为用户提供加密存储保护的产品。
加密U盘 加密存储卡 加密硬盘 加密存储软件 加密数据库 …
27
密码应用产品介绍——其他类
包括上述多类功能的混合性密码应用产品 不好划分在上述类别的密码应用产品
操作系统 加密狗 OPENSSL软件包 密码分析工具/软件 …
28
知识子域：虚拟专用网VPN
15
数字证书 身份信息
数字签名
？
可鉴别性应用场景举例
小红伞安装文件
工行网银登录
16
密码学的解决方法——不可否认性
不可否认性
数字签名 证据存储 证明信息已经被发送或接收: 发送方 不能抵赖曾经发送过数据
使用发送者本人的私钥进行数字签名 接收方 不能抵赖曾经接收到数据
接收方使用私钥对确认信息进行数字 签名
密码学应用概述
目录
密码技术
密码学应用
密码学应用基础 虚拟专用网（VPN） 公开密钥基础设施（PKI） 特权管理基础设施（PMI） 其他应用介绍
知识子域——密码学应用基础
理解密码学应用安全基本需求，包括机密性、完 整性、鉴别、不可否认性和授权等，理解实现方 法
了解常见密码应用场景和分类产品
3
网络存在的典型安全隐患
篡改
网络
窃听
冒名传送 否认传送
用户甲
假冒？
4
用户乙
信息安全要素举例
1.1你是谁?
1.1我是Rick.
1.2怎么确认你就是你?
1.2 口令是1234.
鉴别
2. 我能干什么? Internet/Intranet
授权
2.你能干这个,不能干那个.
机密性 应用系统
3.如何让别人无法偷听?
3. 我有密钥?
完整性
4.如何保证不能被篡改?
防抵赖
4.别怕,我有数字签名.
Rick Mary
5.我有你的罪证.
5.我偷了机密文件,我不承认.
5
应用系统安全性需求和典型攻击
机密性
数据传输、存储加密 窃听、业务流分析
完整性
数据和系统未被未授权篡改或者损坏 篡改、重放、旁路、木马
可鉴别性
数据信息和用户、进程、系统等实体的鉴别 伪造、冒充、假冒
基本的密码工具：
加密、哈希、MAC、数字签名
8
密码学的解决方法——机密性
机密性
加密技术
对称加密 共享密钥 会话密钥
非对称加密 公开密钥 数字信封
明文
密钥
加密算法
密 文
传 输 / 存 储
明文
密 文
密钥 解密算法
9
密码学的解决方法——机密性
数字信封
先使用对称算法加密信息，然后用非对称算法加密 对称密钥
机密性 (Confidentiality)
完整性 (Integrity)
可鉴别性 (Authentication)
不可否认性 (Non-repudiation) 授权与访问控制 (Authorization & Access
Control)
所应付的典型威胁
窃听 非法窃取资料 敏感信息泄露 篡改 重放攻击 破坏
6
应用系统安全性需求和典型攻击
不可否认性
防止源点或终点的抵赖，自身独有、无法伪造的 抵赖、否认
授权
设置应用、资源细粒度访问权限 越权访问、破坏资源
7
密码学作用
密码学就是研究与信息安全相关的方面如机密性 、完整性、实体鉴别、抗否认等的数学技术。
密码并不是提供安全的单一的手段，而是一组技 术。
Digital Signature, Date,Time
17
密码学的解决方法——不可否认性
待签信息
待签信息
签名算法
数字签名
√
验签算法
用户 私钥
18
数字证书
密码学的解决方法——授权
授权
授权管理 访问控制 属性证书
19
密码学的解决方法——授权
X
应用1
应用2
20
密码技术在信息安全中的作用
信息安全要素
24
密码应用产品介绍——密钥管理类
在密码学应用中，以密钥的生命周期管理为主要 功能的产品。
密钥管理系统 密钥托管系统 …
25
密码应用产品介绍——认证鉴别类
以认证鉴别为主、且使用密码学手段进行认证鉴 别的产品。
智能卡 动态令牌 身份认证服务器 电子签章系统 …
26
密码应用产品介绍——加密存储类
分类
算法类型——对称、非对称、混合 密钥强度——56位、128位、512位等 算法承载——硬件、软件 算法来源——通用、专用 主要功能——算法支持、通信保护、密钥管理、
——认证鉴别、加密存储、其他
22
密码应用产品介绍——算法支持类
主要提供密码算法运算能力支持，以 软硬件接口形式提供，用于支持用户 开发密码应用产品。
对称密钥加密 数字信封 对称密钥解密
明文 Marry
密文
密文
明文 Rick
公开密钥加密 制作数字信封
10
私有密钥解密 解开数字信封
机密性应用场景举例
1）凯撒加密 2）PGP加密
11
密码学的解决方法——完整性
完整性
完整性验证 哈希和消息认证码 数据加密 数字签名
12
完整性应用场景举例
MSDN之windows 7 ultimate下载
硬件
芯片、卡（模块）、整机或系统
软件
密码库、中间件
算法
通用算法：DES、AES、RSA、SHA1 专用算法
23
密码应用产品介绍——通信保护类
以密码学手段为通信提供加密保护功能 的密码应用产品，一般以透明方式嵌入 已有的通信过程中
计算机网络链路密码机/模块 VPN（IPsec VPN、SSL VPN） 传真加密机/模块 电话加密机/模块 数字电视加密机/模块 …
冒名
可用的密码技术
对称加密和非对称加密 数字信封
哈希函数和消息认证码 数据加密 数字签名
口令和共享秘密 数字证书和数字签名
否认已收到资料 数字签名
否认已送资料
证据存储
非法存取资料 越权访问
属性证书 访问控制
21
密码产品介绍
指应用密码学知识，主要提供加解密服务、密钥 管理、身份鉴别或加密保护等功能的产品。
数据
哈希算法
13
数据 哈Байду номын сангаас值
密码学的解决方法——可鉴别性
可鉴别性
实体鉴别： 通过口令、共享秘密、数字证书和签名等告诉 别人，你是谁！
单向鉴别：只有一方鉴别另一方。 双向鉴别：通信双方相互进行鉴别。
消息鉴别： 通信消息是合法的、完整的！
14
密码学的解决方法——可鉴别性
身份信息
哈希算法
哈希值 私钥 数字证书
理解VPN的概念、分类和功能 理解IPSec VPN的工作原理和特点 理解SSL VPN的工作原理和特点
29
为什么使用VPN
分布在各地的组织机构需要用专用网络来保证 数据传输安全