第6章 公鑰基礎設施

公鑰基礎設施物聯(lián)網(wǎng)信息安全08檢查回顧新知學習合作探究過關測試五步教學法提綱考核點評1.如果發(fā)送方用私鑰加密消息，則可實現(xiàn)（

）。保密性保密與認證（鑒別）保密而非認證（鑒別）認證（鑒別）ABCD提交單選題10分

五步教學法檢查回顧新知學習合作探究考核點評過關測試獨立完成單選題10分2.兩個不同的消息摘要具有相同的值時，稱為（

）。攻擊沖突散列都不是ABCD提交單選題10分

五步教學法檢查回顧新知學習合作探究考核點評過關測試獨立完成單選題10分知識目標1.了解公鑰基礎設施；2.掌握數(shù)字證書（重點、難點）；3.掌握CA信任模型（重點）；4.熟悉密鑰管理過程。能力目標

培養(yǎng)網(wǎng)絡安全意識。思政目標

具備分析數(shù)字證書的能力。第0章物理層

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹

1976年Diffie和Hellman在《密碼新方向》中提出了著名的D-H密鑰交換協(xié)議，標志著公鑰密碼體制的出現(xiàn)。Diffie和Hellman第一次提出了不基于秘密信道的密鑰分發(fā)，這就是D-H協(xié)議的重大意義所在。

PKI（PublicKeyInfrastructure）是一個用公鑰概念與技術來實施和提供安全服務的具有普適性的安全基礎設施。PKI公鑰基礎設施的主要任務是在開放環(huán)境中為開放性業(yè)務提供數(shù)字簽名服務。

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹

公鑰基礎設施（PublicKeyInfrastructure,PKI）是一套基于公鑰密碼算法理論與技術提供安全服務的基礎設施，主要功能是將公鑰與實體（個人或組織）的相應身份進行綁定并簽發(fā)數(shù)字證書，并通過為用戶提供證書申請、證書撤銷以及證書狀態(tài)查詢等服務，實現(xiàn)通信中各個實體的身份認證、消息完整性、消息保密性和不可否認等安全需求。

五步教學法檢查回顧新知學習合作探究考核點評過關測試(投稿回答）總結(jié)如何實現(xiàn)認證、完整性、保密性和不可否認性？1公鑰基礎設施的介紹認證--采用數(shù)字簽名技術，簽名作用于相應的數(shù)據(jù)之上

被認證的數(shù)據(jù)——數(shù)據(jù)源認證服務用戶發(fā)送的遠程請求——身份認證服務遠程設備生成的challenge信息——身份認證完整性--PKI采用了兩種技術數(shù)字簽名：既可以是實體認證，也可以是數(shù)據(jù)完整性MAC(消息認證碼)：如DES-CBC-MAC或者HMAC-MD5

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹保密性--用公鑰分發(fā)隨機密鑰，然后用隨機密鑰對數(shù)據(jù)加密不可否認--發(fā)送方的不可否認——數(shù)字簽名--接受方的不可否認——收條+數(shù)字簽名

五步教學法檢查回顧新知學習合作探究考核點評過關測試PKI提供的基本服務1公鑰基礎設施的介紹在提供前面四項服務的同時，還必須考慮--性能盡量少用公鑰加解密操作，在實用中，往往結(jié)合對稱密碼技術，避免對大量數(shù)據(jù)作加解密操作除非需要數(shù)據(jù)來源認證才使用簽名技術，否則就使用MAC或者HMAC實現(xiàn)數(shù)據(jù)完整性檢驗--在線和離線模型簽名的驗證可以在離線情況下完成用公鑰實現(xiàn)保密性也可以在離線情況下完成離線模式的問題：無法獲得最新的證書注銷信息--證書中所支持算法的通用性在提供實際的服務之前，必須協(xié)商到一致的算法

--個體命名如何命名一個安全個體，取決于CA的命名登記管理工作

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹公鑰技術--如何提供數(shù)字簽名功能--如何實現(xiàn)不可否認服務--公鑰和身份如何建立聯(lián)系--為什么要相信這是某個人的公鑰--公鑰如何管理方案：引入證書(certificate)--通過證書把公鑰和身份關聯(lián)起來

五步教學法檢查回顧新知學習合作探究考核點評過關測試（彈幕回答）給出方案。1公鑰基礎設施的介紹一個典型、完整、有效的PKI系統(tǒng)應具有以下功能：數(shù)字證書的頒發(fā)和管理；證書撤消列表的發(fā)布和管理；密鑰的備份和恢復；自動更新密鑰；自動管理歷史密鑰；支持交叉認證。

五步教學法檢查回顧新知學習合作探究考核點評過關測試PKI由以下幾個基本部分組成：--公鑰證書--證書作廢列表（CRL）--策略管理機構(gòu)（PMA）

--認證機構(gòu)（CA）--注冊機構(gòu)（RA）--證書管理機構(gòu)（CMA）--證書存檔(Repository)--署名用戶（Subscriber）--依賴方(Relyingparty)--最終用戶（EndUser）

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹--PKI的基本組成公鑰證書由可信實體簽名的電子記錄，記錄將公鑰和密鑰（公私鑰對）所有者的身份捆綁在一起。公鑰證書是PKI的基本部件。證書作廢列表（CRL）

作廢證書列單，通常由同一個發(fā)證實體簽名。當公鑰的所有者丟失私鑰，或者改換姓名時，需要將原有證書作廢。策略管理機構(gòu)（PMA）

監(jiān)督證書策略的產(chǎn)生和更新，管理PKI證書策略。

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹--PKI的基本組成認證機構(gòu)（CA）互聯(lián)網(wǎng)定義：一個可信實體，發(fā)放和作廢公鑰證書，并對各作廢證書列表簽名。國防部定義：一個授權(quán)產(chǎn)生，簽名，發(fā)放公鑰證書的實體。CA全面負責證書發(fā)行和管理（即，注冊進程控制，身份標識和認證進程，證書制造進程，證書公布和作廢及密鑰的更換）。CA還全面負責CA服務和CA運行。聯(lián)邦政府定義：被一個或多個用戶所信任發(fā)放和管理X.509公鑰證書和作廢證書的機構(gòu)。

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹--PKI的基本組成作為發(fā)放和管理數(shù)字證書的機構(gòu)CA主要包含下述功能：接收驗證用戶數(shù)字證書的申請；確定是否接受用戶數(shù)字證書的申請；向申請者頒發(fā)數(shù)字證書；接收、處理用戶的數(shù)字證書更新請求；接收用戶數(shù)字證書的查詢、撤銷；產(chǎn)生和發(fā)布數(shù)字證書撤銷表（CRL）；數(shù)字證書的歸檔；密鑰歸檔；歷史數(shù)據(jù)歸檔。

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹--PKI的基本組成3.以下關于CA認證中心說法正確的是（

）。CA認證是使用對稱密鑰機制的認證方法CA認證中心只負責簽名，不負責證書的產(chǎn)生CA認證中心負責證書的頒發(fā)和管理、并依靠證書證明一個用戶的身份CA認證中心不用保持中立，可以隨便找一個用戶來作為CA認證中心ABCD提交

五步教學法檢查回顧新知學習合作探究考核點評過關測試單選題10分注冊機構(gòu)（RA）互聯(lián)網(wǎng)定義：一個可選PKI實體（與CA分開），不對數(shù)字證書或證書作廢列單（CRL）簽名，而負責記錄和驗證部分或所有有關信息（特別是主體的身份），這些信息用于CA發(fā)行證書和CLR以及證書管理中。RA在當?shù)乜稍O置分支機構(gòu)LRA。PKIX用語：一個可選PKI實體與CA分開，RA的功能隨情況而不同，但是可以包括身份認證和用戶名分配，密鑰生成和密鑰對歸檔，密碼模件分發(fā)及作廢報告管理。國防部定義：對CA負責當?shù)赜脩羯矸荩俗R）識別的人。

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹--PKI的基本組成證書管理機構(gòu)（CMA）

將CA和RA合起來稱CMA(certificatemanagementauthority)。

證書存檔(Repository)

一個電子站點，存放證書和作廢證書列表（CRL），CA在用證書和作廢證書。署名用戶（Subscriber）

署名用戶是作為主體署名證書并依據(jù)策略使用證書和相應密鑰的實體。

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹--PKI的基本組成依賴方(Relyingparty)

一個接收包括證書和簽名信息的人或機構(gòu)，利用證書提供的公鑰驗證其有效性，與持證人建立保密通信，接收方處于依賴的地位。最終用戶（EndUser）

署名用戶和依賴方的統(tǒng)稱，也稱末端實體（End-entity）,可以是人，也可以是機器，如路由器，或計算機中運行的進程，如防火墻。

五步教學法檢查回顧新知學習合作探究考核點評過關測試1公鑰基礎設施的介紹--PKI的基本組成如圖所示，攻擊者可以輕易的更換Alice存儲的Bob公鑰，而使得Alice誤以為攻擊者是Bob。為了避免這種攻擊，我們可以部署一個可信的中央數(shù)據(jù)庫存儲各方的公鑰。然而使用中央數(shù)據(jù)庫又帶來了管理公鑰的問題，以及使用不方便的問題。

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書為了避免上訴的問題，PKI引入了數(shù)字證書的概念證書(certificate)，有時候簡稱為certPKI適用于異構(gòu)環(huán)境中，所以證書的格式在所使用的范圍內(nèi)必須統(tǒng)一證書是一個機構(gòu)頒發(fā)給一個安全個體的證明，所以證書的權(quán)威性取決于該機構(gòu)的權(quán)威性一個證書中，最重要的信息是個體名字、個體的公鑰、機構(gòu)的簽名、算法和用途簽名證書和加密證書分開最常用的證書格式為X.509v3

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書版本1、2、3序列號：在CA內(nèi)部唯一簽名算法標識符：指該證書中的簽名算法簽發(fā)人名字：CA的名字有效時間：起始和終止時間個體名字

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書個體的公鑰信息：算法；參數(shù)；密鑰簽發(fā)人唯一標識符個體唯一標識符擴展域簽名

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書一個數(shù)字證書由三個組成部分，即證書內(nèi)容，簽名算法以及簽名值。證書內(nèi)容包括了公鑰擁有者的身份信息、公鑰、以及其它的一些信息。下圖為基于X.509標準的證書主要內(nèi)容。

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書4.定義數(shù)字證書結(jié)構(gòu)的標準是（

）。

X.500TCP/IPASN.1X.509ABCD提交單選題10分多選題10分

五步教學法檢查回顧新知學習合作探究考核點評過關測試單選題10分5.數(shù)字證書上除了有簽證機關、序列號、加密算法、生效日期等等外，還有（

）。公鑰私鑰用戶賬戶ABC提交

五步教學法檢查回顧新知學習合作探究考核點評過關測試單選題10分下圖是DigiCertSHA2SecureServerCA給知乎網(wǎng)站*.簽發(fā)的一個數(shù)字證書，有效期從2019年3月20號到2020年4月19號，簽名算法使用SHA256，加密方法為RSA加密。

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書--PKI的運行證書機構(gòu)CA證書庫署名用戶依賴方312465X509標準PKIX1）署名用戶向證明機構(gòu)（CA）提出數(shù)字證書申請；2）CA驗明署名用戶身份，并簽發(fā)數(shù)字證書；3）CA將證書公布到證書庫中；4）署名用戶對電子信件數(shù)字簽名作為發(fā)送認證，確保信件完整性，不可否認性，并發(fā)送給依賴方。5）依賴方接收信件，用署名用戶的公鑰驗證數(shù)字簽名，并到證書庫查明署名用戶證書的狀態(tài)和有效性；6）證書庫返回證書檢查結(jié)果。

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書--PKI的運行密鑰/證書生命周期管理的各個階段：--初始化階段--頒發(fā)階段--取消階段證書過期證書撤銷

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書--PKI中密鑰和證書的管理

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書--密鑰生命周期密鑰產(chǎn)生證書簽發(fā)Bob密鑰使用Bob證書檢驗密鑰過期密鑰更新在終端實體能夠使用PKI支持的服務之前，它們必須初始化以進入PKI。初始化由以下幾步組成：

①終端實體注冊。

②密鑰對產(chǎn)生。

③證書創(chuàng)建和密鑰/證書分發(fā)。

④證書分發(fā)。

⑤密鑰備份。

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書--PKI初始化階段

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書--PKI初始化階段終端實體的初始化8.證書響應7.證書請求4.注冊建立請求5.注冊建立結(jié)果6.注冊結(jié)果3.注冊表格提交2.注冊表格應答終端實體RACA1.注冊表格請求一旦私鑰和公鑰證書已經(jīng)產(chǎn)生并適當?shù)胤职l(fā)，密鑰/證書生命周期管理的頒發(fā)階段即開始。這個階段包括：

①證書檢索——遠程資料庫的證書檢索。

②證書驗證——確定一個證書的有效性（包括證書路徑的驗證）。

③密鑰恢復——當不能正常訪問密鑰資料時，從CA或信任第三方處恢復。

④密鑰更新——當一個合法的密鑰對將過期時，進行新的公/私鑰的自動產(chǎn)生和相應證書的頒發(fā)。

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書--頒發(fā)階段密鑰/證書生命周期管理以取消階段來結(jié)束。此階段包括如下內(nèi)容：

①證書過期——證書生命周期的自然結(jié)束。

②證書撤銷——宣布一個合法證書（及其相關私有密鑰）不再有效。

③密鑰歷史——維持一個有關密鑰資料的記錄（一般是關于終端實體的），以便被過期的密鑰資料所加密的數(shù)據(jù)能夠被解密。

④密鑰檔案——出于對密鑰歷史恢復、審計和解決爭議的考慮所進行的密鑰資料的安全第三方儲存。

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書--撤銷階段

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書--撤銷階段PKI中證書的撤銷2.證書撤銷響應證書撤銷請求2.證書撤銷響應1.證書撤銷請求RACA帶外請求終端實體OR在實際應用中，根據(jù)場景的不同，一般需要使用不同類型或功能的數(shù)字證書。我們根據(jù)證書的持有者類別以及密鑰使用類別，可以對證書進行分類。根據(jù)證書持有者分類CA證書：證書的此有者是CA本身。個人證書：CA給個人用戶頒發(fā)的證書。單位證書：CA給組織單位頒發(fā)的證書。系統(tǒng)證書：CA給各種系統(tǒng)頒發(fā)的證書。根據(jù)證書中密鑰使用類別分類簽名證書：簽名證書作用是允許證書中的公鑰對簽名進行驗證，但其不能用于進行加解密。加密證書：加密證書的作用是允許證書中的公鑰進行加密，但其不能用于進行簽名的驗證。

五步教學法檢查回顧新知學習合作探究考核點評過關測試2數(shù)字證書6.數(shù)字證書采用公鑰體制，每個用戶設定一把公鑰，由本人公開，用它進行（

）。加密和驗證簽名解密和簽名加密解密ABCD提交

五步教學法檢查回顧新知學習合作探究考核點評過關測試單選題10分職責--接受用戶的請求--(由RA負責對用戶的身份信息進行驗證)--用自己的私鑰簽發(fā)證書--提供證書查詢--接受證書注銷請求--提供證書注銷表各個組件和功能示意圖

五步教學法檢查回顧新知學習合作探究考核點評過關測試3CA(CertificateAuthority)健壯的數(shù)據(jù)

庫系統(tǒng)無縫的目錄接口CA硬件管理和運

行平臺安全的審計密鑰PKI

五步教學法檢查回顧新知學習合作探究考核點評過關測試3CA(CertificateAuthority)密鑰備份和恢復

進一步授權(quán)

(#可定制)授權(quán)恢

復密鑰RA最終用戶PKI加密密鑰的歷史新的簽名密鑰對

和證書Password??Help!!隨機點名：我們實際忘記密碼時怎樣操作的？

五步教學法檢查回顧新知學習合作探究考核點評過關測試3CA(CertificateAuthority)CA密鑰更新保證透明性用于驗證的CA公鑰用于簽名的CA私鑰

CA最終用戶Sep 1998Oct 1998Nov 1998Dec 1998Jan 1999Feb 1999Mar 1999Apr 1999May 1999Jun 1999Jul 1999Aug 1999CA密鑰歷史保證對于

最終用戶和其他的PKI

是透明的新的CA簽名

密鑰對7.CA用（

）簽名數(shù)字證書。用戶的公鑰用戶的私鑰自己的公鑰自己的私鑰ABCD提交單選題10分多選題10分

五步教學法檢查回顧新知學習合作探究考核點評過關測試單選題10分數(shù)字證書，其主要的作用是信任傳遞。用戶因為信任CA，所以把CA里存儲的公鑰當作為通信另一方的公鑰。然而在實際使用的時候，我們并無法得知當前的CA是否為可信的。相對的我們可能只會相信一個具有權(quán)威的根CA，而其它CA為了使用戶相信也會讓根CA為其頒發(fā)證書。如下圖所示，這樣會形成一條信任鏈，也就是證書路徑。

五步教學法檢查回顧新知學習合作探究考核點評過關測試3CA信任模型當一個安全個體看到另一個安全個體出示的證書時，他是否信任此證書？--信任難以度量，總是與風險聯(lián)系在一起可信CA--如果一個個體假設CA能夠建立并維持一個準確的“個體-公鑰屬性”之間的綁定，則他可以信任該CA，該CA為可信CA根據(jù)PKI信任鏈分層的不同，可以將PKI的信任模型分為四類。根CA信任模型：如下圖所示，在該模型下CA可以分為多個等級，每個等級，每個等級之間有嚴格的上下層關系，上層CA給下層CA頒發(fā)證書，所以下層CA信任上層CA。最頂層的CA稱為根CA，其下面的CA成為子CA。在該模型下，用戶的信任錨可以是根CA或者子CA。

五步教學法檢查回顧新知學習合作探究考核點評過關測試根CA具有一個自簽名的證書根CA依次對它下面的CA進行簽名層次結(jié)構(gòu)中葉子節(jié)點上的CA用于對安全個體進行簽名對于個體而言，它需要信任根CA，中間的CA可以不必關心(透明的)；同時它的證書是由底層的CA簽發(fā)的在CA的機構(gòu)中，要維護這棵樹在每個節(jié)點CA上，需要保存兩種cert

(1)ForwardCertificates:其他CA發(fā)給它的certs

(2)ReverseCertificates:它發(fā)給其他CA的certs3.1根CA信任模型假設個體A看到B的一個證書B的證書中含有簽發(fā)該證書的CA的信息沿著層次樹往上找，可以構(gòu)成一條證書鏈，直到根證書驗證過程：沿相反的方向，從根證書開始，依次往下驗證每一個證書中的簽名。其中，根證書是自簽名的，用它自己的公鑰進行驗證一直到驗證B的證書中的簽名如果所有的簽名驗證都通過，則A可以確定所有的證書都是正確的，如果他信任根CA，則他可以相信B的證書和公鑰

五步教學法檢查回顧新知學習合作探究考核點評過關測試3.1根CA信任模型--CA中證書的驗證問題：證書鏈如何獲得？

五步教學法檢查回顧新知學習合作探究考核點評過關測試PKI通過分層的信任鏈來確保證書的安全。每個證書都包含了證書的“使用者”和“頒發(fā)者”。為了減少根CA的工作量，根CA會頒發(fā)一些被廣泛認可的根證書。這些根證書的使用者和發(fā)布者都是其本身。然后，這些根證書又能頒布中間證書，每個中間證書又可以給具體的實體頒發(fā)終端實體證書。當用戶進行證書驗證時，其需要按照信任鏈找到上層某一個可信的CA。如圖所示，為了驗證知乎網(wǎng)站的證書，用戶會遍歷證書的信任鏈，當其驗證到證書3：DigiCert的證書時，發(fā)現(xiàn)其在瀏覽器的可信根CA列表中，所以完成驗證，允許建立可信連接。3.1根CA信任模型--CA中證書的驗證

五步教學法檢查回顧新知學習合作探究考核點評過關測試3.1根CA信任模型--CA中證書的驗證證書鏈的驗證示例如果用戶i和j都屬于CA111，那么i和j之間的密鑰交換，只需要持有CA111開具的證明書就可以，即：對用戶i和j的公鑰PKi和PKj分別蓋章，如(Pki)ca111,(Pkj)ca111,那么用戶i和j就能證明密鑰是對方的密鑰。

五步教學法檢查回顧新知學習合作探究考核點評過關測試3.1根CA信任模型--CA認證模型CACA1CA2CA11CA12CA21CA22個人證書個人證書個人證書個人證書ijCA111CA121

CA證明鏈CA122如果用戶j的證明書是CA122開具的，那么情況就復雜了，各自具有：

i方：(Pki)ca111,(CA111)CA11,(CA11)CA1

j方：(Pkj)ca122,(CA122)CA12,(CA12)CA1

這就形成了層層證明的證明鏈（certificationchain）。這里，符號(CA11)CA1是CA1對CA11的公鑰蓋章，只是證明本公鑰是CA11的。

五步教學法檢查回顧新知學習合作探究考核點評過關測試3.1根CA信任模型--CA認證模型CACA1CA2CA11CA21CA22個人證書個人證書個人證書ij

CA證明鏈CA111CA12個人證書CA121CA122分組討論：

根據(jù)下圖用戶i和j所擁有的證書，假設i看到j的證書并要對其進行驗證，請表示出其證明鏈。

五步教學法檢查回顧新知學習合作探究考核點評過關測試CACA1CA2CA11CA12CA21CA22個人證書個人證書個人證書個人證書ij

五步教學法檢查回顧新知學習合作探究考核點評過關測試3.2交叉認證信任模型交叉認證信任模型：如下圖所示，在該模型下有多個根CA，不同的根CA之間可以相互簽發(fā)交叉認證證書，這樣可以確保在不增加信任錨的情況下建立起不同CA管理域之間的信任關系。

五步教學法檢查回顧新知學習合作探究考核點評過關測試3.3橋CA信任模型橋CA信任模型：如下圖所示，該模型似于交叉認證信任模型，不同是該信任模型加了一個獨立的虛擬橋CA，這個橋CA與其它根CA之間相互簽發(fā)交叉認證證書，將不同的根CA之間通過這個橋CA連接起來，根CA之間不需要再簽發(fā)交叉認證證書。

五步教學法檢查回顧新知學習合作探究考核點評過關測試3.4信任列表信任模型信任列表信任模型：如下圖所示，在該信任模型下，一個用戶可以擁有多個信任錨。即其可以將多個可信的根CA或者子CA存儲在其信任列表中，這樣其可以更加高效地驗證不同管理域下的用戶證書。8.CA交叉認證的結(jié)果是（

）。產(chǎn)生用戶證書產(chǎn)生交叉證書產(chǎn)生CRL產(chǎn)生OCSPABCD提交

五步教學法檢查回顧新知學習合作探究考核點評過關測試單選題10分

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理密鑰管理是密碼系統(tǒng)中最重要，同時也是最薄弱的環(huán)節(jié)，密鑰的泄漏將直接導致整個密碼系統(tǒng)的失效。密鑰管理是密碼算法，鑒別邏輯，VPN等的技術的基礎，密鑰的重要性隨著信息安全技術的發(fā)展越顯突出。重要性：邏輯隔離技術之一重要的認證參數(shù)管理體制：集中，分散分發(fā)體制：靜態(tài)，動態(tài)層次化的密鑰管理結(jié)構(gòu)。在較大的信息系統(tǒng)中，密鑰按其作用分為三種：將用于數(shù)據(jù)加密的密鑰稱三級密鑰；保護三級密鑰的密鑰稱二級密鑰，也稱密鑰加密密鑰；保護二級密鑰的密鑰稱一級密鑰，也稱密鑰保護密鑰或主密鑰，主密鑰構(gòu)成了整個密鑰管理系統(tǒng)的關鍵。

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理密鑰使用舉例

DATAHASH（DATA）=H;(H)DA=SIGNERAN1（DATA//SIGN）=CODEEKA-B(RAN1)=RAN2

發(fā)送：（RAN2，CODE）

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理在密鑰管理體制中，密鑰整個生存周期中要涉及到密鑰的生產(chǎn)、驗證、分發(fā)、交換、存儲、更換、銷毀等多個方面。密鑰分發(fā)和交換技術是整個密鑰管理技術中最關鍵，最核心的技術。密鑰管理的內(nèi)容和原則

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理密鑰分發(fā)密鑰分發(fā)可分為兩種形式，靜態(tài)分發(fā)和動態(tài)分發(fā)。密鑰分發(fā)方式與密鑰生產(chǎn)方式相關，也與密鑰存儲技術相關。靜態(tài)分發(fā)是由中心以脫線方式預分配的技術，采用“面對面”的分發(fā)方式，是屬于秘密通道的傳遞方式之一。靜態(tài)分發(fā)方式只有在集中式機制下才能存在，其前提條件是必須解決所分發(fā)密鑰的存儲問題。--動態(tài)分發(fā)是“請求-分發(fā)”的在線分發(fā)技術。密鑰分發(fā)可以采用密鑰證書的形式，密鑰傳遞和密鑰鑒別同時進行，其協(xié)議安全性需要證明。有中心的KMC或無中心的CA機制都可采用。在KMC中通常采用即用即發(fā)方式，無需解決密鑰存放問題，但要解決密鑰傳遞的秘密通道問題。而在CA中密鑰的存放問題和密鑰獲取得的問題都需要解決。

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理封閉式密鑰管理一直是密鑰管理的主導方式，適用于各種專用網(wǎng)。專用網(wǎng)一般指處理專門業(yè)務的封閉網(wǎng)。專用網(wǎng)的密鑰管理一般采用集中式密鑰管理中心（KMC）實現(xiàn)，密鑰由密鑰管理中心統(tǒng)一編制，統(tǒng)一生產(chǎn)，統(tǒng)一配發(fā)使用。--物理分發(fā)：又稱靜態(tài)分發(fā)，密鑰的生產(chǎn)和配發(fā)在KMC內(nèi)部進行，KMC一般離線工作。在KMC體制中，靜態(tài)分發(fā)是密鑰管理的基礎。封閉式密鑰管理的密鑰分發(fā)的類型--電子分發(fā)：又稱動態(tài)分發(fā)，往往是在靜態(tài)分發(fā)的基礎上實現(xiàn)的。動態(tài)分發(fā)是近年來發(fā)展出的新技術，最初由KMC體制發(fā)展，現(xiàn)在延伸到開放網(wǎng)的CA、PKI技術中。

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理

靜態(tài)配置的封閉式密鑰管理是一種事先進行預配置的密鑰管理。在密鑰管理中心（KMC）和各所屬用戶之間建立信任關系的基礎上，密鑰統(tǒng)一由KMC生成、分發(fā)、更換的集中式（centralized）的管理體制。 --點對點配置 --單層星形配置 --多層星形配置 --網(wǎng)狀配置靜態(tài)配置的封閉式密鑰管理

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理靜態(tài)分發(fā)：單層星狀配置

中心K1K2K3KnT2,K2T3,K3TN,Kn

T1,K1

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理CBDAKA-B

KA-C

KA-DKC-A

KC-B

KC-DKD-A

KD-B

KD-CKB-A

KB-C

KB-D靜態(tài)分發(fā)：網(wǎng)狀配置

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理

動態(tài)分發(fā)的封閉式密鑰管理是在靜態(tài)分發(fā)技術基礎上發(fā)展起來的新技術。專用網(wǎng)的動態(tài)分發(fā)一般采用集中式，即KMC下的動態(tài)分發(fā)。動態(tài)分發(fā)可以基于單鑰體制實現(xiàn)，也可以基于雙鑰體制實現(xiàn)；而動態(tài)分發(fā)的密鑰類型可以是單密鑰，也可以是雙密鑰。--基于單鑰的單鑰分發(fā)--基于單鑰的雙鑰分發(fā)--基于雙鑰的單鑰分發(fā)動態(tài)分發(fā)的封閉式密鑰管理

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理動態(tài)分發(fā)：KDC，拉方式分發(fā)協(xié)議：1)a→c：request//n1;2)c→a：EKA(KS//request//n1//EKB(KS,IDA))3)a→b：EKB(KS,IDA)

這樣a,b雙方都有相同的密鑰KS。驗證協(xié)議：4)b→a：EKS(N2)5)a→b：EKS(f(N2)),

其中f是簡單函數(shù)，是加1等簡單變換。

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理KDCAB1。request//n12。EKA(KS//request//n1//EKB(KS,IDA))3。EKB(KS,IDA)4。EKS(N2)5。EKS(fN2)

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理動態(tài)分發(fā)：KDC，推方式分發(fā)協(xié)議：1）a→b：a,EKA(EMa);2)b→c：EKA(EMa)3）c→b：EKB(KS,a,EMb),EKA(KS,b,EMa)4）b→a：EKA(KS,b,EMa)

五步教學法檢查回顧新知學習合作探究考核點評過關測試4密鑰管理KDCAB1。a,EKA(EMa)4。EKA(KS,b,EMa)2。EKA(EMa)3。EKB(KS,a,EMb),EKA(KS,b,EMa)

五步教學法檢查回顧新知學習合作探究考核點評過關測試5公鑰基礎設施的應用

當前，全球已經(jīng)有幾十億設備連接到互聯(lián)網(wǎng)上，建立起萬物互聯(lián)的物聯(lián)網(wǎng)，給人類生活帶來極大的便利。根據(jù)Gartner報告預測，預計到2020年，將有超過260億設備互相連接，物聯(lián)網(wǎng)技術將產(chǎn)生數(shù)十萬億的商業(yè)價值。

然而，由于物聯(lián)網(wǎng)安全標準滯后，且智能設備制造商也缺乏安全意識和投入，這些都為物聯(lián)網(wǎng)安全埋下極大隱患，是個人隱私、企業(yè)信息安全，甚至國家關鍵基礎設施的頭號安全威脅。

作為保障互聯(lián)網(wǎng)安全的