第十二章 证书服务和公钥基 础设施( PKI ) 2005 12. 信息安全的四大要素 机密性 — 保证电子商务、电子政务、办公自 动化、个人隐私中涉及的大量保密信息在网络 上传输的过程中不被窃取。 完整性 — 保证电子商务、电子政务中涉及的 交易信息不被中途篡改或通过重复发送进行虚 假交易。

Slides:



Advertisements
Presentasi serupa
Ayo, belajar bahasa Indonesia!! 来,我们一起学印尼语
Advertisements

汉语 II 第 53 课. 注释 看样子他们是从农村来的。 Menyatakan perkiraan pembicara dan penilaian terhadap suatu kondisi. Penggunaannya hampir sama dengan 看 上去,看起来,看来。 已经八点了,看样子他今天不来了。
警惕:这样炒菜竟会致癌 :30 来源: 爱美网 文化传播网 背景音乐 纯音乐 一帘幽梦.
1 Pertemuan 17 语法 Matakuliah: E0566 Bahasa China 6 Tahun: 2005 Versi: Revisi.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
Matakuliah: E0536/ Bahasa China III Tahun: 2008 第 63 课 回头再说.
电子商务综合实训. 电子商务综合实训第五组作业展示 成员名单 : 张 辉 曹 阳 王 兴 王鹏飞 苏振庆 杨志昆 杨 磊 张文文 詹聪敏 杜慧蓉 返回前进首页.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
汉语II 第 55 课.
Pertemuan 6 Matakuliah: Surat menyurat bisnis Tahun: 2008.
第九章 植物体细胞无性系变异 及种质资源保存. 一、概念 LarkinScowcroft ( 1981 )提出把由任何形式的 细胞培养所产生的植株统称为体细胞无性系 ( somaclones )。LarkinScowcroft ( 1981 )提出把由任何形式的 细胞培养所产生的植株统称为体细胞无性系.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
高大資管系 網路安全技術 期末報告 --- 加密 A 莊佳宏 2008/06/20.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan 23 第二十三课 我门七点一刻出发 Matakuliah: E0516 Bahasa China 1 Tahun: 2005 Versi: Revisi.
什么最重要 Pertemuan Matakuliah: E0546/Bahasa China 4 Tahun: 2007.
关于植物向重性生长的研究进展 学生:焦玉红 学号: M 导师:陈 刚. 目录 一、摘要、关键词 二、引言 三、植物重力敏感细胞的系统演化 四、植物向重性的定义和分类 五、植物向重性机理的研究 六、细胞骨架和植物的向重性 七、微重力对植物向重性的影响 八、展望.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
Zhongguo de jihua shengyu Pertemuan 06 Matakuliah: E0642 – Membaca Koran China Tahun: 2008.
1 Pertemuan 13 在那遥远的地方 Matakuliah: E0566 Bahasa China 6 Tahun: 2005 Versi: Revisi.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
Bagian-bagian dari Kalimat (2) Pertemuan 11
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
再试一次 Pertemuan 5-6 Matakuliah: E0546/Bahasa China 4 Tahun: 2007.
Persamaan arti dari suatu Kosakata Pertemuan 6
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
第十章 曲线回归. 本章介绍可以直线化的曲线回归的类型,以 生长型曲线为例说明曲线的直线化配合, 曲线回归方程的拟合度.
表面活性剂及其在滴 定中的应用 化学生物 陈海燕. 表面活性剂 1. 定义 2. 结构 3. 分类 4. 胶束.
1 Pertemuan 37 第十四课 我都做完了 Matakuliah: E0516 Bahasa China 1 Tahun: 2005 Versi: Revisi.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
扩写 Pertemuan 4-5. 什么是扩写? 扩写是一种写作训练方式,是把一篇短 文、一份材料或一段概括地话加以补充、扩 展。 扩写是在不改变中心思想和基本情节的 前提下,对原文进行扩充和深化,是内容更 加丰富、充实、思想更加鲜明、深刻,语言 更加生动、形象,因而也就能更充分的表达 主体思想,更富有说服力和感染力。
第六节. 棉花杂种优势利用. 问题 : 1. 棉花有无杂种优势 ? 有无利用价 值 ? 2. 制种技术是否简便 ? 3. 优势表现的遗传、生理基础是什 么 ? 4. 杂种优势表现程度能否预测 ?
Pertemuan 8 Matakuliah: Surat menyurat bisnis Tahun: 2008.
人虎情 Pertemuan Matakuliah: E0546/Bahasa China 4 Tahun: 2007.
成長力分析 成長力定義與計算方式 幾何平均數與算數平均數 影響成長力的因素 估計預期成長率 財務報表分析 Chapter 12 成長力分析.
Linux2.6 内核中 ” 下半部分 ” 分析 Group:N3608. 目录 简介 历史 & 发展 实现机制 软中断 Tasklet 工作队列 (new) 总结.
汉语II 复习第1-18课.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
Cara pembentukan hanzi Pertemuan 9 Matakuliah: E0572/Bahasa China Modern I Tahun: 2008.
Hubungan hanzi dengan kebudayaan China Pertemuan 13 Matakuliah: E0572/Bahasa China Modern I Tahun: 2008.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
Matakuliah: E0536/ Bahasa China III Tahun: 2008 第 69 课 提高自己.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
汉语 2 复习第19-36课.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan 15 公文包丢失之后 Matakuliah: E0556 Bahasa China 6 Tahun: 2005 Versi: Revisi.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan > Matakuliah: >/ > Tahun: > Versi: >.
1 Pertemuan > > Matakuliah: >/ > Tahun: > Versi: >
1 Pertemuan 11 电影《疯狂的石头 》 CRAZY STONE Matakuliah: E1162/Film China Tahun: 2008 Versi: 1/0.
Perubahan Arti Kosakata China Pertemuan 4
Bermad 100 系列 为农业灌溉量身定制的水压控制阀 上海润绿. 主要优势 过流量大、压力损失最小 在低压时能保持良好的性能 在极端的压差下也能正常工作 有不同的尺寸、形状和阀门类型可供选择.
海天注塑机客户培训 提 纲 海天注塑机型号简介 海天注塑机机械部分 海天注塑机电气部分 海天注塑机液压部分 海天注塑机伺服节能系列.
学习目的:建立对生命的系统认识和理解 加深对生命的热爱和领悟 了解生命科学的发展及其与人类的关系 通识基础教育课 Welcome to the Study of Life Sciences.
Interpreting Pertemuan XII
Interpreting Pertemuan XIV
APA OTONOMI DAERAH ? 什麼自主權?
友情提示: 请把手机关闭或调到振动状态. 电子商务概论 E - Commerce 经管学院 翁朝霞.
关于出行方式 汉语写作. 生词 现象 这种现象将会怎么样改变社会和商业? 这个不是一个新的现象,并不是所有的人都喜欢这样的现象 数字 真爱个人时,年龄,距离,高度都只是些数字而已。 真正的财富是一种思维方式,而不是一个月收入数字。 拥挤 请排队上车,不要拥挤。 在干线公路上, 交通往往十分拥挤。
Transcript presentasi:

第十二章 证书服务和公钥基 础设施( PKI )

信息安全的四大要素 机密性 — 保证电子商务、电子政务、办公自 动化、个人隐私中涉及的大量保密信息在网络 上传输的过程中不被窃取。 完整性 — 保证电子商务、电子政务中涉及的 交易信息不被中途篡改或通过重复发送进行虚 假交易。

身份鉴别 — 网上交易的双方很可能素昧平 生,相隔千里,因此方便而可靠地确认对方 身份的方式是交易的前提。 不可否认性 — 保证信息是由签名者自己 签名发送的,签名者不能否认或难以否认。  信息安全的解决方案 ——PKI 公钥体系

PKI 之动机 公钥技术 如何提供数字签名功能 如何实现不可否认服务 公钥和身份如何建立联系 为什么要相信这是某个人的公钥 公钥如何管理 方案:引入证书 (certificate) 通过证书把公钥和身份关联起来

PKI(Public Key Infrastructure) 定义: 用公钥原理和技术实施和提供安全服务的具 有普适性的安全基础设施

PKI 的组成 一个完整的 PKI 应该包括 认证机构 (CA) 证书库 证书注销 密钥备份和恢复 客户端软件

PKI 基本组件 RA(Registration Authority) 把用户的身份和它的密钥绑定起来 —— 建立 信任关系 CA(Certificate Authority) 发证 证书库 / 目录 保存证书,供公开访问

PKI 中的证书 证书 (certificate) ,有时候简称为 cert PKI 适用于异构环境中,所以证书的格式在所 使用的范围内必须统一 证书是一个机构颁发给一个安全个体的证明, 所以证书的权威性取决于该机构的权威性 一个证书中,最重要的信息是个体名字、个体 的公钥、机构的签名、算法和用途 最常用的证书格式为 X.509 v3

X.509 证书示意图

CA(Certificate Authority) 职责 接受用户的请求 ( 由 RA 负责对用户的身份信息进行验证 ) 用自己的私钥签发证书 提供证书查询 接受证书注销请求 提供证书注销表 各个组件和功能示意图 健壮的数据 库系统 无缝的目录接口 CA 硬件 管理和运 行平台 安全的审计 密钥 PKI

CA 层次结构 对于一个运行 CA 的大型权威机构而言,签发证 书的工作不能仅仅由一个 CA 来完成 它可以建立一个 CA 层次结构 根 CA 中间 CA

CA 层次结构的建立 根 CA 具有一个自签名的证书 根 CA 依次对它下面的 CA 进行签名 层次结构中叶子节点上的 CA 用于对安全个体进 行签名 对于个体而言,它需要信任根 CA ,中间的 CA 可 以不必关心 ( 透明的 ) ;同时它的证书是由底层的 CA 签发的

在 CA 的机构中,要维护这棵树 在每个节点 CA 上,需要保存两种 cert (1) Forward Certificates: 其他 CA 发给它的 certs (2) Reverse Certificates: 它发给其他 CA 的 certs

使用服务器证书 一个服务器证书是你的服务器的一个电 子 ID ,它可让你的服务器执行两个重要 的功能来确保通信的安全:为用户标识 自己和加密传送到这些用户的信息。 SSL 加密需要一个服务器证书被绑定到你的 网站中。该证书包含有 “ Keys ” ,在你的网 站和请求安全信息的用户间建立一个安 全连接时,需要用到这些 keys 。

客户证书映射 客户端的证书和服务端的是等价的。客 户证书是一个数字 ID ,该 ID 是用来向你 的 Web 服务器标识一个客户的,并且可 让你的服务器使用客户证书映射。客户 证书映射将一个客户的证书映射为一个 Windows 用户帐号,并且可以自动认证 和允许带有这些证书和正确帐号的用户 进行访问。

exmaple 例如,一个称为 Vicky 的用户拥有一个客户证书, 她点击了一个到该公司网站的雇员信息部分的 连接,她的浏览器就会将其证书信息放到其服 务器请求的头部,服务器就会检索该证书的一 个映射。如果用户的证书是正确的,并且映射 到一个有效的 Windows 用户帐号,而且该帐号 允许访问这些内容, Vicky 就会被自动地认证, 请求的数据也会出现在她的浏览器中。

服务器上安装证书服务 在 “ 控制面板 ” 中运行 “ 添加或删除程序 ” ,切换到 “ 添 加 / 删除 Windows 组件 ” 页,在 “ Windows 组件向导 ” 对话框中,选中 “ 证书服务 ” 选项,接下来 选择 CA 类型, 选择 “ 独立根 CA ” ,然后为该 CA 服务器起个名字, 设置证书的有效期限 指定证书数据库和证书数据库日志的位置后

申请数字证书 一 制作请求文件 运行 IIS ,在站点上,属性,目录安全性, 服务器证书,然后按照这个向导做下去, 在最后一步,它会要求你将信息保存到 一个文本文件,保存成一个文本文件。 服务器文件

二提交申请 申请证书, 选 择高级申请,选择 “ 使用 base64 编码的 PKCS #10 文件提交一个证书申请,或使 用 base64 编码的 PKCS #7 文件更新证 书申请 ” ,将那个文本文件的内容粘贴到 第一个文本框中。 文件

颁发 IIS 网站证书 虽然完成了 IIS 网站证书的申请后,但这时它还处 于挂起状态,需要颁发后才能生效。 在 “ 控制面板 → 管理工具 ” 中,运行 “ 证书颁发机构 ” 程序。 在 “ 证书颁发机构 ” 左侧窗口中展开目录,选中 “ 挂 起的申请 ” 目录 在右侧窗口找到刚才申请的证书,鼠标右键点击 该证书,选择 “ 所有任务 → 颁发 ” 。

把证书保存到文件 点击 “ 颁发的证书 ” 目录,打开刚刚颁发 成功的证书,在 “ 证书 ” 对话框中切换到 “ 详细信息 ” 标签页。点击 “ 复制到文件 ” 按 钮,弹出证书导出对话框,一路下一步, 在 “ 要导出的文件 ” 栏中指定文件名,最后 点击 “ 完成 ” 。

导入证书 运行 IIS ,在站点上,属性,目录安全性, 服务器证书,然后按照这个向导做下去, 把刚才的文件导入进去 服务器文件

作业 1 简述 pki 的概念, 基本组成部分, 实际应用 2 如何利用证书服务提高局域网的安全性