計算機導論-第7章--計算機系統(tǒng)安全知識與職業(yè)道德.ppt

1、第7章 計算機系統(tǒng)安全知識,7.1 計算機系統(tǒng)安全威脅 7.2 計算機系統(tǒng)安全概念 7.3 反病毒技術 7.4 反黑客技術 7.5 防火墻技術,第7章 計算機系統(tǒng)安全知識,7.6 入侵檢測技術 7.7 數(shù)據(jù)加密技術 7.8 安全認證技術 7.9 法律規(guī)章與職業(yè)道德 7.10 本章小結,7.1 計算機系統(tǒng)安全威脅,惡意軟件 有惡意目的的軟件。 非法入侵 非法用戶通過技術手段或欺騙手段或二者結合的方式，以非正常方式侵入計算機系統(tǒng)或網(wǎng)絡系統(tǒng)，竊取、篡改、刪除系統(tǒng)中的數(shù)據(jù)或破壞系統(tǒng)的正常運行。 網(wǎng)絡攻擊 通過向網(wǎng)絡系統(tǒng)或計算機系統(tǒng)集中發(fā)起大量的非正常訪問，而使其無法響應正常的服務請求，也稱為拒絕服務攻

2、擊。,7.1 計算機系統(tǒng)安全威脅,惡意軟件的種類 計算機病毒：是指能夠自我復制的具有破壞作用的一組指令或程序代碼。 蠕蟲：是一種獨立存在的程序，利用網(wǎng)絡和電子郵件進行復制和傳播，危害計算機系統(tǒng)的正常運行。 特洛伊木馬：一般由兩個部分組成，一部分是服務端程序，一部分是控制端程序 間諜軟件：是指從計算機上搜集信息，并在未得到該計算機用戶許可的情況下便將信息傳遞到第三方的軟件。,7.1 計算機系統(tǒng)安全威脅,計算機系統(tǒng)安全威脅現(xiàn)狀 對計算機系統(tǒng)安全的威脅呈多樣化趨勢，有的威脅只具有前述一種方式的特征，有的威脅兼具兩種方式甚至三種方式的特征。 2008年5月，我國公安部門的調(diào)查結果顯示，85.5%的計算

3、機用戶感染過計算機病毒，62.7%的被調(diào)查單位發(fā)生過信息網(wǎng)絡安全事件。,7.2 計算機系統(tǒng)安全概念,信息安全 采取有效措施保證信息保存、傳輸與處理的安全。 信息主要是指存在于計算機系統(tǒng)中的信息以及傳輸在網(wǎng)絡中的信息。 網(wǎng)絡安全 采取有效措施保證網(wǎng)絡運行的安全。 計算機網(wǎng)絡的主要功能是傳輸信息和存儲信息的共享。 計算機系統(tǒng)安全 保證計算機系統(tǒng)運行的安全。 計算機系統(tǒng)包括計算機硬件、網(wǎng)絡設備和存儲在計算機中的信息。,7.2 計算機系統(tǒng)安全概念,三個概念的共同含義 采取有效措施保證計算機、計算機網(wǎng)絡及其中存儲和傳輸?shù)男畔⒌陌踩乐挂蚺既换驉阂獾脑蚴褂嬎銠C軟硬件資源或網(wǎng)絡系統(tǒng)遭到破壞，數(shù)據(jù)遭到泄露

4、、丟失和篡改。,7.2 計算機系統(tǒng)安全概念,計算機系統(tǒng)安全的三個層面 技術安全 從技術層面保證計算機系統(tǒng)中硬件/軟件和數(shù)據(jù)的安全。 根據(jù)系統(tǒng)對安全性的要求，選購符合相應安全標準的軟硬件產(chǎn)品。 TCSEC 標準：D、C1、C2、B1、B2、B3、A1。 CC：EAL1、EAL2、EAL3、EAL4、EAL5、EAL6、EAL7。 采取有效的反病毒技術、反黑客技術、防火墻技術、入侵檢測技術、數(shù)據(jù)加密技術、認證技術等技術措施。,7.2 計算機系統(tǒng)安全概念,計算機系統(tǒng)安全的三個層面 管理安全 通過提高相關人員安全意識和制定嚴格的管理措施來保證計算機系統(tǒng)的安全。 主要包括軟硬件產(chǎn)品的采購、機房的安全保衛(wèi)

5、、系統(tǒng)運行的審計與跟蹤、數(shù)據(jù)的備份與恢復、用戶權限的分配、賬號密碼的設定與更改等方面。,7.2 計算機系統(tǒng)安全概念,計算機系統(tǒng)安全的三個層面 法律安全 有完善的法律、規(guī)章體系以保證對危害計算機系統(tǒng)安全的犯罪和違規(guī)行為進行有效的打擊和懲治。 沒有法律制裁的威懾，只靠管理措施和安全技術是很難遏制惡作劇者或犯罪分子肆無忌憚的破壞行為的。,7.3 反病毒技術,計算機病毒的發(fā)展 計算機病毒的特征 計算機病毒的危害 計算機病毒的防治,7.3 反病毒技術,計算機病毒的發(fā)展 計算機病毒的特征 計算機病毒的危害 計算機病毒的防治,7.3.1 計算機病毒的發(fā)展,計算機病毒的定義 編制或者在計算機程序中插入的破壞計

6、算機功能或者毀壞數(shù)據(jù)，影響計算機使用，并能自我復制的一組計算機指令或者程序代碼。 可以在計算機運行過程中能把自身準確復制或有修改的復制到其他程序體內(nèi)的一段具有破壞性的程序。,7.3.1 計算機病毒的發(fā)展,有代表性的計算機病毒 1986年，Brain病毒。 1988年，Morris病毒。 1998年，CIH病毒流行。 2000年， 愛蟲病毒 2001年，CodeRed（紅色代碼）病毒。 2003年，沖擊波（Blaster）病毒 2004年，震蕩波（Sasser）病毒 2006年，出現(xiàn)了源自我國的熊貓燒香病毒。 2008年，掃蕩波（SaodangBo）病毒。,7.3.1 計算機病毒的發(fā)展,2008

7、年度最流行的10種病毒,7.3.2 計算機病毒的特征,傳染性 計算機病毒能使自身的代碼強行傳染到一切符合其傳染條件的程序內(nèi)，通過這些程序的拷貝與網(wǎng)上傳輸?shù)韧緩竭M一步感染其他計算機。 寄生性 有一類計算機病毒不是一個完整的程序，需要寄生在其他程序中才能存在，當被寄生的程序運行時，病毒就通過自我復制而得到繁衍和傳播。,7.3.2 計算機病毒的特征,隱蔽性 大多數(shù)計算機病毒都會把自己隱藏起來，如附加在正常程序中、復制到一般用戶不會打開的目錄下等，其存在、傳染和破壞行為不易為計算機操作人員發(fā)現(xiàn)。 觸發(fā)性 很多計算機病毒都有一個發(fā)作條件，這個發(fā)作條件可以是時間、特定程序的運行、某類系統(tǒng)事件的發(fā)生或程序的

8、運行次數(shù)等。 破壞性 計算機病毒發(fā)作時，對計算機系統(tǒng)的正常運行都會有一些干擾和破壞作用。,7.3.3 計算機病毒的危害,破壞系統(tǒng)資源 大部分病毒在發(fā)作時直接破壞計算機系統(tǒng)的資源，如改寫主板上BIOS中的數(shù)據(jù)、改寫文件分配表和目錄區(qū)、格式化磁盤、刪除文件、改寫文件等，導致程序或數(shù)據(jù)丟失，甚至于整個計算機系統(tǒng)和網(wǎng)絡系統(tǒng)的癱瘓。 占用系統(tǒng)資源 有的病毒雖然沒有直接的破壞作用，但通過自身的復制占用大量的存儲空間，甚至于占滿存儲介質的剩余空間，因此影響正常程序及相應數(shù)據(jù)的運行和存儲。,7.3.4 計算機病毒的防治,計算機病毒的傳染途徑 通過軟盤、移動硬盤、光盤和U盤等外存設備傳染。 通過計算機網(wǎng)絡傳染。

9、 計算機病毒的預防 普及病毒知識/嚴格管理措施/強化技術手段。 計算機病毒的查殺 瑞星殺毒軟件、江民殺毒軟件、金山毒霸、卡巴斯基殺毒軟件、諾頓殺毒軟件、360安全衛(wèi)士等。,7.4 反黑客技術,黑客概念 黑客攻擊方式 黑客的防范,7.4.1 黑客概念,黑客定義 原指熱心于計算機技術、水平高超的計算機專家，特別是指高水平的編程人員。 日本出版的新黑客字典的定義：喜歡探索軟件程序奧秘、并從中增長其個人才干的人。 現(xiàn)在黑客一詞泛指那些專門利用系統(tǒng)漏洞在計算機網(wǎng)絡上搞破壞或惡作劇的人。,7.4.1 黑客概念,黑客分類 白帽黑客：發(fā)現(xiàn)系統(tǒng)漏洞后，會及時通報給系統(tǒng)的開發(fā)商。這一類黑客是有利于系統(tǒng)的不斷完善的

10、。 黑帽黑客：發(fā)現(xiàn)系統(tǒng)漏洞后，會試圖制造一些損害，如刪除文件、替換主頁、盜取數(shù)據(jù)等。黑帽黑客具有破壞作用，也稱為駭客。 灰帽黑客：灰帽黑客大多數(shù)情況下是遵紀守法的，但在一些特殊情況下也會做一些違法的事情。,7.4.2 黑客攻擊方式,程序后門 黑客會用窮舉搜索法發(fā)現(xiàn)并利用后門侵入系統(tǒng)。 獲取口令 簡單猜想/字典攻擊/暴力猜解/網(wǎng)絡監(jiān)聽。 拒絕服務攻擊 使用超出被攻擊目標處理能力的大量數(shù)據(jù)包消耗系統(tǒng)可用帶寬資源，最后致使網(wǎng)絡服務癱瘓的一種攻擊手段。 分布式拒絕服務攻擊利用多臺已經(jīng)被攻擊者控制的機器對某一臺單機發(fā)起攻擊。,7.4.2 黑客攻擊方式,網(wǎng)絡釣魚 通過欺騙手段獲取他人的個人信息，然后竊取用

11、戶的重要數(shù)據(jù)或資金。 主要手段 發(fā)送含有虛假信息的電子郵件。 建立假冒的網(wǎng)上銀行、網(wǎng)上證券網(wǎng)站。 利用虛假的電子商務活動。 利用木馬等技術手段。 利用用戶的弱口令設置。,7.4.3 黑客的防范,防范措施 使用安全級別比較高的正版的操作系統(tǒng)、數(shù)據(jù)庫管理系統(tǒng)等軟件，并注意給軟件系統(tǒng)及時打補丁，修補軟件漏洞；安裝入侵檢測系統(tǒng)、防火墻和防病毒軟件。 不要輕易打開和相信來路不明的電子郵件；不要從不明網(wǎng)址下載軟件；在進行網(wǎng)上交易時要認真核對網(wǎng)址，看是否與真正網(wǎng)址一致；不要輕易輸入賬號、密碼、身份證號等個人信息；盡量避免在網(wǎng)吧等公共場所進行網(wǎng)上電子商務交易。 不要選諸如身份證號碼、出生日期、電話號碼、吉祥數(shù)

12、等作為密碼，這樣的密碼很容易破譯，稱為弱密碼。,7.5 防火墻技術,防火墻概念 防火墻的功能 防火墻的結構,7.5.1 防火墻概念,防火墻定義 建立在內(nèi)、外網(wǎng)絡邊界上的過濾封鎖機制，是計算機硬件和軟件的結合，其作用是保護內(nèi)部的計算機或網(wǎng)絡免受外部非法用戶的侵入。 內(nèi)部網(wǎng)絡被認為是安全和可信賴的，而外部網(wǎng)絡（一般是指互聯(lián)網(wǎng)）被認為是不安全和不可信賴的。 防火墻的作用，就是防止不希望的、未經(jīng)授權的通信進出被保護的內(nèi)部網(wǎng)絡，通過邊界控制來保證內(nèi)部網(wǎng)絡的安全。,7.5.2 防火墻的功能,訪問控制 通過禁止或允許特定用戶訪問特定資源，保護內(nèi)部網(wǎng)絡的數(shù)據(jù)和軟件等資源。 內(nèi)容控制 根據(jù)數(shù)據(jù)內(nèi)容進行控制，如可

13、以根據(jù)電子郵件的內(nèi)容識別出垃圾郵件并過濾掉垃圾郵件。 日志記錄 記錄下經(jīng)過防火墻的訪問行為，同時能夠提供網(wǎng)絡使用情況的統(tǒng)計數(shù)據(jù)。,7.5.2 防火墻的功能,安全管理 通過以防火墻為中心的安全方案配置，能將所有安全措施配置在防火墻上。 內(nèi)部信息保護 利用防火墻對內(nèi)部網(wǎng)絡的劃分，可實現(xiàn)內(nèi)部網(wǎng)重點網(wǎng)段的隔離，從而防止局部重點或敏感網(wǎng)絡安全問題對全局網(wǎng)絡安全的影響。,7.5.3 防火墻的結構,包過濾防火墻,7.5.3 防火墻的結構,雙宿主網(wǎng)關防火墻,7.5.3 防火墻的結構,屏蔽主機防火墻,7.5.3 防火墻的結構,屏蔽子網(wǎng)防火墻,7.5.3 防火墻的結構,常用防火墻產(chǎn)品 美國思科系統(tǒng)公司（Cisco

14、 Systems, Inc.） PIX501、PIX515、PIX525、PIX535等。 美國Juniper網(wǎng)絡公司 NetScreen-208、NetScreen-5200、NetScreen-5400等。 國內(nèi)華三通信公司（H3C，原華為3Com） SecPath F100系列、SecPath F1000系列等。,7.6 入侵檢測技術,入侵檢測系統(tǒng)的功能 入侵檢測系統(tǒng)的分類 入侵檢測技術,7.6.1 入侵檢測系統(tǒng)的功能,入侵檢測系統(tǒng)的定義 入侵檢測是通過從計算機網(wǎng)絡或計算機系統(tǒng)中的若干關鍵點收集信息并對其進行分析，從中發(fā)現(xiàn)網(wǎng)絡或系統(tǒng)中是否有違反安全策略的行為和遭到襲擊的跡象的一種安全技術

15、。 入侵檢測系統(tǒng)是完成入侵檢測功能的計算機軟硬件系統(tǒng)。 入侵檢測系統(tǒng)的功能 監(jiān)控/分析用戶和系統(tǒng)的活動；發(fā)現(xiàn)入侵企圖或異?，F(xiàn)象。 記錄/報警和響應；友好的用戶界面。,7.6.2 入侵檢測系統(tǒng)的分類,基于網(wǎng)絡的入侵檢測系統(tǒng) 作用于某個網(wǎng)絡環(huán)境的入侵檢測系統(tǒng)。 通過偵聽和分析網(wǎng)絡上關鍵路徑上傳輸?shù)臄?shù)據(jù)，發(fā)現(xiàn)可疑的通信數(shù)據(jù)和入侵行為。,7.6.2 入侵檢測系統(tǒng)的分類,基于主機的入侵檢測系統(tǒng) 作用于某臺主機上的入侵檢測系統(tǒng)。 通過監(jiān)視與分析主機的審計記錄和日志文件來檢測對主機的入侵。 日志中記錄有所有對主機的訪問行為，從中可以分析出非正常的和不希望發(fā)生的行為，進而認定對主機的入侵企圖和已發(fā)生的入侵行為

16、。 啟動相應的應急響應措施，阻止入侵企圖和盡量減少已發(fā)生的入侵行為的破壞作用。,7.6.2 入侵檢測系統(tǒng)的分類,基于應用的入侵檢測系統(tǒng) 作用于某個應用系統(tǒng)的入侵檢測系統(tǒng)。 通過監(jiān)視與分析某個應用程序的日志文件來檢測對該應用程序的入侵。 基于應用的入侵檢測系統(tǒng)是基于主機的入侵檢測系統(tǒng)的進一步細化。,7.6.3 入侵檢測技術,誤用檢測 假設入侵行為可以用一種模式來表示，系統(tǒng)的目標是檢測外部用戶的訪問是否符合這些模式，符合即是入侵行為。 異常檢測 假設入侵行為不同于正常的訪問行為。根據(jù)這一思路建立正常訪問行為的行為描述，將當前的訪問行為與“行為描述”進行比較，當違反正常行為的統(tǒng)計規(guī)律時，認為該訪問可

17、能是入侵行為。 混合檢測 同時進行誤用檢測和異常檢測。,7.6.3 入侵檢測技術,常用入侵檢測產(chǎn)品 美國思科系統(tǒng)公司 Cisco IDS 4210、Cisco IDS 4235、Cisco IDS 4250等。 國內(nèi)華三通信公司 SecPath T200、SecPath T1000、SecPathT5000等。,7.7 數(shù)據(jù)加密技術,數(shù)據(jù)加密概述 古典加密方法 現(xiàn)代加密方法,7.7.1 數(shù)據(jù)加密概述,加密的含義 把明文通過混拆、替換和重組等方式變換成對應的密文。密文需要按加密的逆過程解密成明文后，才能理解其含義。,7.7.2 古典加密方法,愷撒密碼 含義：通過移位的方式實現(xiàn)對原始信息的加密，對

18、不同位置的字符采用相同的移位方式。 示例：用愷撒密碼對computer進行加密。 設置26個英文字母與數(shù)字的對應關系如下： a b c d e f u v w x y z 0 1 2 3 4 5 20 21 22 23 24 25,computer,dpnqvufs,實現(xiàn)簡單 容易破譯,7.7.2 古典加密方法,多字符替換 含義：不同位置的字符采用不同的替換方式。 示例：采用（+1，-1，+2）的替換方式對computer加密。 對明文中的第一個字符右移1位，第二個字符左移1位，第三個字符右移2位，第四個字符又是右移1位，如此進行下去，完成明文中所有字符的替換。,computer,dnoqtv

19、fq,7.7.2 古典加密方法,二進制運算 運算規(guī)則 運算示例,10101100 AND 01101011=00101000 10101100 OR 01101011=11101111 NOT 10101100=01010011 10101100 XOR 01101011=11000111,A XOR B XOR B=A,7.7.2 古典加密方法,用二進制運算加密示例,采用異或運算對computer進行加密。,明文 ASCII碼,密文 ASCII碼,明文 ASCII碼,7.7.2 古典加密方法,用二進制運算加密示例,采用異或運算對computer進行加密。,7.7.3 現(xiàn)代加密方法,私鑰加密

20、加密和解密使用同一個密鑰。,7.7.3 現(xiàn)代加密方法,DES算法加密過程 待加密數(shù)據(jù)被分為64bit大小的數(shù)據(jù)塊。 對第一個64位的數(shù)據(jù)塊進行初始變換，即對64位的數(shù)據(jù)按位重新組合。如將第58位換到第1位，第50位換到第2位，等等。 將換位后的數(shù)據(jù)與密鑰進行計算，這樣的計算共進行16輪，每一輪使用一個不同的密鑰，這16輪的密鑰合稱DES算法的加密密鑰，也是日后解密的密鑰。,7.7.3 現(xiàn)代加密方法,DES算法加密過程 把經(jīng)過16輪加密的數(shù)據(jù)再進行換位操作，這時的換位是初始換位的逆操作，如第1位經(jīng)初始換位后換到了第40位，經(jīng)逆初始換位，再把第40位換回到第1位。 逆初始換位后的結果就是第一塊數(shù)據(jù)

21、加密后的密文。 對其他每塊數(shù)據(jù)都進行與第一塊數(shù)據(jù)類似的處理，得到全部明文對應的密文。,7.7.3 現(xiàn)代加密方法,公鑰加密 加密密鑰與解密密鑰使用不同的密鑰。,7.7.3 現(xiàn)代加密方法,RSA算法選定密鑰過程 選擇兩個互異的大素數(shù)p和q； 使n=p*q，t=(p-1)*(q-1)； 取一個整數(shù)e，使其滿足1et，且gcd（t，e）=1； 計算d，使其滿足（d*e） mod t = 1 ； 以e，n為公鑰，d，n為私鑰。,7.7.3 現(xiàn)代加密方法,RSA算法的加密過程 首先將bit串形式的明文信息分組，使得每個分組對應的十進制數(shù)小于n，即分組長度小于log2n，然后對每個明文分組m作加密計算，得到

22、其對應的密文c=me mod n。 RSA算法的解密過程 對每個密文分組進行解密計算，還原成其對應的明文m=cd mod n。,7.7.3 現(xiàn)代加密方法,RSA算法加密示例 用RSA算法對computer進行加密。 選p=7，q=17。則n=7*17=119，t=6*16=96 取e=5，滿足1et，且gcd（t，e）=1； 則滿足（d*e） mod t =1 條件的d=77。 5，119為公鑰，77，119為私鑰。,7.8 安全認證技術,消息認證 數(shù)字簽名 PKI,7.8 安全認證技術,消息認證的必要性與作用 通信雙方在一個不安全的信道上傳輸信息，可能面臨著被第三方截取，進而對信息進行篡改或

23、偽造的隱患，若接收方收到的是被第三方偽造或篡改的信息，可能會造成非常嚴重的損失。 消息認證技術用于檢查發(fā)送方發(fā)送的信息是否被篡改或是偽造的，消息認證系統(tǒng)的核心是一個認證算法。,7.8.1 消息認證,信息,信息,發(fā)送,接收,因特網(wǎng),7.8.1 消息認證,消息認證思路 為了發(fā)送信息，發(fā)送方先將信息和認證密鑰輸入認證算法，計算出信息的認證標簽，然后將信息和認證標簽一同發(fā)出。 接收方收到信息和認證標簽后，把信息和相同的認證密鑰輸入認證算法，也計算出認證標簽。 檢查這個計算出的認證標簽與接收到的認證標簽是否相同，若相同，認為信息不是偽造的，也未被篡改，接受該信息，若不相同，則認為信息是偽造的或被篡改過，

24、舍棄該信息。,7.8.2 數(shù)字簽名,數(shù)字簽名的定義 在電子文檔中附加的數(shù)字認證信息稱為數(shù)字簽名，也稱為電子簽名。 數(shù)據(jù)電文中以電子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內(nèi)容的數(shù)據(jù)。 數(shù)字簽名就是只有信息的發(fā)送者才能產(chǎn)生的，與發(fā)送信息密切相關的、他人無法偽造的一個數(shù)字串，它同時也是對發(fā)送者發(fā)送的信息的真實性的一個證明。,7.8.2 數(shù)字簽名,數(shù)字簽名過程 用戶A準備好一個要發(fā)送給用戶B的電子信息M。 用戶A用公開的單向Hash函數(shù)對信息M進行變換，生成信息摘要MH，然后用自己的私鑰DA對信息摘要MH加密，對MH加密的結果就是信息M的數(shù)字簽名。 用戶A將數(shù)字簽名附在信息M之后，連同信

25、息M和相應的數(shù)字簽名一起發(fā)送給用戶B。,7.8.2 數(shù)字簽名,數(shù)字簽名過程 用戶B收到信息M和相應的數(shù)字簽名MH后，一是使用相同的單向Hash函數(shù)對信息M進行變換，生成信息摘要，二是使用用戶A的公鑰EA對數(shù)字簽名進行解密，得到用戶A針對M生成的信息摘要。 用戶B比較兩個信息摘要，如果兩者相同，則可以確信信息在發(fā)送后并未作任何改變，也不是偽造的，可以接受來自于用戶A的信息M，如果不相同，說明信息M是偽造的或已經(jīng)被篡改，放棄該信息。,7.8.2 數(shù)字簽名,Hash函數(shù)與信息摘要 Hash函數(shù)用于將任意長度的信息M變換為較短的、固定長度的信息摘要MH。 信息摘要是信息中所有二進制位的函數(shù)，改變信息中

26、的任何一個或幾個位，都會使信息摘要發(fā)生改變。所以，信息摘要也被形象地稱為信息的數(shù)字指紋。,7.8.2 數(shù)字簽名,Hash函數(shù)的特性 函數(shù)的輸入可以任意長，函數(shù)的輸出是固定長。 已知信息M，求信息摘要MH比較容易。 已知MH，求H（M）= MH的M在計算上是不可行的，即很難根據(jù)信息摘要來反向求得原始信息，這是Hash函數(shù)的單向性。 已知M1，找出M2(M2 M1)使得H(M2)= H(M1)在計算上是不可行的，即很難找到兩個不同的信息會有相同的信息摘要，這是哈希函數(shù)的唯一性。,7.8.2 數(shù)字簽名,數(shù)字簽名的有效性分析 難以偽造或篡改 由Hash函數(shù)的唯一性可知，對原有信息的微小改變也會導致信息

27、摘要的改變，所以，接收方或第三方很難偽造或篡改發(fā)送方發(fā)出的信息而使信息摘要不變. 又由于發(fā)送方是用自己的私鑰對信息摘要進行加密的，接收方或第三方很難偽造加密的信息摘要（數(shù)字簽名），進而也就無法偽造信息摘要。無法偽造信息摘要，偽造或篡改的信息是很容易被識破的。 難以抵賴 由于發(fā)送方是用自己的私鑰對信息摘要進行加密的，接收方或第三方是不能做此事的，所以發(fā)送方對自己發(fā)出的信息是難以抵賴的。,7.8.3 PKI,PKI的含義 一種提供公鑰加密、數(shù)字簽名和數(shù)字證書等服務的管理平臺，以保證網(wǎng)上傳輸信息的保密性、真實性、完整性和不可抵賴性。 PKI的功能 頒發(fā)證書、更新證書、撤銷證書、公布證書、在線查詢證書狀態(tài)、認定證書等。 密鑰產(chǎn)生、密鑰備份和恢復、密鑰更新、密鑰銷毀和歸檔等。,7.8.3 PKI,PKI的組成 認證機構 負責數(shù)字證書的簽發(fā)，是PKI的核心，是PKI中權威的、可信任的、公正的第三方機構。 注冊機構 負責數(shù)字證書申請者的信息錄入、資格審查等工作，決定是否同意由認證機構為其簽發(fā)數(shù)字證書。 目錄服務器 用于存