《工業(yè)控制系統(tǒng)信息安全技術(shù)與實踐》教案 CH7-數(shù)據(jù)加密技術(shù)及應(yīng)用

PAGEPAGE2第次課程教學(xué)方案備課時間備課教師教學(xué)時間年月日教學(xué)地點周次課時數(shù)2教學(xué)內(nèi)容（章、節(jié)）模塊/單元第7章數(shù)據(jù)加密技術(shù)及應(yīng)用7.1數(shù)據(jù)加密技術(shù)教學(xué)目標(biāo)和要求了解常用對稱加密算法；掌握對稱加密工作機(jī)制；了解常用分組加密工作模式；了解常用公鑰加密算法；掌握公鑰加密工作機(jī)制；掌握數(shù)字信封的工作機(jī)制；教學(xué)重點對稱加密工作機(jī)制；公鑰加密工作機(jī)制；數(shù)字信封工作機(jī)制。教學(xué)難點分組加密工作模式；對稱加密工作原理；公鑰加密工作原理。教學(xué)方法理論講解、課堂練習(xí)使用媒體資源R紙質(zhì)材料R多媒體課件R網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)；完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。課后記（空白不夠可添加附頁）

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動第7章數(shù)據(jù)加密技術(shù)及應(yīng)用7.1數(shù)據(jù)加密技術(shù)一個現(xiàn)代密碼系統(tǒng)包括：明文、密文、加/解密算法、加/解密密鑰。加密密鑰加密密鑰明文加密密文密文明文解密解密密鑰通信信道加/解密的過程可以用下述公式描述：加密：解密：7.1.1對稱加密算法對稱加密算法：Ke=Kd，安全性取決于密鑰。對稱加密算法可以分為兩類：流密碼和分組加密。流密碼：常用的算法包括RC4、SEAL、ZUC(祖沖之算法）等。分組密碼：常用算法包括DES、IDEA、AES、SM4等。1.DES算法子密鑰生成：教師講解：教師利用圖示和公式兩種方式講解加密系統(tǒng)的組成以及工作機(jī)制。教師講解：重點講解清楚對稱加密的加密密鑰與解密密鑰相同。教師講解：教師講解DES算法工作原理。學(xué)生練習(xí)：教師提出一個種子密鑰，學(xué)生計算子密鑰。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動迭代加密過程：2.DES算法分析對稱加密算法使用“位運算”方式對數(shù)據(jù)進(jìn)行加密和解密操作，數(shù)據(jù)處理效率相對比較高，是加密系統(tǒng)中對消息進(jìn)行加密的通用方式。DES算法屬于對稱加密算法，加/解密密鑰相同，所以通信雙方首先要保證在安全的傳輸介質(zhì)上分發(fā)密鑰，另外通信雙方也要同時安全存儲密鑰。DES算法的一個主要缺點是密鑰長度較短，有效密鑰僅56比特，密鑰空間是256。針對這個弱點的攻擊主要是窮舉攻擊，即利用一個已知明文和密文消息對兒，直到找到正確的密鑰，這就是所謂的蠻力攻擊(BruteForceAttack)。但是到目前為止，除了用窮舉搜索法對DES算法進(jìn)行攻擊以外，還沒有發(fā)現(xiàn)更有效的辦法，這也證明DES算法具有極高的抗密碼分析能力。學(xué)生練習(xí)：教師提出一個分組，學(xué)生分析該分組加密處理過程。教師引導(dǎo)學(xué)生分析DES算法的優(yōu)點和存在的問題。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動多次運行DES算法從而達(dá)到增加密鑰長度的效果。這樣的一個方案稱為3重DES方案(3DES)。這個方案的加/解密過程如下所示。加密：QUOTEC=EK1{DK2解密：QUOTEM=DK1{EK2三重DES加/解密過程中分別進(jìn)行了3次DES算法，并且使用了兩個不同的密鑰，這個方案不僅能夠擴(kuò)大密鑰空間，同時可以與單密鑰DES加密系統(tǒng)兼容，使用戶在升級加密系統(tǒng)的過程中可以減少投入的成本。3.其他對稱加密算法(1)IDEA算法：對64比特大小的數(shù)據(jù)塊加密的分組加密算法，密鑰長度為128比特。(2)AES算法：分組大小為128比特。AES的密鑰長度與輪數(shù)相關(guān)：輪數(shù)為10，密鑰為128比特；輪數(shù)為12，密鑰為192比特；輪數(shù)為14，密鑰為256比特。(3)SM1/SM4/SM7算法：SM1算法分組長度、秘鑰長度都是128bit，但是算法不公開。SM4算法密鑰長度、分組長度都是128bit。SM7算法沒有公開，它適用于非接IC卡應(yīng)用包括身份識別類應(yīng)用，支付與通卡類應(yīng)用。4.對稱加密工作模式(1)電碼本模式：電碼本模式簡稱為ECB(ElectronicCodeBook)。在這種模式下，將需要加密的消息按照塊密碼的塊大小分為數(shù)個塊，并對每個塊進(jìn)行獨立加密。(2)密碼分組鏈模式：密碼分組鏈模式簡稱CBC(Cipher-BlockChaining)。在CBC模式中，每個明文塊先與前一個密文塊進(jìn)行異或后，再進(jìn)行加密。(3)密碼反饋模式：密碼反饋模式簡稱CFB(CipherFeedback)。在CFB模式中，先加密前一個分組，然后將得到的結(jié)果與明文相結(jié)合產(chǎn)生當(dāng)前分組，從而有效地改變用于加密當(dāng)前分組的密鑰。(4)輸出反饋模式：輸出反饋模式簡稱OFB(OutputFeedback)。OFB模式可以將分組密碼變成同步的流密碼。它產(chǎn)生密鑰流的分組，然后將其與明文分組進(jìn)行異或，得到密文。(5)計數(shù)器模式：計數(shù)器模式簡稱CTR(CounterMode)，也被稱為ICM模式（IntegerCounterMode，整數(shù)計數(shù)模式）和SIC模式（SegmentedIntegerCounter）。與OFB相似，CTR將分組密碼變?yōu)榱髅艽a。教師講解：三重DES算法是解決DES算法密鑰短的問題的方法之一。另外，人們開始開發(fā)新的算法，確保密鑰長度在112比特以上。教師講解：簡單介紹常見對稱加密算法。教師講解：重點介紹密碼分組鏈模式，該模式是很多安全協(xié)議，例如SSL、IPSec適用的工作模式。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動7.1.2公鑰加密算法公鑰加密算法：Ke≠Kd。公鑰加密算法的使用過程是：由消息接收方生成一對兒密鑰，其中公鑰用于加密，可以公開；私鑰用于解密，必須由接收方秘密保存。消息發(fā)送方利用接收方的公鑰加密消息并發(fā)送給接收方，接收方利用私鑰解密消息。公鑰加密算法均基于數(shù)學(xué)難解問題?；凇按髷?shù)分解”難題的公鑰加密算法包括RSA、ECDSA、Rabin等算法；基于“離散對數(shù)”難題的公鑰加密算法包括ElGamal、ECC、ECDH、SM2、SM9等算法。公鑰加密算法的一對兒密鑰具有如下兩個特性：(1)用公鑰加密的消息只能用相應(yīng)的私鑰解密，反之亦然。(2)如果想要從一個密鑰推知另一個密鑰，在計算上是不可行的。1.RSA算法原理1)密鑰對的產(chǎn)生(1)選擇兩個大素數(shù)和。和的值越大，RSA越難攻破，推薦公司使用的和的乘積是1024比特的量級；(2)計算和，其中，；(3)選擇小于的一個數(shù)，并且與沒有公因數(shù)；(4)找到一個數(shù)，使得除以沒有余數(shù)；(5)公鑰是二元組，私鑰是二元組。2)加密與解密加密表示為：解密表示為：2.RSA算法評價RSA算法的主要缺點體現(xiàn)在以下兩個方面：(1)密鑰產(chǎn)生很麻煩：由于受到素數(shù)產(chǎn)生技術(shù)的限制，難以做到一次一密。(2)加密/解密運算效率低。使用RSA算法優(yōu)點：(1)通信雙方事先不需要通過保密信息交換密鑰。(2)密鑰持有量大大減小。(3)公鑰加密算法還提供了對稱加密算法無法或很難提供的服務(wù)，如與散列函數(shù)聯(lián)合運用組成數(shù)字簽名等。公鑰加密技術(shù)的產(chǎn)生可以說是信息安全領(lǐng)域中的一個里程碑，是PKI(PublicKeyInfrastructure,公鑰基礎(chǔ)設(shè)施)技術(shù)的重要支撐。教師講解：重點為公鑰加密算法的工作機(jī)制，公鑰和私鑰的特性。學(xué)生練習(xí)：設(shè)選擇了兩個素數(shù)，p=7,q=17。得到，公開密鑰PK：(e,n)={5,119},秘密密鑰SK：（e,d)={77,119}。明文數(shù)字編碼后的值是19，請對該明文進(jìn)行加密和解密運算。教師引導(dǎo)學(xué)生分析RSA算法的優(yōu)點和缺點。

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動3.其他公鑰加密算法(1)ECC算法：同RSA算法一樣，橢圓曲線加密算法(EllipticCurvesCryptography,ECC)也屬于公鑰加密算法，其安全性依賴于計算“橢圓曲線上的離散對數(shù)”難題。ECC算法優(yōu)于RSA算法的地方表現(xiàn)在：安全性能高；計算量小，處理速度快；存儲空間??；帶寬要求低?；谝陨蟽?yōu)點，ECC加密算法在移動通信和無線通信領(lǐng)域應(yīng)用廣泛。(2)SM2/SM9算法：SM2是基于橢圓曲線密碼的公鑰密碼算法標(biāo)準(zhǔn)，其秘鑰長度256bit，包含數(shù)字簽名、密鑰交換和公鑰加密，用于替換RSA/DH/ECDSA/ECDH等國際算法。SM9是基于標(biāo)識的公鑰加密算法，可以實現(xiàn)基于標(biāo)識的數(shù)字簽名、密鑰交換協(xié)議、密鑰封裝機(jī)制和公鑰加密與解密。7.1.3數(shù)字信封課程總結(jié)：數(shù)據(jù)加密工作機(jī)制；對稱加密工作機(jī)制，以及數(shù)據(jù)加密標(biāo)準(zhǔn)DES工作原理；分組加密工作模式；公鑰加密工作機(jī)制，以及RSA算法工作原理；數(shù)字信封工作機(jī)制。作業(yè)布置：1、復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)。2、完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。教師講解：簡單介紹常見公鑰加密算法。數(shù)字信封是非常重要，也是常用的數(shù)據(jù)加密工作機(jī)制。通過講解使學(xué)生加深對對稱加密和公鑰加密工作機(jī)制優(yōu)缺點的理解，能夠綜合應(yīng)用兩個加密機(jī)制。第次課程教學(xué)方案備課時間備課教師教學(xué)時間年月日教學(xué)地點周次課時數(shù)2教學(xué)內(nèi)容（章、節(jié)）模塊/單元第7章數(shù)據(jù)加密技術(shù)及應(yīng)用7.2數(shù)字簽名與驗證教學(xué)目標(biāo)和要求掌握散列算法的工作原理；掌握數(shù)字簽名與驗證的工作機(jī)制；掌握數(shù)據(jù)完整性驗證的工作機(jī)制。教學(xué)重點散列算法工作原理；數(shù)字簽名與驗證的工作機(jī)制。教學(xué)難點散列算法的工作原理。教學(xué)方法理論講解、課堂練習(xí)使用媒體資源R紙質(zhì)材料R多媒體課件R網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)；完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。課后記（空白不夠可添加附頁）

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動第7章數(shù)據(jù)加密技術(shù)及應(yīng)用7.2數(shù)字簽名與驗證7.2.1散列算法散列算法(也被稱為散列函數(shù))提供了這樣一種服務(wù)：它對不同長度的輸入消息，產(chǎn)生固定長度的輸出。這個固定長度的輸出成為原輸入消息的“散列”或“消息摘要”(MessageDigest)。對于一個安全的散列算法，這個消息摘要通?？梢灾苯幼鳛橄⒌恼J(rèn)證標(biāo)簽。所以這個消息摘要又被稱為消息的數(shù)字指紋。散列函數(shù)表示為，所以音譯為“哈希”函數(shù)。如下所示是通過MD5散列算法分別計算出的字符串以及一份文件的散列值(128bit)。MD5 =C50E7667F83F34D1197EB5405702D69CMD5() =3222C661B778BF214E5A28F06889FF991.散列算法的性質(zhì)1)壓縮性散列函數(shù)的壓縮性體現(xiàn)在以下兩個方面：(1)散列函數(shù)的輸入長度是任意的。也就是所散列函數(shù)可以應(yīng)用到大小不一的數(shù)據(jù)上。(2)散列函數(shù)的輸出長度是固定的。根據(jù)目前的計算技術(shù)，散列函數(shù)的輸出長度應(yīng)至少取128bit。2)單向性散列函數(shù)的單向性體現(xiàn)在以下兩個方面：(1)對于任意給定的消息，計算輸出其散列值QUOTEHash(x)是很容易的。(2)對于任意給定的散列值QUOTEh，要發(fā)現(xiàn)一個滿足QUOTEHash(x)的QUOTEx，在計算上不可行。3)抗碰撞性散列函數(shù)的抗碰撞性體現(xiàn)在以下兩個方面：(1)對于任意給定的消息QUOTEx，要發(fā)現(xiàn)一個滿足QUOTEHash(y)=Hash(x)的消息，而QUOTEy≠x，在計算上是不可行的。(2)要發(fā)現(xiàn)滿足QUOTEHash(x)=Hash(y)的對，在計算上是不可行的。目前，已研制出適合于各種用途的散列算法。這些算法都是偽隨機(jī)函數(shù)，任何散列值都是等可能的；輸出并不以可辨別的方式依賴于輸入；任何輸入串中單個比特的變化，將會導(dǎo)致輸出比特串中大約一半的比特發(fā)生變化。教師講解：重點讓學(xué)生理解散列算法計算消息的“數(shù)字指紋”。教師講解：這部分是重點。講解后通過課上練習(xí)的方式進(jìn)行鞏固。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動2.散列函數(shù)的構(gòu)造方式預(yù)處理預(yù)處理輸出變換g任意長度的消息壓縮函數(shù)f輸出h(M)=g(HL)H0=IVHi3.典型散列算法1)MD(MessageDigestAlgorithm)算法MD2算法是Rivest在1989年開發(fā)出來的，在處理過程中首先對信息進(jìn)行補(bǔ)位，使信息的長度是16的倍數(shù)，然后以一個16bit的校驗和追加到信息的末尾，并根據(jù)這個新產(chǎn)生的信息生成128bit的散列值。Rivest在1990年有開發(fā)出MD4算法。MD4算法也需要信息的填充，它要求信息在填充后加上448能夠被512整除。用64bit表示消息的長度，放在填充比特之后生成128bit的散列值。MD5算法是由Rivest在1991年設(shè)計的，在FRC1321中作為標(biāo)準(zhǔn)描述。MD5按512bit數(shù)據(jù)塊為單位來處理輸入，產(chǎn)生128bit的消息摘要。2)SHA(SecureHashAlgorithm)算法SHA算法由NIST開發(fā)，并在1993年作為聯(lián)邦信息處理標(biāo)準(zhǔn)公布。在1995年公布了其改進(jìn)版本SHA-1。SHA與MD5的設(shè)計原理類似，同樣以512bit數(shù)據(jù)塊為單位來處理輸入，但它產(chǎn)生160bit的消息摘要，具有比MD5更強(qiáng)的安全性。在2004年，NIST即宣布他們將逐漸減少使用SHA-1，以SHA-2取而代之。SHA-2包含SHA-224、SHA-256、SHA-384和SHA-512算法。其中SHA-224算法的分組大小是512bit，消息摘要長度位224bit；SHA-256算法的分組大小是512bit，消息摘要長度位256bit；SHA-384算法的分組大小是1024bit，消息摘要長度為384bit；SHA-512算法的分組大小是1024bit，消息摘要長度位512bit。3)SM3算法SM3算法是我國研發(fā)的國家商用密碼算法。SM3用于替代MD5/SHA-1/SHA-2等國際算法，適用于數(shù)字簽名和驗證、消息認(rèn)證碼的生成與驗證以及隨機(jī)數(shù)的生成，可以滿足電子認(rèn)證服務(wù)系統(tǒng)等應(yīng)用需求，于2010年12月17日發(fā)布。它是在SHA-256基礎(chǔ)上改進(jìn)實現(xiàn)的一種算法，采用加強(qiáng)式迭帶結(jié)構(gòu)，消息分組長度為512bit，輸出的摘要值長度為256bit。教師講解：這部分內(nèi)容是難點。教師可以通過舉例的方式進(jìn)行講解。教師講解：這部分內(nèi)容屬于常識性介紹。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動7.2.2數(shù)字簽名與驗證技術(shù)多次運行DES算法從而達(dá)到增加密鑰長度的效果。這樣的一個方案稱為3重DES方案(3DES)。這個方案的加/解密過程如下所示。1.用戶A方的過程(1)確定安全散列函數(shù)；(2)建立密鑰對兒，其中是私鑰；是公鑰；(3)向用戶B發(fā)送散列函數(shù)和公鑰；(4)進(jìn)行簽名操作：計算消息的摘要，計算，得到消息簽名對兒。2.用戶B方的過程用戶B收到用戶A發(fā)過來的消息簽名對兒后，做如下操作：(1)計算；(2)計算；(3)如果，則數(shù)字簽名驗證有效。7.2.3消息完整性驗證通過消息認(rèn)證碼MAC(MessageAuthenticationCode)可以對消息進(jìn)行認(rèn)證。基于密鑰哈希函數(shù)的函數(shù)的MAC形式如下：MAC=Hash(k||M)其中，Hash()是雙方協(xié)商好的散列函數(shù)；k是發(fā)送者和接收者共享的密鑰；M是消息；||表示比特串的鏈接。發(fā)送者將消息和認(rèn)證碼MAC發(fā)送給接收者。接收者收到后用協(xié)商好的散列函數(shù)對雙方共享的密鑰k和消息M進(jìn)行運算，生成認(rèn)證碼MAC’。如果MAC和MAC’相同，則消息通過認(rèn)證，否則不能通過認(rèn)證。課程總結(jié)：散列算法。數(shù)字簽名與驗證工作機(jī)制；消息完整性驗證機(jī)制。作業(yè)布置：1、復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)。2、完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。學(xué)生練習(xí)：以RSA算法為例，讓學(xué)生講解實現(xiàn)數(shù)字簽名與驗證的過程。學(xué)生練習(xí)：通過舉例的方式，讓學(xué)生鞏固對消息完整性驗證機(jī)制的理解。第次課程教學(xué)方案備課教師教學(xué)時間年月日教學(xué)地點周次課時數(shù)2教學(xué)內(nèi)容（章、節(jié)）模塊/單元第7章數(shù)據(jù)加密技術(shù)及應(yīng)用7.3數(shù)字證書教學(xué)目標(biāo)和要求掌握X.509數(shù)字證書的結(jié)構(gòu)；理解X.509數(shù)字證書與PKCS#12數(shù)字證書的區(qū)別；掌握X.509數(shù)字證書的工作原理；了解X.509數(shù)字證書的管理過程。教學(xué)重點X.509數(shù)字證書的結(jié)構(gòu)；X.509數(shù)字證書與PKCS#12數(shù)字證書的區(qū)別；X.509數(shù)字證書的工作原理。教學(xué)難點X.509數(shù)字證書的結(jié)構(gòu)。教學(xué)方法理論講解、課堂練習(xí)使用媒體資源R紙質(zhì)材料R多媒體課件R網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備作業(yè)練習(xí)復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)；完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。課后記（空白不夠可添加附頁）

教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動第7章數(shù)據(jù)加密技術(shù)及應(yīng)用7.3數(shù)字證書數(shù)字證書是網(wǎng)絡(luò)通信中標(biāo)志通信實體身份信息的一系列數(shù)據(jù)，其作用類似于現(xiàn)實生活中的身份證。身份證中包含人的姓名等描述信息，數(shù)字證書中也包含了通信實體的基本描述信息；身份證中包含身份證號，用來標(biāo)識每一個人，數(shù)字證書中包含通信實體的公鑰；身份證包含國家公共安全機(jī)關(guān)的簽章，所以具有權(quán)威性，數(shù)字證書中包含可信任的簽發(fā)機(jī)構(gòu)的數(shù)字簽名，這個簽發(fā)機(jī)構(gòu)被稱為CA(CertificateAuthority，證書頒發(fā)機(jī)構(gòu))。7.3.1數(shù)字證書的結(jié)構(gòu)1.X.509數(shù)字證書算法標(biāo)識符算法標(biāo)識符參數(shù)版本發(fā)行者唯一標(biāo)識符證書序列號發(fā)行者名稱起始時間結(jié)束時間主體名稱算法參數(shù)密鑰主體唯一標(biāo)識符擴(kuò)展算法標(biāo)識符參數(shù)簽名信息簽名算法有效期主體的公鑰信息簽名所有版本V1V2V32.PKCS#12證書PKCS(Public-KeyCryptographyStandards，公鑰密碼標(biāo)準(zhǔn))是RSA實驗室發(fā)布的一系列關(guān)于公鑰技術(shù)的標(biāo)準(zhǔn)。PKCS標(biāo)準(zhǔn)提供了基本的數(shù)據(jù)格式定義和算法定義，實際上是今天所有PKI實現(xiàn)的基礎(chǔ)。PKCS#12是PKCS標(biāo)準(zhǔn)中的個人信息交換標(biāo)準(zhǔn)(PersonalInformationExchangeSyntax)。PKCS#12將X.509證書及其相關(guān)的非對稱密鑰對通過加密封裝在一起。這使得用戶可以通過PKCS#12證書獲取自己的非對稱密鑰對和X.509證書。許多應(yīng)用都使用PKCS#12標(biāo)準(zhǔn)作為用戶私鑰和X.509證書的封裝形式。因此，有時將封裝了用戶非對稱密鑰對兒和X.509證書的PKCS#12文件稱之為“私鑰證書”，而將X.509證書稱為“公鑰證書”。教師講解：通過將數(shù)字證書與居民身份證對比的方式，介紹數(shù)字證書的功能。教師講解：介紹X.509數(shù)字證書的結(jié)構(gòu)，各個數(shù)據(jù)單元的意義。另外，結(jié)束各個版本的區(qū)別。重點：X.509數(shù)字證書和PKCS#12數(shù)字證書的區(qū)別。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動3.SPKI證書IETF的SPKI(SimplePublicKeyInfrastructure)工作組認(rèn)為X.509證書格式復(fù)雜而龐大。SPKI提倡使用以公鑰作為用戶的相關(guān)標(biāo)識符，必要時結(jié)合名字和其他身份信息。SPKI的工作重點在于授權(quán)而不是標(biāo)識身份，所以SPKI證書也稱為授權(quán)證書。SPKI授權(quán)證書的主要目的就是傳遞許可證。同時，SPKI證書也具有授權(quán)許可證的能力。SPKI基于的系統(tǒng)結(jié)構(gòu)和信任模型不再是PKI系統(tǒng)，而是簡單分布式安全基礎(chǔ)設(shè)施SDSI(SimpleDistributedSecurityInfrastructure)。雖然SPKI的標(biāo)準(zhǔn)已經(jīng)成熟和穩(wěn)定，但是應(yīng)用還比較少。7.3.2數(shù)字證書的工作原理rootrootCACA1CA2數(shù)字證書rootCA公鑰rootCA簽名數(shù)字證書CA2公鑰rootCA簽名數(shù)字證書用戶A公鑰CA2簽名用戶A用戶B7.3.3數(shù)字證書的管理1.申請(1)離線申請。(2)在線申請。2.發(fā)放1)私下分發(fā)(1)私下分發(fā)不具有可擴(kuò)展性。(2)如果有證書撤消，私下分發(fā)這些撤消信息是不可靠的。(3)私下分發(fā)無法完成集中式的證書/密鑰管理。2)資料庫發(fā)布(1)輕量級目錄訪問服務(wù)器LDAP；(2)X.509目錄訪問服務(wù)器；(3)Web服務(wù)器；(4)FTP服務(wù)器；(5)數(shù)據(jù)有效性和驗證服務(wù)器(DataValidationandCertificationServer,DVCS)。3)協(xié)議發(fā)布教師講解：簡單介紹。幫助學(xué)生分析數(shù)字證書認(rèn)證的過程：(1)用戶B獲得用戶A的數(shù)字證書。(2)如果用戶B信任CA2，則使用CA2的公鑰驗證CA2的簽名，從而驗證用戶A的數(shù)字證書；如果用戶B不信任CA2，則進(jìn)入下一步。(3)用戶B使用rootCA的公鑰驗證CA2的證書，從而判斷CA2是否可信。教師講解：按照數(shù)字證書的生命周期介紹數(shù)字證書的管理過程。教學(xué)內(nèi)容（板書）教學(xué)步驟、方法及學(xué)生活動3.撤消1)證書撤消列表證書撤消列表CRL。2)在線撤消機(jī)制在線證書撤消機(jī)制是OCSP(OnlineCertificateStatusProtocol，在線證書狀態(tài)協(xié)議)。4.更新5.歸檔課程總結(jié)：數(shù)字證書的功能；數(shù)字證書的結(jié)構(gòu)；數(shù)字證書的類型；數(shù)字證書的工作原理；數(shù)字證書的管理。作業(yè)布置：1、復(fù)習(xí)所學(xué)內(nèi)容，完成課后作業(yè)。2、完成中國大學(xué)慕課MOOC上自主學(xué)習(xí)的內(nèi)容和單元測試。第次課程教學(xué)方案備課時間備課教師教學(xué)時間年月日教學(xué)地點周次課時數(shù)2教學(xué)內(nèi)容（章、節(jié)）模塊/單元第7章數(shù)據(jù)加密技術(shù)及應(yīng)用7.4本章實訓(xùn)教學(xué)目標(biāo)和要求了解XCA軟件的基本功能；掌握通過XCA創(chuàng)建根證書的方法；掌握通過XCA創(chuàng)建證書模板方法；掌握通過XCA創(chuàng)建通信實體證書方法。教學(xué)重點通過XCA創(chuàng)建根證書的方法；通過XCA創(chuàng)建證書模板方法；通過XCA創(chuàng)建通信實體證書方法。教學(xué)難點通過XCA創(chuàng)建證書模板方法。教學(xué)方法操作演示、實踐練習(xí)使用媒體資源R紙質(zhì)材料R多媒體課件R網(wǎng)絡(luò)資源□其他資源：使用教具、設(shè)備、設(shè)施等多媒體教學(xué)設(shè)備、XCA軟件作