网络服务器配置与应用-证书服务与PKI应用.ppt

* * * * * * * * 基于SSL的Web安全访问 微软的SSL Web安全解决方案 申请和安装服务器证书 在Web服务器上启用SSL 在Web浏览器端安装CA证书链 测试SSL链接 对SSL客户端进行验证 在Web服务器上使用证书信任列表进一步限制访问 将客户证书映射到用户账户 基于S/MIME的安全电子邮件 理解S/MIME与安全电子邮件证书 设置Outlook Express的安全选项 申请并安装安全电子邮件证书 设置邮件账号的安全功能 邮件的数字签名和验证 邮件的加密和解密 邮件同时签名和加密 使用PGP实现邮件安全收发 PGP软件简介 创建和管理PGP密钥 同他人交换PGP密钥 校验对方的公钥 使用PGP对邮件进行加密和签名 * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * 网络服务器配置与应用-证书服务与PKI应用 证书服务与PKI应用 要点 公钥基础结构 非对称加密技术 数字证书 建立证书服务 理解SSL安全 基于SSL的Web安全访问 通过SSL实现客户验证 基于S/MIME的安全电子邮件 使用PGP实现邮件安全收发 理解PKI与证书服务 证书颁发机构的建立和管理 客户端的证书申请和管理 基于SSL的安全访问 证书服务与PKI应用 基于S/MIME的安全电子邮件 使用PGP实现邮件安全收发 理解PKI与证书服务 网络信息既有存储于网络节点上信息资源，即静态信息，又有传播于网络节点间的信息，即动态信息。而这些静态信息和动态信息中有些是开放的，如广告、公共信息等，有些是保密的，如:私人间的通信、政府及军事部门、商业机密等。网络信息安全一般是指网络信息的机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）及真实性（Authenticity） 网络安全的含义 理解PKI与证书服务 机密性是指网络信息的内容不会被未授权的第三方所知。 完整性是指信息在存储或传输时不被修改、破坏，不出现信息包的丢失、乱序等，即不能为未授权的第三方修改。信息的完整性是信息安全的基本要求，破坏信息的完整性是影响信息安全的常用手段。当前，运行于互联网上的协议（如TCP/IP）等，能够确保信息在数据包级别的完整性，即做到了传输过程中不丢信息包，不重复接收信息包，但却无法制止未授权第三方对信息包内部的修改。 可用性包括对静态信息的可得到和可操作性及对动态信息内容的可见性。 真实性是指信息的可信度，主要是指对信息所有者或发送者的身份的确认。 网络安全的含义 理解PKI与证书服务 前不久，美国计算机安全专家又提出了一种新的安全框架，包括：机密性（Confidentiality）、完整性（Integrity）、可用性（Availability）、真实性（Authenticity）、实用性（Utility）、占有性（Possession）， 即在原来的基础上增加了实用性、占有性，认为这样才能解释各种网络安全问题： 网络信息的实用性是指信息加密密钥不可丢失（不是泄密），丢失了密钥的信息也就丢失了信息的实用性,成为垃圾。 网络信息的占有性是指存储信息的节点、磁盘等信息载体被盗用，导致对信息的占用权的丧失。保护信息占有性的方法有使用版权、专利、商业秘密性，提供物理和逻辑的存取限制方法；维护和检查有关盗窃文件的审记记录、使用标签等。 网络安全的含义 理解PKI与证书服务 对互联网络的攻击包括对静态数据的攻击和对动态数据的攻击。 对静态数据的攻击主要有： 口令猜测：通过穷举方式搜索口令空间，逐一测试，得到口令，进而非法入侵系统。 IP地址欺骗：攻击者伪装成源自一台内部主机的一个外部地点传送信息包，这些信息包中包含有内部系统的源IP地址，冒名他人，窃取信息。 指定路由：发送方指定一信息包到达目的站点的路由，而这条路由是经过精心设计的、绕过设有安全控制的路由。 根据对动态信息的攻击形式不同，可以将攻击分为主动攻击和被动攻击两种。 攻击互联网络安全性的类型 理解PKI与证书服务 被动攻击主要是指攻击者监听网络上传递的信息流，从而获取信息的内容（interception），或仅仅希望得到信息流的长度、传输频率等数据，称为流量分析（traffic analysis）。被动攻击和窃听示意图如图1、图2所示： 攻击互联网络安全性的类型 理解PKI与证书服务 除了被动攻击的方式外，攻击者还可以采用主动攻击的方式。主动攻击是指攻击者通过有选择的修改、删除、延迟、乱序、复制、插入数据流或数据流的一部分以达到其非法目的。主动攻击可以归纳