网络信息安全第78讲3133.pptVIP

3.3 PKI核心服务 　2．完整性 　　完整性指的是在传输还是存储过程中的数据经过检查没有被修改。数据的完整性在实际的商业和电子交易环境中，往往比加密更重要。采用奇偶校验或循环冗余编码(CRC)的机制可以在一定程度上保证数据的完整性，如IP包就采用了CRC来保证数据传输的正确。但类似这种技术主要用于检测偶发的错误，无法防范为了个人目的故意修改数据的内容。 　　PKI的完整性服务主要采用两种技术来实现，即数字签名和MAC。 3.3 PKI核心服务 　3．机密性 　　机密性就是确保数据的秘密，除指定的实体外，无人能读出这段数据。PKI的机密性服务是一个框架结构，通过它可以完成密码算法协商和密钥交换，而且对参与通信的实体是完全透明的。PKI的机密性服务采用的机制大致如下： 　　(1) Alice生成一个对称密钥。 　　(2) 用对称密钥加密数据。 　　(3) 将加密后的数据以及用Bob的加密公钥加密后的对称密钥发送给Bob，这样就可以保证通信双方的数据的机密性。 习 题 　　3.1 为什么说PKI是提供安全服务的具有普适性的安全基础设施？ 　　3.2 PKI由哪些组件组成？ 　　3.3 PKI的核心服务有哪些？ 遵义师范学院 遵义师范学院 遵义师范学院 主讲 易树鸿 遵义师范学院 遵义师范学院 第3章 公钥基础设施(PKI) 3.1 PKI概述 3.2 PKI组件 3.3 PKI核心服务 PKI（Public Key Infrastructure ） 即“公开密钥基础设施”，是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系，简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的具有普适性的安全基础设施。PKI技术是信息安全技术的核心，也是电子商务的关键和基础技术。 * PKI发展简介 美国作为最早提出PKI概念的国家，于1996年成立了美国联邦PKI筹委会，其PKI技术在世界上处于领先地位，与PKI相关的绝大部分标准都由美国制定。 我国的PKI技术从1998年开始起步，由于政府和各有关部门近年来对PKI产业的发展给予了高度重视，2001年PKI技术被列为“十五”863计划信息安全主题重大项目，并于同年10月成立了国家863计划信息安全基础设施研究中心。 自从1998年国内第一家以实体形式运营的上海CA中心(SHECA)成立以来，PKI技术在我国的商业银行、政府采购以及网上购物中得到广泛应用。目前，国内的CA机构分为区域型、行业型、商业型和企业型四类；截至2002年底，前三种CA机构已有60余家，58％的省市建立了区域CA，部分部委建立了行业CA。其中全国性的行业CA中心有中国金融认证中心CFCA、中国电信认证中心CTCA等。区域型CA有上海CA中心、广东电子商务认证中心等。 3.1 PKI概述 　 1. 普适性基础 　　普适性基础就是一个大环境(例如公司组织)的基本框架，一个基础设施可视作一个普适性基础。其原理是相同的，即基础设施的目的就是，只要遵循需要的原则，不同的实体就可以方便地使用基础设施提供的服务。 我们熟悉的例子： 电子通信基础设施(也就是网络)：使不同的机器之间为不同的目的交换数据。 电力供应基础设施：电源插座可以让各种电力设备获得运行所需要的电能。 3.1 PKI概述 　 1. 普适性基础 　　用于安全的基础设施必须遵循同样的原理，安全基础设施就是为整个组织(“组织”是可以被定义的)提供安全的基本框架，可以被组织中任何需要安全的应用和对象使用。安全基础设施的“接入点”必须是统一的，便于使用(就像TCP/IP栈和墙上的电源插座一样)。只有这样，那些需要使用这种基础设施的对象在使用安全服务时，才不会遇到太多的麻烦。 3.1 PKI概述 　 2．应用支撑 　　安全基础设施的主要目标就是实现“应用支撑”的功能。安全基础设施对应的应用是指需要安全服务而使用安全基础设施的模块，例如，Web浏览器、电子邮件客户端软件和IPSec支撑的设备。 使用安全基础设施就像将电器设备插入墙上的插座一样简单： 　　(1) 具有易于使用、众所周知的界面。 　　(2) 基础设施提供的服务可预测且有效。 　　(3) 应用设备无需了解基础设施如何提供服务。 3.1 PKI概述 　 2．应用支撑 　　1) 安全登录 　　在一个应用程序中经常需要“登录”。典型的操作过程包括输入用户ID和相应的口令。这种操作方式所带来的问题也是众所周知的，即口令易被窃听、截获和重放。 　　安全基础设施可以解决这些问题。特别是在一个将安全服务作为普适性的