PKI信息安全教學方法探析

摘要：PKI(Public Key Infrastructure)是一種遵循標準的，利用公鑰加密技術為電子商務的開展提供安全基礎平臺的技術和規范的總稱。PKI的表述清晰，每一個環節可以選取不同的模型和數學表達，其內容可以涵蓋安全領域的知識和技術主題。本文針對PKI的這一特點。提出了以PKI基礎設施為基本核心的信息安全教學方法，并以一次科研活動涉及的PKI基礎設施為例，對方法進行了探索和分析。

關鍵詞：安全；PKI；教學方法

引 言

1.計算機安全教學的基本內容。教育對象和層次的差別，決定了在教學采納的材料應有深淺之別。但無論在哪個層次的教學，計算機安全教育從總體和宏觀看，應該包含密碼學、訪問控制、協議和軟件實現四個部分。詳細點講，①密碼學包括數學基礎、對稱密碼學、公鑰密碼體制、哈希函數以及密碼分析，后者包括線性法和差分法等，是現代密碼分析的主要手段和評價標準；②訪問控制可以劃分為認證和授權兩個子域，認證用以判斷實體具有系統范疇合法地位的真偽性，授權用來限定合法實體的權限邊界。③協議是計算機網絡的核心概念。應用最廣泛的協議是TCP/IP。簡單地說，協議就是規則。信息交換的廣泛性，使得交換實體間的信任和通信可靠就變得極端重要起來。偽造、欺騙、截取等手段層出不窮，使得協議與安全緊密關聯。④安全手段可用硬件實現，但存在成本高和不便升級等缺陷。多數安全策略由軟件完成，實現安全必須考慮軟件問題。

2.PKI是公鑰基礎設施的簡寫。PKI的主要概念有。認證機構、密鑰生成與管理和證書撤銷。其中PIG最主要的概念就是認證機構，密鑰的生成和管理，撤消不安全的證書等工作都是機構的功能和操作。圍繞著這些內容的展開，證書和證書庫、密鑰備份及恢復、系統密鑰和證書的更新、客戶端軟件、交叉認證等一系列概念都會被提出，進而會應用到混合密鑰、授權、認證、安全評估、應用協議選擇、算法和軟件開發等與安全教學內容密切關聯的各種概念、技術和基礎。

PKI實現實例概述

本PKI環境的構建描述如下。主題：RFID標簽系統的安全鑒別。RHID是一種非接觸式自動識別技術，它應用廣泛，被稱為下一代條碼技術。RFID可以應用在閉環，也可以應用在開環系統中。與條碼技術相比，RFID面臨的一個突出問題是，標簽可以在任何時候響應讀寫器的非接觸式詢問，其直接后果是極易被盜讀，因此非密形式的內容是不可以直接寫入標簽的。于是，對典型的RFID的應用，在應用程序(與后臺數據庫通信)、讀寫器邏輯、標簽數據三個部分交互中，安全問題包括：①標簽與讀寫器的通信安全；②讀寫器與應用的數據交換；③應用與后臺的數據交換。其中c是一般應用中都存在的，在此不討論。實例中使用的標簽是普通的RHD標簽，標簽中共有三個存儲區域，分別為標簽UID、用戶ID和用戶存儲區。其中前者是只讀的，后兩者是可以讀寫的。只讀的標簽只能作為區別標識，不能用于存儲敏感信息。而在一些涉及隱私的應用中，連這些只讀信息都不提倡應用，防止泄露使用者的隱私。在上述這些大的前提下，我們在課題中關注的安全問題包括，用戶ID的編碼及加密方式、用戶區信息的加解密、標簽與讀寫器的認證等。其中，如果應用與讀寫器是緊密耦合的，即其通信不經由以太網，則讀寫器的認證是可以省略的。

教學內容的構建與融合

1.編碼方式的選擇。編碼在社會生活中應用十分廣泛。身份證、信用卡等都記載著某種規則的編碼。在密碼學上，ID經常用來標識一個對象，當對象在信息公路上被轉運和處理時，為安全又對它們作掩蓋處理。公鑰和對稱密鑰是常用的兩種方法。如果是傳遞的少量ID，公鑰法是最理想的選擇；而當大批量ID需要傳送時，對稱法的效率使其成為首選。在我們的應用中，大量的標簽可能同時途經一個讀寫器，用公鑰法顯然是不合適的。同時，由于一般標簽都是弱存儲、弱計算能力，采用對稱密鑰有時也是不合適的。當一些公認的不太復雜的哈希函數可以固化在標簽內時，會成為一種理想的方案。我們的標簽沒有這種能力，為此，只是在應用中模擬使用了哈希法。

從上分析可以看出，在編碼時，你不得不考慮的一些問題。包括公鑰和對稱密鑰的區別、哈希函數的作用、對象體的計算能力、存儲等。

2.加密方式的選擇。從宏觀上講。任何安全方案無非是在對稱密鑰、公鑰、混合密鑰、消息摘要和數字簽名等幾種加密方式上選擇一種或幾種。在技術視角上看，對稱密鑰輔助一次一密的策略是安全和簡單的，然而其管理成本也是最高的。在我們簡單的應用中傾向使用消息摘要，即上文所說的哈希法。當然，視具體情況，在作比較嚴肅的應用時，對于采用的方式要進行形式邏輯分析和密碼分析，即常用的線性法和差分法，判斷所采用方案的潛在風險。對于常用的方案，幾乎都有人進行過此番工作，需要我們做的是參看他們的分析結果。

加密方式的選擇和實現最能體現教學層次的尺度，斟酌教學對象選擇不同難度級別的方式和算法，能夠突出顯現一個施教者的教學組織水平，也是收到良好教學效果的前提。

3.認證機構。這是PKI的核心。在實際應用中，認證機構一般與應用是分離的，它一般由權威或社會組織或政府指定，或由政府組織實施。在教學中，為簡單起見，將其與應用緊密耦合，這是直觀性和簡化的要求，也是本文行文的立足點。PKI在現實應用的復雜性使得教學中很難使受教者體會和接觸到，尤其是當教學內容的理論性不高，而實踐性較強時，構造一個這樣的簡單環境，并將安全教學的其他內容與它緊密關聯起來，是一種新的嘗試。

4.軟件實現。安全與軟件實現的高級目標是如何使軟件安全運行，不受攻擊。這個課題很高級，不是初級或普及型安全教育的重點。我們的目標是，通過在我們的課題中實施軟件安全控制策略，能夠讓參與的學員明白這些算法如何與應用邏輯緊密耦合在一起，通過這個實踐的感性認識過程，學生對他們日常接觸的因特網、Web服務、電子商務、銀聯系統的安全有一個理性的認識。

總結與結語

安全是一個沉重的課題。由于信息化的普及，安全已經成為信息領域內如何強調都不過分的熱點。這也決定了安全教育不僅要在計算機等與信息技術密切相關的領域開展，在一般專業和領域中也要分層次進行。采取靈活有效的教學探索和嘗試，無疑會收到事半功倍的成效，本文在這方面的探討希望能夠起到拋磚引玉的效果。