信息安全技術——實驗三《數字證書應用》

信息安全技術——實驗三《數字證書應用》

實驗目的

1. 瞭解PKI體系
2. 瞭解用戶進行證書申請和CA頒發證書過程
3. 掌握證書服務的安裝及配置方法
4. 掌握使用數字證書配置安全站點的方法

實驗原理

PKI簡介

PKI是Public Key Infrastructure的縮寫，一般譯爲公鑰基礎設施。PKI經過延伸到用戶的接口爲各類網絡應用提供安全服務，包括身份認證、識別、數字簽名、加密等。一方面PKI對網絡應用提供普遍而開放的支撐；另外一方面，PKI系統的設計、開發、生產及管理均可以獨立進行，不須要考慮應用的特殊性。

PKI的主要目的是經過自動管理密鑰和證書，爲用戶創建起一個安全的網絡運行環境，使用戶能夠在多種應用環境下方便的使用加密和數字簽名技術，從而保證網上數據的完整性、機密性、不能否認性。

PKI組件

PKI主要包括==認證中心CA==、==註冊機構RA==、==證書服務器==、==證書庫==、==時間服務器==和==PKI策略==等。

CA用於建立和發佈證書，還負責維護和發佈證書廢除列表CRL。根CA證書，是一種特殊的證書，它使用CA本身的私鑰對本身的信息和公鑰進行簽名。

RA負責申請者的登記和初始鑑別，在PKI體系結構中起承上啓下的做用，一方面向CA轉發安全服務器傳輸過來的證書申請請求，另外一方面向LDAP（輕量目錄訪問協議）服務器和安全服務器轉發CA頒發的數字證書和證書撤消列表。

證書服務器負責根據註冊過程當中提供的信息生成證書的機器或服務。

證書庫是發佈證書的地方，提供證書的分發機制。到證書庫訪問能夠獲得但願與之通訊的實體的公鑰和查詢最新的CRL。它通常採用LDAP目錄訪問協議，其格式符合X.500標準。

時間服務器：提供單調增長的精確的時間源，而且安全的傳輸時間戳，對時間戳簽名以驗證可信時間值的發佈者。

PKI安全策略創建和定義了一個組織信息安全方面的指導方針，同時也定義了密碼系統使用的處理方法和原則。它包括一個組織怎樣處理密鑰和有價值的信息，根據風險的級別定義安全控制的級別。

通常狀況下，在PKI中有兩種類型的策略：

1. 證書策略。用於管理證書的使用，好比，能夠確認某一CA是在Internet上的公有CA，仍是某一企業內部的私有CA；
2. CPS（Certificate Practice Statement證書操做管理規範）。如今爲防止CPS泄露太多的信息，準備使用一種新的文件類型，即PKI信息披露規範PDS。

數字證書應用

1. 數據加密：數字證書技術利用一對互相匹配的密鑰進行加密、解密。當你申請證書的時候，會獲得一個私鑰和一個數字證書，數字證書中包含一個公鑰。
2. 數字簽名。

3. web應用：爲了透明地解決Web的安全問題，在兩個實體進行通訊以前，先要創建SSL鏈接，以此實現對應用層透明的安全通訊。
   SSL是一個==介於應用層和傳輸層之間==的可選層，它在TCP之上創建了一個安全通道，提供基於證書的認證，信息完整性和數據保密性。SSL協議已在Internet上獲得普遍的應用。

4. 安全電子郵件：目前發展很快的安全電子郵件協議是S/MIME，這是一個容許發送加密和有簽名郵件的協議。該協議的實現也須要依賴於PKI技術。

實驗內容

無認證

捕獲到的web通訊是明文數據。

單向認證（驗證服務器身份）

準備：CA安裝IIS和安裝Windows組件中的「證書服務」。服務器安裝IIS。服務器向CA申請證書，服務器下載安裝證書。

==注意：在安裝CA頒發證書後，還須要安裝CA根證書，才能使該CA頒發的證書生效。==

在服務器端設置「要求安全通道SSL」，而且「忽略客戶端證書」。這個時候再訪問服務器已經經過SSL保護了。

這個時候再捕獲web通訊就是密文了。

雙向認證

客戶端也須要登陸CA服務頁面，申請證書、下載安裝證書鏈，再次訪問。

思考題

1． 若是用戶將根證書刪除，用戶證書是否還會被信任？

實驗內容中已經提到，必須導入根證書後，用戶證書纔會被信任。

2． 對比兩次協議分析器捕獲的會話有什麼差別？

第一次無認證狀態下捕獲的是明文信息，第二次單項認證狀態下捕獲的是密文信息。