生成Web服務器數(shù)字證書申請文件---IIS管理/默認網站/屬性/目錄安全性/服務器證書②申請Web服務器數(shù)字證書---http://YourServer/CertSrv高級證書申請③頒發(fā)Web服務器數(shù)字證書---證書頒發(fā)機構/掛起的申請④獲取Web服務器數(shù)字證書---http://YourServer/CertSrv下載CA證書⑤安裝Web服務器數(shù)字證書---IIS管理/默認網站/屬性/目錄安全性/服務器證書/Web服務器存在掛起的證書請求⑥在Web服務器上設置SSL---IIS管理/默認網站/屬性/目錄安全性/編輯數(shù)字證書服務在Windows2003Server上構建SSL的Web22演講完畢，謝謝聽講!再見，seeyouagain3rew2022/12/19數(shù)字證書服務演講完畢，謝謝聽講!再見，seeyouagain3rew23數(shù)字證書服務2022/12/19數(shù)字證書服務數(shù)字證書服務2022/12/13數(shù)字證書服務24安全的網絡信息最基本的3個特征1．機密性----2．完整性----3．可用性----信息僅能夠被授權的用戶得到信息不被未授權者篡改和破壞保證信息和信息系統(tǒng)隨時為授權者服務概括起來，安全的網絡信息就是指授權的用戶可以訪問到完整的信息。數(shù)字證書服務安全的網絡信息最基本的3個特征1．機密性----信息僅能夠被25采用對網上傳輸?shù)男畔?/p>

進行加密的方式信息的發(fā)送方對要傳輸?shù)男畔⑦M行加密，在Internet上傳輸?shù)男畔⑹羌用芎蟮男畔?。信息的接受方收到加密后的信息進行解密，還原成原來的信息，這就是網絡信息加密技術的原理。數(shù)字證書服務采用對網上傳輸?shù)男畔?/p>

進行加密的方式信息的發(fā)送方對要傳輸?shù)男?6常規(guī)加解密技術加密算法解密算法Internet/Intranet明文明文密文傳送發(fā)送方/接受方共同的密鑰發(fā)送方/接收方共同的密鑰發(fā)送方接收方數(shù)字證書服務常規(guī)加解密技術加密算法解密算法Internet/Intran27常規(guī)加解密技術的名詞明文：未被加密的信息密文：被加密后的信息加密：使用某種方法偽裝信息以隱藏其內容的過程，把明文轉變?yōu)槊芪摹＝饷埽喊衙芪霓D變?yōu)槊魑牡倪^程。加密算法：對明文進行加密時采用的一組算法解密算法：對密文進行解密時采用的一組規(guī)則加密密鑰：加密過程中使用的密鑰解密密鑰：解密過程中使用的密鑰常規(guī)加解密技術中，接受方和發(fā)送方使用同樣的密鑰，加密密鑰和解密密鑰完全相同。數(shù)字證書服務常規(guī)加解密技術的名詞明文：未被加密的信息常規(guī)加解密技術中，接28網絡信息安全的新需求1．身份認證和鑒別:對信息傳輸?shù)碾p方進行身份認證和鑒別，需要某種機制來證明雙方的真實身份。2．不可否認性:信息的發(fā)送方必須對自己的操作承擔責任，不可否認。3．數(shù)字簽名:日常生活中，通信雙方為了解決抵賴和欺騙的問題，會在文檔上進行手寫簽名，把這個原理用在網絡上就是數(shù)字簽名。數(shù)字簽名的目的：用于證明是作者的簽名、簽名日期和時間；在簽名的同時對內容的真?zhèn)芜M行鑒別；簽名能夠被公正、權威的第三方進行仲裁。數(shù)字證書服務網絡信息安全的新需求1．身份認證和鑒別:對信息傳輸?shù)碾p29公鑰加密技術公鑰加解密技術的結構：每個網絡用戶有兩個密鑰，稱為公鑰和私鑰。在信息的發(fā)送和接受過程中，使用一個密鑰加密，使用另一個密鑰解密，同一個用戶的兩個密鑰可以互相加解密，但這兩個密鑰相互之間很難相互推導得出。公鑰：稱為公開密鑰，可以向其他用戶公開私鑰：稱為私有密鑰，是用戶自己擁有，不能公開。數(shù)字證書服務公鑰加密技術公鑰加解密技術的結構：數(shù)字證書服務30公鑰結構的保密通信原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰要進行保密通信，發(fā)送方使用接收方的公鑰對明文進行加密，接受方使用自己的私鑰對密文進行解密。由于只有接收方才能對由自己的公鑰加密的信息解密，因此可以實現(xiàn)保密通信。數(shù)字證書服務公鑰結構的保密通信原理加密算法解密算法Internet/In31公鑰結構的鑒別通信的原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰要進行鑒別通信，發(fā)送方使用自己的私鑰對明文進行加密，接收方使用發(fā)送方的公鑰對密文進行解密。接收方使用發(fā)送方的公鑰進行解密，可以確信信息是由發(fā)送方加密的，也就可以鑒別了發(fā)送方的身份。數(shù)字證書服務公鑰結構的鑒別通信的原理加密算法解密算法Internet/I32公鑰結構的鑒別+保密通信的原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰發(fā)送方先使用自己的私鑰對明文進行加密，然后使用接收方的公鑰進行加密。接收方先使用發(fā)送方的公鑰進行解密，然后使用自己的私鑰進行解密，這樣就實現(xiàn)了鑒別和保密通信。數(shù)字證書服務公鑰結構的鑒別+保密通信的原理加密算法解密算法Interne33數(shù)字證書的PKI解決方案PKI(PublicKeyInfrastructure公鑰結構)是利用公鑰加解密技術來實現(xiàn)信息安全的技術，代表了當今世界網絡安全技術的最高水平。PKI方案的核心就是數(shù)字證書。數(shù)字證書服務數(shù)字證書的PKI解決方案PKI(PublicKeyInf34數(shù)字證書在Internet上從事一些需要保密的業(yè)務時必備的“個人身份證”，有權威機構發(fā)行，在網絡通信中標志通信各方身份的一系列數(shù)據。網絡上通信各方向PKI的數(shù)字證書頒發(fā)機構申請數(shù)字證書，通過PKI系統(tǒng)建立的一套嚴密的身份認證系統(tǒng)來保證：1． 信息除發(fā)送方和接受方外不被其他人截取2． 信息在傳輸過程中不被篡改3． 發(fā)送方能夠通過數(shù)字證書來確認接受方的身份4． 發(fā)送方對于自己的信息不能抵賴數(shù)字證書服務數(shù)字證書在Internet上從事一些需要保密的業(yè)務時必備的“35數(shù)字證書的格式版本、序列號、簽名算法、頒發(fā)者、使用者、標識、有效期。數(shù)字證書服務數(shù)字證書的格式版本、序列號、簽名算法、頒發(fā)者、使用者、標識、36數(shù)字證書的原理公鑰公鑰私鑰私鑰數(shù)字證書采用公鑰機制，證書頒發(fā)機構提供的程序為用戶產生一對密鑰，一把是公開的公鑰，它將在用戶的數(shù)字證書中公布并寄存于數(shù)字證書認證中心。另一把是私人的私鑰，它將存放在用戶的計算機上。數(shù)字證書認證中心CA(CertificateAgency)數(shù)字證書認證中心CA證書申請與頒發(fā)證書申請與頒發(fā)數(shù)字證書服務數(shù)字證書的原理公鑰公鑰私鑰私鑰數(shù)字證書采用公鑰機制，證書頒發(fā)37PKI解決方案實例----Internet電子商務解決方案售物方和購物方向CA中心申請用戶證書電子商務服務器向CA中心申請服務器證書售物方和購物方的開戶銀行向CA中心申請服務器證書。數(shù)字證書服務PKI解決方案實例----Internet電子商務解決方案售38PKI的發(fā)展情況美國的猶他州于1995年頒布的《數(shù)字簽名法》是全世界范圍內第一部全面規(guī)范電子簽名的法律。美國2000年開始實行《數(shù)字簽名法》，數(shù)字簽名法具有法律效率。美國目前已經建立了覆蓋全國的PKI網絡，聯(lián)邦、州和大型企業(yè)之間的PKI實現(xiàn)了橋接。歐洲各國已經建立了自己的PKI。2001年歐盟建立了橋接的CA，2002年歐盟開始實行《數(shù)字簽名法》。亞洲范圍內的日本、韓國和新加坡在PKI建設方面起步較早，這3個國家目前已經實現(xiàn)了交叉認證。數(shù)字證書服務PKI的發(fā)展情況美國的猶他州于1995年頒布的《數(shù)字簽名法》39我國的電子簽名法我國的立法從2002年開始的，最初的定位是行政法規(guī)，但在網絡經濟迅猛發(fā)展的背景下，國務院決定直接將該立法的層級提高為法律。在對原來起草的條例內容進行了修改后，形成了《中華人民共和國電子簽名法(草案)》。2004年3月24日，在溫家寶總理主持的國務院常務會議上，《電子簽名法(草案)》獲得原則通過，隨即被提交全國人大討論。4月2日，十屆全國人大常委會第八次會議第一次對該法進行了審議，6月21日，十屆全國人大常委會第十次會議再次對該草案進行了審議。2004年8月28日中華人民共和國第十屆全國人民代表大會常務委員會第十一次會議通過了《中華人民共和國電子簽名法》，并于2005年4月1日起施行。數(shù)字證書服務我國的電子簽名法我國的立法從2002年開始的，最初的定位是行40在Windows2003Server上的數(shù)字證書服務①證書服務的安裝---添加刪除組件②CA的配置---控制面板/管理工具/證書頒發(fā)機構③CA的啟動與關閉---證書頒發(fā)機構/操作/所有任務④CA的備份與還原---證書頒發(fā)機構/操作/所有任務⑤向CA申請數(shù)字證書---證書頒發(fā)機構/掛起的申請⑥頒發(fā)數(shù)字證書---http://yourserver/CertSrv數(shù)字證書服務在Windows2003Server上的數(shù)字證書服務①41網站加密—SSL站點只要瀏覽器和Web服務器都配置成使用SSL(SecureSocketLayer安全套接層)，就可以在傳輸層實現(xiàn)網絡信息安全。SSL會話----通信雙方就通信規(guī)則達成一致就是一個SSL會話，會話由SSL握手協(xié)議完成，定義加密安全參數(shù)的集合。SSL連接-