《win2003网络服务管理-加密服务资料》由会员分享,可在线阅读,更多相关《win2003网络服务管理-加密服务资料(61页珍藏版)》请在金锄头文库上搜索。
1、第六章 加密服务,Windows 2008网络管理,学习目标,在完成本章的学习后,您将能够: 通过Sniffer分析网络错误 利用CA搭建HTTPS站点,课程安排,密码学简介 CA证书服务,密码学是研究数据的加密和解密及其变换的科学,它是数学和计算机科学交叉的学科 过去,只有谍报、外交和军事人员对加密技术感兴趣,并投入大量的人力和资金进行秘密研究 直到最近,由于各种民用有线、无线通信的普及和计算机及其网络技术的迅速发展,密码学才得到前所未有的广泛重视,定义,密码学概述,密码学的应用,军事、政治和外交 80年代以后,在雷达、导航、遥控、遥测等领域占有重要地位 通信、电子邮政、计算机、金融系统、各
2、种管理信息系统甚至家庭 认证、鉴别和数字签名等新的功能,密码学概述,密码学应用场合,密码学的基本概念,研究密码系统或通信安全的科学 它包含密码学(cryptology)和密码分析学(cryptanalytics)两个分支 密码学是对信息进行编码实现隐蔽信息的一门学问 密码分析学是研究分析破译密码的学问,密码学概述,密码学的基本概念,密码学的基本概念,明文(plaintext):未被隐蔽的消息 密文(ciphertext):隐蔽形式明文 加密(encryption):将明文变换成密文 解密(decryption):从密文恢复出明文 加密算法:对明文加密采用的一组规则 解密算法:对密文解密时采用的
3、一组规则 密钥(key):控制加密和解密算法的数据 单钥或对称密码体制(one-key or symmetric cryptosystem):从一个易于得出另一个,密码学概述,密码分析:通过分析可能从截获的密文中推断出原来的明文的过程 被动攻击(passive attack):对一个保密系统采取截获密文进行分析的这类攻击 主动攻击(active attack):非法入侵者主动向系统干扰,采用删除、更改、增添、重放、伪造等方法向系统加入假消息 认证系统(authentication system):使发送的消息具有被验证的能力,使接收者或第三者能够识别和确认消息的真伪,实现这类功能的密码系统,密
4、码学的基本概念,密码学概述,保密性:使截获者在不知道密钥的情况下不能解读密文的内容 认证性:使任何不知道密钥的人不能构造出一个密报,使预定的接收者脱密成一个可理解的消息(合法的消息) 完整性(integrity):在有自然和认为干扰条件下,系统有鉴别和原来发送消息一致性的能力,密码学的基本概念,密码学概述,加密系统的四个内容,待加密的报文,即明文; 加密后的报文,即密文; 加密、解密装置或算法; 用于加密和解密的钥匙,可以是数字、词汇或语句。 加密是在不安全的信息渠道中实现信息的安全传输的重要方法,密码学概述,常见的加密方法,代码加密 替换加密 变位加密 一次性密码簿加密,密码学概述,代码加密
5、,发送秘密消息的最简单做法,就是使用通信双方预先设定的一组代码。代码可以是日常词汇、专有名词或特殊用语,但都有一个预先设定的确切含义。它简单而有效,得到广泛的应用。例如: 密文:黄姨白姐安全到家了 明文:黄金和白银已经走私出境了 代码简单好用,但只能传送一组预先设定好的信息,密码学概述,替换加密,明文中的每个字母或字母被替换为另一个或一组字母。例如,下面的一组字母对应关系就构成了一个替换加密器。 明文字母:A B C D . 密文字母:H G U A 替换加密器可以用来传达任何信息,但有时还不及代码加密安全。窃密者只要多搜集一些密文就能够发现其中的规律。,密码学概述,变位加密,替换加密保持着明
6、文的字符顺序,只是将原字符替换并隐藏起来。变位加密不隐藏原明文的字符,但却将字符重新排序。例如,加密方首先选择用一个数字表示的密钥,写成一行,然后把明文逐行写在数字下。按密钥中指示的顺序,逐列将原文抄写下来,就是加密后的密文。 密钥:4 1 6 8 2 5 7 3 9 0 明文:来 人 已 出 现 住 在 平 安 里 密文:里 人 现 平 来 住 已 在 出 安,密码学概述,一次性密码簿加密,如要保持代码加密的可靠性,又保持替换加密器的灵活性,可以采用一次性密码簿进行加密。密码簿每一页都是不同的代码表。可以用一页上的代码来加密一些词,用后撕掉或毁掉;再用另一页上的代码加密另一些词,直到全部的明
7、文全部被加密。破译密文的唯一办法,就是获得一份相同的密码簿。 只可使用一次。如果密码使用多次,密文会呈现某种规律,也就有破密的可能。,密码学概述,加密算法,凯撒密码 每一字母向前推k位。例如k=5便有明文和密文对应关系如下: 明文: a b c d e f g h I j k l m n o p q r s t u v w x y z 密文: F G H I J KL MNOPQ R S T UVWXYZ A B C D E 则明文:data security has evolved rapidly 对应密文为:IFYFXJHZWNYDMFXJATQAJIWFUNIQD,密码学概述,密码分析,
8、密码分析是截收者在不知道解密密钥及通信者所采用的加密体制的细节条件下,对密文进行分析,试图获取机密信息 研究分析解密规律的科学称密码分析学 密码设计是利用数学来构造密码,而密码分析除了依靠数学、工程背景、语言学等知识外,还要靠经验、统计、测试、眼力、直觉判断能力,有时还靠点运气。密码分析过程通常包括:分析(统计截获报文材料)、假设、推断和证实等步骤。,密码学概述,破译或攻击(break或attack)密码的方法,穷举破译法 分析法,密码学概述,穷举破译法(exhaustive attack method,穷举法又称作暴力法(brute force method),这是对截收的密报依次用各种可解
9、的密钥试译,直到得到有意义的明文或在不变密钥下,对所有可能的明文加密直到得到与截获密报一致为止,此法又称为完全试凑法(complete trial-and-error method),密码学概述,分析破译法,确定性分析法:利用一个或几个己知量,如已知密文或明文密文对,用数学关系式表示出所求未知量(如密钥等)。已知量和未知量的关系视加密和解密算法而定寻求这种关系是确定性分析法的关键步骤。 统计分析法是利用明文的己知统计规律进行破译的方法。密码破译者对截收的密文进行统计分析,总结出其间的统计规律,并与明文的统计规律进行对照比较,从中提取出明文和密文之间的对应或变换信息。,密码学概述,几个主要加密算
10、法,Diffie-Hellman系统 RSA系统 CA DES Hash WLAN: WEP 802.1x,密码学概述,什么是数字签名,数字签名是数字签名机制用一种数学方法或一个密钥赋予消息或文件的唯一数值。 数字签名是证明文件作者的身份和在文件从发送者到接收者的传输中没有被破坏的唯一数值。 数字证书是代表文档的一个唯一性数值,是第三方检查和标识机构用来核实一个文件内容及出版商的可视化证据。,密码学概述,数字证书的工作原理,发送者首先把待发送的文件利用hash算法得到一个唯一的单向的hash值,然后用发送者私钥加密这个hash值产生数字证书,然后发送含有证书和发送者公钥的这个文件给接收者,接收
11、者解出这个文件利用hash算法产生唯一的hash值,然后用发件人的公钥解密接收到的加密的hash值,然后对比这两个值。,密码学概述,公钥加密技术,公钥(Public Key)和私钥(Private Key) 密钥是成对生成的,这两个密钥互不相同,两个密钥可以互相加密和解密 不能根据一个密钥来推算得出另一个密钥 公钥对外公开;私钥只有私钥的持有人才知道 私钥应该由密钥的持有人妥善保管,介绍PKI加密技术,对称密钥的加密算法:PKI系统可以快速生成一对互相耦合的密钥对。其中一个称为共有密钥;另一个称为私有密钥。 PKI生成的密钥可以用作: 数据加密共有密钥 数字签名私有密钥,数据加密,发送方使用接
12、收方的公钥加密数据 当接收方使用自己的私钥解密这些数据 数据加密能保证所发送数据的机密性,数字签名,发送方使用自己的私钥加密 接收方使用发送方的公钥解密 身份验证、数据的完整性 、操作的不可否认性,什么是证书2-1,PKI系统中的数字证书简称证书 它把公钥和拥有对应私钥的主体的标识信息(如名称、电子邮件、身份证号等)捆绑在一起 证书的主体可以是用户、计算机、服务等 证书可以用于很多方面 Web 用户身份验证 Web 服务器身份验证 安全电子邮件 Internet 协议安全 (IPSec),CA证书服务,在实现网络中的DHCP主机地址动态分布和名称解析WINS和DNS服务以后,网络中的主机之间可
13、以进行自由通信了。但是在彼此进行通信的时候,收发的数据是否安全成为我们关注的问题。 要实现通信时的安全,需要: 用于加密的密钥 把密钥应用到收发的数据上的规则,什么是证书2-2,数字证书是由权威公正的第三方机构即CA签发的 证书包含以下信息 使用者的公钥值 使用者标识信息(如名称和电子邮件地址) 有效期(证书的有效时间) 颁发者标识信息 颁发者的数字签名,CA的作用,CA的核心功能就是颁发和管理数字证书 具体描述如下 处理证书申请 鉴定申请者是否有资格接收证书 证书的发放 证书的更新 接收最终用户数字证书的查询、撤销 产生和发布证书吊销列表(CRL) 数字证书的归档 密钥归档 历史数据归档,证
14、书的发放过程3-1,证书的发放过程3-2,1)证书申请 用户根据个人信息填好申请证书的信息并提交证书申请信息 2)RA确认用户 在企业内部网中,一般使用手工验证的方式,这样更能保证用户信息的安全性和真实性 3)证书策略处理 如果验证请求成功,那么,系统指定的策略就被运用到这个请求上,比如名称的约束、密钥长度的约束等 4)RA提交用户申请信息到CA RA用自己私钥对用户申请信息签名,保证用户申请信息是RA提交给CA的,证书的发放过程3-3,5)CA为用户生成密钥对,并用CA的签名密钥对用户的公钥和用户信息ID进行签名,生成电子证书 这样,CA就将用户的信息和公钥捆绑在一起了,然后,CA将用户的数
15、字证书和用户的公用密钥公布到目录中 6)CA将电子证书传送给批准该用户的RA 7)RA将电子证书传送给用户(或者用户主动取回) 8)用户验证CA颁发的证书 确保自己的信息在签名过程中没有被篡改,而且通过CA的公钥验证这个证书确实由所信任的CA机构颁发,数字证书生成过程,密码学概述,利用数字证书检查文件,密码学概述,Public Key数据加密,Data,3A78,Public Key数字签名,*,*,Windows 2003 Certificate服务,证书服务器是为网络中主机进行通信加密提供密钥对的服务。他以证书的形式向网络中的主机提供用于不同目的的密钥。,公有密钥加密,Plaintext,
16、Ciphertext,User1,Plaintext,User2,Certification Authority,User2s Public Key,User2s Private Key,数字签名,Digest Function,User1 (Sender),Plaintext,Digest,Encrypted Digest,1,2,3,User2 (Receiver),User1s Public Key,4,6,Compare,5,Digest Function,公有密钥加密,证书体系结构,实现和管理证书服务,选择 Certificate Authority (CA) 模式 安装 Certificate Services 创建子 CA 备份和恢复 Certificate Services,选择 Certificate Authority 模式,1. 在Windows组件中安装证书服务,2.安装证书服务后,计算机名和域成员身份都不能更改,3. 证书可以通过Web注册,安装证