win2003網(wǎng)絡(luò)服務(wù)管理-加密服務(wù)

第六章加密服務(wù)Windows2008網(wǎng)絡(luò)管理學(xué)習(xí)目標(biāo)在完成本章的學(xué)習(xí)后，您將能夠：通過Sniffer分析網(wǎng)絡(luò)錯誤利用CA搭建HTTPS站點

課程安排密碼學(xué)簡介CA證書服務(wù)密碼學(xué)是研究數(shù)據(jù)的加密和解密及其變換的科學(xué)，它是數(shù)學(xué)和計算機(jī)科學(xué)交叉的學(xué)科過去，只有諜報、外交和軍事人員對加密技術(shù)感興趣，并投入大量的人力和資金進(jìn)行秘密研究直到最近，由于各種民用有線、無線通信的普及和計算機(jī)及其網(wǎng)絡(luò)技術(shù)的迅速發(fā)展，密碼學(xué)才得到前所未有的廣泛重視定義密碼學(xué)概述密碼學(xué)的應(yīng)用軍事、政治和外交80年代以后，在雷達(dá)、導(dǎo)航、遙控、遙測等領(lǐng)域占有重要地位通信、電子郵政、計算機(jī)、金融系統(tǒng)、各種管理信息系統(tǒng)甚至家庭認(rèn)證、鑒別和數(shù)字簽名等新的功能密碼學(xué)概述密碼學(xué)應(yīng)用場合密碼學(xué)的基本概念研究密碼系統(tǒng)或通信安全的科學(xué)它包含密碼學(xué)（cryptology）和密碼分析學(xué)（cryptanalytics）兩個分支密碼學(xué)是對信息進(jìn)行編碼實現(xiàn)隱蔽信息的一門學(xué)問密碼分析學(xué)是研究分析破譯密碼的學(xué)問密碼學(xué)概述密碼學(xué)的基本概念密碼學(xué)的基本概念明文（plaintext）:未被隱蔽的消息密文（ciphertext）:隱蔽形式明文加密（encryption）:將明文變換成密文解密（decryption）:從密文恢復(fù)出明文加密算法:對明文加密采用的一組規(guī)則解密算法:對密文解密時采用的一組規(guī)則密鑰（key）:控制加密和解密算法的數(shù)據(jù)單鑰或?qū)ΨQ密碼體制（one-keyorsymmetriccryptosystem）:從一個易于得出另一個密碼學(xué)概述密碼分析:通過分析可能從截獲的密文中推斷出原來的明文的過程被動攻擊（passiveattack）:對一個保密系統(tǒng)采取截獲密文進(jìn)行分析的這類攻擊主動攻擊（activeattack）:非法入侵者主動向系統(tǒng)干擾，采用刪除、更改、增添、重放、偽造等方法向系統(tǒng)加入假消息認(rèn)證系統(tǒng)（authenticationsystem）:使發(fā)送的消息具有被驗證的能力，使接收者或第三者能夠識別和確認(rèn)消息的真?zhèn)危瑢崿F(xiàn)這類功能的密碼系統(tǒng)密碼學(xué)的基本概念密碼學(xué)概述保密性:使截獲者在不知道密鑰的情況下不能解讀密文的內(nèi)容認(rèn)證性:使任何不知道密鑰的人不能構(gòu)造出一個密報，使預(yù)定的接收者脫密成一個可理解的消息（合法的消息）完整性（integrity）:在有自然和認(rèn)為干擾條件下，系統(tǒng)有鑒別和原來發(fā)送消息一致性的能力密碼學(xué)的基本概念密碼學(xué)概述加密系統(tǒng)的四個內(nèi)容待加密的報文，即明文；加密后的報文，即密文；加密、解密裝置或算法；用于加密和解密的鑰匙，可以是數(shù)字、詞匯或語句。 加密是在不安全的信息渠道中實現(xiàn)信息的安全傳輸?shù)闹匾椒艽a學(xué)概述常見的加密方法代碼加密替換加密變位加密一次性密碼簿加密密碼學(xué)概述代碼加密發(fā)送秘密消息的最簡單做法，就是使用通信雙方預(yù)先設(shè)定的一組代碼。代碼可以是日常詞匯、專有名詞或特殊用語，但都有一個預(yù)先設(shè)定的確切含義。它簡單而有效，得到廣泛的應(yīng)用。例如:密文：黃姨白姐安全到家了明文：黃金和白銀已經(jīng)走私出境了代碼簡單好用，但只能傳送一組預(yù)先設(shè)定好的信息密碼學(xué)概述替換加密明文中的每個字母或字母被替換為另一個或一組字母。例如，下面的一組字母對應(yīng)關(guān)系就構(gòu)成了一個替換加密器。明文字母：ABCD…...密文字母：HGUA……替換加密器可以用來傳達(dá)任何信息，但有時還不及代碼加密安全。竊密者只要多搜集一些密文就能夠發(fā)現(xiàn)其中的規(guī)律。密碼學(xué)概述變位加密替換加密保持著明文的字符順序，只是將原字符替換并隱藏起來。變位加密不隱藏原明文的字符，但卻將字符重新排序。例如，加密方首先選擇用一個數(shù)字表示的密鑰，寫成一行，然后把明文逐行寫在數(shù)字下。按密鑰中指示的順序，逐列將原文抄寫下來，就是加密后的密文。密鑰：4168257390明文：來人已出現(xiàn)住在平安里密文：里人現(xiàn)平來住已在出安密碼學(xué)概述一次性密碼簿加密如要保持代碼加密的可靠性，又保持替換加密器的靈活性，可以采用一次性密碼簿進(jìn)行加密。密碼簿每一頁都是不同的代碼表。可以用一頁上的代碼來加密一些詞，用后撕掉或毀掉；再用另一頁上的代碼加密另一些詞，直到全部的明文全部被加密。破譯密文的唯一辦法，就是獲得一份相同的密碼簿。只可使用一次。如果密碼使用多次，密文會呈現(xiàn)某種規(guī)律，也就有破密的可能。密碼學(xué)概述加密算法凱撒密碼每一字母向前推k位。例如k=5便有明文和密文對應(yīng)關(guān)系如下:明文:abcdefghIjklmnopqrstuvwxyz密文:FGHIJKLMNOPQRSTUVWXYZABCDE則明文:datasecurityhasevolvedrapidly對應(yīng)密文為：IFYFXJHZWNYDMFXJATQAJIWFUNIQD密碼學(xué)概述密碼分析密碼分析是截收者在不知道解密密鑰及通信者所采用的加密體制的細(xì)節(jié)條件下，對密文進(jìn)行分析，試圖獲取機(jī)密信息研究分析解密規(guī)律的科學(xué)稱密碼分析學(xué)密碼設(shè)計是利用數(shù)學(xué)來構(gòu)造密碼，而密碼分析除了依靠數(shù)學(xué)、工程背景、語言學(xué)等知識外，還要靠經(jīng)驗、統(tǒng)計、測試、眼力、直覺判斷能力……，有時還靠點運氣。密碼分析過程通常包括：分析（統(tǒng)計截獲報文材料）、假設(shè)、推斷和證實等步驟。密碼學(xué)概述破譯或攻擊（break或attack）密碼的方法窮舉破譯法分析法密碼學(xué)概述窮舉破譯法（exhaustiveattackmethod窮舉法又稱作暴力法(bruteforcemethod），這是對截收的密報依次用各種可解的密鑰試譯，直到得到有意義的明文或在不變密鑰下，對所有可能的明文加密直到得到與截獲密報一致為止，此法又稱為完全試湊法(completetrial-and-errormethod)密碼學(xué)概述分析破譯法確定性分析法:利用一個或幾個己知量,如已知密文或明文－密文對,用數(shù)學(xué)關(guān)系式表示出所求未知量（如密鑰等）。已知量和未知量的關(guān)系視加密和解密算法而定尋求這種關(guān)系是確定性分析法的關(guān)鍵步驟。統(tǒng)計分析法是利用明文的己知統(tǒng)計規(guī)律進(jìn)行破譯的方法。密碼破譯者對截收的密文進(jìn)行統(tǒng)計分析，總結(jié)出其間的統(tǒng)計規(guī)律，并與明文的統(tǒng)計規(guī)律進(jìn)行對照比較，從中提取出明文和密文之間的對應(yīng)或變換信息。密碼學(xué)概述幾個主要加密算法Diffie-Hellman系統(tǒng)RSA系統(tǒng)CADESHashWLAN:WEP802.1x密碼學(xué)概述什么是數(shù)字簽名數(shù)字簽名是數(shù)字簽名機(jī)制用一種數(shù)學(xué)方法或一個密鑰賦予消息或文件的唯一數(shù)值。數(shù)字簽名是證明文件作者的身份和在文件從發(fā)送者到接收者的傳輸中沒有被破壞的唯一數(shù)值。數(shù)字證書是代表文檔的一個唯一性數(shù)值，是第三方檢查和標(biāo)識機(jī)構(gòu)用來核實一個文件內(nèi)容及出版商的可視化證據(jù)。密碼學(xué)概述數(shù)字證書的工作原理

發(fā)送者首先把待發(fā)送的文件利用hash算法得到一個唯一的單向的hash值，然后用發(fā)送者私鑰加密這個hash值產(chǎn)生數(shù)字證書，然后發(fā)送含有證書和發(fā)送者公鑰的這個文件給接收者，接收者解出這個文件利用hash算法產(chǎn)生唯一的hash值，然后用發(fā)件人的公鑰解密接收到的加密的hash值，然后對比這兩個值。密碼學(xué)概述公鑰加密技術(shù)公鑰（PublicKey）和私鑰（PrivateKey）密鑰是成對生成的，這兩個密鑰互不相同，兩個密鑰可以互相加密和解密不能根據(jù)一個密鑰來推算得出另一個密鑰公鑰對外公開；私鑰只有私鑰的持有人才知道私鑰應(yīng)該由密鑰的持有人妥善保管

介紹PKI加密技術(shù)對稱密鑰的加密算法:PKI系統(tǒng)可以快速生成一對互相耦合的密鑰對。其中一個稱為共有密鑰；另一個稱為私有密鑰。PKI生成的密鑰可以用作： 數(shù)據(jù)加密——共有密鑰 數(shù)字簽名——私有密鑰數(shù)據(jù)加密發(fā)送方使用接收方的公鑰加密數(shù)據(jù)當(dāng)接收方使用自己的私鑰解密這些數(shù)據(jù)數(shù)據(jù)加密能保證所發(fā)送數(shù)據(jù)的機(jī)密性數(shù)字簽名發(fā)送方使用自己的私鑰加密接收方使用發(fā)送方的公鑰解密身份驗證、數(shù)據(jù)的完整性、操作的不可否認(rèn)性什么是證書2-1PKI系統(tǒng)中的數(shù)字證書簡稱證書它把公鑰和擁有對應(yīng)私鑰的主體的標(biāo)識信息（如名稱、電子郵件、身份證號等）捆綁在一起證書的主體可以是用戶、計算機(jī)、服務(wù)等證書可以用于很多方面Web用戶身份驗證Web服務(wù)器身份驗證安全電子郵件Internet協(xié)議安全（IPSec）CA證書服務(wù)在實現(xiàn)網(wǎng)絡(luò)中的DHCP主機(jī)地址動態(tài)分布和名稱解析WINS和DNS服務(wù)以后，網(wǎng)絡(luò)中的主機(jī)之間可以進(jìn)行自由通信了。但是在彼此進(jìn)行通信的時候，收發(fā)的數(shù)據(jù)是否安全成為我們關(guān)注的問題。要實現(xiàn)通信時的安全，需要：用于加密的密鑰把密鑰應(yīng)用到收發(fā)的數(shù)據(jù)上的規(guī)則什么是證書2-2數(shù)字證書是由權(quán)威公正的第三方機(jī)構(gòu)即CA簽發(fā)的證書包含以下信息使用者的公鑰值使用者標(biāo)識信息（如名稱和電子郵件地址）有效期（證書的有效時間）頒發(fā)者標(biāo)識信息頒發(fā)者的數(shù)字簽名

CA的作用CA的核心功能就是頒發(fā)和管理數(shù)字證書具體描述如下處理證書申請鑒定申請者是否有資格接收證書證書的發(fā)放證書的更新接收最終用戶數(shù)字證書的查詢、撤銷產(chǎn)生和發(fā)布證書吊銷列表（CRL）數(shù)字證書的歸檔密鑰歸檔歷史數(shù)據(jù)歸檔證書的發(fā)放過程3-1證書的發(fā)放過程3-21）證書申請用戶根據(jù)個人信息填好申請證書的信息并提交證書申請信息2）RA確認(rèn)用戶在企業(yè)內(nèi)部網(wǎng)中，一般使用手工驗證的方式，這樣更能保證用戶信息的安全性和真實性3）證書策略處理如果驗證請求成功，那么，系統(tǒng)指定的策略就被運用到這個請求上，比如名稱的約束、密鑰長度的約束等4）RA提交用戶申請信息到CARA用自己私鑰對用戶申請信息簽名，保證用戶申請信息是RA提交給CA的證書的發(fā)放過程3-35）CA為用戶生成密鑰對，并用CA的簽名密鑰對用戶的公鑰和用戶信息ID進(jìn)行簽名，生成電子證書這樣，CA就將用戶的信息和公鑰捆綁在一起了，然后，CA將用戶的數(shù)字證書和用戶的公用密鑰公布到目錄中6）CA將電子證書傳送給批準(zhǔn)該用戶的RA7）RA將電子證書傳送給用戶（或者用戶主動取回）8）用戶驗證CA頒發(fā)的證書確保自己的信息在簽名過程中沒有被篡改，而且通過CA的公鑰驗證這個證書確實由所信任的CA機(jī)構(gòu)頒發(fā)數(shù)字證書生成過程原文件Hash值加密過的hash值發(fā)送者的公鑰原文件加密過的hash值發(fā)送者的公鑰用發(fā)送者的私鑰加密數(shù)字簽名標(biāo)識的文件從原文件經(jīng)過hash算法產(chǎn)生hash值密碼學(xué)概述利用數(shù)字證書檢查文件比較一致性原文件Hash值加密過的hash值發(fā)送者的公鑰原文件加密過的hash值發(fā)送者的公鑰數(shù)字簽名標(biāo)識的文件用發(fā)送者的公鑰解密加密的hash值Hash值密碼學(xué)概述PublicKey數(shù)據(jù)加密數(shù)據(jù)在網(wǎng)絡(luò)中加密傳輸23A78玲玲使用勇勇的公共密鑰加密數(shù)據(jù).1Data3A78勇勇使用自己的私有密鑰加密數(shù)據(jù)3DataPublicKey數(shù)字簽名信息在網(wǎng)絡(luò)中明文傳遞2~*~*~*~玲玲使用自己的私有密鑰簽署文件數(shù)據(jù)1~*~*~*~~*~*~*~勇勇使用玲玲的公共密鑰驗證數(shù)據(jù)3Windows2003Certificate服務(wù)證書服務(wù)器是為網(wǎng)絡(luò)中主機(jī)進(jìn)行通信加密提供密鑰對的服務(wù)。他以證書的形式向網(wǎng)絡(luò)中的主機(jī)提供用于不同目的的密鑰。公有密鑰加密PlaintextCiphertextUser1PlaintextUser2Certification

AuthorityUser2’sPublicKeyUser2’sPrivateKey數(shù)字簽名DigestFunctionUser1(Sender)PlaintextUser1’sPrivateKeyDigestEncryptedDigest123User2(Receiver)User1’sPublicKey46Compare5DigestFunction公有密鑰加密證書體系結(jié)構(gòu)RootCASubordinateCASubordinateCASubordinateCATrustTrustTrust實現(xiàn)和管理證書服務(wù)選擇CertificateAuthority(CA)模式安裝CertificateServices創(chuàng)建子CA備份和恢復(fù)CertificateServices選擇CertificateAuthority模式企業(yè)根

CA

Atop-levelCAinacertificationhierarchythatsignsitsownCAcertificateandrequiresActiveDirectory.獨立根CA

Atop-levelCAinacertificationhierarchythatdoesnotrequireActiveDirectory.企業(yè)子CA

AsubordinateCAthatobtainsitsCAcertificatefromanotherCAandrequiresActiveDirectory.獨立子CA

AsubordinateCAthatobtainsitsCAcertificatefromanotherCAanddoesnotrequireActiveDirectory.1.在Windows組件中安裝證書服務(wù)2.安裝證書服務(wù)后，計算機(jī)名和域成員身