PKI技術(shù)與應用,主要內(nèi)容,基礎知識PKI體系結(jié)構(gòu)PKI技術(shù)標準篇應用篇,基礎知識,第一篇,第1章緒論,1.1WhatsPKI?,PublicKeyInfrastructure基礎設施PKI是一個用公鑰概念和技術(shù)來實施和提供安全服務的具有普適性的安全基礎設施.,基礎設施的性能需求,透明性和易用性可擴展性互操作性多用性支持多平臺,PKI的組成,1.2為什么需要PKI,安全威脅物理安全邏輯安全現(xiàn)存技術(shù)的弊端,1.3PKI的理論基礎（1）,公鑰密碼理論公鑰密鑰學(PublicKeyCryptography)公鑰密碼學解決的核心問題是密鑰分發(fā).,1.3PKI的理論基礎（2）,信任,1.3PKI的理論基礎（3）,目錄服務(DirectoryServices)目錄服務的目的是建立全局/局部統(tǒng)一的命令方案.數(shù)字證書(DigitalCertificate),1.4PKI技術(shù)發(fā)展現(xiàn)狀及趨勢,標準化進展IETFPKIX、SPKIWorkgroup；NIST，DOT(DepartmentoftheTreasury)；TOG(TheOpenGroup)；andothers(includeWAPForum,etc)產(chǎn)品與工程FromPilotProjectstoPractices,VariousVendorsandProductsPKI應用MSOutlook/NetscapeMessanger(S/MIME),IE/Navigator(SSL/TLS),PGP,1.5PKI體系現(xiàn)存問題,密鑰管理相關法律體系的建立相關法律、政策的缺乏賠付機制的缺失技術(shù)各異用戶認識不足重復建設缺乏統(tǒng)一規(guī)范和和服務效率安全管理急待加強,第2章密碼和密鑰,2.1密碼學基礎,經(jīng)典密碼學密碼編碼學密碼分析學現(xiàn)代密碼學密碼編碼學密碼分析學密鑰密碼學,密碼學的歷史與發(fā)展,密碼學的演進單表代替多表代替機械密(恩格瑪)現(xiàn)代密碼學(對稱與非對稱密碼體制)量子密碼學密碼編碼學和密碼分析學應用領域軍事，外交，商業(yè)，個人通信，古文化研究等,傳統(tǒng)密碼學,歷史悠久，最古老與最現(xiàn)代的密碼學基本特點：加密和解密采用同一個密鑰letC=Ciphertext,P=Plaintext,kiskey,E()/D()istheencryption/decryptionfunction,thenC=E(P,k),P=D(C,k)基本技術(shù)替換/置換和移位,2.2對稱密鑰密碼,優(yōu)點：速度快，所需資源小缺點:1)需要進行密鑰交換2)規(guī)模復雜3)同以前未知的實體初次通信困難4)對稱中心服務結(jié)構(gòu),對稱密碼種類,分組密碼分組密碼算法是在明文分組和密文分組上進行運算通常分組長為64比特。序列密碼序列密碼算法在明文和密文數(shù)據(jù)流的1比特或1字節(jié)上進行運算。,DES,DES是第一個得到廣泛應用的密碼算法；DES是一種分組加密算法，輸入的明文為64位，密鑰為56位，生成的密文為64位；DES是一種對稱密碼算法，源于Lucifer算法，其中采用了Feistel網(wǎng)絡(FeistelNetwork)，即DES已經(jīng)過時，基本上認為不再安全；,IDEA,XuejiaLai和JamesMassey提出；IDEA是對稱、分組密碼算法，輸入明文為64位，密鑰為128位，生成的密文為64位；IDEA是一種相對較新的算法，雖有堅實的理論基礎，但仍應謹慎使用(盡管該算法已被證明可對抗差分分析和線性分析)；IDEA是一種專利算法(在歐洲和美國)，專利由Ascom-TechAG擁有;PGP中已實現(xiàn)了IDEA；,RC系列,RC系列是RonRivest為RSA公司設計的一系列密碼：RC1從未被公開，以致于許多人們稱其只出現(xiàn)在Rivest的記事本上；RC2是變長密鑰加密密法；(RC3在設計過程中在RSADSI內(nèi)被攻破);RC4是Rivest在1987年設計的變長密鑰的序列密碼；RC5是Rivest在1994年設計的分組長、密鑰長的迭代輪數(shù)都可變的分組迭代密碼算法；DES(56),RC5-32/12/5,RC5-32/12/6,RC-32/12/7已分別在1997年被破譯；,AESCandidate和Rijndeal,AES評選過程最后的5個候選算法：Mars,RC6,Rijndael,Serpent,andTwofishRijndael算法的原型是Square算法，其設計策略是寬軌跡策略(WideTrailStrategy)，以針對差分分析和線性分析Rijndael是迭代分組密碼，其分組長度和密鑰長度都是可變的；為了滿足AES的要求，分組長度為128bit，密碼長度為128/192/256bit，相應的輪數(shù)r為10/12/14。,SDBI,SDBI是由山東大學網(wǎng)絡信息安全研究所研制的具有自主產(chǎn)權(quán)的對稱密碼算法。該算法通過了國家密碼委員會的批準。,一次一密亂碼本（One-timepad）,一次一密亂碼本：一個大的不重復的真隨機密鑰字母集非常理想的加密方案隨機密鑰同步,Summary,DES是應用最廣泛的對稱密碼算法(由于計算能力的快速進展，DES已不在被認為是安全的)；IDEA在歐洲應用較多；RC系列密碼算法的使用也較廣(已隨著SSL傳遍全球);AES將是未來最主要，最常用的對稱密碼算法；,2.3非對稱密鑰密碼,WhitefieldDiffie，MartinHellman，NewDirectionsinCryptography,1976公鑰密碼學的出現(xiàn)使大規(guī)模的安全通信得以實現(xiàn)解決了密鑰分發(fā)問題；公鑰密碼學還可用于另外一些應用：數(shù)字簽名、防抵賴等；公鑰密碼體制的基本原理陷門單向函數(shù)(troopdoorone-wayfunction),RSA（1）,RonRivest,AdiShamir和LenAdleman于1977年研制并于1978年首次發(fā)表；RSA是一種分組密碼，其理論基礎是一種特殊的可逆模冪運算，其安全性基于分解大整數(shù)的困難性；RSA既可用于加密，又可用于數(shù)字簽名，已得到廣泛采用；RSA已被許多標準化組織(如ISO、ITU、IETF和SWIFT等)接納；RSA-155(512bit),RSA-140于1999年分別被分解；,RSA(2)加/解密過程,選擇兩個大素數(shù)，p和q；計算兩個奇素數(shù)之積，即n=pq，同時計算其歐拉函數(shù)值(n)=(p-1)(q-1)；隨機選一整數(shù)e,1e密鑰對產(chǎn)生-證書創(chuàng)建和密鑰/證書分發(fā)，證書分發(fā)，密鑰備份頒發(fā)階段：證書檢索，證書驗證，密鑰恢復，密鑰更新取消階段：證書過期，證書恢復，證書吊銷，密鑰歷史，密鑰檔案,VeriSignCPS中的證書生命周期,第4章目錄服務,主要內(nèi)容：,概述X.500LDAP,4.1概述,目錄是網(wǎng)絡系統(tǒng)中各種資源的清單，保存了網(wǎng)絡中用戶、服務器、客戶機、交換機、打印機等資源的詳細信息，同時還收集了這些資源之間各種復雜的相互關聯(lián)關系。目錄服務證書和證書吊銷列表(CRL)的存儲(主要針對X.509格式來說)是X.500和目錄服務標準的主題,4.2X.500目錄服務,X.500,ITU-TRecommendation:TheDirectoryOverviewofConceptsandModels.X.500目錄服務是一個高度復雜的信息存儲機制，包括客戶機-目錄服務器訪問協(xié)議、服務器-服務器通信協(xié)議、完全或部分的目錄數(shù)據(jù)復制、服務器鏈對查詢的響應、復雜搜尋的過濾功能等.X.500對PKI的重要性.,4.3LDAP協(xié)議,LDAP,LightweightDirectoryAccessProtocol.LDAP的發(fā)展LDAPv1,v2,v3,ldapbis,ldapext,ldup,第二篇,PKI體系結(jié)構(gòu),第5章PKI及其構(gòu)件,主要內(nèi)容：,綜述CA、RA與EEPKI運作CA的體系結(jié)構(gòu)證書注冊結(jié)構(gòu)RA業(yè)務受理點LRACA的網(wǎng)絡結(jié)構(gòu)PMI,5.1綜述,PKI是生成、管理、存儲、分發(fā)和吊銷基于公鑰密碼學的公鑰證書所需要的硬件、軟件、人員、策略和規(guī)程的總和。PKI的構(gòu)件，PKI的安全策略,5.2CA、RA與EE,認證中心CA,可信的第三方主要功能接收并驗證最終用戶數(shù)字證書的申請；證書審批，確定是否接受最終用戶數(shù)字證書的申請；證書簽發(fā)，向申請者頒發(fā)、拒絕頒發(fā)數(shù)字證書；證書更新，接收、處理最終用戶的數(shù)字證書更新請求接收最終用戶數(shù)字證書的查詢、撤銷；產(chǎn)生和發(fā)布證書廢止列表（CRL），驗證證書狀態(tài)；提供OCSP在線證書查詢服務，驗證證書狀態(tài)；提供目錄服務，可以查詢用戶證書的相關信息；下級認證機構(gòu)證書及帳戶管理；,注冊機構(gòu)RA,用戶（可以是個人或團體）和CA之間的接口接受用戶的注冊申請獲取并認證用戶的身份,最終實體EE,是指PKI產(chǎn)品或服務的最終使用者，可以是個人、組織或設備。,5.3PKI運作,PKI的策劃PKI實施PKI運營,5.4CA的體系結(jié)構(gòu),根CA主要功能：發(fā)布本PKI信任域的認證策略；發(fā)布自身證書；簽發(fā)和管理下層CA證書；對下層CA進行身份認證和鑒別；廢除所簽發(fā)的證書；為所簽發(fā)的證書產(chǎn)生CRL；發(fā)布所簽發(fā)的證書和CRL；保存證書、CRL以及審計信息；密鑰安全生成及管理；實現(xiàn)交叉認證。,下層CA主要功能有：發(fā)布本地CA對根CA政策的增補部分；對下屬機構(gòu)進行認證和鑒別；產(chǎn)生和管理下屬機構(gòu)的證書；發(fā)布自身證書；證實RA的證書申請請求；向RA返回證書制作的確認信息或已制定好的證書；接收和認證對它所簽發(fā)的證書的作廢申請請求；為它所簽發(fā)的證書產(chǎn)生CRL；保存證書、CRL、審計信息和它所簽發(fā)的政策；發(fā)布它所簽發(fā)的證書和CRL；密鑰安全生成及管理；實現(xiàn)交叉認證。,5.5證書注冊機構(gòu)RA,具體職能包括：自身密鑰的管理，包括密鑰的更新、保存、使用、銷毀等；審核用戶信息；登記黑名單；業(yè)務受理點LRA的全面管理；接收并處理來自受理點的各種請求。,5.6業(yè)務受理點LRA,LRA的具體職能包括：受理用戶的證書申請及廢除請求；錄入用戶的證書申請及廢除請求；審核用戶的證書申請及廢除請求資料；對用戶的證書申請及廢除請求進行批準或否決；提供證書制作。,5.7CA的網(wǎng)絡結(jié)構(gòu),5.8PMI,PKI瓶頸屬性證書特權(quán)管理,PMI與TSA,PMI,即PrivilegeManagementInfrastructure,在ANSI,ITUX.509和IETFPKIX中都有定義特權(quán)管理服務(PKIBased)依賴于策略，所謂策略就是將實體、組和角色與相應的特權(quán)進行映射(如列出實體名稱或角色被允許還是禁止的權(quán)限).TSA,即TimeStampAuthorityRFC3162,Time-StampProtocolTSA是一個產(chǎn)生時間戳記號的可信第三方，該時間戳記號用以顯示數(shù)據(jù)在特定時間前已存在.,特權(quán)管理基礎設施機制,實現(xiàn)特權(quán)管理基礎設施(PMI)有很多機制，大致可以分為三類：,PKI構(gòu)件,CA,RA,Directory,EE,PKI-enabledApplications,CertificateStatusCheckingPKI構(gòu)件及證書生命周期,第6章交叉認證,交叉認證,交叉認證是把以前無關的CA連接在一起的機制交叉認證可以是單向的，也可以是雙向的不同的交叉認證信任模型SubordinatedHierarchy，Cross-certifiedMesh，Hybrid，BridgeCA，TrustListsetc.域內(nèi)交叉認證，域外交叉認證約束名字約束，策略約束，路徑長度約束,信任域,信任域擴展雙向認證橋CA,第7章CPS,CP與CPS,CP,CertificatePolicy定義了一個用戶對其它用戶數(shù)字證書信任的程度CPS,CertificationPracticeStatement人們與組織根據(jù)CA的CPS來確定他們對該CA的信任程度RFC2527InternetX.509PublicKeyInfrastructureCertificatePolicyandCertificationPracticesFramework,PKI的安全策略,CertificationPracticeStatement證書政策責任與其它法律考慮,運作考慮,客戶端軟件在線需求與離線運作物理安全硬件部件用戶密鑰的威脅災難恢復,CPS所包含的主要內(nèi)容,確認手續(xù)證書的范圍授權(quán)證書周期交叉認證保護絕密資料不同的密鑰確認證書證書撤銷列表CRL的發(fā)布點在線證書狀態(tài)協(xié)議（OCSP）,第8章PKI的構(gòu)建,主要內(nèi)容：,構(gòu)建PKI的兩種模式兩種模式的比較,8.1構(gòu)建PKI的兩種模式,自建模式托管模式,8.2兩種模式的比較,成本上的比較建設周期的比較投入與產(chǎn)出的比較系統(tǒng)性能的比較服務的比較,第9章PKI涉及到的法律問題,PKI涉及到的法律問題,數(shù)字簽名的法律狀況PKI的法律框架許可權(quán)，角色與責任，私有PKI(企業(yè)PKI)密碼管理政策與法規(guī)(不同的密碼管理政策),9.1國外PKI相關法律建設狀況,聯(lián)合國電子商務示范法電子簽章統(tǒng)一規(guī)則草案美國全球及全國電子商務電子簽章法案歐盟“歐洲電子商務倡議書”亞州新加坡、韓國、日本、香港、臺灣,9.3如何構(gòu)建我國的PKI法律體系,立法考慮要借鑒國外先進的立法經(jīng)驗；要結(jié)合國內(nèi)的發(fā)展狀況。,涵蓋的內(nèi)容確定電子合同的效力和電子證據(jù)可以充當法定證據(jù)的地位。確立認證機構(gòu)頒發(fā)數(shù)字證書并為網(wǎng)絡用戶確定身份提供幫助的法律地位。PKI市場的準入問題。認證機構(gòu)市場管理方面要有嚴格規(guī)定。,第三篇,技術(shù)標準,第10章PKI技術(shù)標準,主要內(nèi)容：,ITU-TX.509及相關標準PKIX系列標準WPKI標準SSL/TLSSETOpenPGP和S/MIMEPMI標準簡介,10.1ITU-TX.509及相關標準,ITU-TX.509Edition1ITU-TX.509Edition2ITU-TX.509Edition3ITU-TX.509Edition4ITU-T的其他標準,10.2PKIX系列標準,證書和CRL標準：RFC2459PKI體系中的操作協(xié)議：RFC2559,RFC2560,RFC2585PKI管理協(xié)議：RFC2510,RFC2511,RFC2797證書管理的政策和證書操作規(guī)范：RFC2527提供防抵賴的時戳和數(shù)據(jù)認證服務：RFC3029,RFC3161,PKI的實體對象說明,CA：證書認證中心(創(chuàng)建,分發(fā)和作廢證書)；RA：注冊授權(quán)機構(gòu)（即由CA分配了一定功能的可選的審核機構(gòu),它的功能是綁定公鑰和證書持有者的身份等其他個人屬性）；EE：PKI證書的使用者或申請證書的終端用戶系統(tǒng)；Repository：是用于存儲證書和CRL的系統(tǒng)，同時提供向EE端發(fā)布證書和CRL的服務；,10.3WPKI標準,WAPForum制定的Wap協(xié)議的主要特點是：遵循X.509、PKIX等國際標準；引入新的壓縮證書格式（WTLS證書），減少證書數(shù)據(jù)量；引入橢圓曲線算法，減少密鑰長度；引入證書URL，無線終端可只存放自己證書的URL，而非證書本身，減少了對存儲容量的要求；,10.4SSL/TLS,SSL(SecureSocketLayer，安全套接字層）)是netscape公司設計的主要用于web的安全傳輸協(xié)議。IETF()將SSL作了標準化，即RFC2246,并將其稱為TLS（TransportLayerSecurity）。,10.5SET,SET（SecurityElectronicTransaction）是Visa、Master信用卡公司制定的在Internet網(wǎng)上實現(xiàn)安全電子商務交易系統(tǒng)的協(xié)議和標準。SET協(xié)議由兩大部分組成：證書管理支付系統(tǒng),10.6OpenPGP和S/MIME,1997年，互聯(lián)網(wǎng)工程任務組IETF建立了一個工作小組，在PGP的基礎上定義一個新的名叫OpenPGP的標準（RFC2440）。S/MIME協(xié)議是RSA數(shù)據(jù)安全公司于1995年向IETF工作組提交的規(guī)范。兩個標準都利用了單向散列算法和公鑰與私鑰的加密體系。,二者的不同：,S/MIME的認證機制依賴于層次結(jié)構(gòu)的證書認證機構(gòu)，而OpenPGP的最大特點是其證書信任路徑不是層狀結(jié)構(gòu)，而是網(wǎng)狀結(jié)構(gòu)。S/MIME的證書格式采用X.509。OpenPGP支持兩種格式的證書：X.509證書和PGP證書。,10.7PMI標準簡介,PMI（PrivilegeManagementInfrastructure，特權(quán)管理基礎設施）指能夠支持全面授權(quán)服務的進行特權(quán)管理的基礎設施。PMI授權(quán)技術(shù)的核心思想是以資源管理為核心。X.5092000年版（v4）定義的PMI模型中包括PMI的一般模型、控制模型、委托模型和角色模型。,一般模型：,PMI中的三種實體：l目標對象（object）：是要保護的資源。l權(quán)限聲明者（privilegeasserter）：擁有某些權(quán)限，并能通過該權(quán)限訪問訪問特定的資源的實體。l權(quán)限驗證者（privilegeverifier）：決定是否允許權(quán)限聲明者訪問特定資源的實體。,控制模型,定義了五種成份：權(quán)限聲明者、權(quán)限驗證者、目標對象方法（objectmethod）、權(quán)限策略和環(huán)境變量。,委托模型,有四種組成成份：權(quán)限驗證者、授信源（SOA）、屬性認證機構(gòu)和權(quán)限聲明者。,角色模型,角色提供了一種間接指派權(quán)限的方式。通過證書中包含的角色屬性可以將一個或多個角色賦予同一個體。,第四篇,應用案例,第11章PKI應用,主要內(nèi)容：,Web安全問題范圍以及使用PKI系統(tǒng)的對策安全電子郵件實現(xiàn)原理與方案VPN實現(xiàn)原理與方案,11.1Web安全問題,安全問題：欺詐、泄露、篡改、攻擊,SSL：由Netscape公司研究制定，該協(xié)議向基于TCPIP的客戶及服務器應用程序提供了客戶端和服務器的鑒別、信息機密性及完整性等安全措施。SSL主要提供三方面的服務認證用戶和服務器加密數(shù)據(jù)以隱藏被傳送的數(shù)據(jù)維護數(shù)據(jù)的完整性,使用PKI系統(tǒng)的對策,SSL/TLS,由Netscape，IETFTLS工作組開發(fā)SSL/TLS在源和目的實體間建立了一條安全通道(在傳輸層之上)，提供基于證書的認證、信息完整性和數(shù)據(jù)保密性SSL體系結(jié)構(gòu)：SSL協(xié)議棧,11.2安全電子郵件,安全電子郵件實現(xiàn)原理安全電子郵件實現(xiàn)方案PGPS/MIME,安全電子郵件實現(xiàn)原理,S/MIME&PGP,PGP,PhilZimmerman,1991PGP的操作描述、加密密鑰和密鑰環(huán)、公開密鑰管理RFC2440，S/MIMERFC822-MIME-S/MIMEv2,v3S/MIME的功能S/MIME證書的處理S/MIME增強的安全服務Signedreceipt，SecurityLabel和Securitymailinglist.,SET,1996年2月，IBM,Microsoft,Netscape,RSA,Terisa和VeriSign開發(fā)了SETv1(針對MasterCard和Visa安全標準的需要而出現(xiàn)的SET是開放的、設計用來保護Internet上信用卡交易的加密和安全規(guī)范從本質(zhì)上，SET提供了三種服務：在交易涉及的各方之間提供安全的通信信道通過使用X.509v3數(shù)字證書來提供信任。保證機密性，因為信息只是在必要的時候、必要的地方才對交易各方可用交易過程：購買請求、支付認可和支付獲取,11.3VPN實現(xiàn)原理與方案,VPN是一種架構(gòu)在公用通信基礎設施上的專用數(shù)據(jù)通信網(wǎng)絡，利用IPSec等網(wǎng)絡層安全協(xié)議和建立在PKI上的加密與簽名技術(shù)來獲得私有性。IPSec,IPSec,IP層的安全包括了3個功能域：鑒別、機密性和密鑰管理IPSec的重要概念鑒別報頭(AH),封裝安全有效負載(ESP),傳輸模式,隧道模式,安全關連(SA),安全關連組(SABundle),ISAKMP.IPSec，IPv6將使互聯(lián)網(wǎng)(尤其是網(wǎng)絡安全)發(fā)生巨大變化,IPSec,IPSec安全服務IPSec密鑰管理人工，自動，ISAKMP/Oakley,IPSec文檔結(jié)構(gòu)概況,第12章PKI案例,主要內(nèi)容：,電子稅務網(wǎng)上銀行網(wǎng)上證券,12.1電子稅務,安全需求通信安全身份認證與訪問控制業(yè)務安全解決方案通信安全：SSL身份認證與訪問控制：數(shù)字證書業(yè)務安全：數(shù)字簽名,12.2網(wǎng)上銀行,安全需求身份認證通信安全訪問控制審記安全實施方案通過配置PKI來實現(xiàn),12.3網(wǎng)上證券,安全需求通信安全身份認證與訪問控制業(yè)務安全實施方案通過配置PKI來實現(xiàn),第13章成熟PKI系統(tǒng)簡介,主要內(nèi)容：,商業(yè)應用政府應用,13.1商業(yè)應用,VeriSign(,VeriSignPKI層次圖,13.2政府應用,美國聯(lián)邦PKI（FPKI）加拿大政府PKI（GOCPKI）,第14章電子商務認證機構(gòu)管理基礎,主要內(nèi)容：,電子商務認證機構(gòu)的管理電子商務認證機構(gòu)的安全認證機構(gòu)的安全需求認證機構(gòu)安全性的實現(xiàn),14.1電子商務認證機構(gòu)的管理,中國電子商務認證機構(gòu)管理中心的主要職能有：國內(nèi)PKI認證體系的統(tǒng)籌規(guī)劃；國內(nèi)認證機構(gòu)的安全性評估；規(guī)范國內(nèi)認證機構(gòu)的服務；對國內(nèi)各認證機構(gòu)的管理人員進行培訓,14.2電子商務認證機構(gòu)的安全,安全性對于數(shù)字環(huán)境下的每一種經(jīng)營業(yè)務來說都是至關重要的。而對于一個提供信任服務的認證機構(gòu)CA來說，安全性則是其經(jīng)營的奠基石。認證機構(gòu)的安全性可以通過技術(shù)手段和管理手段來實現(xiàn)。技術(shù)手段和管理手段缺一不可。,認證機構(gòu)的安全威脅,密鑰管理安全威脅邏輯安全威脅通信安全威脅設備安全威脅人員安全威脅環(huán)境安全威脅,14.3認證機構(gòu)的安全需求（1）,CA系統(tǒng)安全物理安全操作系統(tǒng)安全密碼安全密碼算法安全密碼設備安全,認證機構(gòu)的安全需求（2）,密鑰管理安全密鑰安全需求密鑰安全管理需求通信安全通信保密性通信完整性通信不可否認性,認證機構(gòu)的安全需求（3）,信息系統(tǒng)安全訪問控制防范入侵防范病毒安全審計數(shù)據(jù)安全數(shù)據(jù)備份數(shù)據(jù)庫冗余,14.4認證機構(gòu)安全性的實現(xiàn),認證機構(gòu)總體安全架構(gòu)由物理安全、密碼安全、密鑰安全、操作系統(tǒng)安全、通信安全、信息系統(tǒng)安全、人員安全、環(huán)境安全、用戶數(shù)據(jù)保護以及安全審計組成。,物理安全實現(xiàn),物理安全的目物理安全系統(tǒng)的六個層次,密碼安全實現(xiàn),密碼算法硬件加密設備密碼和算法的安全保護加密卡密鑰管理加密卡可靠性