數據安全技術.

1、信息安全技術信息安全技術 數據安全數據安全技術技術本章學習目標本章學習目標l理解常用數據加密技術理解常用數據加密技術l掌握掌握PGP的使用的使用l了解文件加密技術了解文件加密技術l了解數據備份和容災技術了解數據備份和容災技術l本章小結本章小結6.1 數據加密技術數據加密技術l數據加密數據加密l數據加密數據加密就是將密碼學應用在數據傳遞過程中，就是將密碼學應用在數據傳遞過程中，以保證數據的安全性。以保證數據的安全性。l利用密碼技術可以把某些重要信息或數據從一利用密碼技術可以把某些重要信息或數據從一個可理解的明文形式變換成為一種錯亂的、不個可理解的明文形式變換成為一種錯亂的、不可理解的密文形式，稱

2、為可理解的密文形式，稱為加密過程加密過程。l密文經過線路傳送到達目的端后，用戶按特定密文經過線路傳送到達目的端后，用戶按特定的解密方法將密文還原為明文，稱為的解密方法將密文還原為明文，稱為解密過程解密過程。l 典型加密解密過程典型加密解密過程l 加密技術加密技術l一種密文的保密程度與加密算法的強度（或稱算一種密文的保密程度與加密算法的強度（或稱算法雜度）相關，加密強度越大，密文越不容易被法雜度）相關，加密強度越大，密文越不容易被破譯，保密性也就越好；然而，隨著加密強度的破譯，保密性也就越好；然而，隨著加密強度的加大，算法的計算復雜亦會相應增加，加密解密加大，算法的計算復雜亦會相應增加，加密解密

3、的執(zhí)行效率也會相應降低。因此，合理確定系統(tǒng)的執(zhí)行效率也會相應降低。因此，合理確定系統(tǒng)的加密強度也是一個成功電子交易系統(tǒng)的一個重的加密強度也是一個成功電子交易系統(tǒng)的一個重要環(huán)節(jié)。要環(huán)節(jié)。l密碼技術是最常用的安全交易手段，在電子商務密碼技術是最常用的安全交易手段，在電子商務中常用的加密方法有對稱密鑰加密方法和公開密中常用的加密方法有對稱密鑰加密方法和公開密鑰加密方法兩類。前者以數據加密標鑰加密方法兩類。前者以數據加密標準準DES算法算法為典型代表，后者通常以為典型代表，后者通常以RSA算法為代表算法為代表。l 對稱密鑰加密技術對稱密鑰加密技術l對稱密鑰加密算法是指文件加密和解密使用一個對稱密鑰加密

4、算法是指文件加密和解密使用一個相同秘密密鑰，也叫會話密鑰。目前世界上較為相同秘密密鑰，也叫會話密鑰。目前世界上較為通用的對稱加密算法為通用的對稱加密算法為DES。l DES算法算法l數據加密標準數據加密標準DES算法由美國算法由美國IBM公司于公司于1972年年研制成功，研制成功，1979年美國銀行協會批準使用年美國銀行協會批準使用DES，1980年它又成為美國標準化協會（年它又成為美國標準化協會（ANSI）的標準。）的標準。lDES算法的基本思想來自于分組密碼，即將明文算法的基本思想來自于分組密碼，即將明文劃分成固定的劃分成固定的n比特的數據組，然后以組為單位，比特的數據組，然后以組為單位，

5、在密鑰的控制下進行一系列的線性或非線性的變在密鑰的控制下進行一系列的線性或非線性的變化變換而得到密文，這就是分組密碼（化變換而得到密文，這就是分組密碼（block cipher）體制。）體制。l DES算法算法l DES算法安全性算法安全性lDES算法具有極高安全性，到目前為止，除了用窮舉算法具有極高安全性，到目前為止，除了用窮舉搜索法對搜索法對DES算法進行攻擊外，還沒有發(fā)現更有效的算法進行攻擊外，還沒有發(fā)現更有效的辦法。對于辦法。對于56位長的密鑰，如果一臺計算機的速度是位長的密鑰，如果一臺計算機的速度是每一秒種檢測一百萬個密鑰，則它搜索完全部密鑰就每一秒種檢測一百萬個密鑰，則它搜索完全部

6、密鑰就需要將近需要將近2285年的時間。當出現超高速計算機后，我年的時間。當出現超高速計算機后，我們可將們可將DES密鑰的長度再增長一些，以此來達到更高密鑰的長度再增長一些，以此來達到更高的保密程度。的保密程度。l早在早在1977年，年，Diffie和和Hellman已建議制造一個每秒能已建議制造一個每秒能測試測試100萬個密鑰的萬個密鑰的VLSI芯片。每秒測試芯片。每秒測試100萬個密萬個密鑰的機器大約需要一天就可以搜索整個密鑰空間。他鑰的機器大約需要一天就可以搜索整個密鑰空間。他們估計制造這樣的機器大約需要們估計制造這樣的機器大約需要2000萬美元萬美元。l DES算法安全性算法安全性l在

7、在CRYPTO93上，上，Session和和Wiener給出了一個非常詳細給出了一個非常詳細的密鑰搜索機器的設計方案，這個機器基于并行運算的密的密鑰搜索機器的設計方案，這個機器基于并行運算的密鑰搜索芯片，所以鑰搜索芯片，所以16次加密能同時完成。花費次加密能同時完成?；ㄙM10萬美元，萬美元，平均用平均用1.5天左右就可找到天左右就可找到DES密鑰密鑰。l美國克羅拉多洲的程序員美國克羅拉多洲的程序員Verser從從1997年年2月月18日起，用了日起，用了96天時間，在天時間，在Internet上數萬名志愿者的協同工作下，成上數萬名志愿者的協同工作下，成功地找到了功地找到了DES的密鑰，贏得了懸

8、賞的的密鑰，贏得了懸賞的1萬美元。萬美元。l1998年年7月電子前沿基金會（月電子前沿基金會（EFF）使用一臺）使用一臺25萬美圓的萬美圓的電腦在電腦在56小時內破譯了小時內破譯了56比特密鑰的比特密鑰的DES。l1999年年1月月RSA數據安全會議期間，電子前沿基金會用數據安全會議期間，電子前沿基金會用22小時小時15分鐘就宣告破解了一個分鐘就宣告破解了一個DES的密鑰的密鑰。l DES算法應用算法應用l目前在國內，隨著三金工程尤其是金卡工程目前在國內，隨著三金工程尤其是金卡工程的啟動，的啟動，DES算法在算法在POS、ATM、磁卡及智、磁卡及智能卡（能卡（IC卡）、加油站、高速公路收費站等

9、卡）、加油站、高速公路收費站等領域被廣泛應用，以此來實現關鍵數據的保領域被廣泛應用，以此來實現關鍵數據的保密，如信用卡持卡人的密，如信用卡持卡人的PIN的加密傳輸，的加密傳輸，IC卡與卡與POS間的雙向認證、金融交易數據包的間的雙向認證、金融交易數據包的MAC校驗等，均用到校驗等，均用到DES算法。算法。l DES算法優(yōu)缺點算法優(yōu)缺點lDES算法的優(yōu)點是加密、解密速度快，算法容易實現，安算法的優(yōu)點是加密、解密速度快，算法容易實現，安全性好，迄今為止尚未找到一種在理論上破譯全性好，迄今為止尚未找到一種在理論上破譯DES的行之的行之有效的方法。有效的方法。lDES算法的密鑰長度是算法的密鑰長度是5

10、6比特，密鑰量只有比特，密鑰量只有2561017個個，容，容易被窮盡。易被窮盡。l密鑰更換、傳遞和交換需要可靠信道。密鑰更換、傳遞和交換需要可靠信道。l密鑰分發(fā)和管理復雜、代價高昂。如有密鑰分發(fā)和管理復雜、代價高昂。如有N用戶，則需要用戶，則需要C=N (N-1)/2個密鑰，個密鑰，n=1000時，時，C(1000)500000, 管理困難。管理困難。l無法滿足不相識的人之間通信的保密要求。無法滿足不相識的人之間通信的保密要求。l不能實現數字簽名。不能實現數字簽名。l 3DES算法算法l為了增加密鑰的長度，人們建議將一種分組密碼為了增加密鑰的長度，人們建議將一種分組密碼進行級聯，在不同的密鑰作

11、用下，連續(xù)多次對一進行級聯，在不同的密鑰作用下，連續(xù)多次對一組明文進行加密，通常把這種技術稱為組明文進行加密，通常把這種技術稱為多重加密多重加密技術技術。對。對DES，建議使用，建議使用3DES增強加密強度。增強加密強度。3DES可以用兩個密鑰（或三個密鑰）對明文進可以用兩個密鑰（或三個密鑰）對明文進行三次加密，假設兩個密鑰是行三次加密，假設兩個密鑰是K1和和K2：l（1）用密鑰）用密鑰K1進行進行DES加密。加密。l（2）用）用K2對步驟對步驟1的結果進行的結果進行DES解密。解密。l（3）對（）對（2）的結果使用密鑰）的結果使用密鑰K1進行進行DES加密。加密。l3DES的缺點是加、解密速

12、度比的缺點是加、解密速度比DES慢。慢。l 3DES算法算法l 公開密鑰加密技術公開密鑰加密技術l公開密鑰加密算法也叫非對稱加密算法，需要兩個密鑰：公開密鑰加密算法也叫非對稱加密算法，需要兩個密鑰：公開密鑰和私有密鑰。這種算法加密和解密使用的是兩個公開密鑰和私有密鑰。這種算法加密和解密使用的是兩個不同的密鑰。不同的密鑰。l 公鑰算法公鑰算法lDiffie-Hellman、RSA和和DSA是三種常用的公鑰算是三種常用的公鑰算法法，其中最著名且應用最廣泛的是其中最著名且應用最廣泛的是RSA算法。算法。lDiffie-Hellman僅適用于密鑰交換。僅適用于密鑰交換。lRSA算法適用于數字簽名和密鑰

13、交換。算法適用于數字簽名和密鑰交換。lDSA算法僅適用于數字簽名，用于算法僅適用于數字簽名，用于Linux系統(tǒng)。系統(tǒng)。l RSA算法算法lR、S、A是三個科學家名字的組合，即是三個科學家名字的組合，即R.L.Rivest、A.Shamir和和L.Adleman。RSA公鑰系統(tǒng)受到了廣泛的重視，公鑰系統(tǒng)受到了廣泛的重視，并有以該算法為基礎的國際標準。該算法基于數論的非對并有以該算法為基礎的國際標準。該算法基于數論的非對稱密碼體制，是建立在大整數的素數因子分解的困難上，稱密碼體制，是建立在大整數的素數因子分解的困難上，屬于分組密碼體制。屬于分組密碼體制。lRSA算法算法1977年發(fā)明，年發(fā)明，19

14、78年公布。年公布。l RSA算法算法是十分困難的。求出想從者滿足一定關系，但破譯而且是公開的，保密的只有該體制中，為兩個大素數）。其中，私鑰：公鑰：dNeNdedNeqpqpNNdSKNePK,(),(),(l RSA算法算法NYXNXYNYXYXdemodmod,:解密：加密：則為整數）密文。（：明文；令l RSA算法算法。下式的，并計算出滿足，作為公開的加密指數互素的數中選擇一個與，第三步：用戶從的歐拉數第二步：計算出公開；將計算出和兩個大素數第一步：用戶秘密選擇)(mod1,)(1)(0);1)(1()(,NeddeNNqpNNNqpNqpl RSA算法示例算法示例。解密：加密：取17

15、55mod18mod;18;1855mod17mod;17;2740mod3)(mod;16)40()(, 3;40104) 1)(1()(;55115,11, 5273116)1)(NYXYNXYXNedNeqpNNqpdeNl RSA算法安全性算法安全性lRSA算法的安全性建立在難于對大數提取因子的基礎上，算法的安全性建立在難于對大數提取因子的基礎上，有四種可能對有四種可能對RSA的攻擊方法：的攻擊方法：l強行攻擊：嘗試所有可能的密鑰。強行攻擊：嘗試所有可能的密鑰。l數學攻擊：對兩個素數乘積的因子分解。數學攻擊：對兩個素數乘積的因子分解。l計時攻擊：依賴于解密算法的運行時間。計時攻擊：依賴

16、于解密算法的運行時間。l選擇密文攻擊：利用了選擇密文攻擊：利用了RSA算法的性質。算法的性質。l1999年，數百臺計算機合作分解了一個年，數百臺計算機合作分解了一個512位長的位長的N。lRSA面臨的較大威脅主要來自于計算能力的持續(xù)提高和因面臨的較大威脅主要來自于計算能力的持續(xù)提高和因子分解算法的不斷改進，其中計算機能力的提高包括由于子分解算法的不斷改進，其中計算機能力的提高包括由于計算機網絡的發(fā)展所導致的聯網眾多計算機進行分布式計計算機網絡的發(fā)展所導致的聯網眾多計算機進行分布式計算能力的大力提高和巨型計算機能力的提高。算能力的大力提高和巨型計算機能力的提高。l RSA算法安全性算法安全性l但

17、是，計算機硬件的迅速發(fā)展給但是，計算機硬件的迅速發(fā)展給“盾盾”帶來的好處要多于帶來的好處要多于“矛矛”。硬件計算能力的增強可以給。硬件計算能力的增強可以給N加大幾十個比特，加大幾十個比特，而不致于放慢加密與解密的計算。但同樣水平的硬件計算而不致于放慢加密與解密的計算。但同樣水平的硬件計算能力的增強給因數分解計算的幫助卻不那么大。能力的增強給因數分解計算的幫助卻不那么大。l隨著單機計算能力的提高，隨著單機計算能力的提高，Internet網絡的迅猛發(fā)展，各網絡的迅猛發(fā)展，各種快速算法的提出，種快速算法的提出，RSA模數也要因應而變。長的密鑰會模數也要因應而變。長的密鑰會在很長的一段時間內是安全的。

18、現在在很長的一段時間內是安全的。現在RSA應用中大都應用中大都1024位的模數，因為位的模數，因為1024-2048位的模數將會在今后很長一段時位的模數將會在今后很長一段時間里是安全的。間里是安全的。l因此，只要合理選擇參數，科學應用因此，只要合理選擇參數，科學應用RSA，應該是安全的、，應該是安全的、可行的。可行的。l RSA算法優(yōu)缺點算法優(yōu)缺點l公鑰技術是二十世紀最偉大的思想之一。公鑰技術是二十世紀最偉大的思想之一。l改變了密鑰分發(fā)的方式，密鑰分發(fā)簡單。改變了密鑰分發(fā)的方式，密鑰分發(fā)簡單。l密鑰管理簡單，需要保存的密鑰量大大減少，密鑰管理簡單，需要保存的密鑰量大大減少，N個用戶個用戶只需要

19、只需要N個。個。l可滿足不相識的人之間保密通信?？蓾M足不相識的人之間保密通信。l可以實現數字簽名，廣泛用于身份認證服務?？梢詫崿F數字簽名，廣泛用于身份認證服務。lRSA主要缺點是產生密鑰受到素數產生技術的限制；密鑰主要缺點是產生密鑰受到素數產生技術的限制；密鑰分組長度較長，運算速度較低。分組長度較長，運算速度較低。l 公鑰密碼系統(tǒng)應用公鑰密碼系統(tǒng)應用l通信保密。通信保密。l數字簽名。數字簽名。l密鑰交換。密鑰交換。l 數字摘要數字摘要l數字摘要是用來保證信息完整性的一項技術。它是一數字摘要是用來保證信息完整性的一項技術。它是一種單向加密算法。種單向加密算法。l數字摘要通過單向數字摘要通過單向H

20、ash函數，將需加密的明文函數，將需加密的明文“摘要摘要”成一串固定長度成一串固定長度(如如128bit)的密文，不同的明文摘要成的密文，不同的明文摘要成的密文其結果總是不相同，同樣的明文其摘要必定一的密文其結果總是不相同，同樣的明文其摘要必定一致，并且即使知道了摘要也不能反推出明文。致，并且即使知道了摘要也不能反推出明文。l數字摘要技術用于證明信息的完整性和準確性，主要數字摘要技術用于證明信息的完整性和準確性，主要用于防止原文被篡改。用于防止原文被篡改。l Hash算法算法lMD5和和SHA-1是當今應用最為廣泛的兩種是當今應用最為廣泛的兩種Hash算法，算法，是各種信息安全體系所依賴的大廈

21、基石。是各種信息安全體系所依賴的大廈基石。lMD5誕生于誕生于1991年，全稱是年，全稱是“Message-Digest Algorithm(信息信息摘要算法摘要算法) 5”，由，由MTI的計算機安全實驗室和的計算機安全實驗室和RSA安全公司安全公司共同提出，之前已經有共同提出，之前已經有MD2、MD3和和MD4幾種算法。幾種算法。MD5克克服了服了MD4的缺陷，生成的缺陷，生成128bit的摘要信息串，出現之后迅速成的摘要信息串，出現之后迅速成為主流算法。為主流算法。lSHA誕生于誕生于1993年，由美國國家安全局（年，由美國國家安全局（NSA）設計，也稱）設計，也稱安全哈希算法（安全哈希算

22、法（Secure Hash Algorithm）。）。SHA（即（即SHA-0）于于1995年被年被SHA-1替代。替代。SHA-1生成長度為生成長度為160bit的摘要信息的摘要信息串，是目前的主流應用算法。后來又出現了串，是目前的主流應用算法。后來又出現了SHA-224、SHA-256、SHA-384和和SHA-512等被統(tǒng)稱為等被統(tǒng)稱為“SHA-2”系列算法。系列算法。l MD5和和SHA-1應用應用l常見的常見的Unix系統(tǒng)口令以及多數論壇系統(tǒng)口令以及多數論壇/社區(qū)系統(tǒng)口令都是經社區(qū)系統(tǒng)口令都是經MD5處理后保存其摘要信息串處理后保存其摘要信息串。l互聯網文件下載的完整性驗證。一般都提

23、供一個互聯網文件下載的完整性驗證。一般都提供一個MD5的數字的數字摘要，下載方通過摘要，下載方通過MD5摘要能夠確認所下載的文件與原文件摘要能夠確認所下載的文件與原文件一致，以此來防止文件被篡改。一致，以此來防止文件被篡改。lMD5和和SHA-1還常被用來與公鑰技術相結合來創(chuàng)建數字簽名。還常被用來與公鑰技術相結合來創(chuàng)建數字簽名。l當前幾乎所有主要的信息安全協議都使用了當前幾乎所有主要的信息安全協議都使用了SHA-1和和MD5，包括包括SSL、TLS、PGP、SSH、S/MIME和和IPSec等協議。等協議。l在中國，在中國，MD5和和SHA-1也是在實際應用中最廣泛的兩種數字也是在實際應用中最

24、廣泛的兩種數字簽名算法，包括網上銀行等金融業(yè)務在內的很多數字簽名都簽名算法，包括網上銀行等金融業(yè)務在內的很多數字簽名都采用采用SHA-1或或MD5算法。算法。l 散列函數散列函數MD4、MD5、HAVAL-128 和和 RIPEMD 中的碰撞中的碰撞l 數字簽名數字簽名l數字簽名也稱為電子簽名，是指數據電文中以電數字簽名也稱為電子簽名，是指數據電文中以電子形式所含、所附用于識別簽名人身份并表明簽子形式所含、所附用于識別簽名人身份并表明簽名人認可其中內容的數據。名人認可其中內容的數據。l數字簽名建立在公鑰加密體制基礎上，是公鑰加數字簽名建立在公鑰加密體制基礎上，是公鑰加密技術的另一類應用。它把公

25、鑰加密技術和數字密技術的另一類應用。它把公鑰加密技術和數字摘要結合起來，形成了實用的數字簽名技術。摘要結合起來，形成了實用的數字簽名技術。l數字簽名解決了電子商務信息的完整性鑒別和不數字簽名解決了電子商務信息的完整性鑒別和不可否認性（抵賴性）問題。可否認性（抵賴性）問題。l 數字簽名作用數字簽名作用l簽名可信。文件的接收者相信簽名者是慎重地在簽名可信。文件的接收者相信簽名者是慎重地在文件上簽字的。文件上簽字的。l簽名不可偽造。簽名證明是簽字者而不是其他人簽名不可偽造。簽名證明是簽字者而不是其他人在文件上簽字。在文件上簽字。l簽名不可重用。簽名是文件的一部分，不可能將簽名不可重用。簽名是文件的一

26、部分，不可能將簽名移到不同的文件上。簽名移到不同的文件上。l簽名的文件是不可改變。文件被簽名后不能改變。簽名的文件是不可改變。文件被簽名后不能改變。l簽名不可抵賴。簽名和文件是物理的東西，因此簽名不可抵賴。簽名和文件是物理的東西，因此簽名者事后不能說他沒有簽過名。簽名者事后不能說他沒有簽過名。l 數字簽名和驗證過程數字簽名和驗證過程l報文的發(fā)送方從原文中生成一個數字摘要，再用發(fā)送報文的發(fā)送方從原文中生成一個數字摘要，再用發(fā)送方的私鑰對這個數字摘要進行加密來形成發(fā)送方的數方的私鑰對這個數字摘要進行加密來形成發(fā)送方的數字簽名。字簽名。l發(fā)送方將數字簽名作為附件與原文一起發(fā)送給接收方。發(fā)送方將數字簽

27、名作為附件與原文一起發(fā)送給接收方。l接收方用發(fā)送方的公鑰對已收到的加密數字摘要進行接收方用發(fā)送方的公鑰對已收到的加密數字摘要進行解密。解密。l接收方對收到的原文用接收方對收到的原文用Hash算法得到接收方的數字摘算法得到接收方的數字摘要。要。l將解密后的發(fā)送方數字摘要與接收方數字摘要進行對將解密后的發(fā)送方數字摘要與接收方數字摘要進行對比，進行判斷。比，進行判斷。l 數字簽名和驗證過程數字簽名和驗證過程l 數字時間戳數字時間戳l在書面合同文件中，日期和簽名均是十分重要的防在書面合同文件中，日期和簽名均是十分重要的防止被偽造和篡改的關鍵性內容止被偽造和篡改的關鍵性內容。l在電子交易中，時間和簽名同

28、等重要。數字時間戳在電子交易中，時間和簽名同等重要。數字時間戳技術是數字簽名技術一種變種的應用，是由技術是數字簽名技術一種變種的應用，是由DTS服服務機構提供的電子商務安全服務項目，專門用于證務機構提供的電子商務安全服務項目，專門用于證明信息的發(fā)送時間明信息的發(fā)送時間l數字時間戳包括三個部分：數字時間戳包括三個部分：l需加時間戳的文件的數字摘要；需加時間戳的文件的數字摘要；lDTS機構收到文件摘要的日期和時間；機構收到文件摘要的日期和時間；lDTS機構的數字簽名。機構的數字簽名。l 數字時間戳產生過程數字時間戳產生過程l用戶首先將需要時間戳的文件用用戶首先將需要時間戳的文件用Hash算法加密得

29、算法加密得到數字摘要。到數字摘要。l然后將數字摘要發(fā)送到專門提供數字時間戳服務然后將數字摘要發(fā)送到專門提供數字時間戳服務的的DTS機構。機構。lDTS機構在原數字摘要上加上收到文件摘要的時間機構在原數字摘要上加上收到文件摘要的時間信息，用信息，用Hash算法加密得到新的數字摘要。算法加密得到新的數字摘要。lDTS機構用自己的私鑰對新的數字摘要進行加密，機構用自己的私鑰對新的數字摘要進行加密，產生數字時間戳發(fā)還給用戶。產生數字時間戳發(fā)還給用戶。l用戶可以將收到的數字時間戳發(fā)送給自己的商業(yè)用戶可以將收到的數字時間戳發(fā)送給自己的商業(yè)伙伴以證明信息的發(fā)送時間。伙伴以證明信息的發(fā)送時間。l 密鑰分配密鑰

30、分配l解決兩個主要問題解決兩個主要問題：l引進自動密鑰分配機制，減輕負擔，提高系統(tǒng)的效率引進自動密鑰分配機制，減輕負擔，提高系統(tǒng)的效率。l盡可能減少系統(tǒng)中駐留的密鑰量，提高安全性盡可能減少系統(tǒng)中駐留的密鑰量，提高安全性。l典型的兩類自動密鑰分配途徑典型的兩類自動密鑰分配途徑：l集中式分配方案：利用網絡中的密鑰分配中心集中式分配方案：利用網絡中的密鑰分配中心(key distribution center,KDC)來集中管理系統(tǒng)中的密鑰，密鑰分配中心接收系來集中管理系統(tǒng)中的密鑰，密鑰分配中心接收系統(tǒng)中用戶的請求，為用戶提供安全地分配密鑰的服務。統(tǒng)中用戶的請求，為用戶提供安全地分配密鑰的服務。l分

31、布式分配方案分布式分配方案 ：分布式分配方案是指網絡中各主機具有相同：分布式分配方案是指網絡中各主機具有相同的地位，它們之間的密鑰分配取決于它們自己的協商，不受任的地位，它們之間的密鑰分配取決于它們自己的協商，不受任何其他方面的限制。何其他方面的限制。l通常采取兩種方案的混合：主機采用分布式方式分配通常采取兩種方案的混合：主機采用分布式方式分配密鑰，而主機對于終端或它所屬的通信子網中的密鑰密鑰，而主機對于終端或它所屬的通信子網中的密鑰可采用集中方式分配?？刹捎眉蟹绞椒峙?。l 對稱密鑰分配對稱密鑰分配l對稱密鑰分配基本方法對稱密鑰分配基本方法：l密鑰由密鑰由A選取并通過物理手段發(fā)送給選取并通過

32、物理手段發(fā)送給B 。l密鑰由第三方選取并通過物理手段發(fā)送給密鑰由第三方選取并通過物理手段發(fā)送給A和和B 。l如果如果A、B事先已有一密鑰，則其中一方選取新密鑰后，事先已有一密鑰，則其中一方選取新密鑰后，用已有的密鑰加密新密鑰并發(fā)送給另一方。用已有的密鑰加密新密鑰并發(fā)送給另一方。l如果如果A和和B與第三方與第三方C分別有一保密信道，則分別有一保密信道，則C為為A、B選選取密鑰后，分別在兩個保密信道上發(fā)送給取密鑰后，分別在兩個保密信道上發(fā)送給A、B。l 公鑰密鑰分配公鑰密鑰分配l包括兩方面內容包括兩方面內容：l公鑰密碼體制所用的公鑰的分配公鑰密碼體制所用的公鑰的分配。l如何用公鑰體制來分配對稱密鑰

33、密碼體制中使用的密鑰如何用公鑰體制來分配對稱密鑰密碼體制中使用的密鑰。l公開發(fā)布公開發(fā)布：l指用戶將自己的公鑰發(fā)給每一其他用戶，或向某一團體指用戶將自己的公鑰發(fā)給每一其他用戶，或向某一團體廣播。廣播。l比較簡單。比較簡單。l缺陷：任何人都可偽造這種公開發(fā)布，即發(fā)布偽造的公缺陷：任何人都可偽造這種公開發(fā)布，即發(fā)布偽造的公鑰。鑰。l 公鑰密鑰分配公鑰密鑰分配l公用目錄表公用目錄表：l建立一個公用的公鑰動態(tài)目錄表，目錄表的建立、維護以及公建立一個公用的公鑰動態(tài)目錄表，目錄表的建立、維護以及公鑰的分布由某個可信的實體或組織承擔鑰的分布由某個可信的實體或組織承擔。l公用目錄表的建立過程如下公用目錄表的建

34、立過程如下。管理員為每個用戶都在目錄表中建立一個目錄，目錄中有兩個管理員為每個用戶都在目錄表中建立一個目錄，目錄中有兩個數據項，一是用戶名，二是用戶的公開鑰。數據項，一是用戶名，二是用戶的公開鑰。每個用戶都親自或以某種安全的認證通信在管理者那里注冊自每個用戶都親自或以某種安全的認證通信在管理者那里注冊自己的公開鑰。己的公開鑰。用戶如果由于自己的公開鑰用過的次數太多或由于與公開鑰相用戶如果由于自己的公開鑰用過的次數太多或由于與公開鑰相關的秘密鑰己被泄露，則可隨時用新公開鑰替換現有的公開鑰。關的秘密鑰己被泄露，則可隨時用新公開鑰替換現有的公開鑰。管理員定期公布或定期更新目錄表。例如，像電話號碼本一

35、樣管理員定期公布或定期更新目錄表。例如，像電話號碼本一樣公布目錄表或在發(fā)行量很大的報紙上公布目錄表的更新。公布目錄表或在發(fā)行量很大的報紙上公布目錄表的更新。用戶可通過電子手段訪問目錄表，這時從管理員到用戶必須有用戶可通過電子手段訪問目錄表，這時從管理員到用戶必須有安全的認證通信。安全的認證通信。l 公鑰密鑰分配公鑰密鑰分配l公鑰管理機構公鑰管理機構：l在公鑰目錄表的基礎上，由一個公鑰管理機構對公鑰的分在公鑰目錄表的基礎上，由一個公鑰管理機構對公鑰的分配進行更嚴密的控制。配進行更嚴密的控制。l 公鑰密鑰分配公鑰密鑰分配l公鑰證書公鑰證書：l用戶通過公鑰證書相互交換自己的公鑰而無需和公鑰管用戶通過

36、公鑰證書相互交換自己的公鑰而無需和公鑰管理機構聯系理機構聯系。l公鑰證書由證書管理機構公鑰證書由證書管理機構CA(Certificate Authority)為用為用戶建立，其中的數據項包括與該用戶的秘密鑰相匹配的戶建立，其中的數據項包括與該用戶的秘密鑰相匹配的公開鑰及用戶的身份和時間戳等，所有的數據項經公開鑰及用戶的身份和時間戳等，所有的數據項經CA用用自己的秘密鑰簽字后就形成證書。自己的秘密鑰簽字后就形成證書。l證書的形式為證書的形式為CA=ESKCAT,IDA,PKA，其中，其中IDA是用戶是用戶A的的身份標識，身份標識，PKA是是A的公鑰，的公鑰，T是當前時間戳，是當前時間戳，SKCA

37、是是CA的秘密鑰。的秘密鑰。l 數字證書數字證書l數字證書是由權威公正的第三方機構即數字證書是由權威公正的第三方機構即CA簽發(fā)的，它把簽發(fā)的，它把公鑰和擁有對應私鑰的主體的標識信息（如名稱、電子郵公鑰和擁有對應私鑰的主體的標識信息（如名稱、電子郵件、身份證號等）捆綁在一起。件、身份證號等）捆綁在一起。l數字證書的主體可以是用戶、計算機、服務等。數字證書的主體可以是用戶、計算機、服務等。l數字證書包含使用者的公鑰值、使用者標識信息、有效期、數字證書包含使用者的公鑰值、使用者標識信息、有效期、頒發(fā)者標識信息、頒發(fā)者的數字簽名等信息。頒發(fā)者標識信息、頒發(fā)者的數字簽名等信息。l數字證書可以用于很多方面

38、：數字證書可以用于很多方面：lWeb 用戶身份驗證用戶身份驗證lWeb 服務器身份驗證服務器身份驗證l安全電子郵件安全電子郵件lInternet 協議安全協議安全 （IPSec）l 數字證書數字證書Subject: zzwNot Before: 10/18/09Not After: 10/18/11Signed: Cg6&78#dxSerial Number: 29483756Subjects Public key:Secure Email Client AuthenticationIssuer: INET CA1l 公鑰證書產生過程公鑰證書產生過程l CA系統(tǒng)組成系統(tǒng)組成l CA多層

39、次分級管理體系結構多層次分級管理體系結構l PKIlPublic Key Infrastructure，公鑰基礎結構。，公鑰基礎結構。lPKI由公鑰加密技術、數字證書、證書頒發(fā)機構（由公鑰加密技術、數字證書、證書頒發(fā)機構（CA），），注冊機構（注冊機構（RA）等共同組成。）等共同組成。l數字證書用于用戶的身份驗證。數字證書用于用戶的身份驗證。lCA是一個可信任的實體，負責發(fā)布、更新和吊銷證書。是一個可信任的實體，負責發(fā)布、更新和吊銷證書。lRA接受用戶的請求等功能接受用戶的請求等功能。lPKI體系能夠實現的功能：體系能夠實現的功能：l身份認證身份認證l數據完整性數據完整性l數據機密性數據機密性

40、l操作的不可否認性操作的不可否認性l PKI組成組成l PKI應用應用l 密鑰保護密鑰保護l密鑰托管密鑰托管：l出發(fā)點是政府機構希望在需要時可通過密鑰托管技術解出發(fā)點是政府機構希望在需要時可通過密鑰托管技術解密一些特定信息，此外用戶的密鑰若丟失或損壞時也可密一些特定信息，此外用戶的密鑰若丟失或損壞時也可通過密鑰托管技術恢復出自己的密鑰通過密鑰托管技術恢復出自己的密鑰。l實現手段通常是把加密的數據和數據恢復密鑰聯系起來，實現手段通常是把加密的數據和數據恢復密鑰聯系起來，數據恢復密鑰不必是直接解密的密鑰，但由它可以得到數據恢復密鑰不必是直接解密的密鑰，但由它可以得到解密密鑰解密密鑰。l 密鑰托管體

41、制組成密鑰托管體制組成6.2 數據加密應用數據加密應用lPGPlPGP是一個軟件加密程序，為消息和數據文件提供是一個軟件加密程序，為消息和數據文件提供數據完整性服務。數據完整性服務。PGP使用了加密、壓縮和信任網使用了加密、壓縮和信任網（web of trust）的技術。）的技術。lPGP （Pretty Good Privacy）加密技術的創(chuàng)始人是）加密技術的創(chuàng)始人是美國的美國的Phil Zimmermann。他創(chuàng)造性地把。他創(chuàng)造性地把RSA公鑰公鑰體系和傳統(tǒng)加密體系的結合起來，并且在數字簽名體系和傳統(tǒng)加密體系的結合起來，并且在數字簽名和密鑰認證管理機制上巧妙的設計，因此和密鑰認證管理機制上

42、巧妙的設計，因此PGP成為成為目前幾乎最流行的公鑰加密軟件包。目前幾乎最流行的公鑰加密軟件包。l PGPl由于由于RSA算法計算量極大，在速度上不適合加密大量數據，算法計算量極大，在速度上不適合加密大量數據，所以所以PGP實際上用來加密的不是實際上用來加密的不是RSA本身，而是采用傳統(tǒng)本身，而是采用傳統(tǒng)加密算法加密算法IDEA，IDEA加解密的速度比加解密的速度比RSA快得多?？斓枚唷GP隨機生成一個密鑰，用隨機生成一個密鑰，用IDEA算法對明文加密，然后用算法對明文加密，然后用RSA算法對密鑰加密。收件人同樣是用算法對密鑰加密。收件人同樣是用RSA解出隨機密鑰，解出隨機密鑰，再用再用IED

43、A解出原文。這樣的鏈式加密既有解出原文。這樣的鏈式加密既有RSA算法的保算法的保密性（密性（Privacy）和認證性（）和認證性（Authentication），又保持了），又保持了IDEA算法速度快的優(yōu)勢。算法速度快的優(yōu)勢。lPGP讓用戶自己建立自己的信任網，即信任是雙方直接的讓用戶自己建立自己的信任網，即信任是雙方直接的關系，或者是通過第三者、第四者的間接關系，但任意兩關系，或者是通過第三者、第四者的間接關系，但任意兩方之間是對等的，整個信任關系構成網狀結構。方之間是對等的，整個信任關系構成網狀結構。l PGP實現過程實現過程lPGP的實現過程主要由信息的加密、解密過程和的實現過程主要由信

44、息的加密、解密過程和簽名、驗證過程組成。簽名、驗證過程組成。lPGP加密過程：加密過程：lPGP 系統(tǒng)通過系統(tǒng)通過RSA 算法密鑰生成模塊，產生出一個公算法密鑰生成模塊，產生出一個公鑰和另一個與之相關聯的私鑰。鑰和另一個與之相關聯的私鑰。lPGP創(chuàng)建一個會話密鑰（創(chuàng)建一個會話密鑰（session key）。）。l會話密鑰和會話密鑰和IDEA加密算法加密明文以產生密文。加密算法加密明文以產生密文。l數據加密后，用加密接收者的公鑰加密會話密鑰，該由數據加密后，用加密接收者的公鑰加密會話密鑰，該由公鑰加密的會話密鑰將隨著密文傳送到接收者端。公鑰加密的會話密鑰將隨著密文傳送到接收者端。lPGP 系統(tǒng)文

45、件解密是加密的逆過程。系統(tǒng)文件解密是加密的逆過程。l PGP實現過程實現過程lPGP在發(fā)送人和接收人之間提供信息的完整性，身在發(fā)送人和接收人之間提供信息的完整性，身份認證和不可否認性的服務的過程如下份認證和不可否認性的服務的過程如下：l發(fā)送方準備好要發(fā)送的原文件，即簽過名的明文發(fā)送方準備好要發(fā)送的原文件，即簽過名的明文。l發(fā)送方發(fā)送方PGP程序使用摘要算法（如哈希算法）計算出原始程序使用摘要算法（如哈希算法）計算出原始信息的摘要，是一個固定長度的消息摘要信息的摘要，是一個固定長度的消息摘要。l發(fā)送方發(fā)送方PGP程序使用自己的私鑰對摘要進行加密產生數字程序使用自己的私鑰對摘要進行加密產生數字簽名

46、。簽名。l數字簽名和原始信息一起發(fā)送給接收方。數字簽名和原始信息一起發(fā)送給接收方。l接收方接收方PGP程序使用摘要算法重新計算出原始信息的摘要。程序使用摘要算法重新計算出原始信息的摘要。l驗證過程也是一個簽名的逆過程驗證過程也是一個簽名的逆過程。l PGP工作流程工作流程l PGP工作流程工作流程l發(fā)送方和接收方信息處理流程發(fā)送方和接收方信息處理流程：l（1）發(fā)送方準備好要發(fā)送的信息發(fā)送方準備好要發(fā)送的信息。l（2）發(fā)送方發(fā)送方PGP程序使用摘要算法計算出原始信息的程序使用摘要算法計算出原始信息的摘要摘要。l（3）發(fā)送方）發(fā)送方PGP程序使用自己的私鑰對摘要進行加密程序使用自己的私鑰對摘要進行

47、加密產生數字簽名產生數字簽名。l（4）發(fā)送方）發(fā)送方PGP程序產生一個隨機數序列作為只使用程序產生一個隨機數序列作為只使用一次的會話密鑰一次的會話密鑰。l（5）要發(fā)送的信息與簽名一起，通過對稱加密算法和）要發(fā)送的信息與簽名一起，通過對稱加密算法和會話密鑰被加密會話密鑰被加密。l PGP工作流程工作流程l發(fā)送方和接收方信息處理流程發(fā)送方和接收方信息處理流程：l（6）發(fā)送方發(fā)送方PGP程序使用公鑰加密算法和接收方的公鑰程序使用公鑰加密算法和接收方的公鑰加密會話密鑰，與加密的信息和簽名一起發(fā)送給接收方加密會話密鑰，與加密的信息和簽名一起發(fā)送給接收方。l（7）接收方接收方PGP程序使用公鑰加密算法和自

48、己的私鑰解程序使用公鑰加密算法和自己的私鑰解密會話密鑰密會話密鑰。l（8）接收方）接收方PGP程序使用對稱加密算法和會話密鑰解密程序使用對稱加密算法和會話密鑰解密信息。信息。l（9）接收方）接收方PGP程序使用摘要算法重新計算出原始信息程序使用摘要算法重新計算出原始信息的摘要。的摘要。l（10）接收方）接收方PGP程序使用發(fā)送方的公鑰對數字簽名進行程序使用發(fā)送方的公鑰對數字簽名進行驗證。驗證。l EFSlWindows 2000/XP/Server 2003都配備了都配備了EFS（Encrypting File System，加密文件系統(tǒng)），它可以幫，加密文件系統(tǒng)），它可以幫助您針對存儲在助您

49、針對存儲在NTFS磁盤卷上的文件和文件夾執(zhí)行加磁盤卷上的文件和文件夾執(zhí)行加密操作。密操作。l如果硬盤上的文件已經使用了如果硬盤上的文件已經使用了EFS進行加密，即使黑客進行加密，即使黑客能訪問到你硬盤上的文件，由于沒有解密的密鑰，文能訪問到你硬盤上的文件，由于沒有解密的密鑰，文件也是不可用的。件也是不可用的。lEFS加密基于公鑰策略。在使用加密基于公鑰策略。在使用EFS加密一個文件或文加密一個文件或文件夾時，系統(tǒng)首先會生成一個由偽隨機數組成的件夾時，系統(tǒng)首先會生成一個由偽隨機數組成的FEK（File Encryption Key，文件加密鑰匙），然后利用，文件加密鑰匙），然后利用FEK和數據擴

50、展標準和數據擴展標準X算法創(chuàng)建加密后的文件，并把它算法創(chuàng)建加密后的文件，并把它存儲到硬盤上，同時刪除未加密的原始文件。存儲到硬盤上，同時刪除未加密的原始文件。l EFSl接下來系統(tǒng)利用你的公鑰來加密接下來系統(tǒng)利用你的公鑰來加密FEK，并把加密后的，并把加密后的FEK存儲在同一個加密文件中。而在訪問被加密的文件存儲在同一個加密文件中。而在訪問被加密的文件時，系統(tǒng)首先利用當前用戶的私鑰解密時，系統(tǒng)首先利用當前用戶的私鑰解密FEK，然后利用，然后利用FEK解密出文件。解密出文件。 l在首次使用在首次使用EFS時，如果用戶還沒有公鑰時，如果用戶還沒有公鑰/私鑰對（統(tǒng)稱私鑰對（統(tǒng)稱為密鑰），則會首先生成

51、密鑰，然后加密數據。如果你為密鑰），則會首先生成密鑰，然后加密數據。如果你登錄到了域環(huán)境中，密鑰的生成依賴于域控制器，否則登錄到了域環(huán)境中，密鑰的生成依賴于域控制器，否則它就依賴于本地機器。它就依賴于本地機器。lEFS加密的用戶驗證過程是在登錄加密的用戶驗證過程是在登錄Windows時進行的，時進行的，只要登錄到只要登錄到Windows，就可以打開任何一個被授權的加，就可以打開任何一個被授權的加密文件。密文件。l EFSl當非授權用戶試圖訪問你加密過的數據時，就會收到當非授權用戶試圖訪問你加密過的數據時，就會收到“拒絕訪問拒絕訪問”的錯誤提示。的錯誤提示。l被被EFS加密過的數據不能在加密過的

52、數據不能在Windows中直接共享。如中直接共享。如果通過網絡傳輸經果通過網絡傳輸經EFS加密過的數據，這些數據在網加密過的數據，這些數據在網絡上將會以明文的形式傳輸。絡上將會以明文的形式傳輸。lNTFS分區(qū)上保存的數據還可以被壓縮，但是一個文分區(qū)上保存的數據還可以被壓縮，但是一個文件不能同時被壓縮和加密。再有，件不能同時被壓縮和加密。再有，Windows的系統(tǒng)文的系統(tǒng)文件和系統(tǒng)文件夾無法被加密。件和系統(tǒng)文件夾無法被加密。l EFS加密加密l右擊選擇要加密的文件夾，選擇快捷菜單中的右擊選擇要加密的文件夾，選擇快捷菜單中的“屬屬性性”，選擇，選擇“常規(guī)常規(guī)”標簽中的最下方標簽中的最下方“屬性屬性

53、”|“高高級級”，在，在“壓縮或加密屬性壓縮或加密屬性”一欄中，把一欄中，把“加密內容加密內容以便保護數據以便保護數據”打上打上“”，點，點“確定確定”?；氐轿募??；氐轿募傩渣c屬性點“應用應用”，彈出，彈出“確認屬性更改確認屬性更改”窗口，在窗口，在“將該應用用于該文件夾、子文件夾和文件將該應用用于該文件夾、子文件夾和文件”打上打上“”，點，點“確定確定”。這樣這個文件夾里的原來有的。這樣這個文件夾里的原來有的以及新建的所有文件和子文件夾都被自動加密了。以及新建的所有文件和子文件夾都被自動加密了。l要解開加密的文件夾，把要解開加密的文件夾，把“加密內容以便保護數據加密內容以便保護數據”前面的

54、前面的“”去掉，點確定就可以了去掉，點確定就可以了。l EFS加密加密l 企業(yè)級加密軟件企業(yè)級加密軟件l合格的企業(yè)級加密軟件應具備以下條件合格的企業(yè)級加密軟件應具備以下條件：l驅動層技術和應用層技術。驅動層技術和應用層技術。加密軟件有驅動層技術和應用層技加密軟件有驅動層技術和應用層技術兩種不同的技術路線。應用層術兩種不同的技術路線。應用層Hook方式雖然實現起來比較方式雖然實現起來比較簡單，屬于過渡技術，已經進入淘汰階段了，現在的主流技術簡單，屬于過渡技術，已經進入淘汰階段了，現在的主流技術是驅動層技術。是驅動層技術。l加密算法和密鑰。加密算法和密鑰。在加密算法上，采用何種加密算法不是重點。在

55、加密算法上，采用何種加密算法不是重點。但是在密鑰處理方面，一般來說，密鑰長度低于但是在密鑰處理方面，一般來說，密鑰長度低于64位是不可取位是不可取的。對于民用而言，的。對于民用而言，128位和位和 256位的長度都是足夠的。需要位的長度都是足夠的。需要注意的是，密鑰長度越長，運算量越大，消耗的計算資源（包注意的是，密鑰長度越長，運算量越大，消耗的計算資源（包括機器性能和時間）就越多。密鑰的保管也是關鍵問題，包括括機器性能和時間）就越多。密鑰的保管也是關鍵問題，包括密鑰的生成、傳送和備份。密鑰的生成、傳送和備份。l 企業(yè)級加密軟件企業(yè)級加密軟件l基本功能方面?；竟δ芊矫?。主要有對應用程序更名、

56、文件更名、文件類型主要有對應用程序更名、文件更名、文件類型更換、剪切、復制、粘貼、對象的鏈接與嵌入（更換、剪切、復制、粘貼、對象的鏈接與嵌入（OLE）、文）、文檔內容的拖拽、屏幕拷貝控制、截屏和打印控制等基本功能都檔內容的拖拽、屏幕拷貝控制、截屏和打印控制等基本功能都是常見的。目前多數成熟的產品都已經有效做到以上這些功能。是常見的。目前多數成熟的產品都已經有效做到以上這些功能。l文件自動備份與容災管理文件自動備份與容災管理。文件自動備份是一種必要的功能，文件自動備份是一種必要的功能，是對系統(tǒng)風險的一種針對性的安全措施。系統(tǒng)容災能力，是考是對系統(tǒng)風險的一種針對性的安全措施。系統(tǒng)容災能力，是考察產

57、品的重要指標。不能假設所有的系統(tǒng)運行都會正常，尤其察產品的重要指標。不能假設所有的系統(tǒng)運行都會正常，尤其是國內大量使用盜版軟件的情況下是國內大量使用盜版軟件的情況下。l離線管理。離線管理。主要包括在實施時對客戶端的策略下發(fā)，在客戶端主要包括在實施時對客戶端的策略下發(fā)，在客戶端脫離服務器段與連接后，保證離線客戶端的管理。脫離服務器段與連接后，保證離線客戶端的管理。l 企業(yè)級加密軟件企業(yè)級加密軟件l外發(fā)管理。外發(fā)管理。加密文件只能在局部范圍內使用，一旦業(yè)務需要，加密文件只能在局部范圍內使用，一旦業(yè)務需要，確實需要把文件發(fā)往外部時，就要把明文解密成為明文。在這確實需要把文件發(fā)往外部時，就要把明文解密

58、成為明文。在這個時候，廠商多數采用專門的審批和解密流程來控制。也有向個時候，廠商多數采用專門的審批和解密流程來控制。也有向指定的電子信箱發(fā)送郵件，郵件中的密態(tài)附件文件就自動解密。指定的電子信箱發(fā)送郵件，郵件中的密態(tài)附件文件就自動解密。l與管理系統(tǒng)的集成能力。與管理系統(tǒng)的集成能力。加密系統(tǒng)雖然可以自成體系，但是難加密系統(tǒng)雖然可以自成體系，但是難免會和其他一些管理系統(tǒng)存在著集成配合的問題。要考察是否免會和其他一些管理系統(tǒng)存在著集成配合的問題。要考察是否能有效與各種認證體系如能有效與各種認證體系如AD域、域、ED域等結合，還有跟域等結合，還有跟ERP、CRM、PDM/PLM系統(tǒng)的集成。系統(tǒng)的集成。l

59、易用性。易用性。軟件的安裝、升級、配置、用戶權限設置、日志記錄軟件的安裝、升級、配置、用戶權限設置、日志記錄和統(tǒng)計、解密機等各個模塊的細節(jié)上是否易用，是否有效與公和統(tǒng)計、解密機等各個模塊的細節(jié)上是否易用，是否有效與公司業(yè)務流程和文件管理流程配合。司業(yè)務流程和文件管理流程配合。l 企業(yè)級加密軟件企業(yè)級加密軟件l市場上的加密軟件琳瑯滿目，在中國，目前加密軟件廠商市場上的加密軟件琳瑯滿目，在中國，目前加密軟件廠商大約有大約有300家左右，但根據家左右，但根據ESN公司調查，具備原創(chuàng)開發(fā)能公司調查，具備原創(chuàng)開發(fā)能力的如思智泰克等廠家不超過力的如思智泰克等廠家不超過5家，其余廠家產品均來自家，其余廠家產

60、品均來自OEM。l目前，中國加密軟件已經基本成為一個行業(yè)，隨著加密軟目前，中國加密軟件已經基本成為一個行業(yè)，隨著加密軟件的發(fā)展，逐漸分化成三個派系，分別是件的發(fā)展，逐漸分化成三個派系，分別是ERM(Enterprise Right Management，企業(yè)權限管理，企業(yè)權限管理) 、DLP(Data leakage prevention，數據泄漏防護，數據泄漏防護)、DMS(Data Management System，可信數據管理系統(tǒng)，可信數據管理系統(tǒng))，他們的代表廠商分別是思智，他們的代表廠商分別是思智泰克泰克(ERM)、億賽通、億賽通(DLP)、明朝萬達、明朝萬達(DMS)。l 企業(yè)級加密軟件