【正文】 7） 交叉認證 在全球范圍內建立一個容納所有用戶的單一PKI是不太可能實現的 。 現實可行的模型是：建立多個 PKI域 ， 進行獨立的運行和操作 ， 為不同環(huán)境和不同行業(yè)的用戶團體服務 。 為了在不同PKI之間建立信任關系 ， 產生了 “ 交叉認證 ” 的概念 。 在沒有一個統一的全球的 PKI環(huán)境下 ， 交叉認證是一個可以接受的機制 ， 因為它能夠保證一個 PKI團體的用戶驗證另一個團體的用戶證書 。交叉認證是 PKI中信任模型的概念 。 它是一種把以前無關的 CA連接在一起的機制 ， 從而使得它們在各自主體群間實現安全通信 。 返回本章首頁 第三章 信息加密與 PKI （ 8） 不可否認性 PKI的不可否認性適用于從技術上保證實體對他們行為的不可否認性 ， 即他們對自己發(fā)送出和接收到數據的事實的不可抵賴性 。 如甲簽發(fā)了某份文件 ， 若干時間后 ， 他不能否認他對該文件進行了數字簽名 。 返回本章首頁 第三章 信息加密與 PKI （ 9） 時間戳 時間戳或稱安全時間戳 ， 是一個可信的時間權威用一段可認證性的完整數據表示的時間戳（ 以格林威治時間為標準的 32比特值 ） 。 重要的不是時間本身的精確性 ， 而是相關日期時間的安全性 。 支持不可否認性服務的一個關鍵措施 ， 就是在 PKI中使用時間戳 。 也就是說時間源是可信的 ， 它賦予的時間值必須被安全地傳送 。 返回本章首頁 第三章 信息加密與 PKI （ 10） 客戶端軟件 客戶端軟件是一個全功能 、 可操作 PKI的必要組成部分 。 熟悉客戶／服務器結構的人都知道 ，只有客戶端提出請求服務 ， 服務器端才會對此請求作相應處理 。 這個原理同樣適用于 PKI。 客戶端軟件的主要功能有： （ 1） 詢問證書和相關的撤銷信息 。 （ 2） 在一定時刻為文檔請求時間戳 。（ 3） 作為安全通信的接收點 。 （ 4） 進行傳輸加密或數字簽名 。 （ 5） 執(zhí)行取消操作 。 （ 6） 證書路徑處理 。 返回本章首頁 第三章 信息加密與 PKI 3. PKI的特點 PKI是一個用公鑰概念與技術來提供一套具有通用性的安全服務 ， 其特點是： （ 1） 節(jié)省費用 。 在一個大型的應用系統中 ，實現統一的安全解決方案 ， 比起實施多個有限的解決方案 ， 費用要少得多 。 （ 2） 互操作性 。 在一個系統內部 ， 實施多個點對點的解決方案 ， 無法實現互操作性 。 在 PKI中 ， 每個用戶程序和設備都以相同的方式訪問和使用安全服務功能 。 返回本章首頁 第三章 信息加密與 PKI （ 3） 開放性 。 任何先進技術的早期設計 ，都希望在將來能和其它系統間實現互操作 ， 而一個專有的點對點技術方案不能處理多域間的復雜性 ， 不具有開放性 。 （ 4） 一致的解決方案 。 一致解決方案在一個系統內更易于安裝 、 管理和維護 ， 并且開銷小 。 （ 5） 可驗證性 。 PKI在所有應用系統和設備之間所采用的交互處理方式都是統一的 ， 因此 ，它的操作和交互都可以被驗證是否正確 。 （ 6） 可選擇性 。 PKI為管理員和用戶提供了許多可選擇性 。 返回本章首頁 第三章 信息加密與 PKI 常用加密軟件介紹 PGP（ Pretty Good Privacy） 是一款基于 RSA 公鑰加密體系的郵件加密軟件 ， 提出了公共鑰匙或不對稱文件加密和數字簽名的方法 。 PGP不是一種完全的非對稱加密體系 ， 它是個混合加密算法 ， 由一個對稱加密算法 （ IDEA） 、 一個非對稱加密算法 （ RSA） 、 一個單向散列算法 （ MD5）以及一個隨機數產生器組成的 ， 每種算法都是 PGP不可分割的組成部分 。 返回本章首頁 第三章 信息加密與 PKI ?PGP的功能和使用 PGP目前最新版本是 ， 下面以 PGP Desktop 。 主要包括 PGP Keys、PGP Messaging、 PGP Zip、 PGP Disk、 PGP Net Share和 PGP Shred Free Space等幾個功能模塊 。 返回本章首頁 第三章 信息加密與 PKI （ 1） 創(chuàng)建 PGP KEY 要使用 PGP， 首先要創(chuàng)建一對 PGP Key， 方法是在 PGP Desktop主界面上 ， 選擇 “ File” \“New PGP Key? ” ， 在彈出對話框中按提示依次執(zhí)行下一步操作 ， 即可完成 PGP Key的創(chuàng)建 。 返回本章首頁 第三章 信息加密與 PKI （ 2） 創(chuàng)建 PGP Disk 在 PGP Desktop主界面左側功能導航欄中選擇 New Virtual Disk， 要設置的內容主要包括：虛擬盤的文件名 、 存儲路徑 、 掛載虛擬盤符 、 容量 、分區(qū)格式 、 加密級別 、 選用密鑰等信息 。 返回本章首頁 第三章 信息加密與 PKI GnuPG（ 是 PGP的免費代替軟件 。 PGP使用了 IDEA等許多專利算法 ， 屬于美國加密出口限制產品 。 GnuPG是 GPL軟件 ， 并且沒有使用任何專利加密算法 ， 所以使用起來有著更多的自由 。 GnuPG最初是運行在 Unix系列操作系統之上 ，現在已經可以在 Windows系列操作系統上運行 ， 目前的最新版本是 。 下面以 Windows版本 GnuPG為例介紹其功能和使用方法 。 返回本章首頁 第三章 信息加密與 PKI （ 1） GnuPG的安裝 在 Windows系統上安裝 GnuPG非常簡單 ， 只需到GnuPG網站下載并運行最新的安裝包 （ 目前為 gnupg） ， 然后按照提示即可完成安裝過程 。 （ 2） GnuPG的主要功能 GnuPG的主要功能可以通過在命令行窗口中執(zhí)行 gpg – h命令來查看 。 返回本章首頁 第三章 信息加密與 PKI （ 3） 生成密鑰對 生成密鑰對只需要在命令行下執(zhí)行 gpg genkey命令 ， 然后根據提示選擇相應的選項即可完成 。 返回本章首頁 第三章 信息加密與 PKI （ 4） 加密與解密 加密和解密一個文件非常容易 ， 這里以密鑰hacker 為例來說明 。 在測試前 ，首先創(chuàng)建一個內容為 “ GnuPG測試 ” 的文本文件。 返回本章首頁 第三章 信息加密與 PKI 本章小結 信息加密是保障信息安全最核心的技術措施和理論基礎 ， 它采用密碼學的原理與方法對信息進行可逆的數學變換 ， 從而使非法接入者無法理解信息的真正含義 ，達到保證信息機密性的目的 。 信息加密算法共經歷了古典密碼 、 單鑰密碼體制 （ 對稱密鑰密碼 ） 和雙鑰密碼體制 （ 公開密鑰密碼 ） 三個階段 。 返回本章首頁 第三章 信息加密與 PKI 在網絡安全領域 ， 網絡數據加密是解決通信網中信息安全的有效方法 ， 網絡數據加密常見的方式有鏈路加密 、 節(jié)點加密和端到端加密三種 。 在認證技術領域 ， 通過使用密碼手段 ， 一般可實現三個目標 ， 即消息完整性認證 、 身份認證 ，以及消息的序號和操作時間 （ 時間性 ） 等的認證 。 認證技術模型在結構上由安全管理協議 、 認證體制和密碼體制三層組成 。 返回本章首頁 第三章 信息加密與 PKI PKI是一個采用公鑰密碼算法原理和技術來提供安全服務的通用性基礎平臺 ， 用戶可利用PKI平臺提供的安全服務進行安全通信 ， PKI采用標準的密鑰管理規(guī)則 ， 能夠為所有應用透明地提供采用加密和數字簽名等密碼服務所需要的密鑰和證書管理 。 PKI主要包括認證機構 CA、 證書庫 、 密鑰備份 、 證書作廢處理系統 、 PKI應用接口系統等 。 PGP和 GnuPG是兩個常用的公鑰加密軟件 。 返回本章首頁 第三章 信息加密與 PKI 本章到此結束，謝謝！