加密与数字签名

4.4.3 证书颁发机构
CA作为网络安全通信中受信任和具有权 威性的第三方，承担公钥体系中公钥的 合法性验证的工作。CA在密钥管理方面 的主要作用如下 ： 1．管理自身密钥 2．密钥生成和分发 3．管理客户证书 4．密钥托管和密钥还原
4.4.4 数字证书
1．数字证书概述 数字证书是网络中标识通信双方身份信 息的一系列数据的总和，是一个由CA证 书颁发机构进行数字签名并颁发的包含 公钥拥有者信息和公钥的文件。
数据发送方使用自己的私钥对数据及与 数据有关的变量进行运算，将合法的数 字签名与数据原文一起传送给接收方， 接收方利用发送方的公钥对收到的数字 签名进行运算，将得到的结果与发送方 发送过来的签名做比较，如果相同，则 说明收到的数据是完整的，反之说明数 据被修改过，以此对数据完整性做检验， 以确认签名的真实性和合法性。
3．数字证书的申请过程
每个客户首先产生自己的密钥对，自己设定一 个特定的仅为本人所知的私钥用来进行解密和 签名，设定一个公钥用于其他人加密发送给自 己消息或用于验证自己签名。 客户将公钥及部分个人身份信息传送给CA。 CA核实身份后，再次请求确认由用户发送而来 的信息，CA接着将颁发给客户一个数字证书， 该证书内包含客户的个人信息及其公钥，同时 还附有认证中心的数字签名。 客户可使用自己的数字证书与其他通信方安全 交换数据。
1．加密过程 （1）图形界面加密 （2）命令行加密 2．解密过程 （1）图形界面解密 （2）命令行解密
4.6.3 EFS的其他应用
1．禁用EFS加密 2．备份EFS密钥 3．导入EFS密钥
4.7 SSL安全传输及应用
4.7.1 SSL概述 SSL（Secure Sockets Layer，安全套接 字协议层）以公钥加密为基础，是一个 能够确认网站身份，将所传送信息加密 的安全性通信协议。 网站必须向CA申请提供SSL证书，拥有此 证书才能启用SSL功能。
4.3.3 数字签名技术的算法
一般数字签名包括普通数字签名和特殊数字签 名两种：普通数字签名算法有DES、DSA、 RSA、ElGamal、Fiat-Shamir算法等；特殊数 字签名有盲签名、群签名、代理签名、不可否 认签名等，它与具体应用环境相关。 MD5是目前应用最广泛的报文摘要算法，是一 个可以为每段数据生成一个数字签名的工具， 属于哈希函数的一种。
4.3.1 数字签名技术概述 数字签名（Digital Signature）又称为公钥数字 签名或电子签章，它不同于签名数字扫描图像 或用触摸板获取的签名。 一套数字签名定义了两种互补的密钥：一种用 于签名，另一种用于验证。 数字签名一般具有以下3种特性。 完整性 不可伪造性 不可抵赖性
4.3.2 数字签名技术的工作原 理
4.4 PKI技术
4.4.1 PKI概述 在Diffie-Hellman算法思想的基础上，很快出现 PKI PKI Public 了非对称密钥密码体制，即PKI。 PKI（Public Key Infrastructure）称为公钥基础架构，它利 用非对称密码算法原理和技术来提供一种安全 服务，实现具有通用性的安全基础设施，并遵 循标准的公钥加密技术为网络数据安全传输提 供一个安全的基础平台。
2．数字证书的内容
一个标准的X.509数字证书包含以下一些内容 证书的版本信息。 证书的序列号，一个唯一的证书序列号。 证书所使用的签名算法。 证书所有者的名称，命名规则通常采用X.500格式。 证书发行机构的名称，命名规则通常采用X.500格式。 证书有效期，现在通用的证书通常采用UTC时间格式。 证书所有者的公开密钥。 证书颁发者对证书的签名。
4.4.2 PKI技术原理
PKI技术利用公钥理论和技术建立并提供网络信息 安全服务的基础设施，能够为网络中所有用户提 供所需的密钥管理，用户可以在PKI平台上实现加 PKI 密和数字签名等密码服务。PKI系统应具备以下几 个部分 ： 1．CA（Certificate Authority） 2．数字证书库 3．密钥备份及还原系统 4．证书吊销系统 5．PKI应用接口系统
4.7.2 SSL的工作原理
启用SSL的目的是为建立一个通信双方都认可 的“会话密钥”，这个密钥用于加密、解密和 验证双方通信信息。 用户浏览器与网站双方开始协商SSL连接信息 加密的级别，根据双方协商的安全级别浏览器 建立会话密钥，并用网站的公钥加密会话密钥 后传送给网站，网站用私钥解密获得会话密钥。 最后网站与浏览器双方都用这个会话密钥来加、 解密它们之间传送的信息。
4.5.2 PGP密钥的创建
1．新建PGP密钥 2．创建主密钥
4.5.3 PGP文件加密和解密
1．加密文件 2．解密文件
4.5.4 PGP密钥导出与导入
1．导出密钥 2．导入密钥
4.5.5 PGP电子邮件加、解密 和签名验证
1．发送加密邮件 2．解密邮件
4.5.6 PGP数字签名
选择要签名的密钥 选择要签名的文件 签名并保存 校验签名
4.2.1 古典加密算法
2．变位密码 （1）列变位密码 （2）矩阵变位密码
4.2.2 现代加密算法
1．对称加密算法 （1）DES算法 （2）IDEA算法 （3）AES算法
4.2.2 现代加密算法
2．非对称加密算法 （1）RSA算法 （2）DSA算法 （3）Diffie-Hellman算法
4.3 数字签名技术
4.6 EFS原理及应用
4.6.1 EFS概述 EFS（Encrypting File System，加密文件 系统）是Windows操作系统中NTFS的一 个组件，用于在NTFS的磁盘上加密存储 文件（夹）。 EFS采用的是高级的标准加密算法，与文 件系统集成在一起，使其易于管理，安 全性高。
4.6.2 EFS的加密和解密
4.7.3 安装证书服务
先将IIS安装好 添加删除组件 证书服务 选择CA类型 选择公钥／私钥对 CA识别信息 证书数据库设置
4.7.4 申请证书
打开IIS证书向导 单击“新建证书” 设置延迟或立即请求 设置名称和安全性 填写单位信息、站点公用名称、地理信息、证 书请求文件名，得到加密后的证书请求文件 访问证书服务网站，选择高级证书申请 将加密后的证书请求文件粘贴到“保存的申请” 中 提交证书申请
第4章 加密与数字签名
本章要点 对称加密算法和非对称加密算法的工作原理。 数字签名技术工作原理。 公钥基础架构（PKI）、CA、数字证书的工作原理和 相关概念。 PGP工具软件的应用。 EFS工作原理及应用。 SSL安全传输及安全Web站点的应用配置。
4.1 加密技术
4.1.1 加密技术概述
加密技术是网络安全的核心技术之一，也是对付 网络中各种安全威胁和安全隐患的有力武器， 通过适当的加密管理机制可以保证网络通信的 安全。本章所介绍的密码技术是一种新型的数 字化信息加密技术，并不是指普通意义上利用 “密码保护”使数据仅被授权用户访问。加密 技术能将一段通俗易懂的明文变换成一段晦涩 难懂的密文，实现对数据的保护。
4百度文库7.9 访问SSL站点
设置浏览器使用SSL 2.0/3.0 基于SSL的Web访问
4.8 实训项目
【实训项目】加密与解密 【实训目的】学会应用加密与解密、校 验数据和数字签名。
4.9 小结与练习
4.9.1 小结 本章重点介绍了对称加密算法和非对称加密算法、数 字签名技术、PKI技术、CA、数字证书的概念和工作原 理，接着介绍了PGP、EFS等加解密工具的工作原理及 应用，最后介绍了基于SSL的安全传输技术的工作原理 和安全Web站点的配置过程。 4.9.2 练习 1．对称加密算法和非对称加密算法的工作原理分别是 什么? 2．简述数字签名技术的工作原理。 3．公钥基础架构（PKI）、CA、数字证书的工作原理 分别是什么?
4.7.5 颁发Web服务器证书
打开CA证书服务器，依次选择“证书颁 发机构（本地）”→“haha”→“挂起的申 请” 鼠标右键单击需颁发的申请，在弹出的 快捷菜单中选择“所有任务”→“颁发” 命令
4.7.6 安装服务器证书
从网站上下载证书 Web服务器证书向导 处理挂起的证书请求 SSL端口设置为443 查看证书摘要 完成
4.5 PGP原理及应用
4.5.1 PGP概述 1．PGP简介 PGP（Pretty Good Privacy）是一个基于RSA公钥加密 体系的加密软件，它充分结合了RSA公钥加密体系的 强度和传统加密体系的速度，并且在数字签名和密钥 认证管理机制上进行了巧妙的设计。 2．PGP加密原理 PGP实际上用来加密的不是RSA本身，而是采用了 IDEA。PGP采用IDEA随机生成一个密钥加密明文，然 后用RSA算法对该密钥进行加密，接收方则用RSA解出 这个密钥，再用这个密钥解密密文。
4.1.1 加密技术概述
加密技术有关的专业术语 明文 密文 加密 解密 密钥 加密技术的应用具备以下几种基本特性。 机密性 完整性 可用性 抗否认性
4.1.2 数据加密常见方式
1．数据存储加密 2．数据传输加密 （1）链路加密 （2）节点加密 （3）端到端加密
4.2 加密算法
4.2.1 古典加密算法 1．替代密码 （1）单表替代密码 （2）多表替代密码
4.7.7 Web服务器的SSL设置
打开默认网站属性 打开“目录安全性” 选项卡 设置SSL端口号为443 配置“安全通信” 选中“要求128位 加密”复选框 在“客户端证书”中， 单击“忽略客户端证书”
4.7.8 浏览器的SSL设置
申请Web浏览器证书 填写识别信息 提交 查看浏览器证书申请状态 安装已经颁发的Web浏览器证书