【正文】 7） 交叉認(rèn)證 在全球范圍內(nèi)建立一個(gè)容納所有用戶的單一PKI是不太可能實(shí)現(xiàn)的 。 現(xiàn)實(shí)可行的模型是：建立多個(gè) PKI域 ， 進(jìn)行獨(dú)立的運(yùn)行和操作 ， 為不同環(huán)境和不同行業(yè)的用戶團(tuán)體服務(wù) 。 為了在不同PKI之間建立信任關(guān)系 ， 產(chǎn)生了 “ 交叉認(rèn)證 ” 的概念 。 在沒有一個(gè)統(tǒng)一的全球的 PKI環(huán)境下 ， 交叉認(rèn)證是一個(gè)可以接受的機(jī)制 ， 因?yàn)樗軌虮ＷC一個(gè) PKI團(tuán)體的用戶驗(yàn)證另一個(gè)團(tuán)體的用戶證書 。交叉認(rèn)證是 PKI中信任模型的概念 。 它是一種把以前無關(guān)的 CA連接在一起的機(jī)制 ， 從而使得它們?cè)诟髯灾黧w群間實(shí)現(xiàn)安全通信 。 返回本章首頁 第三章 信息加密與 PKI （ 8） 不可否認(rèn)性 PKI的不可否認(rèn)性適用于從技術(shù)上保證實(shí)體對(duì)他們行為的不可否認(rèn)性 ， 即他們對(duì)自己發(fā)送出和接收到數(shù)據(jù)的事實(shí)的不可抵賴性 。 如甲簽發(fā)了某份文件 ， 若干時(shí)間后 ， 他不能否認(rèn)他對(duì)該文件進(jìn)行了數(shù)字簽名 。 返回本章首頁 第三章 信息加密與 PKI （ 9） 時(shí)間戳 時(shí)間戳或稱安全時(shí)間戳 ， 是一個(gè)可信的時(shí)間權(quán)威用一段可認(rèn)證性的完整數(shù)據(jù)表示的時(shí)間戳（ 以格林威治時(shí)間為標(biāo)準(zhǔn)的 32比特值 ） 。 重要的不是時(shí)間本身的精確性 ， 而是相關(guān)日期時(shí)間的安全性 。 支持不可否認(rèn)性服務(wù)的一個(gè)關(guān)鍵措施 ， 就是在 PKI中使用時(shí)間戳 。 也就是說時(shí)間源是可信的 ， 它賦予的時(shí)間值必須被安全地傳送 。 返回本章首頁 第三章 信息加密與 PKI （ 10） 客戶端軟件 客戶端軟件是一個(gè)全功能 、 可操作 PKI的必要組成部分 。 熟悉客戶／服務(wù)器結(jié)構(gòu)的人都知道 ，只有客戶端提出請(qǐng)求服務(wù) ， 服務(wù)器端才會(huì)對(duì)此請(qǐng)求作相應(yīng)處理 。 這個(gè)原理同樣適用于 PKI。 客戶端軟件的主要功能有： （ 1） 詢問證書和相關(guān)的撤銷信息 。 （ 2） 在一定時(shí)刻為文檔請(qǐng)求時(shí)間戳 。（ 3） 作為安全通信的接收點(diǎn) 。 （ 4） 進(jìn)行傳輸加密或數(shù)字簽名 。 （ 5） 執(zhí)行取消操作 。 （ 6） 證書路徑處理 。 返回本章首頁 第三章 信息加密與 PKI 3. PKI的特點(diǎn) PKI是一個(gè)用公鑰概念與技術(shù)來提供一套具有通用性的安全服務(wù) ， 其特點(diǎn)是： （ 1） 節(jié)省費(fèi)用 。 在一個(gè)大型的應(yīng)用系統(tǒng)中 ，實(shí)現(xiàn)統(tǒng)一的安全解決方案 ， 比起實(shí)施多個(gè)有限的解決方案 ， 費(fèi)用要少得多 。 （ 2） 互操作性 。 在一個(gè)系統(tǒng)內(nèi)部 ， 實(shí)施多個(gè)點(diǎn)對(duì)點(diǎn)的解決方案 ， 無法實(shí)現(xiàn)互操作性 。 在 PKI中 ， 每個(gè)用戶程序和設(shè)備都以相同的方式訪問和使用安全服務(wù)功能 。 返回本章首頁 第三章 信息加密與 PKI （ 3） 開放性 。 任何先進(jìn)技術(shù)的早期設(shè)計(jì) ，都希望在將來能和其它系統(tǒng)間實(shí)現(xiàn)互操作 ， 而一個(gè)專有的點(diǎn)對(duì)點(diǎn)技術(shù)方案不能處理多域間的復(fù)雜性 ， 不具有開放性 。 （ 4） 一致的解決方案 。 一致解決方案在一個(gè)系統(tǒng)內(nèi)更易于安裝 、 管理和維護(hù) ， 并且開銷小 。 （ 5） 可驗(yàn)證性 。 PKI在所有應(yīng)用系統(tǒng)和設(shè)備之間所采用的交互處理方式都是統(tǒng)一的 ， 因此 ，它的操作和交互都可以被驗(yàn)證是否正確 。 （ 6） 可選擇性 。 PKI為管理員和用戶提供了許多可選擇性 。 返回本章首頁 第三章 信息加密與 PKI 常用加密軟件介紹 PGP（ Pretty Good Privacy） 是一款基于 RSA 公鑰加密體系的郵件加密軟件 ， 提出了公共鑰匙或不對(duì)稱文件加密和數(shù)字簽名的方法 。 PGP不是一種完全的非對(duì)稱加密體系 ， 它是個(gè)混合加密算法 ， 由一個(gè)對(duì)稱加密算法 （ IDEA） 、 一個(gè)非對(duì)稱加密算法 （ RSA） 、 一個(gè)單向散列算法 （ MD5）以及一個(gè)隨機(jī)數(shù)產(chǎn)生器組成的 ， 每種算法都是 PGP不可分割的組成部分 。 返回本章首頁 第三章 信息加密與 PKI ?PGP的功能和使用 PGP目前最新版本是 ， 下面以 PGP Desktop 。 主要包括 PGP Keys、PGP Messaging、 PGP Zip、 PGP Disk、 PGP Net Share和 PGP Shred Free Space等幾個(gè)功能模塊 。 返回本章首頁 第三章 信息加密與 PKI （ 1） 創(chuàng)建 PGP KEY 要使用 PGP， 首先要?jiǎng)?chuàng)建一對(duì) PGP Key， 方法是在 PGP Desktop主界面上 ， 選擇 “ File” \“New PGP Key? ” ， 在彈出對(duì)話框中按提示依次執(zhí)行下一步操作 ， 即可完成 PGP Key的創(chuàng)建 。 返回本章首頁 第三章 信息加密與 PKI （ 2） 創(chuàng)建 PGP Disk 在 PGP Desktop主界面左側(cè)功能導(dǎo)航欄中選擇 New Virtual Disk， 要設(shè)置的內(nèi)容主要包括：虛擬盤的文件名 、 存儲(chǔ)路徑 、 掛載虛擬盤符 、 容量 、分區(qū)格式 、 加密級(jí)別 、 選用密鑰等信息 。 返回本章首頁 第三章 信息加密與 PKI GnuPG（ 是 PGP的免費(fèi)代替軟件 。 PGP使用了 IDEA等許多專利算法 ， 屬于美國加密出口限制產(chǎn)品 。 GnuPG是 GPL軟件 ， 并且沒有使用任何專利加密算法 ， 所以使用起來有著更多的自由 。 GnuPG最初是運(yùn)行在 Unix系列操作系統(tǒng)之上 ，現(xiàn)在已經(jīng)可以在 Windows系列操作系統(tǒng)上運(yùn)行 ， 目前的最新版本是 。 下面以 Windows版本 GnuPG為例介紹其功能和使用方法 。 返回本章首頁 第三章 信息加密與 PKI （ 1） GnuPG的安裝 在 Windows系統(tǒng)上安裝 GnuPG非常簡單 ， 只需到GnuPG網(wǎng)站下載并運(yùn)行最新的安裝包 （ 目前為 gnupg） ， 然后按照提示即可完成安裝過程 。 （ 2） GnuPG的主要功能 GnuPG的主要功能可以通過在命令行窗口中執(zhí)行 gpg – h命令來查看 。 返回本章首頁 第三章 信息加密與 PKI （ 3） 生成密鑰對(duì) 生成密鑰對(duì)只需要在命令行下執(zhí)行 gpg genkey命令 ， 然后根據(jù)提示選擇相應(yīng)的選項(xiàng)即可完成 。 返回本章首頁 第三章 信息加密與 PKI （ 4） 加密與解密 加密和解密一個(gè)文件非常容易 ， 這里以密鑰hacker 為例來說明 。 在測(cè)試前 ，首先創(chuàng)建一個(gè)內(nèi)容為 “ GnuPG測(cè)試 ” 的文本文件。 返回本章首頁 第三章 信息加密與 PKI 本章小結(jié) 信息加密是保障信息安全最核心的技術(shù)措施和理論基礎(chǔ) ， 它采用密碼學(xué)的原理與方法對(duì)信息進(jìn)行可逆的數(shù)學(xué)變換 ， 從而使非法接入者無法理解信息的真正含義 ，達(dá)到保證信息機(jī)密性的目的 。 信息加密算法共經(jīng)歷了古典密碼 、 單鑰密碼體制 （ 對(duì)稱密鑰密碼 ） 和雙鑰密碼體制 （ 公開密鑰密碼 ） 三個(gè)階段 。 返回本章首頁 第三章 信息加密與 PKI 在網(wǎng)絡(luò)安全領(lǐng)域 ， 網(wǎng)絡(luò)數(shù)據(jù)加密是解決通信網(wǎng)中信息安全的有效方法 ， 網(wǎng)絡(luò)數(shù)據(jù)加密常見的方式有鏈路加密 、 節(jié)點(diǎn)加密和端到端加密三種 。 在認(rèn)證技術(shù)領(lǐng)域 ， 通過使用密碼手段 ， 一般可實(shí)現(xiàn)三個(gè)目標(biāo) ， 即消息完整性認(rèn)證 、 身份認(rèn)證 ，以及消息的序號(hào)和操作時(shí)間 （ 時(shí)間性 ） 等的認(rèn)證 。 認(rèn)證技術(shù)模型在結(jié)構(gòu)上由安全管理協(xié)議 、 認(rèn)證體制和密碼體制三層組成 。 返回本章首頁 第三章 信息加密與 PKI PKI是一個(gè)采用公鑰密碼算法原理和技術(shù)來提供安全服務(wù)的通用性基礎(chǔ)平臺(tái) ， 用戶可利用PKI平臺(tái)提供的安全服務(wù)進(jìn)行安全通信 ， PKI采用標(biāo)準(zhǔn)的密鑰管理規(guī)則 ， 能夠?yàn)樗袘?yīng)用透明地提供采用加密和數(shù)字簽名等密碼服務(wù)所需要的密鑰和證書管理 。 PKI主要包括認(rèn)證機(jī)構(gòu) CA、 證書庫 、 密鑰備份 、 證書作廢處理系統(tǒng) 、 PKI應(yīng)用接口系統(tǒng)等 。 PGP和 GnuPG是兩個(gè)常用的公鑰加密軟件 。 返回本章首頁 第三章 信息加密與 PKI 本章到此結(jié)束，謝謝！