【文章內(nèi)容簡介】 須滿足一定的運算關(guān)系。總之，不同的密碼體制，其密鑰的具體生成方法一般是不相同的。 　　密鑰的存儲不同于一般的數(shù)據(jù)存儲，需要保密存儲。保密存儲有兩種方法: 一種方法是基于密鑰的軟保護。 另一種方法是基于硬件的物理保護。前者使用加密算法對用戶密鑰(包括口令)加密，然后密鑰以密文形式存儲。后者將密鑰存儲于與計算機相分離的某種物理設(shè)備(如智能卡、USB盤或其他存儲設(shè)備)中，以實現(xiàn)密鑰的物理隔離保護。 密 鑰 的 分 配 密鑰分配要解決兩個問題：（1）密鑰的自動分配機制，自動分配密鑰以提高系統(tǒng)的效率；（2）應(yīng)該盡可能減少系統(tǒng)中駐留的密鑰量。根據(jù)密鑰信息的交換方式，密鑰分配可以分成三類：（1）人工密鑰分發(fā)；（2）基于中心的密鑰分發(fā)；（3）基于認(rèn)證的密鑰分發(fā)。1. 人工密鑰分發(fā)在很多情況下，用人工的方式給每個用戶發(fā)送一次密鑰。然后，后面的加密信息用這個密鑰加密后，再進(jìn)行傳送，這時，用人工方式傳送的第一個密鑰叫做密鑰加密密鑰（Key Encryption Key，KEK）。該方式已經(jīng)不適應(yīng)現(xiàn)代計算機網(wǎng)絡(luò)發(fā)展的要求。2. 基于中心的密鑰分發(fā)基于中心的密鑰分發(fā)利用可信任的第三方，進(jìn)行密鑰分發(fā)。可信第三方可以在其中扮演兩種角色：（1）密鑰分發(fā)中心（Key Distribution Center，KDC）（2）密鑰轉(zhuǎn)換中心（Key Translation Center，KTC） 該方案的優(yōu)勢在于，用戶Alice知道自己的密鑰和KDC的公鑰，就可以通過密鑰分發(fā)中心獲取他將要進(jìn)行通信的他方的公鑰，從而建立正確的保密通信。這種方法要求建立一個可信的密鑰分配中心(KDC)，且每個用戶都與KDC共享一個密鑰，記為KAKDC， KBKDC，…，在具體執(zhí)行密鑰分配時有兩種不同的處理方式。① 會話密鑰由通信發(fā)起方生成。　　協(xié)議步驟如下: 　　第一步: A→KDC: 　　　(KS‖IDB)。　　當(dāng)A與B要進(jìn)行通話時，A隨機地選擇一個會話密鑰KS和希望建立通信的對象IDB，用KAKDC加密，然后發(fā)送給KDC。　第二步: KDC→B:　　　(KS，IDA)。　　KDC收到后，用KAKDC解密，獲得A所選擇的會話密鑰KS和A希望與之建立通信的對象IDB，然后用KBKDC加密這個會話密鑰和希望與B建立通信的對象IDA，并發(fā)送給B。 　　第三步: B收到后，用KBKDC解密，從而獲得A要與自己通信和A所確定的會話密鑰KS　這樣，會話密鑰協(xié)商KS成功，A和B就可以用它進(jìn)行保密通信了。 密鑰共享定義1 設(shè)秘密s被分成n個部分信息，每一部分信息稱為一個子密鑰或影子，由一個參與者持有，使得：① 由k個或多于k個參與者所持有的部分信息可重構(gòu)s。② 由少于k個參與者所持有的部分信息則無法重構(gòu)s。則稱這種方案為(k,n)秘密分割門限方案，k稱為方案的門限值。習(xí)題與思考非對稱密碼體制與對稱密碼體制的區(qū)別與聯(lián)系RSA密碼體制和ELGamal密碼體制的安全依據(jù)是什么？在一個RSA公鑰密碼體制在中，已知素數(shù)p=3,q=11,公鑰e=7,明文m=5,請計算出私鑰d,并對明文進(jìn)行加密、解密計算1. 在公鑰體制中，每一用戶U都有自己的公開鑰PKU 和秘密鑰SKU 。 如果任意兩個用戶A、B按以下方式通信，A發(fā)給B消息(EPKB(m), A) ，B收到后，自動向A返回消息(EPKA(m), B) 以通知A，B確實收到報文m，(1) 問用戶C怎樣通過攻擊手段獲取報文m？(2) 若通信格式變?yōu)椋?A發(fā)給B消息: EPKB（ESKA（m）,m, A）B向A返回消息：EPKA(ESKB(m),m,B)這時的安全性如何？分析A、B這時如何相互認(rèn)證并傳遞消息m。——共享軟件后，一般都有使用時間上的限制，當(dāng)過了共享軟件的試用期后，你必須到這個軟件的公司去注冊后方能繼續(xù)使用。軟件公司會根據(jù)用戶的信息計算出一個序列碼，在用戶得到這個序列碼后，按照注冊需要的步驟在軟件中輸入注冊信息和注冊碼，其注冊信息的合法性由軟件驗證通過后，軟件就會取消掉本身的各種限制。如果你是該軟件公司的管理員，如何使用我們所學(xué)的知識生成序列碼？ 52 DiffieHellman密鑰交換協(xié)議易受中間人攻擊，即攻擊者截獲通信雙方通信的內(nèi)容后可分別冒充通信雙方，以獲得通信雙方協(xié)商的密鑰。詳細(xì)分析攻擊者如何實施攻擊。第五章 數(shù)據(jù)加解密和數(shù)字簽名一． 教學(xué)目標(biāo)和基本要求（1）理解數(shù)字簽名的原理和作用（2）理解數(shù)字簽名的生成流程（3）掌握數(shù)字簽名的驗證原理（4）理解數(shù)字信封技術(shù)(5) 掌握數(shù)據(jù)加解密和身份認(rèn)證流程（6）掌握數(shù)字簽名的應(yīng)用二． 教學(xué)重點與難點 數(shù)字簽名的原理，數(shù)字信封技術(shù)的應(yīng)用，數(shù)字簽名的應(yīng)用三 授課方式 首先提出生活中常用的合同、遺囑、收養(yǎng)關(guān)系和夫妻財產(chǎn)關(guān)系證明等都需要簽名或印章，引出在網(wǎng)絡(luò)環(huán)境下，我們?nèi)绾伪ＷC信息的真實性呢？引入課程，講解本次課程的主要講述內(nèi)容。理論結(jié)合實際，互動式教學(xué)，引導(dǎo)學(xué)生主動思考四 教學(xué)設(shè)計上章內(nèi)容回顧，講解生活中常用的合同、遺囑、收養(yǎng)關(guān)系和夫妻財產(chǎn)關(guān)系證明等都需要簽名或印章引入網(wǎng)絡(luò)環(huán)境下的數(shù)字簽名。（10分鐘）講解數(shù)字簽名的流程和原理。（30分鐘）講解基于公開密鑰的數(shù)字簽名原理流程(20分鐘)4 、講解網(wǎng)上電子加密和簽名的流程（30分鐘）知識小結(jié)（10分鐘）五 內(nèi)容的深化和拓寬 在掌握數(shù)字簽名的原理基礎(chǔ)上進(jìn)一步講解加密和數(shù)字簽名的流程。六． 教學(xué)內(nèi)容與學(xué)時分配課次周次教學(xué)內(nèi)容611 數(shù)字簽名的原理611 RSA數(shù)字簽名和加密611 數(shù)字簽名的文件傳輸過程611 小結(jié)與習(xí)題 數(shù)字簽名的原理在網(wǎng)絡(luò)環(huán)境下，我們?nèi)绾伪ＷC信息的真實性呢？這就需要數(shù)字簽名技術(shù)，它可以解決下列情況引發(fā)的爭端: 發(fā)送方不承認(rèn)自己發(fā)送過某一報文。 接收方自己偽造一份報文，并聲稱它來自發(fā)送方。 網(wǎng)絡(luò)上的某個用戶冒充另一個用戶接收或發(fā)送報文。 接收方對收到的信息進(jìn)行篡改?！　≌怯捎跀?shù)字簽名具有獨特的作用，在一些特殊行業(yè)(比如金融、商業(yè)、軍事等)有著廣泛的應(yīng)用。　　數(shù)字簽名離不開公鑰密碼學(xué)，在公鑰密碼學(xué)中，密鑰由公開密鑰和私有密鑰組成。數(shù)字簽名包含兩個過程: 簽名過程(即使用私有密鑰進(jìn)行加密)和驗證過程(即接收方或驗證方用公開密鑰進(jìn)行解密)。 由于從公開密鑰不能推算出私有密鑰，因此公開密鑰不會損害私有密鑰的安全。公開密鑰無須保密，可以公開傳播，而私有密鑰必須保密。因此，若某人用其私有密鑰加密消息，用其公開密鑰正確解密，就可肯定該消息是某人簽名的。因為其他人的公開密鑰不可能正確解密該加密過的消息，其他人也不可能擁有該人的私有密鑰而制造出該加密過的消息，這就是數(shù)字簽名的原理。從技術(shù)上來講，數(shù)字簽名其實就是通過一個單向函數(shù)對要傳送的報文(或消息)進(jìn)行處理，產(chǎn)生別人無法識別的一段數(shù)字串，這個數(shù)字串用來證明報文的來源并核實報文是否發(fā)生了變化。在數(shù)字簽名中，私有密鑰是某個人知道的秘密值，與之配對的唯一公開密鑰存放在數(shù)字證書或公共數(shù)據(jù)庫中，用簽名人掌握的秘密值簽署文件，用對應(yīng)的數(shù)字證書進(jìn)行驗證。 RSA數(shù)字簽名和加密數(shù)字簽名是建立在公鑰體制基礎(chǔ)上的，是公鑰加密技術(shù)的另一類應(yīng)用。其原理為：（1）報文發(fā)送方從報文中用SHA編碼法（或MD5）產(chǎn)生128bit的消息摘要。 （2）發(fā)送方用自己的私有密鑰對摘要再加密，這就形成了數(shù)字簽名 。（3）將這個簽名作為報文的附件和報文一起發(fā)送給報文的接收方。（4）對方用發(fā)送方的公共密鑰數(shù)字簽名解密，同時對收到的報文（不包括摘要部分）用SHA編碼（或MD5）產(chǎn)生又一個128bits消息摘要（5）將解密后的摘要和收到的文件在接收方重新加密產(chǎn)生的摘要相互對比。如兩者一致，則接收方就能確認(rèn)該數(shù)字簽名是發(fā)送方的，同時傳送過程中信息沒有被破壞或篡改過。否則不然。 數(shù)字簽名的文件傳輸過程A為發(fā)送方 ；B為接收方 在RSA算法中：A的公鑰記做 PKA ,私鑰記做SKA B的公鑰記做 PKB,私鑰記做SKB 會話密鑰KAB 。Digest消息摘要記做D Digital Signature數(shù)字簽名 記做SA在發(fā)送明文前所做的工作： (1）產(chǎn)生消息摘要D1(2） A對消息摘要進(jìn)行數(shù)字簽名 (3）同時A產(chǎn)生會話密鑰KAB,用KAB對信息進(jìn)行加密，產(chǎn)生密文C(4)此時，如果A將密文發(fā)送給B,B收到密文C后，是沒法解密的，因為B還不知道KAB是什么。因此A還要做一件事，就是要將產(chǎn)生的會話密鑰KAB發(fā)送給B A將信息發(fā)送給B3 A用PKB對KAB進(jìn)行加密得到另外一個密文PKB(KAB)，并通過網(wǎng)絡(luò)將PKB(KAB) B方接收到以上信息后，要做的工作：1）B用自己的私鑰SKB 對收到的PKB(KAB)進(jìn)行解密 ： SKB（PKB(KAB)）＝KAB發(fā)送給B.接下來，B還要做的一件事就是，用同樣的MD5算法對得到的明文M進(jìn)行消息摘要如果所產(chǎn)生的消息摘要與D2=D1，則說明該信息確實是A所發(fā)，而且信息是完整的，沒有經(jīng)過任何的篡改。如果D2≠ D1，則表明了，信息不是A所發(fā)，（可能中途已經(jīng)被篡改）第六章 數(shù)據(jù)備份與恢復(fù)技術(shù)一． 教學(xué)目標(biāo)和基本要求（1）熟練掌握：數(shù)據(jù)備份模式和備份策略；數(shù)據(jù)備份的分類；克隆大師軟件Ghost的使用。（2）掌握：數(shù)據(jù)備份概念；磁盤陣列RAID技術(shù)；數(shù)據(jù)恢復(fù)的概念。（3）了解：同步備份軟件Second Copy 2000、數(shù)據(jù)恢復(fù)軟件EasyRecovery 和FinalData的使用。二． 教學(xué)重點與難點數(shù)據(jù)備份的概率，磁盤陣列技術(shù)，數(shù)據(jù)恢復(fù)的概率，數(shù)據(jù)備份模式和備份策略。三 授課方式 數(shù)據(jù)安全問題提出？引入課程，講解本次課程的主要講述內(nèi)容。理論結(jié)合實際，互動式教學(xué)，引導(dǎo)學(xué)生主動思考。四 教學(xué)設(shè)計列舉數(shù)據(jù)安全例子，引出數(shù)據(jù)備份技術(shù)，講解數(shù)據(jù)備份和恢復(fù)的概念，主流存儲技術(shù)，數(shù)據(jù)備份模式和備份策略。（30分鐘）常用備份軟件介紹，災(zāi)難恢復(fù)的步驟，恢復(fù)軟件的使用（40分鐘）RAID技術(shù) （10分鐘）常用備份工具的演示（20分鐘）五 內(nèi)容的深化和拓寬 利用Ghost軟件進(jìn)行系統(tǒng)的備份與還原，體會系統(tǒng)備份與還原的重要意義六． 教學(xué)內(nèi)容與學(xué)時分配課次周次教學(xué)內(nèi)容712 數(shù)據(jù)備份712 數(shù)據(jù)恢復(fù)712 RAID技術(shù) 712 數(shù)據(jù)備份與恢復(fù)常用工具 數(shù)據(jù)備份數(shù)據(jù)備份就是將數(shù)據(jù)以某種方式加以保留，簡單地說，就是創(chuàng)建數(shù)據(jù)的副本。一旦原始數(shù)據(jù)被刪除、覆蓋或由于故障而無法訪問時，可以利用副本恢復(fù)丟失或損壞的數(shù)據(jù)。數(shù)據(jù)備份一般分為兩個層次：系統(tǒng)數(shù)據(jù)的備份；用戶數(shù)據(jù)的備份。數(shù)據(jù)備份的分類 ：1. 系統(tǒng)數(shù)據(jù)備份 2. 網(wǎng)絡(luò)數(shù)據(jù)備份 3. 用戶數(shù)據(jù)備份 。網(wǎng)絡(luò)存儲技術(shù)：（1）直接連接存儲 （2）網(wǎng)絡(luò)附加存儲（3）存儲區(qū)域網(wǎng)絡(luò)。 數(shù)據(jù)恢復(fù)對于硬盤而言，如果整個系統(tǒng)癱瘓、系統(tǒng)無法啟動，恢復(fù)數(shù)據(jù)可以從硬盤的5個區(qū)域入手，首先恢復(fù)MBR（主引導(dǎo)記錄區(qū)），然后恢復(fù)DBR（操作系統(tǒng)引導(dǎo)記錄區(qū)），F(xiàn)AT（文件分配表），F(xiàn)DT（文件目錄表），最后恢復(fù)數(shù)據(jù)文件。由于恢復(fù)MBR建立在0磁道正常的基礎(chǔ)之上，而分區(qū)時系統(tǒng)需要檢測磁道，所以還應(yīng)修復(fù)0磁道和其它的壞磁道。針對硬盤的數(shù)據(jù)修復(fù)軟件主要有EasyRecovery、FinalData、FileRecovery、FileRescavenger等。 RAID技術(shù)RAID（Redundant Array of Inexpensive Disks）可以理解為一種使用磁盤驅(qū)動器的方法，它是將兩個或兩個以上的磁盤驅(qū)動器用某種邏輯方式聯(lián)系起來，邏輯上作為一個磁盤驅(qū)動器來使用。 目前磁盤陣列模式已經(jīng)擁有從RAID 0到RAID 6共7種基本級別。常用的磁盤陣列有5種模式：RAID 0、RAID RAID 0 +RAID RAID 5。 備份和恢復(fù)工具的使用利用Ghost軟件進(jìn)行系統(tǒng)的備份與還原 1．掌握Ghost軟件的使用； 2．學(xué)會使用Ghost軟件進(jìn)行系統(tǒng)及磁盤分區(qū)的備份與還原； 3．體會使用Ghost軟件進(jìn)行系統(tǒng)備份與還原的重要意義。第七章 網(wǎng)絡(luò)安全協(xié)議一． 教學(xué)目標(biāo)和基本要求（1）了解加密的基本概念和相關(guān)的術(shù)語（2）掌握加密技術(shù)的分類（3）掌握對稱加密技術(shù)的原理及主要算法的具體實現(xiàn)（4）掌握公鑰加密技術(shù)的原理及主要算法的具體實現(xiàn)(5)了解PGP算法及其應(yīng)用二． 教學(xué)重點與難點TCP/IP協(xié)議的封裝過程，TCP連接的建立與關(guān)閉過程，ssl協(xié)議的加密流程，IPSEC的工作模式三 授課方式 理論結(jié)合實際，互動式教學(xué)，引導(dǎo)學(xué)生主動思考四 教學(xué)設(shè)計講解TCP/IP協(xié)議簇的基本組成及體系結(jié)構(gòu)，TCP/IP協(xié)議的封裝過程，TCP連接的建立與關(guān)閉過程，TCP/IP協(xié)議簇的安全問題（10分鐘）應(yīng)用層的安全協(xié)議，傳輸層的安全協(xié)議，網(wǎng)絡(luò)層的安全協(xié)議，網(wǎng)絡(luò)接口層的安全協(xié)議（20分鐘）ssl協(xié)議的功能，SSL記錄協(xié)議的操作過程，ssl握手協(xié)議的4個階段，SSL協(xié)議性能分析（20分鐘）IPSec的安全體系結(jié)構(gòu)，IPSec的工作模式認(rèn)證頭的功能，認(rèn)證頭的功能和格式，ESP的功能和格式，安全關(guān)聯(lián)的定義，安全關(guān)聯(lián)的特點，安全關(guān)聯(lián)的組成，安全參數(shù)索引，因特網(wǎng)密鑰交換協(xié)議（50分鐘）五 內(nèi)容的深化和拓寬通過實例甲給乙發(fā)送一份機密文件采用SSL協(xié)議來安全發(fā)送和接收的封裝過程。深入了解ssl協(xié)議的加密過程六． 教學(xué)內(nèi)容與學(xué)時分配課次周次教學(xué)內(nèi)容812 TCP/IP協(xié)議簇812 網(wǎng)絡(luò)安全協(xié)議812 SSL協(xié)議812 IPSEC協(xié)議 TCT/IP協(xié)議簇TCP/IP協(xié)議簇是因特網(wǎng)的