數(shù)字證書(shū)服務(wù)課件

數(shù)字證書(shū)服務(wù)2022/12/19數(shù)字證書(shū)服務(wù)數(shù)字證書(shū)服務(wù)2022/12/13數(shù)字證書(shū)服務(wù)1安全的網(wǎng)絡(luò)信息最基本的3個(gè)特征1．機(jī)密性----2．完整性----3．可用性----信息僅能夠被授權(quán)的用戶得到信息不被未授權(quán)者篡改和破壞保證信息和信息系統(tǒng)隨時(shí)為授權(quán)者服務(wù)概括起來(lái)，安全的網(wǎng)絡(luò)信息就是指授權(quán)的用戶可以訪問(wèn)到完整的信息。數(shù)字證書(shū)服務(wù)安全的網(wǎng)絡(luò)信息最基本的3個(gè)特征1．機(jī)密性----信息僅能夠被2采用對(duì)網(wǎng)上傳輸?shù)男畔?/p>

進(jìn)行加密的方式信息的發(fā)送方對(duì)要傳輸?shù)男畔⑦M(jìn)行加密，在Internet上傳輸?shù)男畔⑹羌用芎蟮男畔?。信息的接受方收到加密后的信息進(jìn)行解密，還原成原來(lái)的信息，這就是網(wǎng)絡(luò)信息加密技術(shù)的原理。數(shù)字證書(shū)服務(wù)采用對(duì)網(wǎng)上傳輸?shù)男畔?/p>

進(jìn)行加密的方式信息的發(fā)送方對(duì)要傳輸?shù)男?常規(guī)加解密技術(shù)加密算法解密算法Internet/Intranet明文明文密文傳送發(fā)送方/接受方共同的密鑰發(fā)送方/接收方共同的密鑰發(fā)送方接收方數(shù)字證書(shū)服務(wù)常規(guī)加解密技術(shù)加密算法解密算法Internet/Intran4常規(guī)加解密技術(shù)的名詞明文：未被加密的信息密文：被加密后的信息加密：使用某種方法偽裝信息以隱藏其內(nèi)容的過(guò)程，把明文轉(zhuǎn)變?yōu)槊芪?。解密：把密文轉(zhuǎn)變?yōu)槊魑牡倪^(guò)程。加密算法：對(duì)明文進(jìn)行加密時(shí)采用的一組算法解密算法：對(duì)密文進(jìn)行解密時(shí)采用的一組規(guī)則加密密鑰：加密過(guò)程中使用的密鑰解密密鑰：解密過(guò)程中使用的密鑰常規(guī)加解密技術(shù)中，接受方和發(fā)送方使用同樣的密鑰，加密密鑰和解密密鑰完全相同。數(shù)字證書(shū)服務(wù)常規(guī)加解密技術(shù)的名詞明文：未被加密的信息常規(guī)加解密技術(shù)中，接5網(wǎng)絡(luò)信息安全的新需求1．身份認(rèn)證和鑒別:對(duì)信息傳輸?shù)碾p方進(jìn)行身份認(rèn)證和鑒別，需要某種機(jī)制來(lái)證明雙方的真實(shí)身份。2．不可否認(rèn)性:信息的發(fā)送方必須對(duì)自己的操作承擔(dān)責(zé)任，不可否認(rèn)。3．?dāng)?shù)字簽名:日常生活中，通信雙方為了解決抵賴(lài)和欺騙的問(wèn)題，會(huì)在文檔上進(jìn)行手寫(xiě)簽名，把這個(gè)原理用在網(wǎng)絡(luò)上就是數(shù)字簽名。數(shù)字簽名的目的：用于證明是作者的簽名、簽名日期和時(shí)間；在簽名的同時(shí)對(duì)內(nèi)容的真?zhèn)芜M(jìn)行鑒別；簽名能夠被公正、權(quán)威的第三方進(jìn)行仲裁。數(shù)字證書(shū)服務(wù)網(wǎng)絡(luò)信息安全的新需求1．身份認(rèn)證和鑒別:對(duì)信息傳輸?shù)碾p6公鑰加密技術(shù)公鑰加解密技術(shù)的結(jié)構(gòu)：每個(gè)網(wǎng)絡(luò)用戶有兩個(gè)密鑰，稱(chēng)為公鑰和私鑰。在信息的發(fā)送和接受過(guò)程中，使用一個(gè)密鑰加密，使用另一個(gè)密鑰解密，同一個(gè)用戶的兩個(gè)密鑰可以互相加解密，但這兩個(gè)密鑰相互之間很難相互推導(dǎo)得出。公鑰：稱(chēng)為公開(kāi)密鑰，可以向其他用戶公開(kāi)私鑰：稱(chēng)為私有密鑰，是用戶自己擁有，不能公開(kāi)。數(shù)字證書(shū)服務(wù)公鑰加密技術(shù)公鑰加解密技術(shù)的結(jié)構(gòu)：數(shù)字證書(shū)服務(wù)7公鑰結(jié)構(gòu)的保密通信原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰要進(jìn)行保密通信，發(fā)送方使用接收方的公鑰對(duì)明文進(jìn)行加密，接受方使用自己的私鑰對(duì)密文進(jìn)行解密。由于只有接收方才能對(duì)由自己的公鑰加密的信息解密，因此可以實(shí)現(xiàn)保密通信。數(shù)字證書(shū)服務(wù)公鑰結(jié)構(gòu)的保密通信原理加密算法解密算法Internet/In8公鑰結(jié)構(gòu)的鑒別通信的原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰要進(jìn)行鑒別通信，發(fā)送方使用自己的私鑰對(duì)明文進(jìn)行加密，接收方使用發(fā)送方的公鑰對(duì)密文進(jìn)行解密。接收方使用發(fā)送方的公鑰進(jìn)行解密，可以確信信息是由發(fā)送方加密的，也就可以鑒別了發(fā)送方的身份。數(shù)字證書(shū)服務(wù)公鑰結(jié)構(gòu)的鑒別通信的原理加密算法解密算法Internet/I9公鑰結(jié)構(gòu)的鑒別+保密通信的原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰發(fā)送方先使用自己的私鑰對(duì)明文進(jìn)行加密，然后使用接收方的公鑰進(jìn)行加密。接收方先使用發(fā)送方的公鑰進(jìn)行解密，然后使用自己的私鑰進(jìn)行解密，這樣就實(shí)現(xiàn)了鑒別和保密通信。數(shù)字證書(shū)服務(wù)公鑰結(jié)構(gòu)的鑒別+保密通信的原理加密算法解密算法Interne10數(shù)字證書(shū)的PKI解決方案PKI(PublicKeyInfrastructure公鑰結(jié)構(gòu))是利用公鑰加解密技術(shù)來(lái)實(shí)現(xiàn)信息安全的技術(shù)，代表了當(dāng)今世界網(wǎng)絡(luò)安全技術(shù)的最高水平。PKI方案的核心就是數(shù)字證書(shū)。數(shù)字證書(shū)服務(wù)數(shù)字證書(shū)的PKI解決方案PKI(PublicKeyInf11數(shù)字證書(shū)在Internet上從事一些需要保密的業(yè)務(wù)時(shí)必備的“個(gè)人身份證”，有權(quán)威機(jī)構(gòu)發(fā)行，在網(wǎng)絡(luò)通信中標(biāo)志通信各方身份的一系列數(shù)據(jù)。網(wǎng)絡(luò)上通信各方向PKI的數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)，通過(guò)PKI系統(tǒng)建立的一套嚴(yán)密的身份認(rèn)證系統(tǒng)來(lái)保證：1． 信息除發(fā)送方和接受方外不被其他人截取2． 信息在傳輸過(guò)程中不被篡改3． 發(fā)送方能夠通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)接受方的身份4． 發(fā)送方對(duì)于自己的信息不能抵賴(lài)數(shù)字證書(shū)服務(wù)數(shù)字證書(shū)在Internet上從事一些需要保密的業(yè)務(wù)時(shí)必備的“12數(shù)字證書(shū)的格式版本、序列號(hào)、簽名算法、頒發(fā)者、使用者、標(biāo)識(shí)、有效期。數(shù)字證書(shū)服務(wù)數(shù)字證書(shū)的格式版本、序列號(hào)、簽名算法、頒發(fā)者、使用者、標(biāo)識(shí)、13數(shù)字證書(shū)的原理公鑰公鑰私鑰私鑰數(shù)字證書(shū)采用公鑰機(jī)制，證書(shū)頒發(fā)機(jī)構(gòu)提供的程序?yàn)橛脩舢a(chǎn)生一對(duì)密鑰，一把是公開(kāi)的公鑰，它將在用戶的數(shù)字證書(shū)中公布并寄存于數(shù)字證書(shū)認(rèn)證中心。另一把是私人的私鑰，它將存放在用戶的計(jì)算機(jī)上。數(shù)字證書(shū)認(rèn)證中心CA(CertificateAgency)數(shù)字證書(shū)認(rèn)證中心CA證書(shū)申請(qǐng)與頒發(fā)證書(shū)申請(qǐng)與頒發(fā)數(shù)字證書(shū)服務(wù)數(shù)字證書(shū)的原理公鑰公鑰私鑰私鑰數(shù)字證書(shū)采用公鑰機(jī)制，證書(shū)頒發(fā)14PKI解決方案實(shí)例----Internet電子商務(wù)解決方案售物方和購(gòu)物方向CA中心申請(qǐng)用戶證書(shū)電子商務(wù)服務(wù)器向CA中心申請(qǐng)服務(wù)器證書(shū)售物方和購(gòu)物方的開(kāi)戶銀行向CA中心申請(qǐng)服務(wù)器證書(shū)。數(shù)字證書(shū)服務(wù)PKI解決方案實(shí)例----Internet電子商務(wù)解決方案售15PKI的發(fā)展情況美國(guó)的猶他州于1995年頒布的《數(shù)字簽名法》是全世界范圍內(nèi)第一部全面規(guī)范電子簽名的法律。美國(guó)2000年開(kāi)始實(shí)行《數(shù)字簽名法》，數(shù)字簽名法具有法律效率。美國(guó)目前已經(jīng)建立了覆蓋全國(guó)的PKI網(wǎng)絡(luò)，聯(lián)邦、州和大型企業(yè)之間的PKI實(shí)現(xiàn)了橋接。歐洲各國(guó)已經(jīng)建立了自己的PKI。2001年歐盟建立了橋接的CA，2002年歐盟開(kāi)始實(shí)行《數(shù)字簽名法》。亞洲范圍內(nèi)的日本、韓國(guó)和新加坡在PKI建設(shè)方面起步較早，這3個(gè)國(guó)家目前已經(jīng)實(shí)現(xiàn)了交叉認(rèn)證。數(shù)字證書(shū)服務(wù)PKI的發(fā)展情況美國(guó)的猶他州于1995年頒布的《數(shù)字簽名法》16我國(guó)的電子簽名法我國(guó)的立法從2002年開(kāi)始的，最初的定位是行政法規(guī)，但在網(wǎng)絡(luò)經(jīng)濟(jì)迅猛發(fā)展的背景下，國(guó)務(wù)院決定直接將該立法的層級(jí)提高為法律。在對(duì)原來(lái)起草的條例內(nèi)容進(jìn)行了修改后，形成了《中華人民共和國(guó)電子簽名法(草案)》。2004年3月24日，在溫家寶總理主持的國(guó)務(wù)院常務(wù)會(huì)議上，《電子簽名法(草案)》獲得原則通過(guò)，隨即被提交全國(guó)人大討論。4月2日，十屆全國(guó)人大常委會(huì)第八次會(huì)議第一次對(duì)該法進(jìn)行了審議，6月21日，十屆全國(guó)人大常委會(huì)第十次會(huì)議再次對(duì)該草案進(jìn)行了審議。2004年8月28日中華人民共和國(guó)第十屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十一次會(huì)議通過(guò)了《中華人民共和國(guó)電子簽名法》，并于2005年4月1日起施行。數(shù)字證書(shū)服務(wù)我國(guó)的電子簽名法我國(guó)的立法從2002年開(kāi)始的，最初的定位是行17在Windows2003Server上的數(shù)字證書(shū)服務(wù)①證書(shū)服務(wù)的安裝---添加刪除組件②CA的配置---控制面板/管理工具/證書(shū)頒發(fā)機(jī)構(gòu)③CA的啟動(dòng)與關(guān)閉---證書(shū)頒發(fā)機(jī)構(gòu)/操作/所有任務(wù)④CA的備份與還原---證書(shū)頒發(fā)機(jī)構(gòu)/操作/所有任務(wù)⑤向CA申請(qǐng)數(shù)字證書(shū)---證書(shū)頒發(fā)機(jī)構(gòu)/掛起的申請(qǐng)⑥頒發(fā)數(shù)字證書(shū)---http://yourserver/CertSrv數(shù)字證書(shū)服務(wù)在Windows2003Server上的數(shù)字證書(shū)服務(wù)①18網(wǎng)站加密—SSL站點(diǎn)只要瀏覽器和Web服務(wù)器都配置成使用SSL(SecureSocketLayer安全套接層)，就可以在傳輸層實(shí)現(xiàn)網(wǎng)絡(luò)信息安全。SSL會(huì)話----通信雙方就通信規(guī)則達(dá)成一致就是一個(gè)SSL會(huì)話，會(huì)話由SSL握手協(xié)議完成，定義加密安全參數(shù)的集合。SSL連接----利用會(huì)話參數(shù)進(jìn)行的一次實(shí)際的數(shù)據(jù)傳輸過(guò)程。數(shù)字證書(shū)服務(wù)網(wǎng)站加密—SSL站點(diǎn)只要瀏覽器和Web服務(wù)器都配置成使用SS19基于SSL的一個(gè)完整的

Web訪問(wèn)過(guò)程1.客戶機(jī)瀏覽器的數(shù)字證書(shū)和公鑰2.服務(wù)器的數(shù)字證書(shū)和公鑰3.用服務(wù)器的公鑰加密信息4.用服務(wù)器的私鑰解密信息5.用客戶機(jī)瀏覽器的公鑰加密會(huì)話密鑰6.用客戶機(jī)瀏覽器的私鑰解密信息7.用會(huì)話密鑰加密傳輸?shù)臄?shù)據(jù)客戶端服務(wù)器數(shù)字證書(shū)服務(wù)基于SSL的一個(gè)完整的

Web訪問(wèn)過(guò)程1.客戶機(jī)瀏覽器的數(shù)字20公鑰、私鑰和會(huì)話密鑰的關(guān)系只要Web服務(wù)器和客戶機(jī)瀏覽器使用的數(shù)字證書(shū)不變，它們的公鑰和私鑰就不變，而每次會(huì)話的會(huì)話密鑰會(huì)改變。會(huì)話密鑰的不斷變化，使信息的破譯難度加大，確保信息的安全。使用SSL協(xié)議通信，獲得的數(shù)字證書(shū)中的公鑰用于安全傳遞會(huì)話密鑰，每次產(chǎn)生的不同的會(huì)話密鑰才是對(duì)傳輸數(shù)據(jù)進(jìn)行真正的加密和解密，因此SSL的通信是常規(guī)加解密技術(shù)和公鑰加解密技術(shù)的融合。數(shù)字證書(shū)服務(wù)公鑰、私鑰和會(huì)話密鑰的關(guān)系只要Web服務(wù)器和客戶機(jī)瀏覽器使用21在Windows2003Server上構(gòu)建SSL的Web站點(diǎn)①生成Web服務(wù)器數(shù)字證書(shū)申請(qǐng)文件---IIS管理/默認(rèn)網(wǎng)站/屬性/目錄安全性/服務(wù)器證書(shū)②申請(qǐng)Web服務(wù)器數(shù)字證書(shū)---http://YourServer/CertSrv高級(jí)證書(shū)申請(qǐng)③頒發(fā)Web服務(wù)器數(shù)字證書(shū)---證書(shū)頒發(fā)機(jī)構(gòu)/掛起的申請(qǐng)④獲取Web服務(wù)器數(shù)字證書(shū)---http://YourServer/CertSrv下載CA證書(shū)⑤安裝Web服務(wù)器數(shù)字證書(shū)---IIS管理/默認(rèn)網(wǎng)站/屬性/目錄安全性/服務(wù)器證書(shū)/Web服務(wù)器存在掛起的證書(shū)請(qǐng)求⑥在Web服務(wù)器上設(shè)置SSL---IIS管理/默認(rèn)網(wǎng)站/屬性/目錄安全性/編輯數(shù)字證書(shū)服務(wù)在Windows2003Server上構(gòu)建SSL的Web22演講完畢，謝謝聽(tīng)講!再見(jiàn)，seeyouagain3rew2022/12/19數(shù)字證書(shū)服務(wù)演講完畢，謝謝聽(tīng)講!再見(jiàn)，seeyouagain3rew23數(shù)字證書(shū)服務(wù)2022/12/19數(shù)字證書(shū)服務(wù)數(shù)字證書(shū)服務(wù)2022/12/13數(shù)字證書(shū)服務(wù)24安全的網(wǎng)絡(luò)信息最基本的3個(gè)特征1．機(jī)密性----2．完整性----3．可用性----信息僅能夠被授權(quán)的用戶得到信息不被未授權(quán)者篡改和破壞保證信息和信息系統(tǒng)隨時(shí)為授權(quán)者服務(wù)概括起來(lái)，安全的網(wǎng)絡(luò)信息就是指授權(quán)的用戶可以訪問(wèn)到完整的信息。數(shù)字證書(shū)服務(wù)安全的網(wǎng)絡(luò)信息最基本的3個(gè)特征1．機(jī)密性----信息僅能夠被25采用對(duì)網(wǎng)上傳輸?shù)男畔?/p>

進(jìn)行加密的方式信息的發(fā)送方對(duì)要傳輸?shù)男畔⑦M(jìn)行加密，在Internet上傳輸?shù)男畔⑹羌用芎蟮男畔?。信息的接受方收到加密后的信息進(jìn)行解密，還原成原來(lái)的信息，這就是網(wǎng)絡(luò)信息加密技術(shù)的原理。數(shù)字證書(shū)服務(wù)采用對(duì)網(wǎng)上傳輸?shù)男畔?/p>

進(jìn)行加密的方式信息的發(fā)送方對(duì)要傳輸?shù)男?6常規(guī)加解密技術(shù)加密算法解密算法Internet/Intranet明文明文密文傳送發(fā)送方/接受方共同的密鑰發(fā)送方/接收方共同的密鑰發(fā)送方接收方數(shù)字證書(shū)服務(wù)常規(guī)加解密技術(shù)加密算法解密算法Internet/Intran27常規(guī)加解密技術(shù)的名詞明文：未被加密的信息密文：被加密后的信息加密：使用某種方法偽裝信息以隱藏其內(nèi)容的過(guò)程，把明文轉(zhuǎn)變?yōu)槊芪?。解密：把密文轉(zhuǎn)變?yōu)槊魑牡倪^(guò)程。加密算法：對(duì)明文進(jìn)行加密時(shí)采用的一組算法解密算法：對(duì)密文進(jìn)行解密時(shí)采用的一組規(guī)則加密密鑰：加密過(guò)程中使用的密鑰解密密鑰：解密過(guò)程中使用的密鑰常規(guī)加解密技術(shù)中，接受方和發(fā)送方使用同樣的密鑰，加密密鑰和解密密鑰完全相同。數(shù)字證書(shū)服務(wù)常規(guī)加解密技術(shù)的名詞明文：未被加密的信息常規(guī)加解密技術(shù)中，接28網(wǎng)絡(luò)信息安全的新需求1．身份認(rèn)證和鑒別:對(duì)信息傳輸?shù)碾p方進(jìn)行身份認(rèn)證和鑒別，需要某種機(jī)制來(lái)證明雙方的真實(shí)身份。2．不可否認(rèn)性:信息的發(fā)送方必須對(duì)自己的操作承擔(dān)責(zé)任，不可否認(rèn)。3．?dāng)?shù)字簽名:日常生活中，通信雙方為了解決抵賴(lài)和欺騙的問(wèn)題，會(huì)在文檔上進(jìn)行手寫(xiě)簽名，把這個(gè)原理用在網(wǎng)絡(luò)上就是數(shù)字簽名。數(shù)字簽名的目的：用于證明是作者的簽名、簽名日期和時(shí)間；在簽名的同時(shí)對(duì)內(nèi)容的真?zhèn)芜M(jìn)行鑒別；簽名能夠被公正、權(quán)威的第三方進(jìn)行仲裁。數(shù)字證書(shū)服務(wù)網(wǎng)絡(luò)信息安全的新需求1．身份認(rèn)證和鑒別:對(duì)信息傳輸?shù)碾p29公鑰加密技術(shù)公鑰加解密技術(shù)的結(jié)構(gòu)：每個(gè)網(wǎng)絡(luò)用戶有兩個(gè)密鑰，稱(chēng)為公鑰和私鑰。在信息的發(fā)送和接受過(guò)程中，使用一個(gè)密鑰加密，使用另一個(gè)密鑰解密，同一個(gè)用戶的兩個(gè)密鑰可以互相加解密，但這兩個(gè)密鑰相互之間很難相互推導(dǎo)得出。公鑰：稱(chēng)為公開(kāi)密鑰，可以向其他用戶公開(kāi)私鑰：稱(chēng)為私有密鑰，是用戶自己擁有，不能公開(kāi)。數(shù)字證書(shū)服務(wù)公鑰加密技術(shù)公鑰加解密技術(shù)的結(jié)構(gòu)：數(shù)字證書(shū)服務(wù)30公鑰結(jié)構(gòu)的保密通信原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰要進(jìn)行保密通信，發(fā)送方使用接收方的公鑰對(duì)明文進(jìn)行加密，接受方使用自己的私鑰對(duì)密文進(jìn)行解密。由于只有接收方才能對(duì)由自己的公鑰加密的信息解密，因此可以實(shí)現(xiàn)保密通信。數(shù)字證書(shū)服務(wù)公鑰結(jié)構(gòu)的保密通信原理加密算法解密算法Internet/In31公鑰結(jié)構(gòu)的鑒別通信的原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰要進(jìn)行鑒別通信，發(fā)送方使用自己的私鑰對(duì)明文進(jìn)行加密，接收方使用發(fā)送方的公鑰對(duì)密文進(jìn)行解密。接收方使用發(fā)送方的公鑰進(jìn)行解密，可以確信信息是由發(fā)送方加密的，也就可以鑒別了發(fā)送方的身份。數(shù)字證書(shū)服務(wù)公鑰結(jié)構(gòu)的鑒別通信的原理加密算法解密算法Internet/I32公鑰結(jié)構(gòu)的鑒別+保密通信的原理加密算法解密算法Internet/Intranet密文傳送明文明文發(fā)送方接收方發(fā)送方的私鑰接收方的私鑰發(fā)送方的公鑰發(fā)送方的公鑰接收方的公鑰接收方的公鑰發(fā)送方先使用自己的私鑰對(duì)明文進(jìn)行加密，然后使用接收方的公鑰進(jìn)行加密。接收方先使用發(fā)送方的公鑰進(jìn)行解密，然后使用自己的私鑰進(jìn)行解密，這樣就實(shí)現(xiàn)了鑒別和保密通信。數(shù)字證書(shū)服務(wù)公鑰結(jié)構(gòu)的鑒別+保密通信的原理加密算法解密算法Interne33數(shù)字證書(shū)的PKI解決方案PKI(PublicKeyInfrastructure公鑰結(jié)構(gòu))是利用公鑰加解密技術(shù)來(lái)實(shí)現(xiàn)信息安全的技術(shù)，代表了當(dāng)今世界網(wǎng)絡(luò)安全技術(shù)的最高水平。PKI方案的核心就是數(shù)字證書(shū)。數(shù)字證書(shū)服務(wù)數(shù)字證書(shū)的PKI解決方案PKI(PublicKeyInf34數(shù)字證書(shū)在Internet上從事一些需要保密的業(yè)務(wù)時(shí)必備的“個(gè)人身份證”，有權(quán)威機(jī)構(gòu)發(fā)行，在網(wǎng)絡(luò)通信中標(biāo)志通信各方身份的一系列數(shù)據(jù)。網(wǎng)絡(luò)上通信各方向PKI的數(shù)字證書(shū)頒發(fā)機(jī)構(gòu)申請(qǐng)數(shù)字證書(shū)，通過(guò)PKI系統(tǒng)建立的一套嚴(yán)密的身份認(rèn)證系統(tǒng)來(lái)保證：1． 信息除發(fā)送方和接受方外不被其他人截取2． 信息在傳輸過(guò)程中不被篡改3． 發(fā)送方能夠通過(guò)數(shù)字證書(shū)來(lái)確認(rèn)接受方的身份4． 發(fā)送方對(duì)于自己的信息不能抵賴(lài)數(shù)字證書(shū)服務(wù)數(shù)字證書(shū)在Internet上從事一些需要保密的業(yè)務(wù)時(shí)必備的“35數(shù)字證書(shū)的格式版本、序列號(hào)、簽名算法、頒發(fā)者、使用者、標(biāo)識(shí)、有效期。數(shù)字證書(shū)服務(wù)數(shù)字證書(shū)的格式版本、序列號(hào)、簽名算法、頒發(fā)者、使用者、標(biāo)識(shí)、36數(shù)字證書(shū)的原理公鑰公鑰私鑰私鑰數(shù)字證書(shū)采用公鑰機(jī)制，證書(shū)頒發(fā)機(jī)構(gòu)提供的程序?yàn)橛脩舢a(chǎn)生一對(duì)密鑰，一把是公開(kāi)的公鑰，它將在用戶的數(shù)字證書(shū)中公布并寄存于數(shù)字證書(shū)認(rèn)證中心。另一把是私人的私鑰，它將存放在用戶的計(jì)算機(jī)上。數(shù)字證書(shū)認(rèn)證中心CA(CertificateAgency)數(shù)字證書(shū)認(rèn)證中心CA證書(shū)申請(qǐng)與頒發(fā)證書(shū)申請(qǐng)與頒發(fā)數(shù)字證書(shū)服務(wù)數(shù)字證書(shū)的原理公鑰公鑰私鑰私鑰數(shù)字證書(shū)采用公鑰機(jī)制，證書(shū)頒發(fā)37PKI解決方案實(shí)例----Internet電子商務(wù)解決方案售物方和購(gòu)物方向CA中心申請(qǐng)用戶證書(shū)電子商務(wù)服務(wù)器向CA中心申請(qǐng)服務(wù)器證書(shū)售物方和購(gòu)物方的開(kāi)戶銀行向CA中心申請(qǐng)服務(wù)器證書(shū)。數(shù)字證書(shū)服務(wù)PKI解決方案實(shí)例----Internet電子商務(wù)解決方案售38PKI的發(fā)展情況美國(guó)的猶他州于1995年頒布的《數(shù)字簽名法》是全世界范圍內(nèi)第一部全面規(guī)范電子簽名的法律。美國(guó)2000年開(kāi)始實(shí)行《數(shù)字簽名法》，數(shù)字簽名法具有法律效率。美國(guó)目前已經(jīng)建立了覆蓋全國(guó)的PKI網(wǎng)絡(luò)，聯(lián)邦、州和大型企業(yè)之間的PKI實(shí)現(xiàn)了橋接。歐洲各國(guó)已經(jīng)建立了自己的PKI。2001年歐盟建立了橋接的CA，2002年歐盟開(kāi)始實(shí)行《數(shù)字簽名法》。亞洲范圍內(nèi)的日本、韓國(guó)和新加坡在PKI建設(shè)方面起步較早，這3個(gè)國(guó)家目前已經(jīng)實(shí)現(xiàn)了交叉認(rèn)證。數(shù)字證書(shū)服務(wù)PKI的發(fā)展情況美國(guó)的猶他州于1995年頒布的《數(shù)字簽名法》39我國(guó)的電子簽名法我國(guó)的立法從2002年開(kāi)始的，最初的定位是行政法規(guī)，但在網(wǎng)絡(luò)經(jīng)濟(jì)迅猛發(fā)展的背景下，國(guó)務(wù)院決定直接將該立法的層級(jí)提高為法律。在對(duì)原來(lái)起草的條例內(nèi)容進(jìn)行了修改后，形成了《中華人民共和國(guó)電子簽名法(草案)》。2004年3月24日，在溫家寶總理主持的國(guó)務(wù)院常務(wù)會(huì)議上，《電子簽名法(草案)》獲得原則通過(guò)，隨即被提交全國(guó)人大討論。4月2日，十屆全國(guó)人大常委會(huì)第八次會(huì)議第一次對(duì)該法進(jìn)行了審議，6月21日，十屆全國(guó)人大常委會(huì)第十次會(huì)議再次對(duì)該草案進(jìn)行了審議。2004年8月28日中華人民共和國(guó)第十屆全國(guó)人民代表大會(huì)常務(wù)委員會(huì)第十一次會(huì)議通過(guò)了《中華人民共和國(guó)電子簽名法》，并于2005年4月1日起施行。數(shù)字證書(shū)服務(wù)我國(guó)的電子簽名法我國(guó)的立法從2002年開(kāi)始的，最初的定位是行40在Windows2003Server上的數(shù)字證書(shū)服務(wù)①證書(shū)服務(wù)的安裝---添加刪除組件②CA的配置---控制面板/管理工具/證書(shū)頒發(fā)機(jī)構(gòu)③CA的啟動(dòng)與關(guān)閉---證書(shū)頒發(fā)機(jī)構(gòu)/操作/所有任務(wù)④CA的備份與還原---證書(shū)頒發(fā)機(jī)構(gòu)/操作/所有任務(wù)⑤向CA申請(qǐng)數(shù)字證書(shū)---證書(shū)頒發(fā)機(jī)構(gòu)/掛起的申請(qǐng)⑥頒發(fā)數(shù)字證書(shū)---http://yourserver/CertSrv數(shù)字證書(shū)服務(wù)在Windows2003Server上的數(shù)字證書(shū)服務(wù)①41網(wǎng)站加密—SSL站點(diǎn)只要瀏覽器和Web服務(wù)器都配置成使用SSL(SecureSocketLayer安全套接層)，就可以在傳輸層實(shí)現(xiàn)網(wǎng)絡(luò)信息安全。SSL會(huì)話----通信雙方就通信規(guī)則達(dá)成一致就是一個(gè)SSL會(huì)話，會(huì)話由SSL握手協(xié)議完成，定義加密安全參數(shù)的集合。SSL連接-