windows系统安全.ppt

《windows系统安全.ppt》由会员分享，可在线阅读，更多相关《windows系统安全.ppt（66页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、七章：公钥基础结构七章：公钥基础结构PKIlPKI的功能的功能lPKI的组件的组件l数字证书数字证书lPKI的发展现状的发展现状lwindows 2000支持的支持的PKI的特性的特性 PKI(Public Key Infrastructure)是一系列基是一系列基于公钥密码学之上，用来创建，管理，存储，于公钥密码学之上，用来创建，管理，存储，分布和作废分布和作废证书证书的软件，硬件集合。的软件，硬件集合。PKI 的由来的由来l在数字话的社会中，实体间建立信任管理在数字话的社会中，实体间建立信任管理的关键是能彼此确定对方的身份。的关键是能彼此确定对方的身份。l问题：问题：Alice如何能够确认

2、从网络上获取的如何能够确认从网络上获取的Bob的公钥为真？的公钥为真？公钥加密通信存在的问题公钥加密通信存在的问题l中间人攻击中间人攻击 AliceBobMallory Ka Km EKm(K,Bob)EKa(K,Bob)攻攻击击的的成成功功本本质质上上在在于于BobBob收收到到的的AliceAlice的的公公开开密密钥钥可可能能是是攻攻击击者者假假冒冒的的，即即无无法法确确定定获获取取的的公公开开密密钥钥的的真真实实身身份份，从从而而无无法法保保证证信信息息传传输输的的保保密密性性、不不可可否否认认性性、数数据据交交换换的的完整性。完整性。l为了解决这些安全问题，采用公钥基础设施为了解决这

3、些安全问题，采用公钥基础设施PKIPKI。lPKIPKI的的核核心心是是CA CA(Certificate(Certificate Authority)Authority)。CACA是是受受一一个个或或多多个个用用户户信信任任，提提供供用用户户身身份份验验证证的的第第三三方方机机构构，承承担担公公钥钥体体系系中中公公钥钥的的合合法法性性检检验验的的责任。责任。PKIPKI正正成成为为安安全全体体系系结结构构的的核核心心部部分分，有有了了它它，许许多多标准的安全应用成为可能。例如：标准的安全应用成为可能。例如：l(1)(1)安全电子邮件。安全电子邮件。l(2)(2)安全安全WebWeb访问与服务

4、。访问与服务。l(3)(3)虚拟专用网虚拟专用网(VPN)(VPN)。l(4)(4)安全路由器。安全路由器。l(5)(5)登录用户认证系统。登录用户认证系统。l(6)(6)安全传输层协议安全传输层协议SSLSSL、TLSTLS。l(7)(7)安全电子交易协议安全电子交易协议SETSET。l(8)(8)安全目录访问协议与服务。安全目录访问协议与服务。7.1、PKI(公钥基础结构公钥基础结构)的功能的功能 PKI能为网络用户建立安全通信信任机能为网络用户建立安全通信信任机制。制。按照有无第三方可信机构参与，信任可按照有无第三方可信机构参与，信任可划分为划分为l直接信任直接信任l第三方的推荐信任第三

5、方的推荐信任信任模式信任模式l直直接接信信任任：两两个个实实体体之之间间无无须须第第三三方方介介绍绍而而直接建立起来的信任关系称为直接信任。直接建立起来的信任关系称为直接信任。AliceBob直接信任信任模式信任模式l第第三三方方信信任任（推推荐荐信信任任）是是指指两两个个实实体体以以前前没没有有建建立立起起信信任任关关系系，但但双双方方与与共共同同的的第第三三方方有有信信任任关关系系，第第三三方方为为两两者者的的可可信信任任性进行了担保，由此建立起来的信任关系。性进行了担保，由此建立起来的信任关系。信任信任第三方AliceBob第三方信任信任模式信任模式l在在PKIPKI中中，第第三三方方的

6、的认认证证代代理理就就是是称称谓谓的的“认证中心认证中心”(CA)”(CA)。l一一个个认认证证中中心心是是一一个个可可信信任任的的实实体体，通通常常是是国家认定的权威机构。国家认定的权威机构。lCACA的的核核心心职职责责就就是是审审查查认认证证某某实实体体的的身身份份，证证明明该该实实体体是是不不是是他他所所声声称称的的实实体体，然然后后由由CACA发发放放给给实实体体数数字字证证书书，作作为为CACA信信任任他他的一种证明的一种证明l通通过过第第三三方方信信任任，任任何何信信任任第第三三方方的的人人便便可可以信任拥有有效证书的实体。以信任拥有有效证书的实体。信任模式信任模式l证书将用户公

7、钥和名字等其他信息绑定起来，证书将用户公钥和名字等其他信息绑定起来，CA使用它的签名私钥对证书信息进行数字使用它的签名私钥对证书信息进行数字签名。签名。lCA机构的数字签名使得攻击者不能伪造和机构的数字签名使得攻击者不能伪造和篡改证书，篡改证书，CA不能否认它签名的证书（抗不能否认它签名的证书（抗抵赖性）。抵赖性）。用户公钥和名字CA签名信任模式信任模式l如果两个如果两个CACA交换密钥信息，这样每个交换密钥信息，这样每个CACA都可都可以有效地验证另一方以有效地验证另一方CACA密钥的可信任性，密钥的可信任性，我们称这样的过程为交叉认证。交叉认证我们称这样的过程为交叉认证。交叉认证是第三方信

8、任的扩展。是第三方信任的扩展。第三方信任信任信任信任CAAliceBob信任信任CABillAnnelPKI的功能的功能lPKI的组件的组件l数字证书数字证书lPKI的发展现状的发展现状lwindows 2000支持的支持的PKI的特性的特性7.2、PKI的组件的组件PKI的组件：的组件：证书签发机构（证书签发机构（CA）证书注册机构（证书注册机构（RA）证书库证书库档案库档案库用户用户密钥备份及恢复系统密钥备份及恢复系统证书废除处理系统证书废除处理系统应用系统接口应用系统接口l功能功能管理密钥管理密钥PKI方便了颁发新密钥、检查或吊销现有密钥，以及管理不同颁方便了颁发新密钥、检查或吊销现有密

9、钥，以及管理不同颁发者发行的密钥的信任程度发者发行的密钥的信任程度发行密钥发行密钥PKI为客户端明确定义了定位和获得公钥、以及查看某公钥是否为客户端明确定义了定位和获得公钥、以及查看某公钥是否有效的途径。如果不能获得公钥和知道它的有效性，用户就不有效的途径。如果不能获得公钥和知道它的有效性，用户就不能利用公钥服务。能利用公钥服务。使用密钥使用密钥PKI为用户提供了便于使用密钥的途径，它不仅将密钥至于用户为用户提供了便于使用密钥的途径，它不仅将密钥至于用户需要的地方，而且还提供了执行公钥加密的便于使用的应用程需要的地方，而且还提供了执行公钥加密的便于使用的应用程序，使之能保障电子邮件、电子商务和

10、网络的安全。序，使之能保障电子邮件、电子商务和网络的安全。组件组件1：证书注册机构（：证书注册机构（RA）lRA(Registration Authority)是是CA面对用面对用户的窗口，它负责接收用户的证书申请，户的窗口，它负责接收用户的证书申请，审核用户的身份审核用户的身份lRA也负责向用户发放证书也负责向用户发放证书组件组件2：证书颁发机构（：证书颁发机构（CA）CA(Certification Authority)是是PKI的核心，的核心，CA通通过签发证书将一个主体与其公钥进行捆绑公证过签发证书将一个主体与其公钥进行捆绑公证CACA有两个知名的属性：有两个知名的属性：CACA的名字

11、和的名字和CACA的公钥。的公钥。l功能功能CACA执行执行4 4个基本的个基本的PKIPKI功能：功能：签发证书签发证书(例如：创建和签名例如：创建和签名)；维持证书状态信息和签发维持证书状态信息和签发CRL CRL；发发布布它它的的当当前前(例例如如：期期限限未未满满)证证书书和和CRLCRL，因因此此用用户户可可以以获获得得他们需要实现安全服务的信息；他们需要实现安全服务的信息；维持有关到期证书的状态信息档案维持有关到期证书的状态信息档案lCA类型类型企业根企业根CA企业从属企业从属CA独立根独立根CA独立从属独立从属CA组件组件3：证书库：证书库l证书库是证书的集中存放地，用户可证书库

12、是证书的集中存放地，用户可以从此处获得其他用户的证书以从此处获得其他用户的证书l构造证书库可以采用构造证书库可以采用X.500(目录标准目录标准)，数据库等。，数据库等。组件组件4：档案库：档案库l档案库是一个被用来解决将来争执的信息库，为档案库是一个被用来解决将来争执的信息库，为CA承担长期存储文档信息的责任。承担长期存储文档信息的责任。l档案的主要任务是储存和保护充足的信息来决定档案的主要任务是储存和保护充足的信息来决定在一份旧的文档中数字签名是可以信任的。在一份旧的文档中数字签名是可以信任的。组件组件5：密钥备份及恢复系统：密钥备份及恢复系统如果用户的解密私钥丢失，则密文无法解密，如果用

13、户的解密私钥丢失，则密文无法解密，造成数据丢失造成数据丢失密钥的备份与恢复应由可信机构来完成密钥的备份与恢复应由可信机构来完成密钥的备份与恢复只能针对解密私钥，签名私钥不密钥的备份与恢复只能针对解密私钥，签名私钥不能备份能备份组件组件6：证书废除处理系统：证书废除处理系统证书在有效期之内由于某些原因可能需要废除证书在有效期之内由于某些原因可能需要废除废除证书一般是将证书列入证书黑名单（废除证书一般是将证书列入证书黑名单（CRL）来完）来完成成CRL一般存放在目录系统中一般存放在目录系统中组件组件7：PKI应用系统接口应用系统接口lPKIPKI的价值在于使用户能够方便地使用加密，数字签的价值在于

14、使用户能够方便地使用加密，数字签名等安全服务名等安全服务l一个完整的一个完整的PKIPKI必须提供良好的应用接口，使得各种必须提供良好的应用接口，使得各种应用能够以安全，一致，可信的方式与应用能够以安全，一致，可信的方式与PKIPKI交互，确交互，确保所建立起来的网络环境的可信性保所建立起来的网络环境的可信性lPKI的功能的功能lPKI的组件的组件l数字证书数字证书lPKI的发展现状的发展现状lwindows 2000支持的支持的PKI的特性的特性7.3、数字证书、数字证书l证书结构证书结构l证书存储标准证书存储标准l证书的验证证书的验证1 x.509 数字证书数字证书主体对象主体对象由各种公

15、钥安全服务和提供身份验证的应用程序、数据完整性和通过网络由各种公钥安全服务和提供身份验证的应用程序、数据完整性和通过网络的安全通讯所使用。的安全通讯所使用。2 windows中数字证书的存储标准中数字证书的存储标准lX.509标准标准 最基本的证书存储标准格式最基本的证书存储标准格式（DER ，Based64）lPKCS#7 标准标准 用来传输签名数据的标准格式用来传输签名数据的标准格式lPKCS#12标准标准 用来传输证书和私钥的标准格式用来传输证书和私钥的标准格式个人信息交换（个人信息交换（PKCS#12）业界格式，是业界格式，是Windows2000中支持的导出证书及相关私钥的唯中支持的

16、导出证书及相关私钥的唯一格式。一格式。证书用户证书用户EFS（加密文件系统）或（加密文件系统）或EFS故障恢复才可导出私钥故障恢复才可导出私钥加密消息语法标准（加密消息语法标准（PKCS#7）(不常见不常见)允许将证书及证书路径中的所有证书从一台计算机传输到另一允许将证书及证书路径中的所有证书从一台计算机传输到另一台计算机或可移动媒体上。台计算机或可移动媒体上。扩展名为扩展名为.p7bDER编码的二进制编码的二进制X.509可由不在可由不在Windows2000服务器上的证书颁发机构使用，因此它服务器上的证书颁发机构使用，因此它支持互操作性。支持互操作性。扩展名为扩展名为.cerBase64编

17、码的编码的X.509同上。同上。3 证书的验证证书的验证l第一步：第一步：验证真实性。证书是否为可信任验证真实性。证书是否为可信任的的CA认证中心签发？认证中心签发？证书真实性的验证是证书真实性的验证是基于基于证书链证书链验证机制的验证机制的证书链证书链l第二步：验证有效性。证书是否在证书的第二步：验证有效性。证书是否在证书的有效使用期之内。有效使用期之内。l第三步：验证可用性。证书是否已废除？第三步：验证可用性。证书是否已废除？证书有效性的验证是通过比较当证书有效性的验证是通过比较当前时间与证书截止时间来进行的。前时间与证书截止时间来进行的。证书可用性的验证是通过证书证书可用性的验证是通过证

18、书吊销机制来实现的。吊销机制来实现的。CRL数据格式数据格式lPKI的功能的功能lPKI的组件的组件l数字证书数字证书lPKI的发展现状的发展现状lwindows 2000支持的支持的PKI的特性的特性7.4国内国内PKI发展现状发展现状国内现状国内现状-服务提供商服务提供商l创原世纪创原世纪l国创科技国创科技l信安科技信安科技l吉大正元吉大正元l天威诚信天威诚信l国瑞数码国瑞数码PKI的标准的标准lITU-T X.509lPKIX文档（文档（RFC）lPKCS系列标准系列标准lX.509国际标准国际标准 idt ISO/IEC9594-8:1998 ITU-T Rcc.X.509:1997X

19、.509是是PKI的雏形，的雏形，PKI在在X.509标准的基础上发展起标准的基础上发展起来的。来的。已经达到了标准化的最高水平，非常稳定已经达到了标准化的最高水平，非常稳定X.509标准有三个版本，版本标准有三个版本，版本2和版本和版本3是对版本是对版本1的扩的扩展，目前常用的是版本展，目前常用的是版本3PKCS系列标准系列标准lPKI的功能的功能lPKI的组件的组件l数字证书数字证书lPKI的发展现状的发展现状lwindows 2000支持的支持的PKI的特性的特性7.5 Windows 支持的支持的PKI的特性的特性l证书证书l证书服务（安装在证书服务（安装在 Server版上）版上）创

20、建和管理证书颁发机构的组件。创建和管理证书颁发机构的组件。个别组件是个别组件是CA Web登记页面登记页面l智能卡支持智能卡支持l公钥策略公钥策略可以使用组策略自动给计算机指派证书、建立证书信任可以使用组策略自动给计算机指派证书、建立证书信任列表和公用的信任证书颁发机构。列表和公用的信任证书颁发机构。使用使用Windows 中的中的PKIl创建证书颁发机构（安装证书服务）创建证书颁发机构（安装证书服务）l为用户颁发证书为用户颁发证书l证书的导出和导入证书的导出和导入l证书的吊销证书的吊销安装证书服务安装证书服务“控制面板控制面板”添加添加/删除程序删除程序”“添加添加/删除删除Windows组

21、件组件”l证书颁发机构的类型证书颁发机构的类型企业根企业根CA企业下级企业下级CA独立根独立根CA独立下级独立下级CAl企业企业CA和独立和独立CA的区别的区别企业根企业根CA和企业下级和企业下级CA需要需要Active Directory独立根独立根CA和独立下级和独立下级CA不需要不需要Active Directoryl选择高级选项选择高级选项加密服务提供服务加密服务提供服务密钥长度密钥长度散列算法散列算法l输入证书颁发机构标识信息输入证书颁发机构标识信息l指定数据库和配置存储位置指定数据库和配置存储位置只有在安装了独立的只有在安装了独立的CA但没有但没有Active Directory时

22、，该时，该选项才有效。选项才有效。默认为默认为%SYSTEMROOT%system32certlog安装证书服务安装证书服务使用使用Windows 中的中的PKIl创建证书颁发机构（安装证书服务）创建证书颁发机构（安装证书服务）l为用户颁发证书为用户颁发证书l证书的导出和导入证书的导出和导入l证书的吊销证书的吊销为用户颁发证书为用户颁发证书-申请证书（申请证书（1）l使用证书申请向导使用证书申请向导只有在只有在Windows域中可用的域中可用的企业证书颁发机构企业证书颁发机构才可以才可以使用。使用。只提供只提供“加密服务提供程序加密服务提供程序”等可选的申请功能。等可选的申请功能。打开打开”证

23、书证书”管理单元管理单元选择证书存储区选择证书存储区”所有任务所有任务”申请新证书申请新证书”l在企业级的证书申请机构中，才能申请就获批，因为个人信息的真实在企业级的证书申请机构中，才能申请就获批，因为个人信息的真实性，可直接通过活动目录进行验证性，可直接通过活动目录进行验证l而独立的而独立的CA需要管理员认为的审核之后才可以获批。需要管理员认为的审核之后才可以获批。l安装证书，就是把证书下载下来，安装在证书个人存储区里安装证书，就是把证书下载下来，安装在证书个人存储区里为用户颁发证书为用户颁发证书-申请证书（申请证书（2）l使用使用Windows证书服务证书服务Web页页即可用于企业证书颁发

24、机构，也可用于独立颁发机构即可用于企业证书颁发机构，也可用于独立颁发机构（不依赖于域）（不依赖于域）提供了更多可选的申请功能提供了更多可选的申请功能将密钥标记为可导出、设置密钥长度，选择散列算法以及将申将密钥标记为可导出、设置密钥长度，选择散列算法以及将申请保存到请保存到PKCS#10文件等。文件等。使用使用Web浏览器访问浏览器访问http:/servername/certsrv前提：启动前提：启动IIS服务服务为用户颁发证书为用户颁发证书-处理证书申处理证书申请请l处理证书申请处理证书申请当证书请求提交到企业证书颁发机构，它将被立即处理。当证书请求提交到企业证书颁发机构，它将被立即处理。当

25、证书请求提交到独立证书颁发机构时，该证书被挂起，当证书请求提交到独立证书颁发机构时，该证书被挂起，等待管理员的批准。等待管理员的批准。2000中企业证书机构与独立证书机构的区别中企业证书机构与独立证书机构的区别1.企业证书机构需要活动目录的企业证书机构需要活动目录的(域环境域环境)，独立颁发机构不需要，独立颁发机构不需要(工作组环境工作组环境)2.用户申请证书时用户申请证书时：企业用户既可使用证书申请向导，也可用：企业用户既可使用证书申请向导，也可用WEB页。页。3.独立用户只能用独立用户只能用WEB页。页。4.3.处理证书申请时：对企业证书机构是立即处理，对独立证书机构请求将处理证书申请时：

26、对企业证书机构是立即处理，对独立证书机构请求将被挂起，直到管理员批准被挂起，直到管理员批准使用使用Windows 2000中的中的PKIl创建证书颁发机构（安装证书服务）创建证书颁发机构（安装证书服务）l为用户颁发证书为用户颁发证书l证书的导出和导入证书的导出和导入l证书的吊销证书的吊销证书和密钥的导出和导入证书和密钥的导出和导入证书的吊销证书的吊销l证书为什么需要吊销证书为什么需要吊销证书受领人已离开单位证书受领人已离开单位证书受领人的私钥已泄露证书受领人的私钥已泄露其他一些与安全相关的事件规定它不再需要将证书视为其他一些与安全相关的事件规定它不再需要将证书视为“有效有效”l证书吊销列表（证

27、书吊销列表（CRL）当证书被当证书被CA吊销时，它将被添加到该吊销时，它将被添加到该CA的证书吊销列的证书吊销列表中。表中。证书的吊销证书的吊销-安排安排CRL的发布的发布lCRL的发布期的发布期发布期是发布期是CA自动发布更新的自动发布更新的CRL的时间间隔。的时间间隔。lCRL的有效期的有效期有效期是证书验证者将有效期是证书验证者将CRL视为权威的时间段视为权威的时间段只要证书验证者在其本地缓存中具有有效的只要证书验证者在其本地缓存中具有有效的CRL，它就，它就不会尝试从发布它的不会尝试从发布它的CA检索另一个检索另一个CRL默认情况下，证书服务将发布期延长默认情况下，证书服务将发布期延长

28、10%（最多可加（最多可加12小时）来建立有效期。小时）来建立有效期。CRL的发布和客户端的缓存的发布和客户端的缓存证书的使用方法证书的使用方法lWeb服务的安全服务的安全用用SSL加密加密IIS的传输的传输lE-mail的安全的安全l加密文件系统（加密文件系统（EFS）lIPSec证书证书l智能卡登录智能卡登录l数字签名数字签名举例举例 lEFS的恢复证书的恢复证书如果在客户端证书申请的界面上看不到如果在客户端证书申请的界面上看不到”EFS故障恢复故障恢复代理代理”证书模版证书模版需要让系统管理员授予用户对证书模板的访问权限来决需要让系统管理员授予用户对证书模板的访问权限来决定。定。1、打开证书颁发管理模块打开证书颁发管理模块/证书模版证书模版/管理管理l2 授予用户权限授予用户权限l客户端出现正常模版客户端出现正常模版小结小结lPKI：作用，组件：作用，组件。l数字证书数字证书：结构，：结构，存储格式，证书验存储格式，证书验证证lCA的主要功能：证书的颁发，证书的更新，的主要功能：证书的颁发，证书的更新，查询、吊销、归档查询、吊销、归档lCA的类型：企业根的类型：企业根CA，企业从属，企业从属CA，独立，独立根根CA和独立从属和独立从属CAlWindows 2000中中PKI的支持：企业级的，的支持：企业级的，独立级的。独立级的。