電子證書服務

1.實驗中的問題—證書效勞的安裝1、申請證書的兩種方法2、安裝證書效勞后不能使用Web方式訪問3、證書效勞中的兩個重要組件：“證書頒發(fā)機構〞組件、“證書〞組件4、證書的備份和復原5、證書的導入和導出6、證書的撤消2.第11章電子證書效勞3.本次課要點一、數(shù)字證書的必要性二、數(shù)字證書的現(xiàn)實應用三、簽名與加密四、案例4.一、數(shù)字證書的必要性進入互聯(lián)網角色之后，許多企業(yè)會經常遇到這樣的困惑：內部管理時怎樣在網上確認員工的身份？網上交易時對方發(fā)出的信息是否真實可信？網上納稅時怎樣有效的說明企業(yè)的身份？等等5.網絡中的主要平安隱患惡意中斷系統(tǒng)------破壞系統(tǒng)的有效性竊聽信息------------破壞系統(tǒng)的機密性篡改信息------------破壞系統(tǒng)的完整性假冒他人身份對貿易行為進行抵賴6.7.這或許是迄今為止對互聯(lián)網最精辟的概括和最流行的一句話，從另一個側面來理解說明了在互聯(lián)網上很難識別真實身份，這就給犯罪分子提供了可乘之機，使得現(xiàn)在的互聯(lián)網是越來越不平安，但是人們又越來越離不開互聯(lián)網了，怎么辦？如何解決用戶信息平安問題？8.解決方案解決上述網絡中信息平安問題的唯一可靠的解決方案是被多年來的實踐證明最有效的基于PKI(公鑰根底設施)的數(shù)字證書解決方案。9.二、數(shù)字證書的現(xiàn)實應用認證中心的根底設施數(shù)字證書的用途數(shù)字證書的現(xiàn)實應用數(shù)字證書的存放形式數(shù)字證書的分類數(shù)字證書的簽發(fā)10.認證中心的根底設置銀行網上服務商客戶/消費者證書中心CAINTERNETCA是電子商務的安全基礎設施11.12.證書的用途證書提供下述功能：效勞器身份驗證——利用證書為網絡中的客戶機鑒別效勞器客戶機身份驗證——利用證書為效勞器提供對客戶機的認證〔如：遠程訪問功能和智能卡身份驗證〕程序代碼簽署(數(shù)字簽名)——利用與密鑰對有關的證書簽署活動內容加密E-mail——平安電子郵件，利用與密鑰對有關的證書簽署電子郵件消息〔用于加密信函〕。EFS〔加密文件系統(tǒng)〕——利用與密鑰對有關的證書，加密和解密用于復原恢復加密數(shù)據(jù)的對稱密鑰。IPSec——利用與密鑰對有關的證書，加密基于IP層的傳輸。13.瀏覽器加密文件系統(tǒng)加密E-Mail數(shù)字標示智能卡數(shù)字簽名IPSEC14.數(shù)字證書的現(xiàn)實應用實現(xiàn)Web站點的平安連接數(shù)字簽名或加密電子郵件認證VPN效勞恢復加密文件系統(tǒng)加密PDF文檔實現(xiàn)網絡游戲的信息平安數(shù)字簽名網上銀行數(shù)字簽名網絡交易等等15.數(shù)字證書的存放形式１、存儲于硬盤上加解密速度快，使用方便２、備份在軟盤上方便備份，防止喪失３、IC卡，CPU卡保密性好，不易被冒充4、USB接口智能棒兼容性好，攜帶方便5、加密卡，加密機機密級別高對大量數(shù)據(jù)處理速度快16.電子鑰匙e－key17.數(shù)字證書的分類數(shù)字證書按用途可分為：

簽名證書、加密證書平安性表達在通過密碼技術，建立嚴密的身份認證系統(tǒng)和加解密的保密系統(tǒng)，能夠保證：信息除發(fā)送方和接收方外不被他人竊取信息在傳輸過程中不被篡改接收方能通過數(shù)字證書確認發(fā)送方身份發(fā)送方對于自己發(fā)送的信息不能抵賴18.數(shù)字證書的簽發(fā)Internet用戶個人信息用戶用戶個人信息公鑰CA私鑰加密機CA服務器1CA服務器2用戶證書用戶證書19.三、簽名證書和加密證書20.公共密鑰機密技術加密的目的：以某種方式將數(shù)據(jù)變得難懂，使得只有預期用戶能夠閱讀它。加密：通過數(shù)學運算將明文和加密密鑰結合起來，產生密文。解密：通過數(shù)學運算將密文和解密密鑰結合起來，產生明文。公共密鑰加密技術用到了兩個密鑰：加密密鑰和解密密鑰密鑰〔key〕：一個隨機字符串與某種算法的聯(lián)合使用。公共密鑰加密技術21.公共密鑰加密技術系統(tǒng)使用一對密鑰來完成對數(shù)據(jù)的加密解密：公共密鑰〔公鑰〕：是自由發(fā)布的，可以公開，以供他人向自己傳輸信息時加密使用。私用密鑰〔私鑰〕：在系統(tǒng)中保存，從不發(fā)布，只有擁有對應私鑰的本人才能解密，從而保證數(shù)據(jù)傳輸?shù)谋Ｃ苄浴?2.公共密鑰加密技術加密公鑰私鑰解密發(fā)送23.公共密鑰加密技術A加密B的公鑰B解密B的私鑰密文明文加密模型24.公共密鑰身份驗證〔使用密鑰對〕與公共密鑰加密技術類似，公共密鑰身份驗證也使用了密鑰對。但它不利用發(fā)送者的私用密鑰解密消息，而是利用發(fā)送者的公共密鑰鑒別和確認該消息的發(fā)送者的有效性。這一私用密鑰被稱為數(shù)字簽名。25.公共密鑰身份驗證數(shù)字簽名說明：加密技術可以提供平安性和機密性，而數(shù)字簽名可以確認信息的真實性和來源。數(shù)字簽名：一種由消息、文件或者其他數(shù)字化編碼信息的創(chuàng)立者將其身份標識和這些消息利用私鑰約束在一起的方法。數(shù)字簽名用于發(fā)送者的不可抵賴性，因為私鑰只有自己有，所以當接收者用你的公鑰解密后就可以證明是你無疑。數(shù)字簽名本身就是數(shù)據(jù)，因此它們可以與受保護的原數(shù)據(jù)一起進行傳輸，供接收者驗證。26.公共密鑰身份驗證數(shù)字簽名使用私鑰對簽名數(shù)據(jù)進行加密，可以確保到達下述目的：只有擁有私鑰的人才能進行數(shù)字簽名。任何人都可以通過相應的公鑰鑒別數(shù)字簽名的真?zhèn)?。如果對簽名后進行了數(shù)據(jù)的任何修改，數(shù)字簽名將失效。27.公共密鑰身份驗證HASH私鑰公鑰數(shù)字簽名數(shù)字簽名數(shù)字簽名HASH加密解密比較兩個消息摘要，證明消息未被篡改發(fā)送28.公共密鑰身份驗證A加密A的私鑰B解密A的公鑰密文明文認證模型明文29.四、商用CA免費案例1、客戶端個人證書的在線申請2、實用某個客戶端登陸演示系統(tǒng)30.1、客戶端個人證書的在線申請31.32.33.34.35.36.37.2、實用某個客戶端登陸演示系統(tǒng)38.39.40.41.42.43.44.45.46.47.48.五、案例分析案例一、EFS加密文件恢復案例二、簽名電子郵件案例三、Web站點的SSL平安連接49.案例一、EFS加密文件恢復案例：Windows系統(tǒng)下，某用戶利用EFS加密文件系統(tǒng)加密Windows系統(tǒng)下的文件，假設該用戶喪失，或重做系統(tǒng)，加密的文件將不能夠被訪問。請問，如何防止或解決該問題？50.案例一、EFS加密文件恢復實驗設計：步驟一、jw登錄，加密自己的文件，然后將自己的私鑰導出步驟二、將jw用戶刪除掉，查看能否訪問已經加密的文件步驟三、重建jw用戶并登陸，檢驗能否訪問已經加密的文件步驟四、在使用新建的jw用戶登陸的情況下，將步驟一導出的jw私鑰導入，然后訪問已經加密的文件，檢驗能否訪問成功51.案例二、簽名電子郵件案例要求：對某用戶的電子郵件執(zhí)行數(shù)字簽名和加密，使該用戶的電子郵件更平安且到達不可抵賴的目的。52.案例三、Web站點的SSL平安連接案例要求：通過證書效勞，使Web站點訪問更平安。53.小結數(shù)字證書的必要性數(shù)字證書的應用數(shù)字的案例54.習題一、填空題：數(shù)字簽名通常利用公鑰加密方法實現(xiàn)，其中發(fā)送者簽名使用的密鑰為發(fā)送者的_______。二、簡答題：1．對稱密鑰和非對稱密鑰的特點各是什么？2．什么是電子證書？3．證書的用途是什么？4．企業(yè)根CA和獨立根CA有什么不同？5．安裝Windows2000Server認證效勞的核心步驟是什么?6．證書與IIS結合實現(xiàn)Web站點的平安性的核心步驟是什么?55.實訓工程