《《windows系统安全》PPT课件.ppt》由会员分享,可在线阅读,更多相关《《windows系统安全》PPT课件.ppt(66页珍藏版)》请在三一办公上搜索。
1、七章:公钥基础结构PKI,PKI的功能PKI的组件数字证书PKI的发展现状windows 2000支持的PKI的特性,PKI(Public Key Infrastructure)是一系列基于公钥密码学之上,用来创建,管理,存储,分布和作废证书的软件,硬件集合。,PKI 的由来,在数字话的社会中,实体间建立信任管理的关键是能彼此确定对方的身份。,问题:Alice如何能够确认从网络上获取的Bob的公钥为真?,公钥加密通信存在的问题,中间人攻击,Alice,Bob,Mallory,Ka,Km,EKm(K,Bob),EKa(K,Bob),攻击的成功本质上在于Bob收到的Alice的公开密钥可能是攻击者
2、假冒的,即无法确定获取的公开密钥的真实身份,从而无法保证信息传输的保密性、不可否认性、数据交换的完整性。,为了解决这些安全问题,采用公钥基础设施PKI。PKI的核心是CA(Certificate Authority)。CA是受一个或多个用户信任,提供用户身份验证的第三方机构,承担公钥体系中公钥的合法性检验的责任。,PKI正成为安全体系结构的核心部分,有了它,许多标准的安全应用成为可能。例如:(1)安全电子邮件。(2)安全Web访问与服务。(3)虚拟专用网(VPN)。(4)安全路由器。(5)登录用户认证系统。(6)安全传输层协议SSL、TLS。(7)安全电子交易协议SET。(8)安全目录访问协议
3、与服务。,7.1、PKI(公钥基础结构)的功能,PKI能为网络用户建立安全通信信任机制。按照有无第三方可信机构参与,信任可划分为直接信任第三方的推荐信任,信任模式,直接信任:两个实体之间无须第三方介绍而直接建立起来的信任关系称为直接信任。,信任模式,第三方信任(推荐信任)是指两个实体以前没有建立起信任关系,但双方与共同的第三方有信任关系,第三方为两者的可信任性进行了担保,由此建立起来的信任关系。,信任模式,在PKI中,第三方的认证代理就是称谓的“认证中心”(CA)。一个认证中心是一个可信任的实体,通常是国家认定的权威机构。CA的核心职责就是审查认证某实体的身份,证明该实体是不是他所声称的实体,
4、然后由CA发放给实体数字证书,作为CA信任他的一种证明通过第三方信任,任何信任第三方的人便可以信任拥有有效证书的实体。,信任模式,证书将用户公钥和名字等其他信息绑定起来,CA使用它的签名私钥对证书信息进行数字签名。CA机构的数字签名使得攻击者不能伪造和篡改证书,CA不能否认它签名的证书(抗抵赖性)。,用户公钥和名字,CA签名,信任模式,如果两个CA交换密钥信息,这样每个CA都可以有效地验证另一方CA密钥的可信任性,我们称这样的过程为交叉认证。交叉认证是第三方信任的扩展。,PKI的功能PKI的组件数字证书PKI的发展现状windows 2000支持的PKI的特性,7.2、PKI的组件,PKI的组
5、件:证书签发机构(CA)证书注册机构(RA)证书库档案库用户密钥备份及恢复系统证书废除处理系统应用系统接口,功能管理密钥PKI方便了颁发新密钥、检查或吊销现有密钥,以及管理不同颁发者发行的密钥的信任程度发行密钥PKI为客户端明确定义了定位和获得公钥、以及查看某公钥是否有效的途径。如果不能获得公钥和知道它的有效性,用户就不能利用公钥服务。使用密钥PKI为用户提供了便于使用密钥的途径,它不仅将密钥至于用户需要的地方,而且还提供了执行公钥加密的便于使用的应用程序,使之能保障电子邮件、电子商务和网络的安全。,组件1:证书注册机构(RA),RA(Registration Authority)是CA面对用
6、户的窗口,它负责接收用户的证书申请,审核用户的身份RA也负责向用户发放证书,组件2:证书颁发机构(CA),CA(Certification Authority)是PKI的核心,CA通过签发证书将一个主体与其公钥进行捆绑公证CA有两个知名的属性:CA的名字和CA的公钥。功能CA执行4个基本的PKI功能:签发证书(例如:创建和签名);维持证书状态信息和签发CRL;发布它的当前(例如:期限未满)证书和CRL,因此用户可以获得他们需要实现安全服务的信息;维持有关到期证书的状态信息档案,CA类型企业根CA企业从属CA独立根CA独立从属CA,组件3:证书库,证书库是证书的集中存放地,用户可以从此处获得其他
7、用户的证书构造证书库可以采用X.500(目录标准),数据库等。,组件4:档案库,档案库是一个被用来解决将来争执的信息库,为CA承担长期存储文档信息的责任。档案的主要任务是储存和保护充足的信息来决定在一份旧的文档中数字签名是可以信任的。,组件5:密钥备份及恢复系统,如果用户的解密私钥丢失,则密文无法解密,造成数据丢失密钥的备份与恢复应由可信机构来完成密钥的备份与恢复只能针对解密私钥,签名私钥不能备份,组件6:证书废除处理系统,证书在有效期之内由于某些原因可能需要废除废除证书一般是将证书列入证书黑名单(CRL)来完成CRL一般存放在目录系统中,组件7:PKI应用系统接口,PKI的价值在于使用户能够
8、方便地使用加密,数字签名等安全服务一个完整的PKI必须提供良好的应用接口,使得各种应用能够以安全,一致,可信的方式与PKI交互,确保所建立起来的网络环境的可信性,PKI的功能PKI的组件数字证书PKI的发展现状windows 2000支持的PKI的特性,7.3、数字证书,证书结构证书存储标准证书的验证,1 x.509 数字证书,主体对象,由各种公钥安全服务和提供身份验证的应用程序、数据完整性和通过网络的安全通讯所使用。,2 windows中数字证书的存储标准,X.509标准 最基本的证书存储标准格式(DER,Based64)PKCS#7 标准 用来传输签名数据的标准格式PKCS#12标准 用来
9、传输证书和私钥的标准格式,个人信息交换(PKCS#12)业界格式,是Windows2000中支持的导出证书及相关私钥的唯一格式。证书用户EFS(加密文件系统)或EFS故障恢复才可导出私钥加密消息语法标准(PKCS#7)(不常见)允许将证书及证书路径中的所有证书从一台计算机传输到另一台计算机或可移动媒体上。扩展名为.p7bDER编码的二进制X.509可由不在Windows2000服务器上的证书颁发机构使用,因此它支持互操作性。扩展名为.cerBase64编码的X.509同上。,3 证书的验证,第一步:验证真实性。证书是否为可信任的CA认证中心签发?,证书真实性的验证是基于证书链验证机制的,证书链
10、,第二步:验证有效性。证书是否在证书的有效使用期之内。第三步:验证可用性。证书是否已废除?,证书有效性的验证是通过比较当前时间与证书截止时间来进行的。,证书可用性的验证是通过证书吊销机制来实现的。,CRL数据格式,PKI的功能PKI的组件数字证书PKI的发展现状windows 2000支持的PKI的特性,7.4国内PKI发展现状,国内现状-服务提供商,创原世纪国创科技信安科技吉大正元天威诚信国瑞数码,PKI的标准,ITU-T X.509PKIX文档(RFC)PKCS系列标准,X.509国际标准 idt ISO/IEC9594-8:1998 ITU-T Rcc.X.509:1997X.509是P
11、KI的雏形,PKI在X.509标准的基础上发展起来的。已经达到了标准化的最高水平,非常稳定X.509标准有三个版本,版本2和版本3是对版本1的扩展,目前常用的是版本3,PKCS系列标准,PKI的功能PKI的组件数字证书PKI的发展现状windows 2000支持的PKI的特性,7.5 Windows 支持的PKI的特性,证书证书服务(安装在 Server版上)创建和管理证书颁发机构的组件。个别组件是CA Web登记页面智能卡支持公钥策略可以使用组策略自动给计算机指派证书、建立证书信任列表和公用的信任证书颁发机构。,使用Windows 中的PKI,创建证书颁发机构(安装证书服务)为用户颁发证书证
12、书的导出和导入证书的吊销,安装证书服务,“控制面板”添加/删除程序”“添加/删除Windows组件”,证书颁发机构的类型企业根CA企业下级CA独立根CA独立下级CA企业CA和独立CA的区别企业根CA和企业下级CA需要Active Directory独立根CA和独立下级CA不需要Active Directory,选择高级选项加密服务提供服务密钥长度散列算法输入证书颁发机构标识信息指定数据库和配置存储位置只有在安装了独立的CA但没有Active Directory时,该选项才有效。默认为%SYSTEMROOT%system32certlog,安装证书服务,使用Windows 中的PKI,创建证书颁
13、发机构(安装证书服务)为用户颁发证书证书的导出和导入证书的吊销,为用户颁发证书-申请证书(1),使用证书申请向导只有在Windows域中可用的企业证书颁发机构才可以使用。只提供“加密服务提供程序”等可选的申请功能。打开”证书”管理单元选择证书存储区”所有任务”申请新证书”,在企业级的证书申请机构中,才能申请就获批,因为个人信息的真实性,可直接通过活动目录进行验证而独立的CA需要管理员认为的审核之后才可以获批。安装证书,就是把证书下载下来,安装在证书个人存储区里,为用户颁发证书-申请证书(2),使用Windows证书服务Web页即可用于企业证书颁发机构,也可用于独立颁发机构(不依赖于域)提供了更
14、多可选的申请功能将密钥标记为可导出、设置密钥长度,选择散列算法以及将申请保存到PKCS#10文件等。,使用Web浏览器访问http:/servername/certsrv,前提:启动IIS服务,为用户颁发证书-处理证书申请,处理证书申请当证书请求提交到企业证书颁发机构,它将被立即处理。当证书请求提交到独立证书颁发机构时,该证书被挂起,等待管理员的批准。,2000中企业证书机构与独立证书机构的区别,企业证书机构需要活动目录的(域环境),独立颁发机构不需要(工作组环境)用户申请证书时:企业用户既可使用证书申请向导,也可用WEB页。独立用户只能用WEB页。3.处理证书申请时:对企业证书机构是立即处理
15、,对独立证书机构请求将被挂起,直到管理员批准,使用Windows 2000中的PKI,创建证书颁发机构(安装证书服务)为用户颁发证书证书的导出和导入证书的吊销,证书和密钥的导出和导入,证书的吊销,证书为什么需要吊销证书受领人已离开单位证书受领人的私钥已泄露其他一些与安全相关的事件规定它不再需要将证书视为“有效”证书吊销列表(CRL)当证书被CA吊销时,它将被添加到该CA的证书吊销列表中。,证书的吊销-安排CRL的发布,CRL的发布期发布期是CA自动发布更新的CRL的时间间隔。CRL的有效期有效期是证书验证者将CRL视为权威的时间段只要证书验证者在其本地缓存中具有有效的CRL,它就不会尝试从发布
16、它的CA检索另一个CRL默认情况下,证书服务将发布期延长10%(最多可加12小时)来建立有效期。,CRL的发布和客户端的缓存,证书的使用方法,Web服务的安全用SSL加密IIS的传输E-mail的安全加密文件系统(EFS)IPSec证书智能卡登录数字签名,举例,EFS的恢复证书如果在客户端证书申请的界面上看不到”EFS故障恢复代理”证书模版需要让系统管理员授予用户对证书模板的访问权限来决定。,1、打开证书颁发管理模块/证书模版/管理,2 授予用户权限,客户端出现正常模版,小结,PKI:作用,组件。数字证书:结构,存储格式,证书验证CA的主要功能:证书的颁发,证书的更新,查询、吊销、归档CA的类型:企业根CA,企业从属CA,独立根CA和独立从属CAWindows 2000中PKI的支持:企业级的,独立级的。,
