【文档说明】[电脑基础知识]第5章信息加密技术课件.ppt，共(218)页，3.135 MB，由小橙橙上传

转载请保留链接：https://www.ichengzhen.cn/view-2790.html

以下为本文档部分文字说明：

防灾科技学院灾害信息工程系主讲教师:王小英主要内容➢信息加密技术的基本概念➢对称密码学➢公钥密码学➢密钥管理与交换技术➢密码分析与攻击➢网络加密技术➢加密解密案例一、基本概念数字通信系统模型信源编码加密信道编码公开信道信源译码信道译码解密首先进行采样一、基本概念数字通

信系统研究领域–信源编码•目的：采集数据、压缩数据以利于信息的传送。•算法：算术编码、矢量量化（VQ）编码、相关信源编码、变换编码等。–信道编码•目的：数据在信道上的安全传输，使具有自我纠错能力，又称纠错码。•算法：BCH码、循环码、线性分组码等。–密码学•目的：保密通信。•算法：公钥密

码体系、对称钥密码体系。❑密码学是一门研究通信安全和保护信息资源的既古老而又年青的科学和技术。❑密码学包含两方面内容：密码编码学、密码分析学。密码编码学是对信息编码以隐蔽信息的一门学问。密码分析学是研究分析破译密码的学问。❑这二者既相

互对立又相互促进，共同推动密码学的发展。一、基本概念密码学概述一、基本概念密码学基本概念明文：需要秘密传送的消息。密文：明文经过密码变换后的消息。加密：由明文到密文的变换。解密：从密文恢复出明文的过程。破译：非法接收者试图从密文分析出明文的过程。加密算法：对明文进行加密时

采用的一组规则。解密算法：对密文进行解密时采用的一组规则。密钥：加密和解密时使用的一组秘密信息。加解密过程示意图明文明文密文加密算法解密算法密钥密钥一、基本概念密码学基本概念密码系统一个密码系统可以用以下数学符号描述：S={P，C，K，E，D

}P=明文空间C=密文空间K=密钥空间E=加密算法D=解密算法当给定密钥k∈K时，加解密算法分别记作Ek、Dk，密码系统表示为Sk={P，C，k，Ek，Dk}C=Ek（P）P=Dk（C）=Dk（Ek（P））一、基本概念密码学历史发展史早在4000多年以前，古埃及人就在墓志铭中使用过类

似于象形文字那样奇妙的符号；公元前约50年，凯撒密码－一种简单的字符替换－被认为是最早的正式算法；双轨式密码、网格式密码、字典编号密码；传统密码学、现代密码学、量子密码学。应用领域军事、外交、情报商业、个人通信一、基本概念密码体制的分类单钥密码学（对称密码学）加密密钥和解密密钥相同；系统的保密性取

决于密钥的安全性；如何分发密钥是难点。双钥密码学（非对称密码学，公钥密码学）加密密钥和解密密钥不同；系统的安全保障在于要从公开钥和密文推出明文或私钥在计算上是不可行的；分发密钥简单。一、基本概念古典密码学已经成为历史，但被传统密码学所借鉴；加解密都很简单，

易被攻破；属于对称密钥学；包括置换密码、单表代换密码、多表代换密码等•置换密码(permutationcipher)，又称换位密码（transpositioncipher)：明文的字母保持相同，但顺序被打乱了。–周期性换位–E=（2，1，4，

3）–D=（2，1，4，3）–M=“置换密码”–C=E(M)=“换置码密”–矩阵换位将明文P=canyouunderstand排列为4×4的矩阵：列序：1234canyouunderstand密钥：4312表示将矩阵中第1列字符作为密文序列的第3组，矩阵中第2列作为密

文序列的第2组，依次类推，结果如下：C=ynsdnurncodtauea一、基本概念古典密码学•代替密码（substitutioncipher)：就是明文中的每一个字符被替换成密文中的另一个字符。接收者对密文做

反向替换就可以恢复出明文。单表代换密码举例明文：abcdefghijklmnopqrstuvwxyz密文：DEFGHIJKLMNOPQRSTUVWXYZABCm=“Casercipherisashiftsubstitution”c=“FDVHDUFLSHULVDVKLIWVXEVWLWXWLR

O”一、基本概念古典密码学•单表替代密码——凯撒（Caesar）密码，又叫循环替代。•加密方法：是将明文中的每个字母用此字符在字母表中后面第K个字母替代。它的加密过程可以表示为下面的函数：E(m)=(m+K)modnm:为明文字母在字母表中

的位置数n:为字母表中的字母个数K:为密钥E(m)为密文字母在字母表中对应的位置数如：明文字母H,m=8设k=4则密文？一、基本概念古典密码学20世纪的密码机二、对称密码学对称密码学概述加密：EK（M）=C解密：DK（C）=M等效于DK（EK（M））

=M数学变换函数密钥K明文密文数学变换函数密钥K明文密文二、对称密码学对称密码学概述网络信息M对称密码算法密钥K密文C用户A对称密码算法密文C用户B信息M密钥K二、对称密码学对称密码学分类块密码（分组密码）一次若干位一组地对明文进行操作

和运算流密码（序列密码）每次一位地对明文进行操作和运算二、对称密码学块密码工作方式将明文分成固定长度的组（块），如64bit一组，用同一密钥和算法对每一块加密，输出也是固定长度的密文。主要算法DES、3DES、ID

EA、RC2、AES等。二、对称密码学数据加密标准（DES）数据加密标准（DataEncryptionStandard）,已经有20多年的历史；DES是一种对称密码算法，1976年11月23日DES被采纳

为联邦标准；DES是第一个得到广泛应用的密码算法；DES是一种分组加密算法，输入的明文为64位，密钥为56位，生成的密文为64位；DES已经过时，基本上认为不再安全。二、对称密码学数据加密标准（DES）该算法分三个阶段实现1.给定明

文X，通过一个固定的初始置换IP来排列X中的位，得到X0。X0=IP（X）=L0R0其中L0由X0前32位组成，R0由X0的后32位组成。2.计算函数F的16次迭代,根据下述规则来计算LiRi(1<=i<=16）Li=Ri-1,Ri=Li-1

F(Ri-1,Ki)其中Ki是长为48位的子密钥。子密钥K1，K2，…，K16是作为密钥K（56位）的函数而计算出的。3.对比特串R16L16使用逆置换IP-1得到密文Y。Y=IP-1（R16L16）二、对称密码学数据加密

标准（DES）输入64位比特明文IP置换表L0R0Li=Ri-1Ri=Li⊕f(Ri-1,Ki)（i=1,2,…16）迭代16次IP逆置换表输出64位比特密文Li-1Ri-1P-盒置换RiLi密钥移位密钥移位压缩置换S-盒代替扩展置换⊕⊕二、对称密码学数据加密标准（DES）图1一轮DE

SLi=Ri-1Ri=Li-1⊕f(Ri-1,Ki)**注：其中Li和Ri是某一轮DES迭代的结果的左半部分和右半部分，是第i轮的48位密钥，且f是实现代替、置换及密钥异或等运算的函数二、对称密码学数据加密标准（DES）初始置换：在第一轮运算之前

执行，对输入分组实施如下表所示。例如：初始置换把明文的第58位换到第1位的位置，把第50位换到第2位的位置…二、对称密码学数据加密标准（DES）二、对称密码学数据加密标准（DES）密钥置换：不考虑每个字节的第8位，DES的密钥由64位减至56位如下表所示(P2.6)在DES的

每一轮中，从56位密钥产生出不同的48位子密钥子密钥的产生：➢56位密钥被分成两部分，每部分28位。然后，根据轮数，这两部分分别循环左移1位或2位。如下表给出了每轮移动的位数。➢移动后经过压缩置换从56位选出48位轮12345678910111213141516位数1122222212222

221压缩置换表(P2.6)•扩展置换：RI从32位扩展到了48位。这个运算改变了位的次序，重复了某些位。也称E盒。对每个4-位输入分组,第1和第4位分别表示输出分组中的两位,而第2，3位表示输出分组中的一位。124824321356

73469587……扩展置换(P2.3)•S-盒代替：压缩后的密钥与扩展分组异或以后，输入48位，48位的输入被分为8个6-位的分组，每一分组对应一个S盒代替操作，分组1由S-盒1操作…经过8个S-盒时，每个S-盒都有6-位输入，4-

位输出，且这8个S-盒是不同的。最后输出32位48位输入32位输出S盒1S盒2S盒7S盒8……➢每个S-盒都是一个4行、16列的表。盒中的每一项都是一个4位的数。S-盒的6位输入确定了其对应的输出在哪一行哪一列。➢假定S-盒的6位的输入标记为b1、b2、…b6.则b1和b6组合

构成了一个2-位的数，对应着表中的一行。B2-b5构成了一个4-位的数，对应着表中的一列。➢例如：设第6个S-盒的输入为110011,则11——三行，1001——九列，三行九列处的数为14，则输出1110**问题：B1=010011,输

出？P-盒置换：S-盒代替运算后的32-位输出作为P-盒置换输入，该置换把每输入位映射到输出位(P2.5)末置换：末置换是初始置换的逆过程（P2.2)•DES解密**加密和解密可以使用相同的算法**解密要求密钥的次序相反**子密钥生成，要求密钥向右移动轮12

345678910111213141516位数1122222212222221二、对称密码学数据加密标准（DES）DES密钥长度太小DES迭代次数可能太少DES的破解1997年1月28日，RSA数据安全公司在RSA安全年会上悬赏10000美金破解DES，克罗拉多州的程序员V

erser在Inrernet上数万名志愿者的协作下用96天的时间找到了密钥长度为40-bit和48-bit的DES密钥。1998年7月电子边境基金会（EFF）使用一台价值25万美元的计算机在56小时之内破译了56-bit的DES。1999年1月电子边境基金会（EF

F）通过互联网上的10万台计算机合作，仅用22小时15分就破解了56-bit的DES。1999年，几个小时内就能破解。DES的原理混淆(confusion)：即在加密变换过程中使明文、密钥及密文之间的关系复杂化。用于掩盖明文和密文间的关系。扩散(diffusion)：即将

每一位明文信息的变动，都会影响到密文中许多位信息的变动，即改变一个明文尽可能多的改变多个密文，从而隐藏统计上的特性，增加密码的安全。单独用一种方法，容易被攻破。流密码只依赖于混淆；分组密码两者都用。现代密码设计基本思想其他分组算法•3DES•IDEA（国际数据加密算法）•RC5

•CAST算法•AES算法二、对称密码学三重DES使用三（或两）个不同的密钥对数据块进行三次（或两次）加密，加密一次要比进行普通加密的三次要快三重DES的强度大约和112bits的密钥强度相当三重DES有四种模型✓DES-EEE3使用三个不同密钥顺序进行三次加

密变换✓DES-EDE3使用三个不同密钥依次进行加密-解密-加密变换✓DES-EEE2其中密钥K1=K3顺序进行三次加密变换✓DES-EDE2其中密钥K1=K3依次进行加密-解密-加密变换到目前为止还没有人给出

攻击三重DES的有效方法IDEAInternationalDataEncryptionAlgorithm；由瑞士联邦理工学院的XuejiaLai和JamesMassey于1990年提出(西电，瑞士，上交大)IDEA

是对称、分组密码算法，输入的明文为64位，密钥为128位，生成的密文为64位；IDEA是一种相对较新的算法，有坚强的理论基础，已被证明可对抗差分分析和线性分析；目前还没有发现明显的安全漏洞，应用十分广泛。著名的电子邮件安全软件PG

P就采用了IDEA进行数据加密。二、对称密码学高级加密标准（AES）1997年4月15日美国国家标准和技术研究所NIST发起了征集AES算法的活动并成立了专门的AES工作组目的是为了确定一个非保密的公开披露的全球免费使用的分组密码算法用于保护下一世纪政府的敏感信息并希望成

为秘密和公开部门的数据加密标准1997年9月12日在联邦登记处公布了征集AES候选算法的通告AES的基本要求是比三重DES快或至少和三重DES一样安全分组长度128比特，密钥长度为128/192/256比特1998年8月20日

NIST召开了第一次候选大会并公布了15个候选算法二、对称密码学高级加密标准（AES）1999年3月22日举行了第二次AES候选会议从中选出5个算法MARSRC6SerpentTwofishRijndael2000年10

月，美国国家技术标准委员会(NIST)选定“Rijndael”全为AESRijndael是迭代分组密码，其分组长度和密钥长度都是可变的；为了满足AES的要求，分组长度为128bit，密码长度为128/192/

256bit，相应的轮数r为10/12/14。二、对称密码学流密码明文m=m1,m2,…….mk伪随机序列k=k1,k2,…….kk密文ci=miki,i=1,2,…….k解密过程与加密过程一致序列密码的安全性完全依赖于伪随机数的强度移位寄存器是产生序列密码的有效方法RC4、SEAL（Soft

wareOptimizedEncryptionAlgorithm，软件优化加密算法）小结对称密码学分为分组密码和流密码数据加密标准（DES）的算法设计高级加密标准（AES）的评选二、公钥密码学公钥密码学概述WhitefieldDiffie

，MartinHellman，《NewDirectionsinCryptography》,1976公钥密码学的出现使大规模的安全通信得以实现–解决了密钥分发问题；公钥密码学还可用于另外一些应用：数字签名、防抵赖等；公钥密码体制的基本原理–陷门单向函数(trapdoorone-w

ayfunction)二、公钥密码学公钥密码学概述加密：EK1（M）=C解密：DK2（C）=M等效于DK2（EK1（M））=M数学变换函数密钥K1明文密文数学变换函数密钥K2明文密文二、公钥密码学公钥

密码学概述网络信息M非对码密钥算法B公钥密文C用户B用户A非对称密码算法密文C信息MB私钥二、公钥密码学公钥密码学中的密码管理❖双方如何交换密钥。通过传统手段，还是通过因特网，都会遇到密钥传送的安全性问题。❖单钥密码技术要求通信双方事先交换密钥。

在实际应用中，一方需要与成千上万的通信方进行交易，若采用单钥密码技术，每个用户需要管理成千上万个不同对象通信的密钥。❖在现实环境中，密钥通常会经常更换，更为极端的是，每次传送都使用不同的密钥，单钥密码技术的密钥管理和发布都是远远无法满足使用要求的。❖公钥密钥技术解决了密

钥的发布和管理问题，任何一方可以公开其公开密钥，而保留私有密钥。❖发送方可以用人人皆知的接收方公开密钥对发送的信息进行加密，安全的传送给接收方，然后由接收方用自己的私有密钥进行解密。二、公钥密码学公钥密码学中的密码管理二、公钥密码学RSA算法概述❑Ri

vest,Shamir和Adleman1977年研制并且1978年首次发表。❑密码分析者尚不能证明其安全性，但也不能否定其安全性。❑RSA是一种分组密码，其理论基础是一种特殊的可逆模指数运算，其安全性基于分解大整数的困难性。❑既可以用于加密，也可

用于数字签名。❑硬件实现时，比DES慢约1000倍。软件实现时比DES慢约100倍。永远不会比对称钥算法快。❑已被许多标准化组织(如ISO、ITU、IETF和SWIFT等)接纳，目前多数公司使用的是RSA公司的PKCS系列。

二、公钥密码学RSA算法描述设n是两个不同奇素数之积，即n=pq，计算其欧拉函数值z=Φ(n)=(p-1)(q-1).随机选一整数e,1≤e<Φ(n),(Φ(n),e)=1.即使e和(p-1)(q-1)互素因而在模z下,e

有逆元取公钥为n,e,秘密钥为d.(p,q不再需要，应该被舍弃，但绝不可泄露)定义加密变换为解密变换为nekZxnxxE=,mod)(ndkZynyyD=,mod)()mod(1zed-=•令P=5,q=11•取e

=3,n=5*11=55•则z=(5-1)*(q-1)=40,•计算e*d=1(modz),可得d=27•得到公钥(55,3),私钥为(55,27)•设明文m为809,两位为一组则为08,09则c1=m1e(modn)=(08)3(mod55

)=17;C2=14因此,得到的密文信息为:17,14解密:m1=c1d(modn)=1727(mod55)=08m2=09问题:设p=3,q=11,m=2,密文是多少?二、公钥密码学RSA算法描述二、公钥密码学RSA算法安全性RSA的安全性是基于加密函数ek(x)=xe(modn

)是一个单向函数，所以对的人来说求逆计算不可行。而能解密的陷门是分解n=pq，知(n)=(p-1)(q-1)。从而用欧氏算法解出解密私钥d。密码分析者攻击RSA体制的关键点在于如何分解n。若分解成功使n=pq，则可以算出φ(n)＝（p-1)(q-1)，然后由公开的e，解

出秘密的d。二、公钥密码学RSA算法关键技术密钥选择位数:1024以上,素性应该证明p-1,q-1有大的素因子p+1,q+1也要有大的素因子e的选取，最常用的e值为3，65537（2^16+1）

算法实现软件与硬件结合,并行算法等二、公钥密码学RSA算法使用1.加解密A的公开密钥为(e,n),B对消息m加密c=memodn给A,只有A能解密m=cdmodn特点:•和A从来不认识,都可进行保密通讯,只要知道A的公钥.•速度慢,不实用.

要求对公开密钥进行保护，防止修改和替换。二、公钥密码学RSA算法使用2.数字签名与身份认证A的公开密钥为(e,n),私钥为(d,n),A对消息m的数字签名为:s=H(m)dmodn,H(x)为公开的散列(hash)函数.任何人都可验证A对m的签名的有效性H

(m)=semodn功能:防止非法篡改、伪造,A的抵赖与否认,对A的假冒等。要求对公开密钥进行保护，防止修改。二、公钥密码学Hash杂凑函数❑杂凑(Hash)函数是将任意长的数字串M映射成一个较短的定长输出

数字串H的函数，通常是单向杂凑函数；❑强单向杂凑与弱单向杂凑，对不同报文，很难有同样的报文摘要。这与不同的人有不同的指纹很类似；❑杂凑函数除了可用于数字签名方案之外，还可用于其它方面，诸如消息的完整性检测（一般杂凑函数）、消息的起源认证检测

（密码杂凑函数）等。二、公钥密码学一般杂凑函数❑杂凑值只是输入字串的函数，任何人都可以计算；❑函数y=H(x),要求将任意长度的x变换成固定长度的y,并满足：1.单向性,任给y,计算x,使得y=H(x)困难2.快速性,

计算y=H(x)容易3.无碰撞,寻找x1x2,满足H(x1)=H(x2)是困难的.❑常用的一般杂凑函数有MD5,SHA等。二、公钥密码学MD系列杂凑函数❑RonRivest设计的系列杂凑函数系列:❑MD4[RFC1320]❑MD5是MD4的改进型[RFC

1321]❑MD2[RFC1319]，已被Rogier等于1995年攻破❑较早被标准化组织IETF接纳，并已获得广泛应用❑Hash值长度为128bits•MD5算法对任意长度的输入值处理后产生128位的输出值•算法:1、首先对信

息填充N*512+448，2、在1步后附加一个64位二进制数，表示填充前信息长度3、对信息依次每次处理512位，每次进行4轮每轮16步共64步的信息变换处理二、公钥密码学MD系列杂凑函数F,T[1…16],X[i]16stepsG,T[17…32],X[2i]16step

sH,T[33…48],X[3i]16stepsI,T[49…64],X[4i]16steps++++ABCDABCDABCDABCDCVq12832Yq512CVq+1128+ismod232明文认证码每一轮以当前的512位数据块(Yq)和1

28位缓冲值ABCD作为输入，并修改缓冲值的内容。每次使用64元素表T[1…64]中的四分之一，T[]由正弦函数sin构造而成。T的第i个元素表示为T[i]，其值等于232abs(sin(i)),其中i是弧度。由于abs(sin(i))是一个0到1之间的数，T的每一个元素是一个可以表示成32位的

整数。T表提供了随机化的32位模板，消除了在输入数据中的任何规律性的特征。128128128128A=01234567,B=89abcdef,C=fedcba98,D=76543210四个非线性函数(每轮一个):F(B,C,D)=(B

ΛC)V(¬B)VD)G(B,C,D)=(BΛD)V(CΛ(¬D))H(B,C,D)=B⊕C⊕DI(B,C,D)=C⊕(BV(¬D))16步操作中的4次操作,16步操作按照一定次序顺序进行FF(A,B,C,D,M[j],S,T[j])表示a=b+(a+(F(B,C,D)+M[j]+T[i])<<<

S)GG(A,B,C,D,M[j],S,T[j])表示a=b+(a+(G(B,C,D)+M[j]+T[i])<<<S)HH(A,B,C,D,M[j],S,T[j])表示a=b+(a+(H(B,C,D)+M[j]+T[i])<<<S)II(A,B,C,D,M[j],S,T[j])表示

a=b+(a+(I(B,C,D)+M[j]+T[i])<<<S)“+”定义为mod232的模运算其中,M[j]为第q个512位数据块中的第j个32位子分组T[i]是232*abs(sin(i))的整数

部分,i的单位是弧度<<<S表示循环左移二、公钥密码学密码杂凑函数❑杂凑值与输入字串和密钥有关，只有持有密钥的人才能计算出相应的杂凑值；❑具有身份验证功能，用于构造消息认证码（MAC）；❑常用的密码杂凑函数有HMAC。二、公钥密码学各种算法特点❑对称密码算法加/解密速

度快，但密钥分发问题严重❑非对称密码算法加/解密速度较慢，但无密钥分发问题❑杂凑函数计算速度快，结果长度统一三、数字签名章节介绍数字签名算法PKI技术SSL安全协议安全电子邮件3.1数字签名算法数字签名概述日常生活和经济往来中，签名盖章和识别签名是一个重要环节

；计算机网络通信时代，用密码学来实现数字签名；数字签名特点：收方能够确认或证实发方的签字；任何人都不能仿造；如果发方否认他所签名的消息，可以通过仲裁解决争议。3.1数字签名算法数字签名与手写签名和消息认证与手写签名的区别；手写签名是模

拟的，且因人而异；数字签名是01数字串，因消息而异。与消息认证的区别：消息认证使收方能验证消息内容是否被篡改；数字签名还可以认证消息发送者的身份。3.1数字签名算法数字签名算法RSA算法应用最广泛DSA（DigitalSignatureAlgo

rithm）算法基于有限域上的离散对数问题GOST算法俄罗斯采用的数字签名标准算法3.1数字签名算法数字签名与验证过程在数学上保证：只要改动消息的任何一位，重新计算出的消息摘要就会与原先值不符。这样就保证了消息的不可更改。第一步：将消息按散列算法计算得到一个固定位数的消息摘要值

。3.1数字签名算法数字签名与验证过程第二步：对消息摘要值用发送者的私有密钥加密，所产生的密文即称数字签名。然后该数字签名同原消息一起发送给接收者。第三步：接收方收到消息和数字签名后，用同样的散列算法对消息计算摘要值，然后与用发送者的公开密钥对数字签名进行解密，将解密后的结果与计算的摘要值相比

较。如相等则说明报文确实来自发送者。3.1数字签名算法数字签名与验证过程图示消息摘要数字签名消息数字签名消息摘要数字签名摘要发送方接收方3.2PKI技术PKI是什么PKI(PubicKeyInfrastructure)是一个用公钥技术来实施和提供安全服务的具有普适性

的安全基础设施一个基础设施可视作一个普适性基础，它的目的是，只要遵循需要的原则，不同的实体就可以方便地作用基础设施提供的服务电子通信基础设施（网络）允许不同机器之间为不同的目的交换数据电力供应基础设施可以让各种电力设备获得运行所需要的电压和电流3.2PKI技术PKI是什么PKI(Pubic

KeyInfrastructure)是一个利用公钥加密技术为密钥和证书在生存期（有效期）内的管理，所设计的组件、功能子系统、操作规程等的集合。PKI的主要任务是管理密钥和证书。PKI能为网络用户建立安

全通信信任机制。3.2PKI技术为什么需要PKI开放的互联网存在种种潜在的欺诈机会在互联通信网络中需在建立并维护一种令人可以信任的环境和机制信息机密性身份真实性信息完整性不可抵赖性3.2PKI技术为什么需要PKI3.2PKI技术PKI的组成证书签发机构（CA）证书注册机构（RA）证书库

密钥备份及恢复系统证书废除处理系统应用系统接口3.2PKI技术证书签发机构（CA）CA（CertificationAuthority）是PKI的核心.CA对任何一个主体的公钥进行公证CA通过签发证书将主体与公钥进行捆绑3.2PKI技术证书注册机构（CA）RA（Registrat

ionAuthority）是CA的组成部分RA是CA面对用户的窗口，它负责接收用户的证书申请、审核用户的身份RA也负责向用户发放证书3.2PKI技术证书库证书库是证书的集中存放地，用户可以从此处获得其他用户的证书构造证书库可以采用X.500、LDAP、WWW、FTP、

数据库等3.2PKI技术密钥备份及恢复系统如果用户的解密私钥丢失，则密文无法解密，造成数据丢失密钥的备份与恢复应由可信机构来完成密钥的备份与恢复只能针对解密私钥，签名私钥不能备份3.2PKI技术证书废除处理系统证书在有效期之

内由于某些原因可能需要废除废除证书一般是将证书列入证书黑名单（CRL）来完成CRL一般存放在目录系统中3.2PKI技术PKI应用系统接口PKI的价值在于使用户能够方便地使用加密、数字签名等安全服务。一个完整的PKI必须提供良好的应用接口，使得各种应用能够以安全、一致、可信的方式与PKI交互，

确保所建立起来的网络环境的可信性。3.2PKI技术PKI的功能签发证书证书、密钥对的自动更新签发证书黑名单密钥备份与恢复功能加密、签名密钥的分隔密钥历史的管理交叉认证3.2PKI技术PKI的性能要求透明性和易用性可扩展性互操作性支持多应用支持多平台物理

安全系统安全数据安全流程安全人员安全3.2PKI技术PKI的运营考虑3.2PKI技术PKI的应用PKI应用PKI证书3.2PKI技术PKI的标准化❖在密码和安全技术普遍用于实际通信的过程中，标准化是一项非常重要的工作。❖标准化可以实现规定的安全水平

，具有兼容性，在保障安全的互连互通中起关键作用。❖标准化有利于降低成本、训练操作人员和技术的推广使用。ITU-TX.509PKIX文档（RFC）PKCS系列标准3.2PKI技术PKI关键技术数字证书证书认证中心（CA）证书撤销机制PKI信任模式3.2PKI技术什么是

证书数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据数字证书是一个经证书认证中心（CA）数字签名的包含公开密钥拥有者信息以及公开密钥的文件3.2PKI技术数字证书的作用数字证书是各类

终端实体和最终用户在网上进行信息交流及商务活动的身份证明，在电子交易的各个环节，交易的各方都需验证对方数字证书的有效性，从而解决相互间的信任问题。用户公钥信息可以保证数字信息传输的完整性，用户的数字签名可以保证数字信息的不可否认

性。3.2PKI技术数字证书的结构3.2PKI技术CA的作用认证中心（CA）作为权威的、可信赖的、公正的第三方机构，专门负责为各种认证需求提供数字证书服务。3.2PKI技术CA的层次结构建立自上而下的信任链，下级CA信任上级CA，下级CA由上级CA颁发证书并认

证。根CA二级CACACA二级CA3.2PKI技术CA的提供服务颁发证书更新证书验证证书废除证书管理密钥3.2PKI技术CA的安全措施保证CA系统的物理通道的安全操作员权限控制岗位职责明确建立安全分散和牵制机制身份认证任何与CA中心的通讯都采用加密机制定期对所有涉及安全的事务进行审查3.2PKI

技术颁发证书1.用户到认证中心（CA）的业务受理点申请证书2.认证中心审核用户的身份3.认证中心为审核通过的用户签发证书4.认证中心将证书灌制到证书介质中，发放给用户3.2PKI技术证书介质❖磁盘用户将磁盘中的证书复制到自己的PC机上，当

用户使用自己的PC机享受电子商务服务时，直接读入即可。❖IC卡只有正确输入IC卡口令后才能将卡中的私钥和证书读出来。❖USB电子钥匙使得用户的私钥不出卡，所有的运算均在硬件内完成，从根本上保证了用户的私钥的安全。3.2PKI技术废除证书证书的废除是指证书在

到达它的使用有效期之前将不再使用废除证书的原因证书用户身份信息的变更CA签名私钥的泄漏证书对应私钥的泄漏证书本身遭到损坏其他原因3.2PKI技术废除证书1.用户到认证中心（CA）的业务受理点申请废除证书2.认证中心审核用户的身份3.认证中心定期签发证书黑名单（CRL）4.认证中心将更新的CRL

在线发布，供用户查询和下载3.2PKI技术证书黑名单(CRL)CRL（CertificateRevocationList，证书黑名单）是由CA认证中心定期发布的具有一定格式的数据文件，它包含了所有未到期

的已被废除的证书（由CA认证中心发布）信息。3.2PKI技术PKI的性能要求❑用户证书更新证书快到期、更换密钥❑CA证书更新为保证平滑转换，需要新签发证书3.2PKI技术管理密钥密钥产生CA中心、客户端密钥存储CA中心、客

户端密钥分发加密传输3.2PKI技术密钥备份与恢复❖根据用户需求，CA中心可对用户的加密私钥进行备份，并确保密钥安全❖CA中心的签名私钥可由上级CA中心来备份❖所有密钥的备份都采用密钥分享技术，并将备份信息分段保

存在不同的地方❖所有密钥的恢复必须满足一定的条件（人数、信息分段的位置、特定的算法）才能完成3.2PKI技术验证证书第一步：验证真实性。证书是否为可信任的CA认证中心签发？证书真实性的验证是基于证书链验证机制的。3.2PKI技术证书链主体：CA-BB的公钥发证者A根C

AA的公钥主体：CA-CC的公钥发证者B主体:用户U1U1的公钥发证者C用户U1的公钥主体:CA-DD的公钥发证者B主体:用户U2U2的公钥发证者D用户U2的公钥证书4证书1证书2证书5证书33.2PKI技术验证证书第二步：

验证有效性。证书是否在证书的有效使用期之内？证书有效性的验证是通过比较当前时间与证书截止时间来进行的。3.2PKI技术验证证书第三步：验证可用性。证书是否已废除？证书可用性的验证是通过证书撤销机制来实现的。3.2PKI技术证书撤消机制➢CRL及改进机制➢在线查询机制

➢信任词典机制➢短期证书机制3.2PKI技术证书黑名单数据格式版本号签名算法签发者本次更新下次更新撤销的证书列表CRL扩展项签名值…………单个撤销的证书记录…………证书序列号撤销时间条目扩展项3.2P

KI技术CRL的结构3.2PKI技术CRL的结构3.2PKI技术PKI的信任模式❑什么叫“信任”？如果实体A认为实体B严格地按A所期望的那样行动，则A信任B。－－ITU-TX.509信任涉及假设、预期和行为。❑如果一个终端实体假设CA能够建立并维持一个准确的对

公钥属性的绑定（例如，准确地指出它所签发证书的实体的身份），则该实体信任该CA。3.2PKI技术PKI的信任模式❑证书链如果一个终端实体信任一个CA，那么该实体可以通过证书链来传递信任❑信任锚证书链的起始端❑信任模式“信任锚”的选择和证书链构造方式的不同构成了不同的信任模式3.2PKI技术

PKI的信任模式❑级连模式❑网状模式❑混合模式❑桥接模式❑多根模式3.2PKI技术连级模式根CA表示CA表示终端实体12543AB3.2PKI技术网状模式表示CA表示终端实体12543AB3.2PKI技术混合模式表示CA表示终端实体678A表示级连模式

域2415B3根CA根CA3.2PKI技术桥接模式表示CA3根CA根CA表示终端实体478A表示级连模式域256B1根CA桥CA3.2PKI技术多根模式表示CA表示终端实体245B1根CA3根CAA根CA3.

2PKI技术PKI信任模式比较项目级连模式网状模式混合模式桥接模式多根模式信任锚的选取唯一的根CA任意CA不同信任域中的根CA不同信任域中的根CA多个根CA证书链的构造简单，从上到下的唯一一条证书路径复杂，有多条证书路径，易出现死循环较简单，可能存

在多条证书路径简单，跨信任域的证书路径都经过桥CA简单，从上到下的唯一一条证书路径信任域的扩展不能扩展，只能信任同一个根容易，适合少量的信任域容易，适合少量的信任域非常容易，不受数量限制不容易，需浏览器厂商预设

信任建立方式自上而下的单向信任CA间双向信任单一信任域内单向信任，信任域间双向信任单一信任域内单向信任，信任域与桥CA双向信任多个自上而下的单向信任适用环境一个组织或机构内部一个机构内部或数目不多的多个机构数目不多的多个机构数目不限的多个机构多个机构，需要浏览器厂商支持

3.2PKI技术PKI的交叉认证❑交叉认证模式树型结构、网型结构、桥型结构❑交叉认证技术交叉认证证书、特有扩展❑交叉认证应用单向、双向3.2PKI技术PKI的应用实例❖在Web服务器和浏览器之间的通讯（SSL）❖在Internet上的信用卡交易（SET）

❖安全电子邮件❖虚拟专用网(VPN)❖Windows域登录SSL协议❖SSL协议安全功能❖SSL工作机制❖SSL体系结构：SSL协议栈❖SSL协议应用❖SSL协议传输报文格式三、SSL协议1.SSL协议安全功能主要用于浏览器和Web服务器之间建立安全的数据

传输通道，还适用于Telnet,Ftp等服务。机密性因为在握手协议定义了会话密钥后，所有的消息都被加密数据的完整性因为传送的消息包括消息完整性检查(使用MAC)身份验证可对客户端（可选）和服务器用证书进行身份确认三、SS

L协议❑SSL协议功能简述•SSL握手协议描述建立安全连接的过程，在客户和服务器传送应用层数据之前，完成诸如加密算法和会话密钥的确定，通信双方的身份验证等功能；•SSL记录协议则定义了数据传送的格式，上层数据包括S

SL握手协议建立安全连接时所需传送的数据都通过SSL记录协议再往下层传送；•应用层通过SSL协议把数据传给传输层时，已是被加密后的数据，此时TCP/IP协议只需负责将其可靠地传送到目的地，弥补了TCP/IP协议安全性较差

的弱点。三、SSL协议❑SSL的应用SSL采用TCP作为传输协议提供数据的可靠传输和接受。Http、FTP、LDAP等Http、FTP、LDAP等SSL握手协议SSL记录协议SSL握手协议SSL记录协议TCP/IPTCP/IPSocket层（网络通信层）应用层SSL协议的位置三、SSL

协议2.SSL工作机制•客户端向服务器端提出请求，要求建立安全通信机制•客户端与服务器进行协商，确定用于保证安全通信的加密算法和强度•服务器将其服务器证书发送给客户端。该证书包含服务器的公钥，并用CA的私钥加密。

•客户端使用CA的公钥对服务器证书进行解密，获得服务器公钥。客户端产生用于创建会话密钥的信息，并用服务器公钥加密，然后发送到服务器。•服务器使用自己私钥解密，生成会话密钥，然后用服务器公钥钥加密，发送给客户端。双方都拥有了会话密钥•服务器和客户端使用会话密钥来加密和

解密传输的数据。三、SSL协议3.SSL体系结构：SSL协议栈IPTCPSSL记录协议SSL握手协议SSL修改密文协议SSL告警协议HTTP协议❑说明•记录协议:具体实现压缩/解压缩、加密/解密、计算MAC等与安全有关的操

作。三、SSL协议•更改密码说明协议:其由一条消息组成,可由客户端或服务器发送,通知接收方后面的记录将被新协商的密码说明和密钥保护。接收方得此消息后,立即指示记录层把即将读状态变成当前读状态,发送方发送此消息后,应立即指示记录层把即将

写状态变成当前写状态。•警告协议:警告消息、传达消息的严重性并描述警告。一个致命的警告将立即终止连接。警告消息有以下几种:错误记录MAC消息、解压失败消息、握手失败消息、错误证书消息、证书撤回消息、证书期满消息、非法参数消息等等。•应用数据协议:把应用数据直接传递

给记录协议。•握手协议:用来在客户端和服务器端传输应用数据之前建立安全。三、SSL协议4.SSL协议应用三、SSL协议❑SSL的安全性分析SSL协议所采取的加密算法和认证算法使它具有较高的安全性。下面是SSL协议对几种常用攻击的应对能力。•监听和中间人式的

攻击:SSL是用一个经过通信双方协商确定的加密算法和密钥,对不同的安全级别应用都可以找到不同的加密算法。•流量数据分析式攻击:流量数据分析式攻击的核心是通过检查数据包的未加密字段或未保护的数据包属性,试图进行攻击。在一般情况下该攻击是无害的,SSL无法阻止这种攻击。•报文重发式攻击:通过

在MAC数据中包含“序列号”的方法来阻止该攻击。三、SSL协议❑SSL安全协议存在的问题在实际应用中SSL安全协议并不完备,缺陷是只能保证传输过程的安全,无法知道在传输过程中是否受到窃听,黑客可破译SSL的加密数据,破坏和盗窃Web信息。目前新的S

SL协议被命名为TLS(TransportLayerSecurity),安全可靠性进一步提高,但仍不能消除原有技术的基本缺陷。•只对通信双方的某个应用通道进行加密,而不是对在通信双方的主机之间的整个通道进行加密。•在通信时,很难保证其他文件不被暴露,因此存在一定的安全隐患;

而且SSLVPN的认证方式比较单一(只能采用证书),支持其他认证方式往往要进行长时间的二次开发•SSLVPN通常不能实施访问控制,在建立隧道之后,管理员对用户不能进行限制,用户很难实现网络到网络的安全互联,SSLVPN是应用层加密,性能比较差,需要通

过添加额外独立的硬件加速卡解决性能问题三、SSL协议❑SSL协议的改进和完善•基于移动接入网关改进SSL协议•鉴于SSL协议自身的问题,可以对SSL协议作进一步的改进和完善,例如,网景公司在从Communicator4.04版开始的所有浏览器中引入了一种被称作“表单签名(Form

Signing)”的功能,在电子商务中,可利用这一功能来进行数字签名,从而保证信息的不可否认性。三、SSL协议5.SSL协议传输报文格式三、SSL协议•SSL协议位于TCP/IP协议模型的网络层和应用层之间,始终对服务器进行认证,也可以选

择同时对服务器和客户进行双向认证。•使用身份认证配合数字签名可以进一步完善SSL安全协议,SSL协议在应用层通信之前就已经完成加密算法、通信密钥的协商以及服务器认证工作,在此之后,应用层协议所传送的数据都被加密,然后在SSL协议封装后的外层加上数字签名,就可以保证数据信息的不可抵赖性。四、SE

T协议❖SET简述❖SET协议安全功能❖SET协议交易流程❖SSL与SET的比较四、SET协议MasterCard和Visa国际信用卡组织与技术合作伙伴GTE、Netscape、IBM、HP、VeriSign

、Microsoft等一批跨国公司共同开发了安全电子交易规范（SET）。➢SET简述❑概念：SET（安全电子交易）是在开放网络环境中的卡支付安全协议，它采用公钥密码体制和X.509电子证书标准，通过相应软件、电子证书、数字签名和加密技术能在电子交易环节上提供更大的信任度、更完整的交易信息

、更高的安全性和更少受欺诈的可能性。SET协议用以支持B2C这种类型的电子商务模式，即消费者持卡在网上购物与交易的模式。认证过程使用RSA和DES算法❑SET协议分为三部分✓商业描述（TheBusinessDescription)✓程序员指南（TheProgra

mmer’sGuide）✓正式的协议定义（TheFormalProtocolDefinition）四、SET协议•SET是开放的、设计用来保护Internet上信用卡交易的加密和安全规范•从本质上，SET提

供了三种服务：✓在交易涉及的各方之间提供安全的通信信道✓通过使用X.509v3数字证书来提供信任。✓保证机密性，因为信息只是在必要的时候、必要的地方才对交易各方可用•交易过程：购买请求、支付认可和支付获取四、SET协议➢SET协议安全功能机密性

所有消息都被加密传输参与方信息相互隔离商家不能看到客户的帐号信息多方认证包括对消费者、商家和银行交易实时性所有支付过程都是在线的四、SET协议❑SET参与方•持卡人（CardHolder）•商家（Merchant）•发卡行（IssuingBank）•收单

行（AcquiringBank）•支付网关（PaymentGateway）•认证中心（CertificateAuthority）四、SET协议➢SET协议交易流程❑SET协议支付模型客户浏览器/电子钱包/持卡人商家银行CA证

书中心支付网关商户服务器Internet四、SET协议❑SET协议交易流程•持卡人使用浏览器在商家的WEB主页上查看在线商品目录，浏览商品；•持卡人选择要购买的商品；•持卡人填写定单，包括项目列表、价格、总价

、运费、搬运费、税费。定单可通过电子化方式从商家传过来，或由持卡人的电子购物软件建立；•持卡人选择付款方式，向商家发出购买初始请求，此时SET开始介入；•商家返回同意支付、商家证书和支付网关证书等信息；•持卡人验证商家身

份，将定购信息和支付信息安全传送给商家，但支付信息对商家来说是不可见的。•（双重签名）四、SET协议•商家把支付信息传给支付网关，要求验证持卡人的支付信息是否有效；•支付网关验证商家身份，通过传统的银行网络到发卡行验证持卡人的支付信息是否

有效，并把结果返回商家；•商家发送定单确认信息给顾客。顾客端软件可记录交易日志，以备将来查询；•商家给顾客送货；•商家定期向支付网关发送要求支付信息，支付网关通知卡行划帐，并把结果返回商家；•交易结束。四、SET协议❑SET交易流程图示批准

持卡人商家支付网关收单行发卡行CA认证中心四、SET协议➢SSL与SET的比较项目SET协议SSL协议功能方面SET规范了整个商务活动的流程，从而最大限度地保证了商务性、服务性、协调性和集成性。基于传输层的通用安全协议。安全方面采用了公钥机制、信息摘要和认证体系，完全可以保证机

密性、可鉴别性及信息完整性。引入了一套完整的认证体系，其中认证中心（CA）就是该体系的重要执行者SSL中也采用了公钥机制、信息摘要和证书，可以保证机密性和完整性。但SSL缺乏有效的数字签名。加密机制有选择的对网上传输的敏感性信息进行加密。对网上传输的所有信息都加

密。负载能力在一次交易过程中，对SET商家服务器要进行6次操作。SSL要4次。平台开放性SET得到了包括Unix、NT等网络操作系统的支持。目前几乎所有浏览器都支持SSL。➢密钥管理概述➢对称密钥的管

理➢非对称密钥的管理➢密钥管理系统➢密钥产生技术➢密钥的分散管理和托管四.密钥管理密钥管理技术•现代加密技术采用的加密算法一般都公开，其对信息的保密主要取决于对密钥的安全保护。–在一个信息安全系统中，密码体制、密码算法可以公开，甚至所用的密码设备丢失，只要密钥没有被泄露，保密信息仍是安

全的。–而密钥一旦丢失，合法用户不能得到信息，有可能非法用户得到信息。四.密钥管理密钥管理概述•什么是密钥管理？•使用密钥管理的原因•密钥管理的组成•密钥管理的影响四.密钥管理密钥管理概述•什么是密钥管理？密钥管理：它是处理密钥自产生到最终销毁的整个过程中出现的所有问题，包括系统的初始化，

密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等。四.密钥管理密钥管理概述•为什么要进行密钥管理呢？使用密钥管理有很多因素，下面从以下三个层面分别说明➢理论➢人为管理➢技术四.密钥管理密钥管理概述•理

论因素：✓假设Alice和Bob在使用对称密钥进行保密通信时，必然拥有相同的密钥。假设Alice在向Bob发送信息时，始终不更新密钥，那么在加密数据积累到一定程度的情况下，即攻击者对信息的收集量满足一定要求时，其成功破译系统的可能性会增大。✓按照信息论的

理论，密文在积累到足够的量时，其破解是必然的。四.密钥管理密钥管理概述两个通信用户Alice和Bob在进行通信时，必须要解决两个问题：➢（1）如何经常更新或改变密钥(密钥的产生）。➢（2）如何将更新后的密钥安全地分配给通信双方（密钥的传送）。四.密钥管

理密钥管理概述❑人为因素：➢破解好的密文非常的困难，困难到即便是专业的密码分析员有时候也束手无策，有时候即使花费高昂的代价去购买破译设备也是得不偿失。➢商业上的竞争对手更愿意花费小额的金钱从商业间谍或是贿赂密钥的看守者从而得到密钥。➢人为的情况往往比加密系统的设

计者所能够想象的还要复杂的多（如可能会有窃取密钥的软件），所以需要有一个专门的机构和系统防止上述情形的发生。四.密钥管理密钥管理概述•技术因素：➢（1）用户产生的密钥有可能是脆弱的；➢（2）密钥是安全的，但是密钥保护有可能是失败地。四.密钥管理密

钥管理概述•密钥管理的组成密钥管理包括：（1）产生与所要求安全级别相称的合适密钥（2）根据访问控制的要求，对于每个密钥决定哪个实体应该接受密钥的拷贝；（3）用可靠办法使这些密钥对开放系统中的实体是可用的，即安全地将这些密钥分配给用户；（4）

某些密钥管理功能将在网络应用实现环境之外执行，包括用可靠手段对密钥进行物理的分配。四.密钥管理密钥管理概述•密钥交换是经常设计的协议功能，密钥选取也可以通过访问密钥分配中心来完成，或经管理协议作事先的分配。四.密钥管理密钥管理概述•密钥管理的影响：•密钥管理不仅影响

系统的安全性，而且涉及到系统的可靠性、有效性和经济性。•当然，密钥管理也涉及到物理上、人事上、规程上、制度上的一些问题。**分配和存储是最大的难题四.密钥管理密钥管理概述•对称密钥的管理❖对称加密是基

于共同保守秘密来实现的。采用对称加密技术的双方必须要保证采用的是相同的密钥，要保证彼此密钥的交换是安全可靠的。❖对称密钥的管理和分发工作是一件具有潜在危险和繁琐的过程。四.密钥管理密钥管理概述•对称密钥交换协议❖用户Alice和Bob间的相互通信如果使用相同密钥进

行加密传输的话，如何来传输密钥是一个重要的问题。❖在下图中，m是双方要通信的数据，那么在密钥K的作用下，可以加密传输。❖下述的Diffie-Hellman密钥交换协议可以解决这个问题。四.密钥管理密钥管理概述四.密钥管理密钥管理概述•Diffie-Hellman密钥交换机制❖所有的参与

者都隶属于一个组。这个组定义了要使用的质数p，底数g.❖在每一端的第一部分，选择一个随机的私人数字，并在组内进行乘幂运算，产生一个公共值AliceBobA=g^amodpB=g^bmodp四.密钥管理密

钥管理概述❖双方交换公钥，A→Bob,B→Alice,双方再次执行乘幂运算,以生成共享的密钥。AliceBobB^amodp=g^(ab)modp=A^bmodp四.密钥管理密钥管理概述•非对称密钥的

管理使用非对称密钥的技术优势:❖¨无论是对称密钥还是公开密钥，都要涉及到密钥保护的问题。❖一个密钥系统是否是完善的，有时候取决于能否有效地保护密钥。❖对称密钥加密方法的致命弱点就在于它的密钥管理十分困难

（N个通信者，需要C(N，2)个密钥，每个人需保存(N-1)个），因此其很难在电子商务和电子政务中得到广泛应用。❖非对称密钥的管理主要在于密钥的集中式管理。四.密钥管理密钥管理概述❖非对称密钥的的管理相对于对称密钥就要简单的多，因为对于用户Alice而言，只需要记住通信的他方—Bob的公钥，即

可以进行正常的加密通信和对Bob发送信息的签名验证❖利用公钥传送技术可以传送对称密钥，这样可以非常方便快速的进行数据通信。四.密钥管理密钥管理概述❖在密码系统中，密钥值是一个数值❖加密算法就是应用这个数值

来改变原始的信息，或者从改变后的信息中恢复出原始信息❖然而，如何安全地将密钥传送给需要接收消息的人是一个难点。❖公开密钥密码系统的发明对一个大规模网络的密钥管理起了极大的推动作用。❖尽管公开密钥密码系统有很多优点，然而公开密

钥密码系统的工作效率没有对称密钥密码系统好。四.密钥管理密钥管理概述❖公钥加密计算复杂，耗用的时间也长，公钥的基本算法比常规的对称密钥加密慢很多。❖为加快加密过程，通常采取对称密码和公开密钥的混合系统，也就是使用公开密钥密码系统来传送对

称密钥（会话密钥），使用对称密钥系统来实现对话。四.密钥管理密钥管理概述•例如：假设Alice和Bob相互要进行通话，他们按照如下步骤进行：1）Alice想和Bob通话，并向Bob提出对话请求。2）Bob响应请求，并给Al

ice发送CA证书（CA证书是经过第三方认证和签名，并且无法伪造或篡改）。这个证书中包括了Bob的身份信息和Bob的公开密钥。3）Alice验证CA证书，产生一个临时的会话密钥，并使用一个对称密钥加密算法来加密一个普通文本。然后使用Bob的公钥去加密

该临时会话密钥。然后应把此会话密钥和该已加密文本发送给Bob。四.密钥管理密钥管理概述4）Bob接收到信息，并使用私有密钥恢复出会话密钥。5）Bob使用临时会话密钥对加密文本解密。6）双方通过这个会话密钥会话。会话结束，会话密钥也就废弃。四.密钥管理密钥管理概述•非对称

密钥管理的实现：❖公开密钥管理利用数字证书等方式实现通信双方间的公钥交换。❖国际电信联盟（ITU）制定的标准X.509对数字证书进行了定义，该标准等同于国际标准化组织（ISO）与国际电工委员会（IEC）联合发布的ISO/IEC9594-8∶195标准。❖数

字证书通常包含有证书所有者（即贸易方）的唯一标识、证书发布者的唯一标识、证书所有者的公开密钥、证书发布者的数字签名、证书的有效期及证书的序列号等。四.密钥管理密钥管理概述❖证书发布者一般称为证书管理机构（CA），它是贸易各方都信赖的机构。数字证书能够起到标识贸易双方的作用，目前

网络上的浏览器，都提供了数字证书的识别功能来作为身份鉴别的手段❖目前国际有关的标准化机构都着手制定关于密钥管理的技术标准规范。四.密钥管理密钥管理概述•密钥管理系统➢密钥是密码系统的重要部分，在采用密码技术的现代通信系统中，其安全性主要取决于密钥的保护，而与

算法本身或是硬件无关。➢因此，产生密钥算法的强度、密钥长度以及密钥的保密和安全管理在保证数据系统安全中极为重要。四.密钥管理密钥管理概述•什么是密钥管理？•密钥的种类？四.密钥管理密钥管理概述•什么是密钥管理？

❖密钥管理是处理密钥自产生到最终销毁的整个过程中的有关问题，包括系统的初始化，密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等内容。❖密钥的管理需要借助于加密、认证、签名、协议、公证等技术。❖密钥管理系统是依靠可信赖的第三方参与的公证系统

。四.密钥管理密钥管理概述•密钥的种类繁杂，但一般将不同场合的密钥分为以下几类：1）初始密钥由用户选定或系统分配的，在较长的一段时间内由一个用户专用的秘密密钥。要求它既安全又便于更换。四.密钥管理密钥管理概述2）会话密钥➢会话密钥是两个通信终端用户在一次会

话或交换数据时所用的密钥。➢这类密钥往往由系统通过密钥交换协议动态产生。会话密钥使用的时间很短，从而限制了密码分析者攻击时所能得到的同一密钥加密的密文量。➢在不慎丢失时，由于使用该会话密钥加密的数据量有限，因此对系统的保密性影响不大。四.密钥管理密钥管理概述3

）密钥加密密钥（KeyEncryptingKey）用于传送会话密钥时采用的密钥。4）主密钥（MaterKey）主密钥它是对密钥加密密钥进行加密的密钥，存于主机的处理器中。四.密钥管理密钥管理概述•密钥安全保密

是密码系统安全的重要保证，保证密钥安全的原则是除了在有安全保证环境下进行密钥的产生、分配、装入以及存入保密柜内备用外，密钥决不能以明文的形式出现。•密钥存储时，还必须保证密钥的机密性、和完整性，防止泄漏和修改。四.密钥

管理密钥管理概述•密钥的分配密钥的分配要解决两个问题：–（1）密钥的自动分配机制，自动分配密钥以提高系统的效率；–（2）应该尽可能减少系统中驻留的密钥量。四.密钥管理密钥管理概述•根据密钥信息的交换方式，密钥分配可以分成三类：（1）人工密钥分发.（2

）基于中心的密钥分发.（3）基于认证的密钥分发。四.密钥管理密钥管理概述四.密钥管理密钥管理概述2）基于中心的密钥分发四.密钥管理密钥管理概述2）基于中心的密钥分发•3）基于认证的密钥分发：认证技术也可以用来进行密钥的分发。基于认证的

密钥分发技术又分成两类：①密钥传送。可以用公开密钥加密系统，用管理中心的公钥对本地产生的会话密钥进行加密，发送到密钥管理中心，再由管理中心传送给对方。②密钥交换。加密密钥由本地和远端密钥管理实体一起合作产

生密钥。这个技术叫做密钥交换。最典型的密钥交换协议是Diffie-Hellman密钥交换。四.密钥管理密钥管理概述•密钥更换和密钥吊销➢密钥的使用是有寿命的，一旦密钥有效期到，必须消除原密钥存储区，或者使用

随机产生的噪声重写。➢为了保证加密设备能连续工作，也可以在新密钥生成后，旧密钥还可以保持一段时间，以防止密钥更换期间不能解密的死锁。➢密钥的更换，可以采用批密钥的方式，即一次注入多个密钥，在更换时可以按照一个密钥生效，另一个密钥废除的形式进行。➢替代的次序可以采用密钥的

序号，如果批密钥的生成与废除是顺序的，则序数低于正在使用的密钥的所有密钥都已过期，相应的存储区清零。四.密钥管理密钥管理概述•密钥产生技术密钥产生的制约条件：1、保密通信的双方间是否能选择合适的密钥，对算法的安全

性有致命影响。一个不合适的密钥有可能很容易被对方破解，这种密钥被称为弱密钥。导致弱密钥的产生有以下两种情形：1）密钥产生设置的缺陷和密钥空间的减少：对于一个64位比特串的密钥，可以有1019种可能的密钥，然而实际上所对应的密钥空间中的密钥值比预计的要少的多。四.密钥管理密钥管理概述四.密钥管理密

钥管理概述不同密钥空间的可能密钥数四.密钥管理密钥管理概述2）人为选择的弱密钥：用户选择易于记忆的密钥是通常的选择，但这给密码破译提供了便利。防止产生弱密钥的最佳方案是产生随机密钥，当然，这是不利于记忆的，可以将随机密钥存储在智能卡中。在密钥产生的过程中，需要的

是真正的随机数。**密钥产生的制约条件有三个：这就是随机性，密钥强度和密钥空间。四.密钥管理密钥管理概述•2、针对密钥的产生还要考虑密钥的尺度要求。密钥尺度，也就是密钥的长度，对密钥的强度有直接的影响。四.密钥管理密钥管理

概述不同信息安全需要对密码尺度的要求四.密钥管理密钥管理概述•如何产生密钥❖密钥产生的硬件技术❖密钥产生的软件技术四.密钥管理密钥管理概述•1、密钥产生的硬件技术：❖噪声源技术是密钥产生的常用方法。因为噪声源具有产生二进制的随机序列或与

之对应的随机数的功能，因此成为密钥产生设备的核心部件。四.密钥管理密钥管理概述四.密钥管理密钥管理概述•软件技术X9.17（X9.17-1985金融机构密钥管理标准，由ANSI—美国国家标准定义）标准定义了一种产生密钥的方法，见下图：四.密钥管理密钥管理概述

四.密钥管理密钥管理概述•密钥的分散管理与托管密钥分散:❖在密钥数据库中，系统的安全依赖于唯一的主密钥。❖这样，一旦主密钥被偶然或蓄意泄露，整个系统就容易受到攻击。如果主密钥被丢失或损坏，则系统的全部信息便

不可访问。❖因此就提出了密钥的分散管理问题。四.密钥管理密钥管理概述❖密钥的分散管理就是把主密钥分拆为碎片后给多个可靠的用户保管，而且可以使每个持密钥者具有不同的权力。❖其中权力大的用户可以持有几个密钥碎片，权力小的用户只持有一个密钥碎片。也就是说密钥分散把主密钥信息进行分割，

不同的密钥持有者掌握其相应权限的主密钥信息。密钥的分散管理见下图：四.密钥管理密钥管理概述四.密钥管理密钥管理概述❖在这个密钥模型下，网络中所有结点都拥有公钥K，把私有密钥k分配给n个不同的子系统❖这样，不同子系统的私有密钥分

别是k1—kn。即各个子系统分别掌握私钥的一部分信息，而要进行会话的真实密钥是所有这些子系统所掌握的不同密钥的组合，但不是简单的合并。❖这样做的好处是，攻击者只有将各个子系统全部破解，才能得到完整的密钥。❖但是，这种机制也有很明显的缺陷，就是结点多的话，

要得到所有n个子系统的私有密钥才能完成认证，这会导致系统效率不高。❖采用存取门限机制可以解决认证过程复杂，低效的问题。❖一般来说，门限子系统的个数不应该少于n个子系统的一半，这样才能保证系统的安全。假

设实际密钥k，通过三个服务器进行分散管理，而设定的门限值是2，即只要能获得两个服务器所掌握的密钥信息，就可以获得实际进行通信的密钥k。四.密钥管理密钥管理概述四.密钥管理密钥管理概述❖通过这种门限存取机制可以大大提高系统的运行效率，使得这种机

制的实现具有了可行性❖密钥管理的复杂性主要体现在密钥的分配和存储，对于不是主密钥的其他密钥，也可以分散存储。为了提高密钥管理的安全性，采用如下两种措施（1）尽量减少在网络系统中所使用的密钥的个数；（2）采用（k，w）门陷体制增强主密钥的保密

强度，即将密钥E分成w个片段，密钥由k（k<w）个密钥片段产生，小于或等于k-1个片段都不能正确产生E，这样一个或k-1个密钥片段的泄露不会威胁到E的安全性。❖基于拉格朗日插值公式的Shamir门限方案、基于中国剩余定理的Asmut

h-Bloom四.密钥管理密钥管理概述•密钥托管和密钥恢复❖随着保密通信在现代社会中的作用日益加强,保密通信设备已广泛地用于党政部门,企业内部,银行系统等,对这些部门的信息保密起了很好的作用。❖但这些部门内部人员以及一些犯罪分子也可

利用该通信设备合法传送他们的犯罪信息,进行犯罪活动,如恐怖威胁,有组织贩毒,泄露企业内部秘密,危害国家及企业的利益,为了监视和防止这种犯罪活动,人们提出了密钥托管概念。四.密钥管理密钥管理概述•密钥托管的前提是–用户不应具有在他们中间

分配其它秘密密钥的能力。–否则用户用这些密钥替代密钥托管机构能控制的密钥,从而绕过密钥托管,使密钥托管失效。•密钥托管的目的–在保密通信中为法律授权的政府机构留一“后门”，以截取“可疑分子”的通信信息，打击犯罪分子的非

法活动.四.密钥管理密钥管理概述•密钥托管可以简单地理解为：–把通信双方每次的会话密钥交给合法的第三方,以便让合法的第三方利用得到的会话密钥解密双方通信的内容,从而来监视双方通信。–一般而言合法的第三方为政府部门和法律执行部门等

。•密钥托管的一个最简单方法：–由一个(或多个)可信的政府代理机构为个人保管秘密密钥。–这样经过适当的授权,政府就能检索存储的秘密密钥,进而对窃听到的通信进行脱密.四.密钥管理密钥管理概述密钥托管加密系统（即

托管加密系统）–是具有备份解密能力的加密系统，它允许授权者包括用户、企业职员、政府官员在特定的条件下，借助于一个以上持有专用数据恢复密钥的、可信赖的委托方所提供的信息来解密密文。密钥托管还包括安全保护数据恢复密钥

的含义。–有时还采用密钥档案、密钥备份、以及数据恢复的说法。–人们总结和提出了各种密钥托管方法，它包括使用私钥密码体制，公钥密码体制，私钥密码与公钥密码体制结合，秘密共享，公正密码体制；–它们不仅可完成密钥托

管，而且能完成数字签名，鉴别等其它一些公钥密码和私钥密码所具有的性质。四.密钥管理密钥管理概述•密钥托管体制的基本组成逻辑上，一个密钥托管加密体制可分为用户安全模块、密钥托管模块和数据恢复模块三个主要部分。它们之间密切相关，相互影响。四.密钥管理密钥管理概

述❖USC使用密钥K加密明文数据，并把DRF附加于密文上；❖DRC则从KEC提供的和DRF中包含的信息恢复出密钥K解密密文。❖什么是密码分析？❖典型的密码分析攻击方法➢基于密文的攻击➢基于明文的密码攻击➢中间人攻击➢时间攻击五.密码分析和攻击密码分析❖什么是密码分析？密码分析：是在不知道密钥的情

况下破译加密通信的技术，即任何想要破译密码的黑客行为都可被称为是密码分析。五.密码分析和攻击密码分析和攻击➢基于密文的攻击o唯密文攻击法黑客不知道任何消息的内容，只能从密文入手o选择密文攻击法黑客不仅可以选择他想破译的密文，且还能将明文加密五.

密码分析和攻击典型的密码分析攻击方法➢基于明文的密码攻击o已知明文攻击法黑客已经知道或猜测出某些密文所对应的部分明文，目的是破译其余密文块。o选择明文攻击法黑客能够得到用未知密钥加密的密文，可以选择明文，目的是找到密钥。五.密码分析

和攻击典型的密码分析攻击方法➢中间人攻击属于密钥电子欺骗防范：通信双方计算密钥的某一哈希值，进行数字签名并将签名发送给对方，接收方验证发送方的数字签名并将计算出的哈希值与签名中的哈希值进行匹配五.密码分析和攻击典型的密码分析攻击方法计算机网络的

数据加密方式：•链路加密•节点加密•端端加密六.网络加密技术网络加密技术•链路加密六.网络加密技术网络加密技术Switch密文明文密文加密解密加密解密•节点加密——运输层是链路加密的改进，主要克服了链路加密在节点处易遭非法存取的缺点。六.网络加密技术网络加密技

术Switch交换节点加密解密加密解密密文密文加密/解密模块•端端加密——传输层六.网络加密技术网络加密技术加密解密SwitchSwitch