【正文】 48 作業(yè)與實驗 MD5軟件的使用 信息隱藏的軟件實驗 利用 Windows構建 CA中心 。 PKI是一個采用公鑰密碼算法原理和技術來提供安全服務的通用性基礎平臺 ，用戶可以利用 PKI平臺提供的安全服務進行安全通信， PKI采用標準的密鑰管理規(guī)則，能夠為所有應用透明地提供采用加密和數(shù)字簽名等密碼服務所需要的密鑰和證書管理。 在認證技術領域 ， 通過使用密碼手段 ， 一般可以實現(xiàn)三個目標 ， 即消息完整性認證 、 身份認證， 以及消息的序號和操作時間 (時間性 )等的認證 。 雙鑰密碼體制的加密密鑰和解密密鑰不同 ， 在網(wǎng)絡通信中 ， 主要用于認證 (如數(shù)字簽名 、 身份識別等 )和密鑰管理等， 其 優(yōu)秀的算法有基于素數(shù)因子分解問題的 RSA算法和基于離散對數(shù)問題的 ElGamal算法 。 現(xiàn)代密碼按照使用密鑰方式的不同 ， 可分為單鑰密碼體制和雙鑰密碼體制兩類 。 鏈路加密是對網(wǎng)絡中兩個相鄰節(jié)點之間傳輸?shù)臄?shù)據(jù)進行加密保護；節(jié)點加密是指在信息傳輸路過的節(jié)點處進行解密和加密；端到端加密是指對一對用戶之間的數(shù)據(jù)連續(xù)地提供保護 。 信息加密算法共經(jīng)歷了 古典密碼 、 單鑰密碼體制 (對稱密鑰密碼 )和雙鑰密碼體制 (公開密鑰密碼 )三個階段 。 5）建設良好的密碼使用管理制度。 4） 定期變換加密會話的密鑰 。 盡量做到每次會話的密鑰都不相同 。 一個好的加密算法往往只能通過窮舉法才能得到密鑰 ， 所以只要密鑰足夠長就會很安全 。 （ 3）其他密碼破譯方法 社會工程、 “ 窺視 ” 或 “ 盜竊 ” 、 利用加密系統(tǒng)實現(xiàn)中的缺陷或漏洞 、 “ 垃圾分析 ” 、 威脅 等。 公鑰基礎設施 PKI 45 密碼破譯方法及預防破譯措施 密碼破譯方法 （ 1）密鑰的窮盡搜索 破譯密文最簡單的方法，就是嘗試所有可能的密鑰組合。 發(fā)布者的數(shù)字簽名 ：這是使用發(fā)布者私鑰生成的簽名。 證書發(fā)布者的唯一名字 ：這是簽發(fā)該證書的實體的唯一名字。 證書持有人唯一的標示符 ： (或稱 DN， distinguished name)這個名字在 Inter上應該是唯一的 .DN由許多部分組成 ,看起來象這樣 : CN=Bob Allen, OU=Total Network Security Division, O=Network Associates, Inc., C=US 這些信息指出該科目的通用名，組織單位，組織和國家 證書的有效期 ：證書起始日期和時間以及終止日期和時間 。 證書的序列號 ：創(chuàng)建證書的實體 (組織或個人 )有責任為該證書指定一個獨一無二的序列號 ,以區(qū)別于該實體發(fā)布的其他證書 .序列號信息有許多用途 。 5） PKCS(Public Key Cryptography Standards)：公鑰加密標準 44 ： 指出該證書使用了哪種版本的 ,版本號會影響證書中的一些特定信息 .目前的版本是 3。 3） ：由 ISO和 ITU提出的為大型網(wǎng)絡提供目錄服務的標準體系 。 42 公鑰基礎設施 PKI PKI的特點和標準 1） 節(jié)省費用 2） 互操作性 3） 開放性 4） 一致的解決方案 5） 可驗證性 6）可選擇性 特點 43 公鑰基礎設施 PKI 標 準 1） PKI(PublicKey Infrastructure)：公鑰體系基礎框架 。 PKI從技術上保證實體對他們行為的不可否認性 。 PKI系統(tǒng)還必須 提供密鑰備份與解密密鑰的恢復機制，即密鑰備份與恢復系統(tǒng)，它由可信任的 CA來完成。 證書庫 CR： 證書庫是 CA頒發(fā)證書和撤銷證書的集中存放地，是網(wǎng)上的一種公共信息庫，供廣大公眾進行開放式查詢。 數(shù)字證書的主要內(nèi)容含：版本號、序列號、簽字算法（認證機構的數(shù)字簽字）、發(fā)出該證書的認證機構和有效期限。 3） 認證中心服務器 。 負責證書的申請和審核 。 因此 ， 客戶可以在自己方便的時候在網(wǎng)上提出證書申請和填寫相應的證書申請表 ， 免去排隊等候等煩惱 。 1） 注冊服務器 。 9）歷史數(shù)據(jù)歸檔。 7） 數(shù)字證書的歸檔 。 5） 接收最終用戶數(shù)字證書的查詢 、 撤銷 。 3） 向申請者頒發(fā) 、 拒絕頒發(fā)數(shù)字證書 ， 即證書的發(fā)放 。 1） 接收驗證最終用戶數(shù)字證書的申請 。 38 PKI的功能： 支持用于認證的智能卡 證書產(chǎn)生與發(fā)放 證書撤銷 密鑰備份及恢復 證書密鑰對的自動更新 密鑰歷史檔案 公鑰基礎設施 PKI 支持不可否認 時間戳 交叉認證 用戶管理 客戶端服務（恢復密鑰、檢驗證書、請求時間戳等） 39 公鑰基礎設施 PKI PKI的組成 認證中心 CA： 可靠的第三方機構驗證 ， 為信息安全提供有效的、可靠的保護機制，包括機密性、身份驗證特性、不可否認性 (交易的各方不可否認它們的參與 )。 PKI應該對終端用戶的操作是透明的，即所有安全操作在后臺自動地進行，無需用戶的干預，也不應因為用戶的錯誤操作對安全造成危害。 PKI采用公鑰技術、高級通信協(xié)議和數(shù)字簽名等方式進行遠程登錄。 37 公鑰基礎設施 PKI PKI的基本概念 PKI是一個用公鑰密碼算法原理和技術來提供安全服務的通用性基礎平臺，用戶可以利用 PKI平臺提供的安全服務進行安全通信。 PKI(Public Key Infrastructure，即公鑰基礎設施 )就是在這項技術基礎上形成和發(fā)展起來的。 36 公鑰基礎設施 PKI 公鑰體制采用兩個密鑰將加密和解密能力分開：一個公鑰作為加密密鑰，一個私鑰作為用戶專有的解密密鑰，通信雙方無需實現(xiàn)交換密鑰，即無需在網(wǎng)上傳遞私鑰這樣敏感信息就可以實現(xiàn)保密通信。 隱藏信息的分布范圍要廣 ， 能抵抗數(shù)據(jù)壓縮 、 過濾等變換及人為攻擊 。 數(shù)字水印還可以廣泛應用于其他信息的隱藏 ， 如在一個正常的文件中嵌入文本 、 圖像 、 音頻等信息 。 1996年 ， 在英國召開了首屆國際信息隱藏會議 ， 提出了數(shù)字水印技術 ， 用來對付數(shù)字產(chǎn)品的非法復制 、 傳播和篡改 ， 保護產(chǎn)權 。 它能為任意長度的輸入產(chǎn)生 160bit的雜湊值 。 信息摘要算法 ， 由 RSA Data Security公司的 Rivest于 1992年提出 ， 能對任何長度的輸入消息進行處理 ， 產(chǎn)生 128bit長的 “ 消息摘要 ” 輸出 。 常用的方法有消息的流水作業(yè) 、 鏈接認證符隨機數(shù)認證法和時間戳等 。 另一種是通信雙方實現(xiàn)約定各自發(fā)送消息所使用的通行字 ， 發(fā)送消息中含有此通行字并進行加密 ， 接收者只需判別消息中解密的通行字是否等于約定的通行字就能鑒定發(fā)送者 。 接收者利用約定的算法對解密后的消