计算机网络安全教程证书体制Word下载.docx
《计算机网络安全教程证书体制Word下载.docx》由会员分享,可在线阅读,更多相关《计算机网络安全教程证书体制Word下载.docx(14页珍藏版)》请在冰豆网上搜索。
对称密钥加密:
一个密钥
公钥加密:
两个密钥
数字签名:
结合使用公钥与散列
密钥交换:
结合使用对称密钥与公钥
对称密钥加密,也叫做共享密钥加密或机密密钥加密。
这种密钥的特点是加密和解密使用同一个密钥,运算速度快,可用于加密大量数据。
对称密钥加密有许多种算法,但所有这些算法都有一个共同的目的:
以可还原的方式将明文(未加密的数据)转换为暗文。
暗文使用加密密钥编码,对于没有解密密钥的任何人来说它都是没有意义的。
由于对称密钥加密在加密和解密时使用相同的密钥,所以这种加密过程的安全性取决于是否有XX的人获得了对称密钥。
这就是它为什么也叫做机密密钥加密的原因。
在实际运用上,利用密钥加密通信的双方,在交换加密数据之前必须先安全地交换密钥。
公钥加密使用两个密钥-一个公钥和一个私钥,这两个密钥在数学上是相关的。
为了与对称密钥加密相对照,公钥加密有时也叫做非对称密钥加密。
在公钥加密中,公钥可在通信双方之间公开传递,或在公用储备库中发布,但相关的私钥是保密的,因为只有使用私钥才能解密用公钥加密的数据,使用私钥加密的数据只能用公钥解密。
公钥算法是复杂的数学方程式,其特点是主要局限在加密速度相对较低,一般只用于对少量数据的加密。
所以,通常仅在关键时刻才使用公钥算法,如在实体之间交换对称密钥时,或者在签署一封邮件的散列时(散列是通过应用一种单向数学函数获得的一个定长结果,对于数据而言,叫做散列算法)。
因此,将公钥加密与其它加密形式(如对称密钥加密)结合使用,就可以优化性能。
公钥加密提供了一种有效的方法,可用来把为大量数据执行对称加密时使用的机密密钥发送给某人。
也可以将公钥加密与散列算法结合使用以生成数字签名。
数字签名是邮件、文件或其它数字编码信息的发件人将他们的身份与信息绑定在一起(即为信息提供签名)的方法。
对信息进行数字签名的过程,需要将信息与由发件人掌握的秘密信息一起转换为叫做签名的标记。
数字签名用于公钥环境中,它通过验证发件人确实是他或她所声明的那个人,并确认收到的邮件与发送的邮件完全相同,来帮助确保电子商务交易的安全。
最常用的公钥算法有:
RSA-适用于数字签名和密钥交换。
Rivest-Shamir-Adleman(RSA)加密算法是目前应用最广泛的公钥加密算法,特别适用于通过Internet传送的数据。
这种算法以它的三位发明者的名字命名:
RonRivest、AdiShamir和LeonardAdleman。
RSA算法的安全性基于分解大数字时的困难(就计算机处理能力和处理时间而言)。
在常用的公钥算法中,RSA与众不同,它能够进行数字签名。
另外还有DSA和Diffie-Hellman算法,前者仅适用于数字签名,后者仅适用于密钥交换。
对称密钥算法非常适合于快速并安全地加密数据。
但其缺点是,发件人和收件人必须在交换数据之前先交换机密密钥。
结合使用加密数据的对称密钥算法与交换机密密钥的公钥算法可产生一种既快速又灵活的解决方案。
数字证书主要有以下种类:
CA证书
这种证书证实CA身份和CA的签名密钥(签名密钥被用来签署它所发行的证书)。
一般情况用户可以看见游览器所接受的CA证书,也可以选择他们是否信任这些证书。
作为用户,一旦信任了CA证书,他们将应该同时信任这个CA所签发的所有证书。
CA证书允许CA发行其他类型的证书。
个人证书
这种证书证实客户身份和密钥所有权。
实际应用上可以将其扩展为证明各种组织团体的身份。
在某些情况下,服务器可能在建立SSL连接时要求客户证书来证实客户身份。
为了取得个人证书,用户可向某一信任的CA申请,CA经过审查后决定是否向用户颁发证书。
用户使用个证书不仅可以访问安全的Web站点,而且能够使用S/MIME收发安全电子邮件。
数字证书中加密特性可以阻止非授权用户浏览邮件内容,同时可以保证邮件的收发双方无法否认自己曾经发送或接收过电子邮件。
服务器证书
这种证书证实服务器的身份和公钥。
服务器证书用于服务器身份识别,使得连接到服务器的用户确信服务器的真实身份。
Web服务器与客户通过SSL的方式建立安全信道,对传输的数进行加密和解密。
服务器证书向用户提供真实身份的第三方证明。
通常Web浏览器会自动完成服务器认证,但是,用户需要注意颁发服务器证书的认证中心是否在合法认证中心的列表中,以及服务器证书是否过期或无效。
服务器需要浏览器提供用户的数字证书来证明用户身份,用户从证书列表中选择合适的证书出示给服务器,让服务器检查证书的有效性。
一旦服务器确信用户的身份合法,将允许用户访问相应的Web资源。
数字证书的格式定义在ITU标准X.509里。
根据这项标准,证书包括申请证书个人的信息和行证书机构的信息。
一个基于X.509版本的数字证书格式为:
版本信息,用来与X.509DE将来版本兼容:
证书序列号,每一个由CA发行的证书必须有一个唯一的序列号。
CA所使用的签名算法
发行证书CA的名称
证书的有效期
证书的主题名称
被证明的公钥信息,包括公钥算法、公钥的位子府串表示(只适用于RSA加密体制)包含额外信息的特别扩展。
发行证书的CA签名
关于发行证书的CA签名,任何人收到证书后都能使用签名算法来验证证书是由CA的签名密签署的。
数字证书在使用过程必须保证有效,在满足以下条件后证书才有效,即:
证书的时效性,证书使用者有权性和证书的密钥不遗失性。
在保证证书的有效性后,证书才可以正常发行和运作。
证书的创建必须经过用户申请、登记中心同意、认证中心发行、登记中心转发,用户才可以获取证书。
用户首先下载认证中心的证书,然后在证书的申请过程中使用SSL的方式与服务器建立连接,用户填写个人信息,浏览器生成密钥对,将私钥保存在客户端特定文件中,并且要求用口令保护私钥,同时将公钥和个人信息提交给安全服务器。
安全服务器将用户的申请信息传送给登记中心服务器。
用户与登记中心人员联系,证明自己的真实身份,或者请求代理人与登记中心联系。
登记中心操作员利用自己的浏览器与登记中心服务器建立SSL安全通信,该服务器需要对操作员进行严格的身份认证。
操作员首先查看目前系统中的申请人员,从列表中找出相应的用户,点击用户名,核对用户信息,并且可以进行适当的修改。
如果操作员同意用户申请证书请求,必须对证书申请信息进行数字签名。
操作员也有权利拒绝用户的申请。
登记中心通过硬拷贝的方式向认证中心传输用户的证书申请与操作员的数字签名,认证中心操作员查看用户的详细信息,并且验证操作员的数字签名。
如果签名验证通过,则同意用户的证书请求,颁发证书,然后认证中心将证书输出;
认证中心颁发的数字证书中包含关于用户及认证中心自身的各种信息,如能惟一标识用户的姓名及其他标识信息、个人的E-mail地址和证书持有者的公钥。
公钥用于为证书持有者加密敏感信息,签发证书的安全认证中心的名称、个人证书的序列号和个人证书的有效期(证书有效起止日期)等等。
如果认证中心操作员发现签名不正确,则拒绝证书申请。
登记中心操作员从认证中心得到新的证书,首先将证书输出到LDAP服务器以提供目录浏览服务,最后操作员向用户发送一封电子邮件,通知用户证书已经发行成功,并且把用户的证书序列号告诉用户,让用户到指定的网址去下载自己的数字证书,还告诉用户如何使用安全服务器上的LDAP配置,让用户修改浏览器的客户端配置文件以便访问LDAP服务器,获得他的数字证书。
用户使用证书申请时的浏览器到指定网址,键入自己的证书序列号。
服务器要求用户必须使用申请证书时的浏览器,因为浏览器需要用该证书相应的私钥去验证数字证书。
只有保存了相应私钥的浏览器才能成功下载用户的数字证书。
这时用户打开浏览器的安全属性,就可以发现自己已经拥有了认证中心颁发的数字证书,可以利用该数字证书与其他人以及Web服务器(拥有相同认证中心颁发的证书)使用加密、数字签名进行通信。
证书的撤消也是经过用户提出申请、登记中心同意、认证中心撤消、登记中心转发、用户通知等几个阶段。
用户向登记中心操作员发送一封签名加密的邮件,声明自己自愿撤消证书。
如果服务器的证书需要撤消,则由管理员向登记中心操作员联系;
操作员键入用户或服务器的序列号,对请求进行数字签名;
认证中心查询证书撤消请求列表,选出其中的一个,验证操作员的数字签名,如果正确的话,则同意用户的证书撤消申请,同时更新CRL列表,然后将CRL以多种格式输出;
操作员导入CRL,以多种不同的格式将CRL公布于众;
用户浏览安全服务器,下载或浏览CRL。
证书的查询CA中心利用OCSP协议为用户提供实时的证书状态查询服务,并且定期发布CR为用户提供证书撤消列表。
数字证书加密认证技术在网络的应用上有不可比拟的优势,它避免了目前大多数Web站点使用用户名和口令的方式来对用户进行认证的方式所带来的需要站点收集所有注册用户的信息,和传统的登录机制的安全性也比较脆弱,容易遭到外界的攻击的弱点。
因此,在人们迫切需要一种更好的办法来识别网络电子交易中,数字证书的技术特点保证了网络电子交易中的信息的保密性、完整性、交易者双方身份的确认性、和不可否认性。
数字证书还提供了一定的安全与认证功能,消除了传统的口令机制中内在的安全脆弱性,降低维护和支持成本。
数字证书已经成为服务器认证的标准,成千上万的商业站点使用数字证书与客户创建安全的通信管道。
值得一提的是,数字证书正在成为Internet的客户识别和登录标准。
总的来说,用户利用数字证书不仅可以访问Web站点,还可以收发安全电子邮件,更重要的是数字证书认证技术的使用,极大的避免了网络交易中存在的安全隐患,使得网络交易在一个公平、公正、安全、稳定的环境下进行,促进了电子政务、电子商务的发展。
当您需要在不同的机器使用同一张数字证书,或者重新安装机器,准备备份证书时,就需要按照以下步骤首先将您的根证书和个人证书先后导出,在您需要使用该证书时,再依次导入根证书和个人数字证书。
一、根证书的导出
1.启动IE,选择工具菜单栏的Internet选项。
2.选择内容标签栏的证书(C…)按钮,再选择收信任的根目录发行机构标签栏。
单击选中要导出的根证书。
如图1所示:
图1
3.单击上图的导出按钮后,出现欢迎使用证书管理器导出向导界面,单击下一步如图2所示:
图2
4.选定要导出的格式,单击下一步如图3所示
图3
5.在上图空白处添上要导出文件的路径和文件名,如A:
\classroot等或单击浏览按钮,选择要导出的路径,在空白处添上要导出文件名后按保存按钮,如图4所示:
图4
6.单击图3的下一步,此时,会提醒您正在完成证书管理器导出向导,如图5所示:
图5
7.单击图5完成按钮,出现证书导出成功提示,点确定按钮,即完成根证书导出过程。
如图6所示:
图6
二、根证书的导入
在双击软盘上的classroot.crt文件后,将出现一个"
证书"
对话框。
请选择安装证书,然后进入根证书的安装:
1.单击安装证书,如图7所示:
图7
2.点击下一步,如图8所示:
图8
3.选择根据证书类型,自动选择证书存储区然后请单击下一步,如图9所示:
图9
4.单击完成,结束证书导入向导,如图10所示:
图10
5.证书管理器提示单击导入成功,请单击确定,关闭证书安装向导,完成根证书的安装。
如图11所示:
图11
6.可以在IE的工具-Internet选项---内容-证书-受信任的根目录证书发行机构查看您的根证书。
如图12所示:
图12
三、个人证书的导出
1.启动IE,选择工具菜单栏的Internet选项
2.选择内容标签栏的证书(C…)按钮,再选择个人标签栏。
双击导出按钮。
如图13所示:
图13
3.按照证书导出向导进行操作,在询问将私钥跟证书一起导出时,选择是,导出私钥。
然后单击下一步。
然后在弹出的对话框中也选择点击下一步。
如图14所示:
图14
4.在导出私钥时,会提示要求输入私钥保护密码,请输入您的密码然后点击下一步。
如图15所示:
图15
5.为导出的文件取个文件名(如"
Classofb"
),单击下一步。
单击完成按钮。
将会有导出成功的提示。
如图16所示:
图16
四、个人证书的导入
1.双击个人证书文件(如导出时的文件"
classofb"
),或启动IE,选择工具菜单栏的Internet选项,选择内容标签栏的证书(C…)按钮,再选择个人标签栏。
双击导入按钮,如图17所示:
图17
2.按照"
导入"
向导的提示进行操作,将会弹出一个对话框要求选择一个证书文件,单击浏览(R)…,对话框如图18所示:
图18
3.选择证书文件(如"
*.pfx"
文件,保存有私钥的文件的图标为图19所示),打开该文件。
接着会弹出一个对话框要求输入密码以访问该文件,如图20所示:
图20
这时,您必须输入访问该数字证书文件的密码,并对启用私钥保护和将私钥标记成可导出的选项进行选择。
特别提示:
如果选择了将私钥标记成可导出的,那么可以打开即将导入您的数字证书的电脑的人都可以将您的数字证书的私钥再导出,在网络中冒充您的身份。
如果即将导入您的数字证书的电脑的使用是您无法控制的话,建议您不要选择该选项,,并在离开该电脑时删除您的数字证书。
单击下一步按钮。
在确定证书存储区时,选择根据证书类型,自动选择证书存储区:
图19
单击下一步按钮,再单击完成按钮。
此时会弹出如图21的提示。
此时便完成了证书的导入过程。
图21
思考题:
如何在自己架设的网站中应用SSL(安全套接协议),请举例说明操作步骤?
升级会员 