信息安全技术之信息保密技术40242.pptx

《信息安全技术之信息保密技术40242.pptx》由会员分享，可在线阅读，更多相关《信息安全技术之信息保密技术40242.pptx（64页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、-1-信息安全技术信息安全技术 302302教研室教研室 王鲁王鲁 电子技术学院电子技术学院-2-信息安全技术体系信息安全技术体系应用安全技术应用安全技术网络计算环境安全网络计算环境安全安全互联与接入控制安全互联与接入控制信息安全支撑技术信息安全支撑技术信息安全支撑技术是基础。信息安全支撑技术是基础。一方面，通过加密和认证直接保护信息的机密一方面，通过加密和认证直接保护信息的机密性、完整性和不可否认性等安全特性；性、完整性和不可否认性等安全特性；另一方面，提供对安全互联与接入、计算环境另一方面，提供对安全互联与接入、计算环境安全和应用安全技术的支持。安全和应用安全技术的支持。信息保密技术信息保

2、密技术信息认证技术信息认证技术授权管理与访问控制技术授权管理与访问控制技术安全管理技术安全管理技术-3-第二部分第二部分 信息安全支撑技术信息安全支撑技术第第 2 2 章章信息保密技术信息保密技术 -4-第第2 2章章 信息保密技术信息保密技术 信息保密技术是研究对信息进行变换，信息保密技术是研究对信息进行变换，以以防止防止第三方对信息进行第三方对信息进行窃取窃取、破坏破坏其其机机密性密性的技术。的技术。-5-安全服务安全服务安安 全全 机制机制加密加密数字数字签名签名访问访问控制控制数据完数据完整性整性鉴别鉴别交换交换业务流业务流填充填充路由路由控制控制公证公证认证服务认证服务YY-Y-访问

3、控制服务访问控制服务-Y-机密性服务机密性服务Y-YY-完整性服务完整性服务YY-Y-抗抵赖服务抗抵赖服务-Y-Y-Y通过加密机制提供机密性通过加密机制提供机密性利用数据填充阻止利用数据填充阻止通过数据项大小所通过数据项大小所表示的信息被理解表示的信息被理解利用路由控制防止由传输数据项表利用路由控制防止由传输数据项表示的信息被泄露，只有可信和安全示的信息被泄露，只有可信和安全设施才能路由数据设施才能路由数据信息隐藏技术信息隐藏技术 2.6安全机制安全机制-6-如何应用加密机制提供机如何应用加密机制提供机密性服务，实现对信息的机密密性服务，实现对信息的机密性进行保护性进行保护？-7-作业作业1.

4、p78-31.p78-32.P78-62.P78-63.3.查阅资料学习查阅资料学习EFS,EFS,熟悉熟悉操作操作,结合本章内容分析结合本章内容分析说明基本工作原理。说明基本工作原理。EFS(Encrypting File System)-8-例例1.10MB数据数据2.B授权读授权读3.A有有B的公钥（的公钥（RSA）4.规定算法规定算法RSA、SSF33加密机制涉及哪些原理？加密机制涉及哪些原理？加密（加密（encryption）将报文进行编码，）将报文进行编码，以模糊其含义的过程。以模糊其含义的过程。p78-6-9-第第2 2章章 信息保密技术信息保密技术 选择一种密码体制、确定相应算

5、法选择一种密码体制、确定相应算法 加密机制的应用涉及的第一个因素加密机制的应用涉及的第一个因素有哪些密码体制有哪些密码体制?其安全性怎样其安全性怎样?-10-第第2 2章章 信息保密技术信息保密技术 2.1.2 2.1.2 保密体制安全性保密体制安全性 2.1.1 2.1.1 保密系统的一般模型保密系统的一般模型 2.1.3 2.1.3 密码体制的要求密码体制的要求2.2 分组密码分组密码2.3 公钥密码公钥密码2.1 保密系统模型保密系统模型.随机密码体制随机密码体制.算法密码体制算法密码体制.量子密码体制量子密码体制.新型密码体制新型密码体制-11-第第2 2章章 信息保密技术信息保密技术

6、 选择一种密码体制选择一种密码体制对称密码对称密码公钥密码公钥密码如何选？如何选？(体制的特点与应用，需求相适应体制的特点与应用，需求相适应)-12-加解密速度快加解密速度快安全强度高安全强度高使用的加密算法比较简便高效使用的加密算法比较简便高效密钥简短和破译困难密钥简短和破译困难通常应用于对大量数据的加密应用上通常应用于对大量数据的加密应用上密码体制选择密码体制选择对称密码特点：对称密码特点：-13-密码体制选择密码体制选择公钥密码特点：公钥密码特点：算法基于计算复杂理论和数学单向陷门算法基于计算复杂理论和数学单向陷门函数。函数。采用两个不同的密钥，公钥用于加密可采用两个不同的密钥，公钥用于

7、加密可公开，私钥用于解密不公开。公开，私钥用于解密不公开。使用双密钥通信双方无需事先交换密钥，使用双密钥通信双方无需事先交换密钥，简化了密钥管理。简化了密钥管理。使用双密钥对于保密通信、密钥分配和使用双密钥对于保密通信、密钥分配和鉴别等有深远的意义。鉴别等有深远的意义。B的公钥的公钥A 加密B解密B的私钥的私钥密文密文明文明文加密模型加密模型A 加密B解密A的公钥的公钥密文密文明文明文A的私钥的私钥认证模型认证模型-14-密码体制选择密码体制选择公钥密码系统的应用分成三类：公钥密码系统的应用分成三类：*加密加密/解密解密 发方用收方的公钥加密报文。发方用收方的公钥加密报文。*数字签名数字签名

8、发方用自己的私钥发方用自己的私钥“签署签署”报文。报文。*密钥交换密钥交换 两方合作交换密钥。两方合作交换密钥。公钥的加解密主要应用于公钥的加解密主要应用于短消息短消息的的保密保密。如加。如加密保护密钥的分配。密保护密钥的分配。公钥加密目前更多应用于公钥加密目前更多应用于密钥管理密钥管理和和数字签名数字签名。作业方案考虑？作业方案考虑？-15-密码算法密码算法 选择一种密码体制、确定相应算法选择一种密码体制、确定相应算法 加密机制应用涉及的第一个因素加密机制应用涉及的第一个因素各有哪些算法？各有哪些算法？强度、性能、特点强度、性能、特点-16-密码算法密码算法序列密码算法：序列密码算法：A5，

9、RC4，PKZIP分组密码算法：分组密码算法：DES，Triple-DES；IDEA；AES公钥密码算法：公钥密码算法：RSA，DSS/DSA，ECC，D-H通用算法：通用算法：-17-密码算法密码算法我国密码算法研究开发，军事、机要、我国密码算法研究开发，军事、机要、公安、部分大学研究机构；公安、部分大学研究机构；国家密码管理部门根据算法应用领域不国家密码管理部门根据算法应用领域不同，划分算法为：同，划分算法为：商密、普密、核密等级别。商密、普密、核密等级别。算法的内容、原理、逻辑由国家有关部算法的内容、原理、逻辑由国家有关部门控制管理，一般以密码算法芯片形式门控制管理，一般以密码算法芯片形

10、式提供使用。如提供使用。如SSF33、SSF09等。等。-18-密码算法密码算法序列密码算法：序列密码算法：A5，RC4，PKZIP分组密码算法：分组密码算法：DES，Triple-DES；IDEA；AES SSF33、SSF09公钥密码算法：公钥密码算法：RSA，DSS/DSA，ECC，D-H通用算法：通用算法：算法的选择：强度、性能、实现的代算法的选择：强度、性能、实现的代价、标准、可出口性等价、标准、可出口性等作业方案考虑？作业方案考虑？-19-例例作业方案：作业方案：q规定算法规定算法RSA、SSF33。对对10兆数据加密应选择对称密码体制分组密码算兆数据加密应选择对称密码体制分组密码

11、算法法SSF33；qSSF33算法涉及的密钥由公钥密码算法算法涉及的密钥由公钥密码算法RSA提供提供加密保护；加密保护；考虑实现问题考虑实现问题?A:SSF33(KAB,M)、RSA(BKU,KAB)B:RSA(AKR,KAB)、SSF33(KAB,M)-20-密码算法密码算法 算法实现、密钥获得算法实现、密钥获得加密机制应用涉及的第二个因素加密机制应用涉及的第二个因素-21-密码算法实现密码算法实现 密码算法是抽象的数学变化或数学函密码算法是抽象的数学变化或数学函数。数。可通过软可通过软/硬形式的实现硬形式的实现（密码软件包（密码软件包crypto toolkitscrypto toolki

12、ts和和 密码芯片密码芯片crypto chipcrypto chip），密码算法），密码算法的功能才能被应用于信息安全系统中。的功能才能被应用于信息安全系统中。Microsoft CryptoAPI;密码硬件成为密码算法功能实现的首选，密码硬件成为密码算法功能实现的首选，被广泛集成在密码设备和密码系统中被广泛集成在密码设备和密码系统中 加密算法含有许多对明文位的复杂运算，加密算法含有许多对明文位的复杂运算，在普通计算机处理器上处理的效率较低，在在普通计算机处理器上处理的效率较低，在经过算法优化设计的特殊硬件如密码芯片经过算法优化设计的特殊硬件如密码芯片的处理效率很高的处理效率很高 硬件的防篡

13、改特性是软件加密方式无法硬件的防篡改特性是软件加密方式无法比拟的，可保护密钥不被外界获取、篡改比拟的，可保护密钥不被外界获取、篡改-22-信息保密信息保密-23-密码算法密码算法 密码算法可通过软密码算法可通过软/硬形式的实现硬形式的实现 密码软件包密码软件包crypto toolkitscrypto toolkits 密码芯片密码芯片crypto chipcrypto chip-24-密码算法密码算法算法封装后使用算法封装后使用密码服务密码服务密码功能实现（算法）密码功能实现（算法）安全服务（保密服务安全服务（保密服务）调用调用密码服务密码服务加密功能加密功能调用调用作业方案考虑？作业方案考

14、虑？寻求开源资源寻求开源资源-25-密码算法密码算法有关加密有关加密APIAPI的国际标准和规范的国际标准和规范 微软微软CryptoAPI CryptoAPI（对微软产品（对微软产品的公共支持）的公共支持）其他加密算法库其他加密算法库 opensslopenssl（由（由SSLeaySSLeay发展而来，发展而来，可免费使用，接口复杂）可免费使用，接口复杂）-26-例例作业方案：作业方案：1.规定算法规定算法RSA、SSF33。对对10兆数据加密应选择对称密码体制分组密码算兆数据加密应选择对称密码体制分组密码算法法SSF33；2.SSF33算法涉及的密钥由公钥密码算法算法涉及的密钥由公钥密码

15、算法RSA提供加提供加密保护；密保护；3.算法和密钥生成选择微软：算法和密钥生成选择微软：Crypto API/Crypto SPI （公私钥）（公私钥）-27-密码算法密码算法微软：微软：Crypto API/Crypto SPI加密服务提供者加密服务提供者-28-29-30-31-密码算法密码算法Crypto APICrypto API RSA base RSA baseCSPCSPFortezzaFortezzaCSPCSP应用程序应用程序应用程序应用程序 SmartCard SmartCard CSPCSP证书管理服务证书管理服务安全通道安全通道密钥数据库密钥数据库证书的存储证书的存储

16、-32-加密机制加密机制*选择一种密码体制，确定相应算法选择一种密码体制，确定相应算法*密码算法实现，密钥生成密码算法实现，密钥生成*确定加密位置确定加密位置p 加密机制应用涉及的第三个因素加密机制应用涉及的第三个因素保密通信（保密通信（2.5.1）加密存储（加密存储（2.5.2）-33-2.5.1保密通信保密通信1.1.加密位置加密位置 1)1)物理位置物理位置 链链-链加密链加密 每条易受攻击的通信链路的两端都装备一个加密设备每条易受攻击的通信链路的两端都装备一个加密设备,从而从而该链路上的通信是安全的。该链路上的通信是安全的。报文分组在交换机处容易受攻击报文分组在交换机处容易受攻击,因为

17、报文进入交换机时必因为报文进入交换机时必须解密以读取分组中的地址。须解密以读取分组中的地址。-34-加密位置加密位置 端端加密端端加密 加密过程在两个端系统上完成。源端和目的端共加密过程在两个端系统上完成。源端和目的端共享一个密钥。享一个密钥。一个薄弱环节一个薄弱环节,，如果对分组首部加密，如果对分组首部加密(包括数据包括数据),),分组交换结点就无法读取首部，则无法选路。所以分组交换结点就无法读取首部，则无法选路。所以主机只能对分组的用户数据部分进行加密主机只能对分组的用户数据部分进行加密,首部以未首部以未加密方式传输。使用端端加密后，用户数据是安全的，加密方式传输。使用端端加密后，用户数据

18、是安全的，然而通信模式并不安全。然而通信模式并不安全。-35-加密位置加密位置 混合加密混合加密 要取得更大的安全程度，就需要链路加密要取得更大的安全程度，就需要链路加密也需要端端加密。分组除了在交换机内存中的也需要端端加密。分组除了在交换机内存中的那段时间内首部未加密外，整个分组都是安全那段时间内首部未加密外，整个分组都是安全的。的。作业方案考虑？作业方案考虑？-36-加密位置加密位置 2)2)逻辑位置逻辑位置 链链-链加密链加密 加密功能是在通信层次结构的一个低加密功能是在通信层次结构的一个低层完成的。以层完成的。以OSIOSI术语在物理层和链路层。术语在物理层和链路层。-37-加密位置加

19、密位置 端端加密端端加密置于应用层置于应用层置于传输层置于传输层 置于网络层置于网络层 作业方案考虑？作业方案考虑？-38-例例作业方案：作业方案：1.规定算法规定算法RSA、SSF33。对对10兆数据加密应选择对称密码体制分组密码算兆数据加密应选择对称密码体制分组密码算法法SSF33；2.SSF33算法涉及的密钥由公钥密码算法算法涉及的密钥由公钥密码算法RSA提供加提供加密保护；密保护；3.算法和密钥生成选择微软：算法和密钥生成选择微软：Crypto API/Crypto SPI4.端加密、应用层端加密、应用层-39-通过对通信量分析攻击得到的信息类型通过对通信量分析攻击得到的信息类型.通信

20、双方的身份通信双方的身份 .通信双方的通信的频度通信双方的通信的频度.暗示出有重要信息正在交换的报文模式，长度，暗示出有重要信息正在交换的报文模式，长度，数量。数量。.特定的通信双方之间的交谈所关联的事件。特定的通信双方之间的交谈所关联的事件。通信量的机密性通信量的机密性 通信量机密性通信量机密性-40-通信量机密性通信量机密性链路加密链路加密 防范措施：通信量填充。防范措施：通信量填充。端端端端加加密密 由由于于首首部部未未加加密密，防防范范措措施施有有限限。填填充充数数据据单单元元为为统统一一长长度度，插入空白报文。插入空白报文。-41-安全存储的研究思路：安全存储的研究思路：针对信息安全

21、属性提出专门的解决方案，针对信息安全属性提出专门的解决方案，如，加密文件系统等。如，加密文件系统等。从存储系统的体系结构入手，寻找安全的、从存储系统的体系结构入手，寻找安全的、高效的存储模式，如，对象存储模式等。高效的存储模式，如，对象存储模式等。2.5.2 2.5.2 加密存储加密存储-42-2.5.2 加密存储加密存储安全存储系统安全存储系统 加密文件系统加密文件系统 安全网络文件系统安全网络文件系统 可生存存储系统可生存存储系统 基于存储的入侵检测系统基于存储的入侵检测系统 -43-2.5.2 加密存储加密存储加密文件系统：加密文件系统：磁盘加密和通信加密，因磁盘加密和通信加密，因基于密

22、码操作而增加计算开销，以及密钥基于密码操作而增加计算开销，以及密钥选择和分发问题，以及密钥撤销，等可能选择和分发问题，以及密钥撤销，等可能带的安全问题。带的安全问题。安全网络文件系统：安全网络文件系统：在原来的网络文件系在原来的网络文件系统的机制上添加了安全认证和访问控制功统的机制上添加了安全认证和访问控制功能的文件系统，一般提供加密，但不提供能的文件系统，一般提供加密，但不提供端到端的数据安全。一般假设数据服务器端到端的数据安全。一般假设数据服务器和系统管理员是安全可信的。和系统管理员是安全可信的。-44-2.5.2 加密存储加密存储可生存存储系统：可生存存储系统：此概念是由卡耐基此概念是由

23、卡耐基.梅隆大学梅隆大学的的PASISPASIS项目组提出的。其设计思想和出发点在项目组提出的。其设计思想和出发点在于：网络存储系统是一种分布式的文件系统，所于：网络存储系统是一种分布式的文件系统，所谓的安全网络存储系统不是用来维护分布式系统谓的安全网络存储系统不是用来维护分布式系统中每个存储节点的安全性，而是确保整个系统在中每个存储节点的安全性，而是确保整个系统在某些环节受到不同程度损害停止服务以后，系统某些环节受到不同程度损害停止服务以后，系统仍能向数据用户提供可靠的网络存储服务。其中，仍能向数据用户提供可靠的网络存储服务。其中，PASISPASIS项目主要是通过将文件分散存储于系统内项目

24、主要是通过将文件分散存储于系统内的多个节点中来实现这个设计目标的。的多个节点中来实现这个设计目标的。-45-2.5.2 加密存储加密存储基于存储的入侵检测系统基于存储的入侵检测系统：该系统设计思想该系统设计思想实际上源于网络存储系统不断增加的复杂性。实际上源于网络存储系统不断增加的复杂性。设计者认为从整体角度来确保整个系统的安设计者认为从整体角度来确保整个系统的安全性变得越来越复杂，所以，有必要将系统全性变得越来越复杂，所以，有必要将系统的安全性分散在整个存储系统的各个功能模的安全性分散在整个存储系统的各个功能模块之中来加以实现，一个典型的设计就是在块之中来加以实现，一个典型的设计就是在网络存

25、储系统的存储设备和文件服务器之中网络存储系统的存储设备和文件服务器之中嵌入入侵检测系统。嵌入入侵检测系统。-46-2.5.2 加密存储加密存储加密位置加密位置 思想：通过在用户态请求到思想：通过在用户态请求到存储介质存储这条通路的某处添存储介质存储这条通路的某处添加自定义的处理例程，将明文信加自定义的处理例程，将明文信息转换为密文信息，并将最终密息转换为密文信息，并将最终密文信息保存在存储介质上。文信息保存在存储介质上。-47-2.5.2 加密存储加密存储1.1.文件文件/文件夹主动加密类文件夹主动加密类 通过主动加密方式，由操作者对文件通过主动加密方式，由操作者对文件/文件夹加密。文件夹加密

26、。2.2.文件格式转化类文件格式转化类3.3.将被保护文件转换成特定格式，以便实施安全控制。将被保护文件转换成特定格式，以便实施安全控制。（DRMDRM数字版权管理技术）数字版权管理技术）4.4.3.3.磁盘加密类磁盘加密类5.5.通过对逻辑磁盘卷或整个磁盘卷加密，实现文件保护。通过对逻辑磁盘卷或整个磁盘卷加密，实现文件保护。（Vista BitLockerVista BitLocker）6.6.4.4.透明文件加密类透明文件加密类7.7.对特定文件透明（强制）加密，保护安全，强制根据对特定文件透明（强制）加密，保护安全，强制根据相关机构策略。相关机构策略。-48-2.5.2 加密存储加密存储

27、实现的方法实现的方法1.1.通过硬件加密引擎实现，通过硬件加密引擎实现，CPUCPU将数据发给硬件加密将数据发给硬件加密引擎完成，优点：速度快、安全性高，实现成本较高、引擎完成，优点：速度快、安全性高，实现成本较高、交互性差；交互性差；2.2.通过软件实现，可分为通过软件实现，可分为 基于用户模式基于用户模式 基于系统内核模式基于系统内核模式基于用户模式实现较为方便；基于用户模式实现较为方便；基于系统内核模式的实现，由于软件工作在操作系统，基于系统内核模式的实现，由于软件工作在操作系统，实现难度大。实现难度大。-49-过滤驱动技术过滤驱动技术实现透明加密技术过滤驱动技术实现透明加密技术过滤驱动

28、技术 过滤驱动技术，属于基于操作系统内过滤驱动技术，属于基于操作系统内核模式的实现方式，特点是技术门槛高，核模式的实现方式，特点是技术门槛高，需要深入理解需要深入理解WindowsWindows系统内核，对于实系统内核，对于实施信息安全技术很有意义。施信息安全技术很有意义。-50-应用程序应用程序I/O管理器管理器文件过滤驱动文件过滤驱动文件系统驱动程序文件系统驱动程序磁盘驱动程序磁盘驱动程序（设备驱动程序）（设备驱动程序）磁盘磁盘文文件件过过滤滤驱驱动动原原理理文件过滤驱动文件过滤驱动用来扩充底层驱动程用来扩充底层驱动程序的功能，实现特定序的功能，实现特定的文件系统，的文件系统，为用户为用户

29、通过磁盘等介质上存通过磁盘等介质上存取数据服务取数据服务-51-应用程序应用程序I/O管理器管理器文件过滤驱动文件过滤驱动文件系统驱动程序文件系统驱动程序磁盘驱动程序磁盘驱动程序（设备驱动程序）（设备驱动程序）磁盘磁盘文文件件过过滤滤驱驱动动原原理理文件过滤驱动文件过滤驱动是一种可选的，为文件系是一种可选的，为文件系是一种可选的，为文件系是一种可选的，为文件系统提供具有附加值功能的统提供具有附加值功能的统提供具有附加值功能的统提供具有附加值功能的驱动程序驱动程序驱动程序驱动程序I/OI/O管理器支持分层驱动程管理器支持分层驱动程序模型，每个序模型，每个IRPIRP（I/OI/O请求）请求）的处

30、理分别经过各层驱动程的处理分别经过各层驱动程序处理直到完成这个请求。序处理直到完成这个请求。-52-过滤驱动加载在文件系统之上时，过滤驱动加载在文件系统之上时，I/OI/O管理器发出的管理器发出的IRP(I/O Request IRP(I/O Request Package)Package)包都会先经过过滤驱动的处理再包都会先经过过滤驱动的处理再发送给文件系统驱动，而请求得到的数据发送给文件系统驱动，而请求得到的数据也需要先经过过滤驱动的处理再返给应用也需要先经过过滤驱动的处理再返给应用程序。程序。这样在过滤驱动中使用自定义的例程这样在过滤驱动中使用自定义的例程对数据进行处理，实现安全操作。对

31、数据进行处理，实现安全操作。过滤驱动技术过滤驱动技术-53-应用程序应用程序I/O管理器管理器文件过滤驱动文件过滤驱动文件系统驱动程序文件系统驱动程序磁盘驱动程序磁盘驱动程序（设备驱动程序）（设备驱动程序）磁盘磁盘文文件件过过滤滤驱驱动动原原理理文件过滤驱动文件过滤驱动-54-小结小结加密机制的应用一般需要考虑的因素：加密机制的应用一般需要考虑的因素：选择一种密码体制，确定算法选择一种密码体制，确定算法 算法实现，密钥生成算法实现，密钥生成 加密位置（通信保密、存储保密）加密位置（通信保密、存储保密）密钥管理（密钥管理（2.4）（2.1、2.2、2.3）（补充）（补充）（2.5）-55-设计加

32、密应用程序保护系统文档机密性设计加密应用程序保护系统文档机密性形式：终端用户程序形式：终端用户程序 用户态完成用户态完成先解决哪些问题：算法实现，密钥获取先解决哪些问题：算法实现，密钥获取 cryptoAPI cryptoAPI核心功能：文档加解密核心功能：文档加解密作业作业-56-附加功能附加功能?界面界面（以什么形式提供用户对文件加密的操作）（以什么形式提供用户对文件加密的操作）一个完整的软件，仅靠核心功能是远一个完整的软件，仅靠核心功能是远远不够的。核心功能是基础，必须在这个远不够的。核心功能是基础，必须在这个基础上加入辅助功能才能创建流畅的工作基础上加入辅助功能才能创建流畅的工作流程。

33、流程。-57-基于基于*文件加密系统的设计与实现文件加密系统的设计与实现引言引言1.需求分析需求分析用户需求：本系统面向的用户是用户需求：本系统面向的用户是XX内部局域网内部局域网用户。他们对系统的需求：用户。他们对系统的需求：.对指定文件加对指定文件加/解密（解密（10MB）存储）存储(共享共享).密钥的安全管理密钥的安全管理 .提供对文件加解密操作的日志查阅提供对文件加解密操作的日志查阅 .操作简单、界面友好操作简单、界面友好-58-2.系统功能系统功能综合分析用户需求，规划系统功能层次为综合分析用户需求，规划系统功能层次为.加密加密 加密加密;解密解密 .密钥管理密钥管理 生成生成;导出

34、导出;导入导入 .日志管理日志管理 日志生成日志生成;日志查询日志查询.帮助帮助-59-3.关键技术关键技术 基于基于Java API 自带的加密工具、签名工自带的加密工具、签名工具，以及具，以及JAVA SOCKET技术，在技术，在Java中，中，Java.security.key 接口实现了密钥接口实现了密钥模型的概念化，并利用扩展接口模型的概念化，并利用扩展接口serializable，得到算法、格式等。，得到算法、格式等。-60-4.设计与实现设计与实现1）系统分）系统分n模块：模块：UI模块：系统界面，负责接受用户输入，模块：系统界面，负责接受用户输入，显示输出，协调其他功能模块的调

35、用，显示输出，协调其他功能模块的调用，和显示各调用模块的返回信息。和显示各调用模块的返回信息。Encrypt模块：实现加解密功能，模块：实现加解密功能，Km模块：密钥管理，模块：密钥管理，Record模块：实现记录日志，模块：实现记录日志，2）系统流程）系统流程 （工作流程工作流程）-61-5.实现实现 结合实验结合实验6.结束语（总结）结束语（总结）-62-作业作业1.p78-3(1.p78-3(加密提交加密提交)2.2.设计加密应用程序保护系统文档机密性设计加密应用程序保护系统文档机密性 （需求、功能、设计、技术、实现）（需求、功能、设计、技术、实现）（结合实验提交设计方案和实现报告）（结

36、合实验提交设计方案和实现报告）3.3.查阅资料学习查阅资料学习EFSEFS。保护文档的机密性的解决办法保护文档的机密性的解决办法定制软件，（购买、专门设计）定制软件，（购买、专门设计）利用系统自带的功能保护利用系统自带的功能保护（EFS)EFS)-63-思考思考假设你负责一家生成密码设备的公司的假设你负责一家生成密码设备的公司的产品开发。最简单的情况下，密码实产品开发。最简单的情况下，密码实现就是一个黑盒子：插入密钥现就是一个黑盒子：插入密钥 、明文，、明文，按下按下“开始开始”键，得到密文。对于相键，得到密文。对于相同的算法，来自不同制造商的所谓同的算法，来自不同制造商的所谓“黑盒黑盒”也非常相似。还可以增加什么也非常相似。还可以增加什么特征或功能使你的密码产品在竞争中特征或功能使你的密码产品在竞争中脱颖而出？不要只是简单第说脱颖而出？不要只是简单第说“用户用户界面界面”，要列出你认为用户期望拥有，要列出你认为用户期望拥有的特殊产品。的特殊产品。-64-思考思考加密产品制造商是否应该开发一种加密产品制造商是否应该开发一种“包包罗万象罗万象”的产品，例如可以实现的产品，例如可以实现DESDES、AESAES、RSARSA等密码？为什么？等密码？为什么？