《项目14使用PKI和证书服务实现传输安全.ppt》由会员分享,可在线阅读,更多相关《项目14使用PKI和证书服务实现传输安全.ppt(34页珍藏版)》请在三一办公上搜索。
1、Windows Server 2008网络组建项目化教程,课程标准(教学大纲)教学设计方案(教案)PPT电子课件教材习题参考答案模拟试卷及参考答案(4套)IT认证+全国技能大赛资料知识拓展&网络工程解决方案,主编:夏笠芹 方颂,“十二五”职业教育国家规划教材选题立项教材附带的光盘资源,随着电商时代的到来,人们在享用Interne带来的好处时,形式多样的安全威胁也越来越突出,保护传送数据的需求也越来越强烈。在今天的Internet上,最常见的安全是通过使用数字证书实现的。数字证书可以在一个不信任的网络上辨识一个客户和服务器,并且可以加密数据的 传输。,项目背景,项目14 使用PKI和证书实现传输
2、安全,项目14 使用PKI和证书实现传输安全,知识目标了解:PKI的概念,数字证书的作用和意义熟悉:证书的发放过程,企业CA的管理掌握:证书服务的安装,在Web服务器上设置SSL,数字证书的申请、安装及导入导出的过程能力目标能进行证书服务的安装,能在Web服务器上设置SSL。会申请、安装、导入和导出免费个人数字证书。会用证书和outlook Express软件对电子邮件进行数字签名和数据加密,教学目标,14.2 项目知识准备,PKI(Public Key Infrastructure,公钥基础结构)是指在分布式计算环境中,根据公开密钥理论及算法,使用公钥加密、数字签名、数字证书等技术来确保网上
3、信息的传输安全并负责验证证书持有者身份的一种安全服务体系。典型的PKI体系应该包括以下四个组件:公钥加密技术数字证书:用于用户的身份验证证书颁发机构(CA):CA是一个可信任的实体,负责发布、更新和吊销证书注册机构(RA):RA拥有接受用户的请求等功能,14.2.1 认识PKI(公钥基础结构),14.2 项目知识准备,PKI体系能够实现的功能有:身份验证:确认用户的身份标识。数据完整性:是指数据在传输过程中不能被非法篡改。数据机密性:是指数据在传输过程中,不能被非授权者偷看。数据的有效性:是指数据不能被否认。操作的不可否认性。,14.2.1 认识PKI(公钥基础结构),14.2 项目知识准备,
4、1对称密钥加密技术(传统加密技术)加密变换使用的密钥和解密变换使用的密钥相同优点:具有密钥较短,加密效率高,系统开销小,加解密速度快,适合于大规模和大流量数据加密等。不足:收发双方都使用相同密钥,安全性得不到保证。密钥的维护量大管理困难,使用成本较高。,14.2.2 信息加密技术及分类,14.2 项目知识准备,2非对称密钥加密技术(公钥加密技术)加密密钥和解密密钥不是同一个优点:密钥管理很简单不足:加解密速度较慢,不适应大数据量加解密作业。根据两种密钥使用的先后顺序的不同,非对称加密技术分为数据加密和数字签名。,14.2.2 信息加密技术及分类,14.2 项目知识准备,(1)数据加密(先用公钥
5、加密后用私钥解密)传输数据时,发送方使用接收方的公钥加密数据,并将它传送。当接收方收到数据后,使用自己的私钥解密这些数据。数据加密确保只有预期的接收者才能解密和查看原始数据,从而提供了发送数据的机密性。但是数据加密不能保证身份验证、不可否认和完整性。,14.2.2 信息加密技术及分类,14.2 项目知识准备,(2)数字签名(先用私钥加密后用公钥解密)数字签名是通过一个单向函数对要传送的报文进行处理得到的,用以认证信息来源并核实信息是否发生变化的一个字母数字串。数字签名可以用来验证信息是否确实是由发送方发送来的(即身份验证),还可以确认信息在发送过程中是否被篡改。,14.2.2 信息加密技术及分
6、类,14.2 项目知识准备,RSA签名的过程:发送方对报文采用Hash算法生成一个128位的散列值(报文摘要);发送方用加密算法和自己的私钥对这个散列值进行加密,产生一个摘要密文,这就是发送方的数字签名;,14.2.2 信息加密技术及分类,14.2 项目知识准备,RSA签名的过程:将这个加密后的数字签名作为报文的附件和报文一起发送给接收方:接收方从接收到的原始报文中采用相同的摘要算法计算出128位的散列值;报文的接收方用解密算法和发送方的公钥对报文附加的数字签名进行解密;如果两个散列值相同,那么接收方就能确认报文是由发送方签名的。,14.2.2 信息加密技术及分类,14.2 项目知识准备,发件
7、人使用的公钥和私钥、收件人使用的公钥均来源于证书服务,证书是密钥的载体并由权威机构颁发。由权威机构颁发的包含了公钥信息的电子文档称为数字证书(简称证书),CA(Certificate Authority,证书颁发机构)。颁发数字证书的权威机构就称为CA,14.2.3 证书及证书颁发机构(CA),14.2 项目知识准备,1.数字证书的内容及类型数字证书的格式及内容:证书的版本信息:v1、v2、v3;证书的序列号:每个证书都有一个唯一的证书序列号;证书所使用的签名算法:CA签发该证书所使用的密码算法的标识符;证书的发行机构名称;证书的有效期:是一个时间区间,包括证书有效期的起始时间和终止时间;证书
8、所有者的名称;证书所有者的公开密钥:用来标识证书持有者公钥和相应的公钥算法;证书发行者对证书的签名。,14.2.3 证书及证书颁发机构(CA),14.2 项目知识准备,2.CA的体系结构及作用证书类型:个人数字证书单位数字证书单位员工数字证书服务器证书VPN证书WAP证书代码签名证书表单签名证书。,14.2.3 证书及证书颁发机构(CA),14.2 项目知识准备,2.CA的体系结构及作用一个完整的证书认证系统中,CA分为不同的层次,各层CA按其隶属关系形成一棵树型结构,如图12-5所示。,14.2.3 证书及证书颁发机构(CA),14.2 项目实施,14.3 项目实施,由于证书申请要通过IIS
9、提交,需先安装IIS的Web服务组件,再安装证书服务组件。,任务14-1 证书服务器的安装,14.3 项目实施,1为使用SSL安全机制的Web网站创建证书申请文件,任务14-2 使用证书实现SSL Web服务,步骤1:在事先已安装的另一台Web服务器右击要使用SSL的网站(如“迅达公司网站”),2CA服务器配置为HTTPS,任务14-2 使用证书实现SSL Web服务,3在Web服务器上向CA服务器提交证书申请,任务14-2 使用证书实现SSL Web服务,4在CA服务器向Web服务器颁发证书,任务14-2 使用证书实现SSL Web服务,5在Web服务器上下载、安装CA服务器颁发的证书,任务
10、14-2 使用证书实现SSL Web服务,6使用HTTPS协议访问网站,任务14-2 使用证书实现SSL Web服务,7证书的导出与导入导出证书的步骤如下:,任务14-2 使用证书实现SSL Web服务,7证书的导出与导入导入证书的步骤如下:,任务14-2 使用证书实现SSL Web服务,14.3 项目实施,任务14-3 使用证书实现邮件签名和加密,1数字证书的申请与下载下面以中国数字认证网提供的免费证书为例,说明证书申请、下载和安装的步骤如下:步骤1:进入中国数字认证网(http:/)主页下载根证书,1数字证书的申请与下载安装根证书在中国数字认证网注册会员申请、下载、安装证书查看导入的证书,
11、任务14-3 使用证书实现邮件签名和加密,2在Outlook Express中设置邮箱账号登录、设置QQ邮箱,任务14-3 使用证书实现邮件签名和加密,2在Outlook Express中设置邮箱账号在Outlook Express设置邮箱帐号,任务14-3 使用证书实现邮件签名和加密,3在Outlook Express中设置数字证书,任务14-3 使用证书实现邮件签名和加密,4用Outlook Express发送、接收数字签名邮件,任务14-3 使用证书实现邮件签名和加密,5用Outlook Express发送、接收加密邮件,任务14-3 使用证书实现邮件签名和加密,项目14 使用PKI与证书服务实现传输安全,项目知识准备认识PKI(公钥基础结构)信息加密技术及分类证书及证书颁发机构(CA)Windows Server 2003中CA的分类项目实施证书服务器的安装使用证书实现SSL Web服务使用证书实现邮件签名和加密,小结,实训(交实训报告书)实训14 CA服务器的搭建及应用习题(课堂小组活动)一、选择题:18二、简答题:,作业,项目14 使用PKI与证书服务实现传输安全,