第6章 公钥基础设施

公钥基础设施物联网信息安全08检查回顾新知学习合作探究过关测试五步教学法提纲考核点评1.如果发送方用私钥加密消息，则可实现（

）。保密性保密与认证（鉴别）保密而非认证（鉴别）认证（鉴别）ABCD提交单选题10分

五步教学法检查回顾新知学习合作探究考核点评过关测试独立完成单选题10分2.两个不同的消息摘要具有相同的值时，称为（

）。攻击冲突散列都不是ABCD提交单选题10分

五步教学法检查回顾新知学习合作探究考核点评过关测试独立完成单选题10分知识目标1.了解公钥基础设施；2.掌握数字证书（重点、难点）；3.掌握CA信任模型（重点）；4.熟悉密钥管理过程。能力目标

培养网络安全意识。思政目标

具备分析数字证书的能力。第0章物理层

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍

1976年Diffie和Hellman在《密码新方向》中提出了著名的D-H密钥交换协议，标志着公钥密码体制的出现。Diffie和Hellman第一次提出了不基于秘密信道的密钥分发，这就是D-H协议的重大意义所在。

PKI（PublicKeyInfrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍

公钥基础设施（PublicKeyInfrastructure,PKI）是一套基于公钥密码算法理论与技术提供安全服务的基础设施，主要功能是将公钥与实体（个人或组织）的相应身份进行绑定并签发数字证书，并通过为用户提供证书申请、证书撤销以及证书状态查询等服务，实现通信中各个实体的身份认证、消息完整性、消息保密性和不可否认等安全需求。

五步教学法检查回顾新知学习合作探究考核点评过关测试(投稿回答）总结如何实现认证、完整性、保密性和不可否认性？1公钥基础设施的介绍认证--采用数字签名技术，签名作用于相应的数据之上

被认证的数据——数据源认证服务用户发送的远程请求——身份认证服务远程设备生成的challenge信息——身份认证完整性--PKI采用了两种技术数字签名：既可以是实体认证，也可以是数据完整性MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍保密性--用公钥分发随机密钥，然后用随机密钥对数据加密不可否认--发送方的不可否认——数字签名--接受方的不可否认——收条+数字签名

五步教学法检查回顾新知学习合作探究考核点评过关测试PKI提供的基本服务1公钥基础设施的介绍在提供前面四项服务的同时，还必须考虑--性能尽量少用公钥加解密操作，在实用中，往往结合对称密码技术，避免对大量数据作加解密操作除非需要数据来源认证才使用签名技术，否则就使用MAC或者HMAC实现数据完整性检验--在线和离线模型签名的验证可以在离线情况下完成用公钥实现保密性也可以在离线情况下完成离线模式的问题：无法获得最新的证书注销信息--证书中所支持算法的通用性在提供实际的服务之前，必须协商到一致的算法

--个体命名如何命名一个安全个体，取决于CA的命名登记管理工作

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍公钥技术--如何提供数字签名功能--如何实现不可否认服务--公钥和身份如何建立联系--为什么要相信这是某个人的公钥--公钥如何管理方案：引入证书(certificate)--通过证书把公钥和身份关联起来

五步教学法检查回顾新知学习合作探究考核点评过关测试（弹幕回答）给出方案。1公钥基础设施的介绍一个典型、完整、有效的PKI系统应具有以下功能：数字证书的颁发和管理；证书撤消列表的发布和管理；密钥的备份和恢复；自动更新密钥；自动管理历史密钥；支持交叉认证。

五步教学法检查回顾新知学习合作探究考核点评过关测试PKI由以下几个基本部分组成：--公钥证书--证书作废列表（CRL）--策略管理机构（PMA）

--认证机构（CA）--注册机构（RA）--证书管理机构（CMA）--证书存档(Repository)--署名用户（Subscriber）--依赖方(Relyingparty)--最终用户（EndUser）

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍--PKI的基本组成公钥证书由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。证书作废列表（CRL）

作废证书列单，通常由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换姓名时，需要将原有证书作废。策略管理机构（PMA）

监督证书策略的产生和更新，管理PKI证书策略。

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍--PKI的基本组成认证机构（CA）互联网定义：一个可信实体，发放和作废公钥证书，并对各作废证书列表签名。国防部定义：一个授权产生，签名，发放公钥证书的实体。CA全面负责证书发行和管理（即，注册进程控制，身份标识和认证进程，证书制造进程，证书公布和作废及密钥的更换）。CA还全面负责CA服务和CA运行。联邦政府定义：被一个或多个用户所信任发放和管理X.509公钥证书和作废证书的机构。

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍--PKI的基本组成作为发放和管理数字证书的机构CA主要包含下述功能：接收验证用户数字证书的申请；确定是否接受用户数字证书的申请；向申请者颁发数字证书；接收、处理用户的数字证书更新请求；接收用户数字证书的查询、撤销；产生和发布数字证书撤销表（CRL）；数字证书的归档；密钥归档；历史数据归档。

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍--PKI的基本组成3.以下关于CA认证中心说法正确的是（

）。CA认证是使用对称密钥机制的认证方法CA认证中心只负责签名，不负责证书的产生CA认证中心负责证书的颁发和管理、并依靠证书证明一个用户的身份CA认证中心不用保持中立，可以随便找一个用户来作为CA认证中心ABCD提交

五步教学法检查回顾新知学习合作探究考核点评过关测试单选题10分注册机构（RA）互联网定义：一个可选PKI实体（与CA分开），不对数字证书或证书作废列单（CRL）签名，而负责记录和验证部分或所有有关信息（特别是主体的身份），这些信息用于CA发行证书和CLR以及证书管理中。RA在当地可设置分支机构LRA。PKIX用语：一个可选PKI实体与CA分开，RA的功能随情况而不同，但是可以包括身份认证和用户名分配，密钥生成和密钥对归档，密码模件分发及作废报告管理。国防部定义：对CA负责当地用户身份（标识）识别的人。

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍--PKI的基本组成证书管理机构（CMA）

将CA和RA合起来称CMA(certificatemanagementauthority)。

证书存档(Repository)

一个电子站点，存放证书和作废证书列表（CRL），CA在用证书和作废证书。署名用户（Subscriber）

署名用户是作为主体署名证书并依据策略使用证书和相应密钥的实体。

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍--PKI的基本组成依赖方(Relyingparty)

一个接收包括证书和签名信息的人或机构，利用证书提供的公钥验证其有效性，与持证人建立保密通信，接收方处于依赖的地位。最终用户（EndUser）

署名用户和依赖方的统称，也称末端实体（End-entity）,可以是人，也可以是机器，如路由器，或计算机中运行的进程，如防火墙。

五步教学法检查回顾新知学习合作探究考核点评过关测试1公钥基础设施的介绍--PKI的基本组成如图所示，攻击者可以轻易的更换Alice存储的Bob公钥，而使得Alice误以为攻击者是Bob。为了避免这种攻击，我们可以部署一个可信的中央数据库存储各方的公钥。然而使用中央数据库又带来了管理公钥的问题，以及使用不方便的问题。

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书为了避免上诉的问题，PKI引入了数字证书的概念证书(certificate)，有时候简称为certPKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途签名证书和加密证书分开最常用的证书格式为X.509v3

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书版本1、2、3序列号：在CA内部唯一签名算法标识符：指该证书中的签名算法签发人名字：CA的名字有效时间：起始和终止时间个体名字

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书个体的公钥信息：算法；参数；密钥签发人唯一标识符个体唯一标识符扩展域签名

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书一个数字证书由三个组成部分，即证书内容，签名算法以及签名值。证书内容包括了公钥拥有者的身份信息、公钥、以及其它的一些信息。下图为基于X.509标准的证书主要内容。

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书4.定义数字证书结构的标准是（

）。

X.500TCP/IPASN.1X.509ABCD提交单选题10分多选题10分

五步教学法检查回顾新知学习合作探究考核点评过关测试单选题10分5.数字证书上除了有签证机关、序列号、加密算法、生效日期等等外，还有（

）。公钥私钥用户账户ABC提交

五步教学法检查回顾新知学习合作探究考核点评过关测试单选题10分下图是DigiCertSHA2SecureServerCA给知乎网站*.签发的一个数字证书，有效期从2019年3月20号到2020年4月19号，签名算法使用SHA256，加密方法为RSA加密。

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书--PKI的运行证书机构CA证书库署名用户依赖方312465X509标准PKIX1）署名用户向证明机构（CA）提出数字证书申请；2）CA验明署名用户身份，并签发数字证书；3）CA将证书公布到证书库中；4）署名用户对电子信件数字签名作为发送认证，确保信件完整性，不可否认性，并发送给依赖方。5）依赖方接收信件，用署名用户的公钥验证数字签名，并到证书库查明署名用户证书的状态和有效性；6）证书库返回证书检查结果。

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书--PKI的运行密钥/证书生命周期管理的各个阶段：--初始化阶段--颁发阶段--取消阶段证书过期证书撤销

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书--PKI中密钥和证书的管理

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书--密钥生命周期密钥产生证书签发Bob密钥使用Bob证书检验密钥过期密钥更新在终端实体能够使用PKI支持的服务之前，它们必须初始化以进入PKI。初始化由以下几步组成：

①终端实体注册。

②密钥对产生。

③证书创建和密钥/证书分发。

④证书分发。

⑤密钥备份。

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书--PKI初始化阶段

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书--PKI初始化阶段终端实体的初始化8.证书响应7.证书请求4.注册建立请求5.注册建立结果6.注册结果3.注册表格提交2.注册表格应答终端实体RACA1.注册表格请求一旦私钥和公钥证书已经产生并适当地分发，密钥/证书生命周期管理的颁发阶段即开始。这个阶段包括：

①证书检索——远程资料库的证书检索。

②证书验证——确定一个证书的有效性（包括证书路径的验证）。

③密钥恢复——当不能正常访问密钥资料时，从CA或信任第三方处恢复。

④密钥更新——当一个合法的密钥对将过期时，进行新的公/私钥的自动产生和相应证书的颁发。

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书--颁发阶段密钥/证书生命周期管理以取消阶段来结束。此阶段包括如下内容：

①证书过期——证书生命周期的自然结束。

②证书撤销——宣布一个合法证书（及其相关私有密钥）不再有效。

③密钥历史——维持一个有关密钥资料的记录（一般是关于终端实体的），以便被过期的密钥资料所加密的数据能够被解密。

④密钥档案——出于对密钥历史恢复、审计和解决争议的考虑所进行的密钥资料的安全第三方储存。

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书--撤销阶段

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书--撤销阶段PKI中证书的撤销2.证书撤销响应证书撤销请求2.证书撤销响应1.证书撤销请求RACA带外请求终端实体OR在实际应用中，根据场景的不同，一般需要使用不同类型或功能的数字证书。我们根据证书的持有者类别以及密钥使用类别，可以对证书进行分类。根据证书持有者分类CA证书：证书的此有者是CA本身。个人证书：CA给个人用户颁发的证书。单位证书：CA给组织单位颁发的证书。系统证书：CA给各种系统颁发的证书。根据证书中密钥使用类别分类签名证书：签名证书作用是允许证书中的公钥对签名进行验证，但其不能用于进行加解密。加密证书：加密证书的作用是允许证书中的公钥进行加密，但其不能用于进行签名的验证。

五步教学法检查回顾新知学习合作探究考核点评过关测试2数字证书6.数字证书采用公钥体制，每个用户设定一把公钥，由本人公开，用它进行（

）。加密和验证签名解密和签名加密解密ABCD提交

五步教学法检查回顾新知学习合作探究考核点评过关测试单选题10分职责--接受用户的请求--(由RA负责对用户的身份信息进行验证)--用自己的私钥签发证书--提供证书查询--接受证书注销请求--提供证书注销表各个组件和功能示意图

五步教学法检查回顾新知学习合作探究考核点评过关测试3CA(CertificateAuthority)健壮的数据

库系统无缝的目录接口CA硬件管理和运

行平台安全的审计密钥PKI

五步教学法检查回顾新知学习合作探究考核点评过关测试3CA(CertificateAuthority)密钥备份和恢复

进一步授权

(#可定制)授权恢

复密钥RA最终用户PKI加密密钥的历史新的签名密钥对

和证书Password??Help!!随机点名：我们实际忘记密码时怎样操作的？

五步教学法检查回顾新知学习合作探究考核点评过关测试3CA(CertificateAuthority)CA密钥更新保证透明性用于验证的CA公钥用于签名的CA私钥

CA最终用户Sep 1998Oct 1998Nov 1998Dec 1998Jan 1999Feb 1999Mar 1999Apr 1999May 1999Jun 1999Jul 1999Aug 1999CA密钥历史保证对于

最终用户和其他的PKI

是透明的新的CA签名

密钥对7.CA用（

）签名数字证书。用户的公钥用户的私钥自己的公钥自己的私钥ABCD提交单选题10分多选题10分

五步教学法检查回顾新知学习合作探究考核点评过关测试单选题10分数字证书，其主要的作用是信任传递。用户因为信任CA，所以把CA里存储的公钥当作为通信另一方的公钥。然而在实际使用的时候，我们并无法得知当前的CA是否为可信的。相对的我们可能只会相信一个具有权威的根CA，而其它CA为了使用户相信也会让根CA为其颁发证书。如下图所示，这样会形成一条信任链，也就是证书路径。

五步教学法检查回顾新知学习合作探究考核点评过关测试3CA信任模型当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？--信任难以度量，总是与风险联系在一起可信CA--如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA根据PKI信任链分层的不同，可以将PKI的信任模型分为四类。根CA信任模型：如下图所示，在该模型下CA可以分为多个等级，每个等级，每个等级之间有严格的上下层关系，上层CA给下层CA颁发证书，所以下层CA信任上层CA。最顶层的CA称为根CA，其下面的CA成为子CA。在该模型下，用户的信任锚可以是根CA或者子CA。

五步教学法检查回顾新知学习合作探究考核点评过关测试根CA具有一个自签名的证书根CA依次对它下面的CA进行签名层次结构中叶子节点上的CA用于对安全个体进行签名对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的在CA的机构中，要维护这棵树在每个节点CA上，需要保存两种cert

(1)ForwardCertificates:其他CA发给它的certs

(2)ReverseCertificates:它发给其他CA的certs3.1根CA信任模型假设个体A看到B的一个证书B的证书中含有签发该证书的CA的信息沿着层次树往上找，可以构成一条证书链，直到根证书验证过程：沿相反的方向，从根证书开始，依次往下验证每一个证书中的签名。其中，根证书是自签名的，用它自己的公钥进行验证一直到验证B的证书中的签名如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥

五步教学法检查回顾新知学习合作探究考核点评过关测试3.1根CA信任模型--CA中证书的验证问题：证书链如何获得？

五步教学法检查回顾新知学习合作探究考核点评过关测试PKI通过分层的信任链来确保证书的安全。每个证书都包含了证书的“使用者”和“颁发者”。为了减少根CA的工作量，根CA会颁发一些被广泛认可的根证书。这些根证书的使用者和发布者都是其本身。然后，这些根证书又能颁布中间证书，每个中间证书又可以给具体的实体颁发终端实体证书。当用户进行证书验证时，其需要按照信任链找到上层某一个可信的CA。如图所示，为了验证知乎网站的证书，用户会遍历证书的信任链，当其验证到证书3：DigiCert的证书时，发现其在浏览器的可信根CA列表中，所以完成验证，允许建立可信连接。3.1根CA信任模型--CA中证书的验证

五步教学法检查回顾新知学习合作探究考核点评过关测试3.1根CA信任模型--CA中证书的验证证书链的验证示例如果用户i和j都属于CA111，那么i和j之间的密钥交换，只需要持有CA111开具的证明书就可以，即：对用户i和j的公钥PKi和PKj分别盖章，如(Pki)ca111,(Pkj)ca111,那么用户i和j就能证明密钥是对方的密钥。

五步教学法检查回顾新知学习合作探究考核点评过关测试3.1根CA信任模型--CA认证模型CACA1CA2CA11CA12CA21CA22个人证书个人证书个人证书个人证书ijCA111CA121

CA证明链CA122如果用户j的证明书是CA122开具的，那么情况就复杂了，各自具有：

i方：(Pki)ca111,(CA111)CA11,(CA11)CA1

j方：(Pkj)ca122,(CA122)CA12,(CA12)CA1

这就形成了层层证明的证明链（certificationchain）。这里，符号(CA11)CA1是CA1对CA11的公钥盖章，只是证明本公钥是CA11的。

五步教学法检查回顾新知学习合作探究考核点评过关测试3.1根CA信任模型--CA认证模型CACA1CA2CA11CA21CA22个人证书个人证书个人证书ij

CA证明链CA111CA12个人证书CA121CA122分组讨论：

根据下图用户i和j所拥有的证书，假设i看到j的证书并要对其进行验证，请表示出其证明链。

五步教学法检查回顾新知学习合作探究考核点评过关测试CACA1CA2CA11CA12CA21CA22个人证书个人证书个人证书个人证书ij

五步教学法检查回顾新知学习合作探究考核点评过关测试3.2交叉认证信任模型交叉认证信任模型：如下图所示，在该模型下有多个根CA，不同的根CA之间可以相互签发交叉认证证书，这样可以确保在不增加信任锚的情况下建立起不同CA管理域之间的信任关系。

五步教学法检查回顾新知学习合作探究考核点评过关测试3.3桥CA信任模型桥CA信任模型：如下图所示，该模型似于交叉认证信任模型，不同是该信任模型加了一个独立的虚拟桥CA，这个桥CA与其它根CA之间相互签发交叉认证证书，将不同的根CA之间通过这个桥CA连接起来，根CA之间不需要再签发交叉认证证书。

五步教学法检查回顾新知学习合作探究考核点评过关测试3.4信任列表信任模型信任列表信任模型：如下图所示，在该信任模型下，一个用户可以拥有多个信任锚。即其可以将多个可信的根CA或者子CA存储在其信任列表中，这样其可以更加高效地验证不同管理域下的用户证书。8.CA交叉认证的结果是（

）。产生用户证书产生交叉证书产生CRL产生OCSPABCD提交

五步教学法检查回顾新知学习合作探究考核点评过关测试单选题10分

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理密钥管理是密码系统中最重要，同时也是最薄弱的环节，密钥的泄漏将直接导致整个密码系统的失效。密钥管理是密码算法，鉴别逻辑，VPN等的技术的基础，密钥的重要性随着信息安全技术的发展越显突出。重要性：逻辑隔离技术之一重要的认证参数管理体制：集中，分散分发体制：静态，动态层次化的密钥管理结构。在较大的信息系统中，密钥按其作用分为三种：将用于数据加密的密钥称三级密钥；保护三级密钥的密钥称二级密钥，也称密钥加密密钥；保护二级密钥的密钥称一级密钥，也称密钥保护密钥或主密钥，主密钥构成了整个密钥管理系统的关键。

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理密钥使用举例

DATAHASH（DATA）=H;(H)DA=SIGNERAN1（DATA//SIGN）=CODEEKA-B(RAN1)=RAN2

发送：（RAN2，CODE）

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理在密钥管理体制中，密钥整个生存周期中要涉及到密钥的生产、验证、分发、交换、存储、更换、销毁等多个方面。密钥分发和交换技术是整个密钥管理技术中最关键，最核心的技术。密钥管理的内容和原则

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理密钥分发密钥分发可分为两种形式，静态分发和动态分发。密钥分发方式与密钥生产方式相关，也与密钥存储技术相关。静态分发是由中心以脱线方式预分配的技术，采用“面对面”的分发方式，是属于秘密通道的传递方式之一。静态分发方式只有在集中式机制下才能存在，其前提条件是必须解决所分发密钥的存储问题。--动态分发是“请求-分发”的在线分发技术。密钥分发可以采用密钥证书的形式，密钥传递和密钥鉴别同时进行，其协议安全性需要证明。有中心的KMC或无中心的CA机制都可采用。在KMC中通常采用即用即发方式，无需解决密钥存放问题，但要解决密钥传递的秘密通道问题。而在CA中密钥的存放问题和密钥获取得的问题都需要解决。

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理封闭式密钥管理一直是密钥管理的主导方式，适用于各种专用网。专用网一般指处理专门业务的封闭网。专用网的密钥管理一般采用集中式密钥管理中心（KMC）实现，密钥由密钥管理中心统一编制，统一生产，统一配发使用。--物理分发：又称静态分发，密钥的生产和配发在KMC内部进行，KMC一般离线工作。在KMC体制中，静态分发是密钥管理的基础。封闭式密钥管理的密钥分发的类型--电子分发：又称动态分发，往往是在静态分发的基础上实现的。动态分发是近年来发展出的新技术，最初由KMC体制发展，现在延伸到开放网的CA、PKI技术中。

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理

静态配置的封闭式密钥管理是一种事先进行预配置的密钥管理。在密钥管理中心（KMC）和各所属用户之间建立信任关系的基础上，密钥统一由KMC生成、分发、更换的集中式（centralized）的管理体制。 --点对点配置 --单层星形配置 --多层星形配置 --网状配置静态配置的封闭式密钥管理

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理静态分发：单层星状配置

中心K1K2K3KnT2,K2T3,K3TN,Kn

T1,K1

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理CBDAKA-B

KA-C

KA-DKC-A

KC-B

KC-DKD-A

KD-B

KD-CKB-A

KB-C

KB-D静态分发：网状配置

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理

动态分发的封闭式密钥管理是在静态分发技术基础上发展起来的新技术。专用网的动态分发一般采用集中式，即KMC下的动态分发。动态分发可以基于单钥体制实现，也可以基于双钥体制实现；而动态分发的密钥类型可以是单密钥，也可以是双密钥。--基于单钥的单钥分发--基于单钥的双钥分发--基于双钥的单钥分发动态分发的封闭式密钥管理

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理动态分发：KDC，拉方式分发协议：1)a→c：request//n1;2)c→a：EKA(KS//request//n1//EKB(KS,IDA))3)a→b：EKB(KS,IDA)

这样a,b双方都有相同的密钥KS。验证协议：4)b→a：EKS(N2)5)a→b：EKS(f(N2)),

其中f是简单函数，是加1等简单变换。

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理KDCAB1。request//n12。EKA(KS//request//n1//EKB(KS,IDA))3。EKB(KS,IDA)4。EKS(N2)5。EKS(fN2)

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理动态分发：KDC，推方式分发协议：1）a→b：a,EKA(EMa);2)b→c：EKA(EMa)3）c→b：EKB(KS,a,EMb),EKA(KS,b,EMa)4）b→a：EKA(KS,b,EMa)

五步教学法检查回顾新知学习合作探究考核点评过关测试4密钥管理KDCAB1。a,EKA(EMa)4。EKA(KS,b,EMa)2。EKA(EMa)3。EKB(KS,a,EMb),EKA(KS,b,EMa)

五步教学法检查回顾新知学习合作探究考核点评过关测试5公钥基础设施的应用

当前，全球已经有几十亿设备连接到互联网上，建立起万物互联的物联网，给人类生活带来极大的便利。根据Gartner报告预测，预计到2020年，将有超过260亿设备互相连接，物联网技术将产生数十万亿的商业价值。

然而，由于物联网安全标准滞后，且智能设备制造商也缺乏安全意识和投入，这些都为物联网安全埋下极大隐患，是个人隐私、企业信息安全，甚至国家关键基础设施的头号安全威胁。

作为保障互联网安全的