win2003網(wǎng)絡(luò)服務(wù)管理-加密服務(wù)

第六章加密服務(wù)Windows2008網(wǎng)絡(luò)管理學(xué)習(xí)目標(biāo)在完成本章的學(xué)習(xí)后，您將能夠：通過(guò)Sniffer分析網(wǎng)絡(luò)錯(cuò)誤利用CA搭建HTTPS站點(diǎn)

課程安排密碼學(xué)簡(jiǎn)介CA證書(shū)服務(wù)密碼學(xué)是研究數(shù)據(jù)的加密和解密及其變換的科學(xué)，它是數(shù)學(xué)和計(jì)算機(jī)科學(xué)交叉的學(xué)科過(guò)去，只有諜報(bào)、外交和軍事人員對(duì)加密技術(shù)感興趣，并投入大量的人力和資金進(jìn)行秘密研究直到最近，由于各種民用有線、無(wú)線通信的普及和計(jì)算機(jī)及其網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，密碼學(xué)才得到前所未有的廣泛重視定義密碼學(xué)概述密碼學(xué)的應(yīng)用軍事、政治和外交80年代以后，在雷達(dá)、導(dǎo)航、遙控、遙測(cè)等領(lǐng)域占有重要地位通信、電子郵政、計(jì)算機(jī)、金融系統(tǒng)、各種管理信息系統(tǒng)甚至家庭認(rèn)證、鑒別和數(shù)字簽名等新的功能密碼學(xué)概述密碼學(xué)應(yīng)用場(chǎng)合密碼學(xué)的基本概念研究密碼系統(tǒng)或通信安全的科學(xué)它包含密碼學(xué)（cryptology）和密碼分析學(xué)（cryptanalytics）兩個(gè)分支密碼學(xué)是對(duì)信息進(jìn)行編碼實(shí)現(xiàn)隱蔽信息的一門(mén)學(xué)問(wèn)密碼分析學(xué)是研究分析破譯密碼的學(xué)問(wèn)密碼學(xué)概述密碼學(xué)的基本概念密碼學(xué)的基本概念明文（plaintext）:未被隱蔽的消息密文（ciphertext）:隱蔽形式明文加密（encryption）:將明文變換成密文解密（decryption）:從密文恢復(fù)出明文加密算法:對(duì)明文加密采用的一組規(guī)則解密算法:對(duì)密文解密時(shí)采用的一組規(guī)則密鑰（key）:控制加密和解密算法的數(shù)據(jù)單鑰或?qū)ΨQ(chēng)密碼體制（one-keyorsymmetriccryptosystem）:從一個(gè)易于得出另一個(gè)密碼學(xué)概述密碼分析:通過(guò)分析可能從截獲的密文中推斷出原來(lái)的明文的過(guò)程被動(dòng)攻擊（passiveattack）:對(duì)一個(gè)保密系統(tǒng)采取截獲密文進(jìn)行分析的這類(lèi)攻擊主動(dòng)攻擊（activeattack）:非法入侵者主動(dòng)向系統(tǒng)干擾，采用刪除、更改、增添、重放、偽造等方法向系統(tǒng)加入假消息認(rèn)證系統(tǒng)（authenticationsystem）:使發(fā)送的消息具有被驗(yàn)證的能力，使接收者或第三者能夠識(shí)別和確認(rèn)消息的真?zhèn)?，?shí)現(xiàn)這類(lèi)功能的密碼系統(tǒng)密碼學(xué)的基本概念密碼學(xué)概述保密性:使截獲者在不知道密鑰的情況下不能解讀密文的內(nèi)容認(rèn)證性:使任何不知道密鑰的人不能構(gòu)造出一個(gè)密報(bào)，使預(yù)定的接收者脫密成一個(gè)可理解的消息（合法的消息）完整性（integrity）:在有自然和認(rèn)為干擾條件下，系統(tǒng)有鑒別和原來(lái)發(fā)送消息一致性的能力密碼學(xué)的基本概念密碼學(xué)概述加密系統(tǒng)的四個(gè)內(nèi)容待加密的報(bào)文，即明文；加密后的報(bào)文，即密文；加密、解密裝置或算法；用于加密和解密的鑰匙，可以是數(shù)字、詞匯或語(yǔ)句。 加密是在不安全的信息渠道中實(shí)現(xiàn)信息的安全傳輸?shù)闹匾椒艽a學(xué)概述常見(jiàn)的加密方法代碼加密替換加密變位加密一次性密碼簿加密密碼學(xué)概述代碼加密發(fā)送秘密消息的最簡(jiǎn)單做法，就是使用通信雙方預(yù)先設(shè)定的一組代碼。代碼可以是日常詞匯、專(zhuān)有名詞或特殊用語(yǔ)，但都有一個(gè)預(yù)先設(shè)定的確切含義。它簡(jiǎn)單而有效，得到廣泛的應(yīng)用。例如:密文：黃姨白姐安全到家了明文：黃金和白銀已經(jīng)走私出境了代碼簡(jiǎn)單好用，但只能傳送一組預(yù)先設(shè)定好的信息密碼學(xué)概述替換加密明文中的每個(gè)字母或字母被替換為另一個(gè)或一組字母。例如，下面的一組字母對(duì)應(yīng)關(guān)系就構(gòu)成了一個(gè)替換加密器。明文字母：ABCD…...密文字母：HGUA……替換加密器可以用來(lái)傳達(dá)任何信息，但有時(shí)還不及代碼加密安全。竊密者只要多搜集一些密文就能夠發(fā)現(xiàn)其中的規(guī)律。密碼學(xué)概述變位加密替換加密保持著明文的字符順序，只是將原字符替換并隱藏起來(lái)。變位加密不隱藏原明文的字符，但卻將字符重新排序。例如，加密方首先選擇用一個(gè)數(shù)字表示的密鑰，寫(xiě)成一行，然后把明文逐行寫(xiě)在數(shù)字下。按密鑰中指示的順序，逐列將原文抄寫(xiě)下來(lái)，就是加密后的密文。密鑰：4168257390明文：來(lái)人已出現(xiàn)住在平安里密文：里人現(xiàn)平來(lái)住已在出安密碼學(xué)概述一次性密碼簿加密如要保持代碼加密的可靠性，又保持替換加密器的靈活性，可以采用一次性密碼簿進(jìn)行加密。密碼簿每一頁(yè)都是不同的代碼表。可以用一頁(yè)上的代碼來(lái)加密一些詞，用后撕掉或毀掉；再用另一頁(yè)上的代碼加密另一些詞，直到全部的明文全部被加密。破譯密文的唯一辦法，就是獲得一份相同的密碼簿。只可使用一次。如果密碼使用多次，密文會(huì)呈現(xiàn)某種規(guī)律，也就有破密的可能。密碼學(xué)概述加密算法凱撒密碼每一字母向前推k位。例如k=5便有明文和密文對(duì)應(yīng)關(guān)系如下:明文:abcdefghIjklmnopqrstuvwxyz密文:FGHIJKLMNOPQRSTUVWXYZABCDE則明文:datasecurityhasevolvedrapidly對(duì)應(yīng)密文為：IFYFXJHZWNYDMFXJATQAJIWFUNIQD密碼學(xué)概述密碼分析密碼分析是截收者在不知道解密密鑰及通信者所采用的加密體制的細(xì)節(jié)條件下，對(duì)密文進(jìn)行分析，試圖獲取機(jī)密信息研究分析解密規(guī)律的科學(xué)稱(chēng)密碼分析學(xué)密碼設(shè)計(jì)是利用數(shù)學(xué)來(lái)構(gòu)造密碼，而密碼分析除了依靠數(shù)學(xué)、工程背景、語(yǔ)言學(xué)等知識(shí)外，還要靠經(jīng)驗(yàn)、統(tǒng)計(jì)、測(cè)試、眼力、直覺(jué)判斷能力……，有時(shí)還靠點(diǎn)運(yùn)氣。密碼分析過(guò)程通常包括：分析（統(tǒng)計(jì)截獲報(bào)文材料）、假設(shè)、推斷和證實(shí)等步驟。密碼學(xué)概述破譯或攻擊（break或attack）密碼的方法窮舉破譯法分析法密碼學(xué)概述窮舉破譯法（exhaustiveattackmethod窮舉法又稱(chēng)作暴力法(bruteforcemethod），這是對(duì)截收的密報(bào)依次用各種可解的密鑰試譯，直到得到有意義的明文或在不變密鑰下，對(duì)所有可能的明文加密直到得到與截獲密報(bào)一致為止，此法又稱(chēng)為完全試湊法(completetrial-and-errormethod)密碼學(xué)概述分析破譯法確定性分析法:利用一個(gè)或幾個(gè)己知量,如已知密文或明文－密文對(duì),用數(shù)學(xué)關(guān)系式表示出所求未知量（如密鑰等）。已知量和未知量的關(guān)系視加密和解密算法而定尋求這種關(guān)系是確定性分析法的關(guān)鍵步驟。統(tǒng)計(jì)分析法是利用明文的己知統(tǒng)計(jì)規(guī)律進(jìn)行破譯的方法。密碼破譯者對(duì)截收的密文進(jìn)行統(tǒng)計(jì)分析，總結(jié)出其間的統(tǒng)計(jì)規(guī)律，并與明文的統(tǒng)計(jì)規(guī)律進(jìn)行對(duì)照比較，從中提取出明文和密文之間的對(duì)應(yīng)或變換信息。密碼學(xué)概述幾個(gè)主要加密算法Diffie-Hellman系統(tǒng)RSA系統(tǒng)CADESHashWLAN:WEP802.1x密碼學(xué)概述什么是數(shù)字簽名數(shù)字簽名是數(shù)字簽名機(jī)制用一種數(shù)學(xué)方法或一個(gè)密鑰賦予消息或文件的唯一數(shù)值。數(shù)字簽名是證明文件作者的身份和在文件從發(fā)送者到接收者的傳輸中沒(méi)有被破壞的唯一數(shù)值。數(shù)字證書(shū)是代表文檔的一個(gè)唯一性數(shù)值，是第三方檢查和標(biāo)識(shí)機(jī)構(gòu)用來(lái)核實(shí)一個(gè)文件內(nèi)容及出版商的可視化證據(jù)。密碼學(xué)概述數(shù)字證書(shū)的工作原理

發(fā)送者首先把待發(fā)送的文件利用hash算法得到一個(gè)唯一的單向的hash值，然后用發(fā)送者私鑰加密這個(gè)hash值產(chǎn)生數(shù)字證書(shū)，然后發(fā)送含有證書(shū)和發(fā)送者公鑰的這個(gè)文件給接收者，接收者解出這個(gè)文件利用hash算法產(chǎn)生唯一的hash值，然后用發(fā)件人的公鑰解密接收到的加密的hash值，然后對(duì)比這兩個(gè)值。密碼學(xué)概述公鑰加密技術(shù)公鑰（PublicKey）和私鑰（PrivateKey）密鑰是成對(duì)生成的，這兩個(gè)密鑰互不相同，兩個(gè)密鑰可以互相加密和解密不能根據(jù)一個(gè)密鑰來(lái)推算得出另一個(gè)密鑰公鑰對(duì)外公開(kāi)；私鑰只有私鑰的持有人才知道私鑰應(yīng)該由密鑰的持有人妥善保管

介紹PKI加密技術(shù)對(duì)稱(chēng)密鑰的加密算法:PKI系統(tǒng)可以快速生成一對(duì)互相耦合的密鑰對(duì)。其中一個(gè)稱(chēng)為共有密鑰；另一個(gè)稱(chēng)為私有密鑰。PKI生成的密鑰可以用作： 數(shù)據(jù)加密——共有密鑰 數(shù)字簽名——私有密鑰數(shù)據(jù)加密發(fā)送方使用接收方的公鑰加密數(shù)據(jù)當(dāng)接收方使用自己的私鑰解密這些數(shù)據(jù)數(shù)據(jù)加密能保證所發(fā)送數(shù)據(jù)的機(jī)密性數(shù)字簽名發(fā)送方使用自己的私鑰加密接收方使用發(fā)送方的公鑰解密身份驗(yàn)證、數(shù)據(jù)的完整性、操作的不可否認(rèn)性什么是證書(shū)2-1PKI系統(tǒng)中的數(shù)字證書(shū)簡(jiǎn)稱(chēng)證書(shū)它把公鑰和擁有對(duì)應(yīng)私鑰的主體的標(biāo)識(shí)信息（如名稱(chēng)、電子郵件、身份證號(hào)等）捆綁在一起證書(shū)的主體可以是用戶(hù)、計(jì)算機(jī)、服務(wù)等證書(shū)可以用于很多方面Web用戶(hù)身份驗(yàn)證Web服務(wù)器身份驗(yàn)證安全電子郵件Internet協(xié)議安全（IPSec）CA證書(shū)服務(wù)在實(shí)現(xiàn)網(wǎng)絡(luò)中的DHCP主機(jī)地址動(dòng)態(tài)分布和名稱(chēng)解析WINS和DNS服務(wù)以后，網(wǎng)絡(luò)中的主機(jī)之間可以進(jìn)行自由通信了。但是在彼此進(jìn)行通信的時(shí)候，收發(fā)的數(shù)據(jù)是否安全成為我們關(guān)注的問(wèn)題。要實(shí)現(xiàn)通信時(shí)的安全，需要：用于加密的密鑰把密鑰應(yīng)用到收發(fā)的數(shù)據(jù)上的規(guī)則什么是證書(shū)2-2數(shù)字證書(shū)是由權(quán)威公正的第三方機(jī)構(gòu)即CA簽發(fā)的證書(shū)包含以下信息使用者的公鑰值使用者標(biāo)識(shí)信息（如名稱(chēng)和電子郵件地址）有效期（證書(shū)的有效時(shí)間）頒發(fā)者標(biāo)識(shí)信息頒發(fā)者的數(shù)字簽名

CA的作用CA的核心功能就是頒發(fā)和管理數(shù)字證書(shū)具體描述如下處理證書(shū)申請(qǐng)鑒定申請(qǐng)者是否有資格接收證書(shū)證書(shū)的發(fā)放證書(shū)的更新接收最終用戶(hù)數(shù)字證書(shū)的查詢(xún)、撤銷(xiāo)產(chǎn)生和發(fā)布證書(shū)吊銷(xiāo)列表（CRL）數(shù)字證書(shū)的歸檔密鑰歸檔歷史數(shù)據(jù)歸檔證書(shū)的發(fā)放過(guò)程3-1證書(shū)的發(fā)放過(guò)程3-21）證書(shū)申請(qǐng)用戶(hù)根據(jù)個(gè)人信息填好申請(qǐng)證書(shū)的信息并提交證書(shū)申請(qǐng)信息2）RA確認(rèn)用戶(hù)在企業(yè)內(nèi)部網(wǎng)中，一般使用手工驗(yàn)證的方式，這樣更能保證用戶(hù)信息的安全性和真實(shí)性3）證書(shū)策略處理如果驗(yàn)證請(qǐng)求成功，那么，系統(tǒng)指定的策略就被運(yùn)用到這個(gè)請(qǐng)求上，比如名稱(chēng)的約束、密鑰長(zhǎng)度的約束等4）RA提交用戶(hù)申請(qǐng)信息到CARA用自己私鑰對(duì)用戶(hù)申請(qǐng)信息簽名，保證用戶(hù)申請(qǐng)信息是RA提交給CA的證書(shū)的發(fā)放過(guò)程3-35）CA為用戶(hù)生成密鑰對(duì)，并用CA的簽名密鑰對(duì)用戶(hù)的公鑰和用戶(hù)信息ID進(jìn)行簽名，生成電子證書(shū)這樣，CA就將用戶(hù)的信息和公鑰捆綁在一起了，然后，CA將用戶(hù)的數(shù)字證書(shū)和用戶(hù)的公用密鑰公布到目錄中6）CA將電子證書(shū)傳送給批準(zhǔn)該用戶(hù)的RA7）RA將電子證書(shū)傳送給用戶(hù)（或者用戶(hù)主動(dòng)取回）8）用戶(hù)驗(yàn)證CA頒發(fā)的證書(shū)確保自己的信息在簽名過(guò)程中沒(méi)有被篡改，而且通過(guò)CA的公鑰驗(yàn)證這個(gè)證書(shū)確實(shí)由所信任的CA機(jī)構(gòu)頒發(fā)數(shù)字證書(shū)生成過(guò)程原文件Hash值加密過(guò)的hash值發(fā)送者的公鑰原文件加密過(guò)的hash值發(fā)送者的公鑰用發(fā)送者的私鑰加密數(shù)字簽名標(biāo)識(shí)的文件從原文件經(jīng)過(guò)hash算法產(chǎn)生hash值密碼學(xué)概述利用數(shù)字證書(shū)檢查文件比較一致性原文件Hash值加密過(guò)的hash值發(fā)送者的公鑰原文件加密過(guò)的hash值發(fā)送者的公鑰數(shù)字簽名標(biāo)識(shí)的文件用發(fā)送者的公鑰解密加密的hash值Hash值密碼學(xué)概述PublicKey數(shù)據(jù)加密數(shù)據(jù)在網(wǎng)絡(luò)中加密傳輸23A78玲玲使用勇勇的公共密鑰加密數(shù)據(jù).1Data3A78勇勇使用自己的私有密鑰加密數(shù)據(jù)3DataPublicKey數(shù)字簽名信息在網(wǎng)絡(luò)中明文傳遞2~*~*~*~玲玲使用自己的私有密鑰簽署文件數(shù)據(jù)1~*~*~*~~*~*~*~勇勇使用玲玲的公共密鑰驗(yàn)證數(shù)據(jù)3Windows2003Certificate服務(wù)證書(shū)服務(wù)器是為網(wǎng)絡(luò)中主機(jī)進(jìn)行通信加密提供密鑰對(duì)的服務(wù)。他以證書(shū)的形式向網(wǎng)絡(luò)中的主機(jī)提供用于不同目的的密鑰。公有密鑰加密PlaintextCiphertextUser1PlaintextUser2Certification

AuthorityUser2’sPublicKeyUser2’sPrivateKey數(shù)字簽名DigestFunctionUser1(Sender)PlaintextUser1’sPrivateKeyDigestEncryptedDigest123User2(Receiver)User1’sPublicKey46Compare5DigestFunction公有密鑰加密證書(shū)體系結(jié)構(gòu)RootCASubordinateCASubordinateCASubordinateCATrustTrustTrust實(shí)現(xiàn)和管理證書(shū)服務(wù)選擇CertificateAuthority(CA)模式安裝CertificateServices創(chuàng)建子CA備份和恢復(fù)CertificateServices選擇CertificateAuthority模式企業(yè)根

CA

Atop-levelCAinacertificationhierarchythatsignsitsownCAcertificateandrequiresActiveDirectory.獨(dú)立根CA

Atop-levelCAinacertificationhierarchythatdoesnotrequireActiveDirectory.企業(yè)子CA

AsubordinateCAthatobtainsitsCAcertificatefromanotherCAandrequiresActiveDirectory.獨(dú)立子CA

AsubordinateCAthatobtainsitsCAcertificatefromanotherCAanddoesnotrequireActiveDirectory.1.在Windows組件中安裝證書(shū)服務(wù)2.安裝證書(shū)服務(wù)后，計(jì)算機(jī)名和域成員身