專利權的密鑰

Ⅰ 軟體著作權的申請流程及資料

到www.cponline.gov.cn，不用登錄，可以下載開戶用的協議書、申請表及其他文件的要求等，填好後帶上證件，送到國家專利局開戶，他們會給你一個登錄用的用戶代碼及對應的密鑰文件。你回到自己的電腦上，安裝專利文件生成系統，就像一個office一樣，用它寫好專利申請文件後，憑借用戶代碼和密鑰文件通過專用的軟體上傳給專利局，上傳日即為申請日。以後與專利局所有的往來文件都通過這個軟體傳遞，不接收紙件。

Ⅱ 密鑰管理的管理技術

1、對稱密鑰管理。對稱加密是基於共同保守秘密來實現的。採用對稱加密技術的貿易雙方必須要保證採用的是相同的密鑰，要保證彼此密鑰的交換是安全可靠的，同時還要設定防止密鑰泄密和更改密鑰的程序。這樣，對稱密鑰的管理和分發工作將變成一件潛在危險的和繁瑣的過程。通過公開密鑰加密技術實現對稱密鑰的管理使相應的管理變得簡單和更加安全，同時還解決了純對稱密鑰模式中存在的可靠性問題和鑒別問題。 貿易方可以為每次交換的信息（如每次的EDI交換）生成唯一一把對稱密鑰並用公開密鑰對該密鑰進行加密，然後再將加密後的密鑰和用該密鑰加密的信息（如EDI交換）一起發送給相應的貿易方。由於對每次信息交換都對應生成了唯一一把密鑰，因此各貿易方就不再需要對密鑰進行維護和擔心密鑰的泄露或過期。這種方式的另一優點是，即使泄露了一把密鑰也只將影響一筆交易，而不會影響到貿易雙方之間所有的交易關系。這種方式還提供了貿易夥伴間發布對稱密鑰的一種安全途徑。
2、公開密鑰管理/數字證書。貿易夥伴間可以使用數字證書（公開密鑰證書）來交換公開密鑰。國際電信聯盟（ITU）制定的標准X.509，對數字證書進行了定義該標准等同於國際標准化組織（ISO）與國際電工委員會（IEC）聯合發布的ISO/IEC 9594-8：195標准。數字證書通常包含有唯一標識證書所有者（即貿易方）的名稱、唯一標識證書發布者的名稱、證書所有者的公開密鑰、證書發布者的數字簽名、證書的有效期及證書的序列號等。證書發布者一般稱為證書管理機構（CA），它是貿易各方都信賴的機構。數字證書能夠起到標識貿易方的作用，是目前電子商務廣泛採用的技術之一。
3、密鑰管理相關的標准規范。目前國際有關的標准化機構都著手制定關於密鑰管理的技術標准規范。ISO與IEC下屬的信息技術委員會（JTC1）已起草了關於密鑰管理的國際標准規范。該規范主要由三部分組成：一是密鑰管理框架；二是採用對稱技術的機制；三是採用非對稱技術的機制。該規范現已進入到國際標准草案表決階段，並將很快成為正式的國際標准。
數字簽名
數字簽名是公開密鑰加密技術的另一類應用。它的主要方式是：報文的發送方從報文文本中生成一個128位的散列值（或報文摘要）。發送方用自己的專用密鑰對這個散列值進行加密來形成發送方的數字簽名。然後，這個數字簽名將作為報文的附件和報文一起發送給報文的接收方。報文的接收方首先從接收到的原始報文中計算出128位的散列值（或報文摘要），接著再用發送方的公開密鑰來對報文附加的數字簽名進行解密。如果兩個散列值相同，那麼接收方就能確認該數字簽名是發送方的。通過數字簽名能夠實現對原始報文的鑒別和不可抵賴性。
ISO/IEC JTC1已在起草有關的國際標准規范。該標準的初步題目是「信息技術安全技術帶附件的數字簽名方案」，它由概述和基於身份的機制兩部分構成。 密碼學簡介 據記載，公元前400年，古希臘人發明了置換密碼。1881年世界上的第一個電話保密專利出現。在第二次世界大戰期間，德國軍方啟用「恩尼格瑪」密碼機，密碼學在戰爭中起著非常重要的作用。
隨著信息化和數字化社會的發展，人們對信息安全和保密的重要性認識不斷提高，於是在1997年，美國國家標准局公布實施了「美國數據加密標准（DES）」，民間力量開始全面介入密碼學的研究和應用中，採用的加密演算法有DES、RSA、SHA等。隨著對加密強度需求的不斷提高，近期又出現了AES、ECC等。
使用密碼學可以達到以下目的：
保密性：防止用戶的標識或數據被讀取。
數據完整性：防止數據被更改。
身份驗證：確保數據發自特定的一方。
二. 加密演算法介紹根據密鑰類型不同將現代密碼技術分為兩類：對稱加密演算法（秘密鑰匙加密）和非對稱加密演算法（公開密鑰加密）。
對稱鑰匙加密系統是加密和解密均採用同一把秘密鑰匙，而且通信雙方都必須獲得這把鑰匙，並保持鑰匙的秘密。
非對稱密鑰加密系統採用的加密鑰匙（公鑰）和解密鑰匙（私鑰）是不同的。 在對稱加密演算法中，只有一個密鑰用來加密和解密信息，即加密和解密採用相同的密鑰。常用的演算法包括：DES（Data Encryption Standard）：數據加密標准，速度較快，適用於加密大量數據的場合。
3DES（Triple DES）：是基於DES，對一塊數據用三個不同的密鑰進行三次加密，強度更高。
AES（Advanced Encryption Standard）：高級加密標准，是下一代的加密演算法標准，速度快，安全級別高；
2000年10月，NIST（美國國家標准和技術協會）宣布通過從15種侯選演算法中選出的一項新的密匙加密標准。Rijndael被選中成為將來的AES。Rijndael是在 1999 年下半年，由研究員Joan Daemen 和 Vincent Rijmen 創建的。AES 正日益成為加密各種形式的電子數據的實際標准。
美國標准與技術研究院 (NIST) 於 2002 年 5 月 26 日制定了新的高級加密標准(AES) 規范。
演算法原理 AES 演算法基於排列和置換運算。排列是對數據重新進行安排，置換是將一個數據單元替換為另一個。AES 使用幾種不同的方法來執行排列和置換運算。
AES 是一個迭代的、對稱密鑰分組的密碼，它可以使用128、192 和 256 位密鑰，並且用 128 位（16位元組）分組加密和解密數據。與公共密鑰密碼使用密鑰對不同，對稱密鑰密碼使用相同的密鑰加密和解密數據。通過分組密碼返回的加密數據的位數與輸入數據相同。迭代加密使用一個循環結構，在該循環中重復置換和替換輸入數據。
AES與3DES的比較 演算法名稱 演算法類型 密鑰長度 速度 解密時間（建設機器每秒嘗試255個密鑰） 資源消耗 AES 對稱block密碼 128、192、256位 高 1490000億年 低 3DES 對稱feistel密碼 112位或168位 低 46億年 中 常見的非對稱加密演算法如下：
RSA：由 RSA 公司發明，是一個支持變長密鑰的公共密鑰演算法，需要加密的文件塊的長度也是可變的；
DSA（Digital Signature Algorithm）：數字簽名演算法，是一種標準的 DSS（數字簽名標准）；
ECC（Elliptic Curves Cryptography）：橢圓曲線密碼編碼學。
在1976年，由於對稱加密演算法已經不能滿足需要，Diffie 和Hellman發表了一篇叫《密碼學新動向》的文章，介紹了公匙加密的概念，由Rivet、Shamir、Adelman提出了RSA演算法。
隨著分解大整數方法的進步及完善、計算機速度的提高以及計算機網路的發展，為了保障數據的安全，RSA的密鑰需要不斷增加，但是，密鑰長度的增加導致了其加解密的速度大為降低，硬體實現也變得越來越難以忍受，這對使用RSA的應用帶來了很重的負擔，因此需要一種新的演算法來代替RSA。
1985年N.Koblitz和Miller提出將橢圓曲線用於密碼演算法，根據是有限域上的橢圓曲線上的點群中的離散對數問題ECDLP。ECDLP是比因子分解問題更難的問題，它是指數級的難度。
原理——橢圓曲線上的難題 橢圓曲線上離散對數問題ECDLP定義如下：給定素數p和橢圓曲線E，對Q=kP，在已知P，Q 的情況下求出小於p的正整數k。可以證明由k和P計算Q比較容易，而由Q和P計算k則比較困難。
將橢圓曲線中的加法運算與離散對數中的模乘運算相對應，將橢圓曲線中的乘法運算與離散對數中的模冪運算相對應，我們就可以建立基於橢圓曲線的對應的密碼體制。
例如，對應Diffie-Hellman公鑰系統，我們可以通過如下方式在橢圓曲線上予以實現：在E上選取生成元P，要求由P產生的群元素足夠多，通信雙方A和B分別選取a和b，a和b 予以保密，但將aP和bP公開，A和B間通信用的密鑰為abP，這是第三者無法得知的。
對應ELGamal密碼系統可以採用如下的方式在橢圓曲線上予以實現：
將明文m嵌入到E上Pm點，選一點B∈E，每一用戶都選一整數a，0<a<N，N為階數已知，a保密，aB公開。欲向A送m，可送去下面一對數偶：[kB，Pm+k(aAB)]，k是隨機產生的整數。A可以從kB求得k(aAB)。通過：Pm+k(aAB)- k(aAB)=Pm恢復Pm。同樣對應DSA，考慮如下等式：
K=kG [其中 K，G為Ep(a,b)上的點，k為小於n（n是點G的階）的整數]
不難發現，給定k和G，根據加法法則，計算K很容易；但給定K和G，求k就相對困難了。
這就是橢圓曲線加密演算法採用的難題。我們把點G稱為基點（base point），k（k<n，n為基點G的階）稱為私有密鑰（privte key），K稱為公開密鑰（public key)。
ECC與RSA的比較 ECC和RSA相比，在許多方面都有對絕對的優勢，主要體現在以下方面：
抗攻擊性強。相同的密鑰長度，其抗攻擊性要強很多倍。
計算量小，處理速度快。ECC總的速度比RSA、DSA要快得多。
存儲空間佔用小。ECC的密鑰尺寸和系統參數與RSA、DSA相比要小得多，意味著它所佔的存貯空間要小得多。這對於加密演算法在IC卡上的應用具有特別重要的意義。
帶寬要求低。當對長消息進行加解密時，三類密碼系統有相同的帶寬要求，但應用於短消息時ECC帶寬要求卻低得多。帶寬要求低使ECC在無線網路領域具有廣泛的應用前景。
ECC的這些特點使它必將取代RSA，成為通用的公鑰加密演算法。比如SET協議的制定者已把它作為下一代SET協議中預設的公鑰密碼演算法。
下面兩張表示是RSA和ECC的安全性和速度的比較。 攻破時間(MIPS年) RSA/DSA（密鑰長度） ECC密鑰長度 RSA/ECC密鑰長度比 10 512 106 5：1 10 768 132 6：1 10 1024 160 7：1 10 2048 210 10：1 10 21000 600 35：1 RSA和ECC安全模長得比較 功能 Security Builder 1.2 BSAFE 3.0 163位ECC(ms) 1,023位RSA(ms) 密鑰對生成 3.8 4,708.3 簽名 2.1(ECNRA) 228.4 3.0(ECDSA) 認證 9.9(ECNRA) 12.7 10.7(ECDSA) Diffie—Hellman密鑰交換 7.3 1,654.0 RSA和ECC速度比較 散列演算法也叫哈希演算法，英文是Hash ,就是把任意長度的輸入（又叫做預映射， pre-image），通過散列演算法，變換成固定長度的輸出，該輸出就是散列值。這種轉換是一種壓縮映射，也就是，散列值的空間通常遠小於輸入的空間，不同的輸入可能會散列成相同的輸出，而不可能從散列值來唯一的確定輸入值。簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數。
HASH主要用於信息安全領域中加密演算法，它把一些不同長度的信息轉化成雜亂的128位的編碼,這些編碼值叫做HASH值. 也可以說，hash就是找到一種數據內容和數據存放地址之間的映射關系散列是信息的提煉，通常其長度要比信息小得多，且為一個固定長度。加密性強的散列一定是不可逆的，這就意味著通過散列結果，無法推出任何部分的原始信息。任何輸入信息的變化，哪怕僅一位，都將導致散列結果的明顯變化，這稱之為雪崩效應。散列還應該是防沖突的，即找不出具有相同散列結果的兩條信息。具有這些特性的散列結果就可以用於驗證信息是否被修改。
單向散列函數一般用於產生消息摘要，密鑰加密等，常見的有：
MD5（Message Digest Algorithm 5）：是RSA數據安全公司開發的一種單向散列演算法。
SHA（Secure Hash Algorithm）：可以對任意長度的數據運算生成一個160位的數值；
在1993年，安全散列演算法（SHA）由美國國家標准和技術協會(NIST)提出，並作為聯邦信息處理標准（FIPS PUB 180）公布；1995年又發布了一個修訂版FIPS PUB 180-1，通常稱之為SHA-1。SHA-1是基於MD4演算法的，並且它的設計在很大程度上是模仿MD4的。現在已成為公認的最安全的散列演算法之一，並被廣泛使用。
原理 SHA-1是一種數據加密演算法，該演算法的思想是接收一段明文，然後以一種不可逆的方式將它轉換成一段（通常更小）密文，也可以簡單的理解為取一串輸入碼（稱為預映射或信息），並把它們轉化為長度較短、位數固定的輸出序列即散列值（也稱為信息摘要或信息認證代碼）的過程。
單向散列函數的安全性在於其產生散列值的操作過程具有較強的單向性。如果在輸入序列中嵌入密碼，那麼任何人在不知道密碼的情況下都不能產生正確的散列值，從而保證了其安全性。SHA將輸入流按照每塊512位（64個位元組）進行分塊，並產生20個位元組的被稱為信息認證代碼或信息摘要的輸出。
該演算法輸入報文的最大長度不超過264位，產生的輸出是一個160位的報文摘要。輸入是按512 位的分組進行處理的。SHA-1是不可逆的、防沖突，並具有良好的雪崩效應。
通過散列演算法可實現數字簽名實現，數字簽名的原理是將要傳送的明文通過一種函數運算（Hash）轉換成報文摘要（不同的明文對應不同的報文摘要），報文摘要加密後與明文一起傳送給接受方，接受方將接受的明文產生新的報文摘要與發送方的發來報文摘要解密比較，比較結果一致表示明文未被改動，如果不一致表示明文已被篡改。
MAC (信息認證代碼)就是一個散列結果，其中部分輸入信息是密碼，只有知道這個密碼的參與者才能再次計算和驗證MAC碼的合法性。MAC的產生參見下圖。 輸入信息 密碼 散列函數 信息認證代碼 SHA-1與MD5的比較 因為二者均由MD4導出，SHA-1和MD5彼此很相似。相應的，他們的強度和其他特性也是相似，但還有以下幾點不同：
對強行供給的安全性：最顯著和最重要的區別是SHA-1摘要比MD5摘要長32 位。使用強行技術，產生任何一個報文使其摘要等於給定報摘要的難度對MD5是2數量級的操作，而對SHA-1則是2數量級的操作。這樣，SHA-1對強行攻擊有更大的強度。
對密碼分析的安全性：由於MD5的設計，易受密碼分析的攻擊，SHA-1顯得不易受這樣的攻擊。
速度：在相同的硬體上，SHA-1的運行速度比MD5慢。 對稱與非對稱演算法比較
以上綜述了兩種加密方法的原理，總體來說主要有下面幾個方面的不同：
一、 在管理方面：公鑰密碼演算法只需要較少的資源就可以實現目的，在密鑰的分配上，兩者之間相差一個指數級別（一個是n一個是n）。所以私鑰密碼演算法不適應廣域網的使用，而且更重要的一點是它不支持數字簽名。
二、 在安全方面：由於公鑰密碼演算法基於未解決的數學難題，在破解上幾乎不可能。對於私鑰密碼演算法，到了AES雖說從理論來說是不可能破解的，但從計算機的發展角度來看。公鑰更具有優越性。
三、 從速度上來看：AES的軟體實現速度已經達到了每秒數兆或數十兆比特。是公鑰的100倍，如果用硬體來實現的話這個比值將擴大到1000倍。
加密演算法的選擇 前面的章節已經介紹了對稱解密演算法和非對稱加密演算法，有很多人疑惑：那我們在實際使用的過程中究竟該使用哪一種比較好呢？
我們應該根據自己的使用特點來確定，由於非對稱加密演算法的運行速度比對稱加密演算法的速度慢很多，當我們需要加密大量的數據時，建議採用對稱加密演算法，提高加解密速度。
對稱加密演算法不能實現簽名，因此簽名只能非對稱演算法。
由於對稱加密演算法的密鑰管理是一個復雜的過程，密鑰的管理直接決定著他的安全性，因此當數據量很小時，我們可以考慮採用非對稱加密演算法。
在實際的操作過程中，我們通常採用的方式是：採用非對稱加密演算法管理對稱演算法的密鑰，然後用對稱加密演算法加密數據，這樣我們就集成了兩類加密演算法的優點，既實現了加密速度快的優點，又實現了安全方便管理密鑰的優點。
如果在選定了加密演算法後，那採用多少位的密鑰呢？一般來說，密鑰越長，運行的速度就越慢，應該根據的我們實際需要的安全級別來選擇，一般來說，RSA建議採用1024位的數字，ECC建議採用160位，AES採用128為即可。
密碼學在現代的應用， 隨著密碼學商業應用的普及，公鑰密碼學受到前所未有的重視。除傳統的密碼應用系統外，PKI系統以公鑰密碼技術為主，提供加密、簽名、認證、密鑰管理、分配等功能。
保密通信：保密通信是密碼學產生的動因。使用公私鑰密碼體制進行保密通信時，信息接收者只有知道對應的密鑰才可以解密該信息。
數字簽名：數字簽名技術可以代替傳統的手寫簽名，而且從安全的角度考慮，數字簽名具有很好的防偽造功能。在政府機關、軍事領域、商業領域有廣泛的應用環境。
秘密共享：秘密共享技術是指將一個秘密信息利用密碼技術分拆成n個稱為共享因子的信息，分發給n個成員，只有k(k≤n)個合法成員的共享因子才可以恢復該秘密信息，其中任何一個或m(m≤k)個成員合作都不知道該秘密信息。利用秘密共享技術可以控制任何需要多個人共同控制的秘密信息、命令等。
認證功能：在公開的信道上進行敏感信息的傳輸，採用簽名技術實現對消息的真實性、完整性進行驗證，通過驗證公鑰證書實現對通信主體的身份驗證。
密鑰管理：密鑰是保密系統中更為脆弱而重要的環節，公鑰密碼體制是解決密鑰管理工作的有力工具；利用公鑰密碼體制進行密鑰協商和產生，保密通信雙方不需要事先共享秘密信息；利用公鑰密碼體制進行密鑰分發、保護、密鑰託管、密鑰恢復等。
基於公鑰密碼體制可以實現以上通用功能以外，還可以設計實現以下的系統：安全電子商務系統、電子現金系統、電子選舉系統、電子招投標系統、電子彩票系統等。
公鑰密碼體制的產生是密碼學由傳統的政府、軍事等應用領域走向商用、民用的基礎，同時互聯網、電子商務的發展為密碼學的發展開辟了更為廣闊的前景。
加密演算法的未來 隨著計算方法的改進，計算機運行速度的加快，網路的發展，越來越多的演算法被破解。
在2004年國際密碼學會議(Crypto』2004)上，來自中國山東大學的王小雲教授做的破譯MD5、HAVAL-128、MD4和RIPEMD演算法的報告，令在場的國際頂尖密碼學專家都為之震驚，意味著這些演算法將從應用中淘汰。隨後，SHA-1也被宣告被破解。
歷史上有三次對DES有影響的攻擊實驗。1997年，利用當時各國 7萬台計算機，歷時96天破解了DES的密鑰。1998年，電子邊境基金會（EFF）用25萬美元製造的專用計算機，用56小時破解了DES的密鑰。1999年，EFF用22小時15分完成了破解工作。因此。曾經有過卓越貢獻的DES也不能滿足我們日益增長的需求了。
最近，一組研究人員成功的把一個512位的整數分解因子，宣告了RSA的破解。
我們說數據的安全是相對的，可以說在一定時期一定條件下是安全的，隨著硬體和網路的發展，或者是另一個王小雲的出現，目前的常用加密演算法都有可能在短時間內被破解，那時我們不得不使用更長的密鑰或更加先進的演算法，才能保證數據的安全，因此加密演算法依然需要不斷發展和完善，提供更高的加密安全強度和運算速度。
縱觀這兩種演算法一個從DES到3DES再到AES，一個從RSA到ECC。其發展角度無不是從密鑰的簡單性，成本的低廉性，管理的簡易性，演算法的復雜性，保密的安全性以及計算的快速性這幾個方面去考慮。因此，未來演算法的發展也必定是從這幾個角度出發的，而且在實際操作中往往把這兩種演算法結合起來，也需將來一種集兩種演算法優點於一身的新型演算法將會出現，到那個時候，電子商務的實現必將更加的快捷和安全。

Ⅲ 專利zl2012102116118.9

雲存儲與聚合架構及其數據存儲與聚合方法
有權

一種雲存儲與聚合架構及其數據存儲與聚合方法，包括：用於對數據進行分割或者通過聚合伺服器對數據進行加密的用戶、用於對數據進行存儲和本地聚合的互相獨立的存儲雲、用於對存儲雲進行密鑰分配的第三方可信伺服器和用於對接收到的數據進行總聚合並對結果進行解密的數據聚合伺服器及其數據存儲與聚合方法。本發明保證用戶在存儲雲的數據安全的同時，又可以保證在聚合伺服器對數據進行聚合的時候無法得知存儲雲端的數據情況。

Ⅳ SSL中，公鑰，私鑰，證書的後綴名都是些啥

SSL證書後綴
CSR – Certificate Signing Request,即證書簽名請求,這個並不是證書,而是向權威證書頒發機構獲得簽名證書的申請,其核心內容是一個公鑰(當然還附帶了一些別的信息),在生成這個申請的時候,同時也會生成一個私鑰,私鑰要自己保管好.做過iOS APP的朋友都應該知道是怎麼向蘋果申請開發者證書的吧.
KEY– 通常用來存放一個RSA 公鑰或者私鑰,並非X.509證書,編碼同樣的,可能是PEM,也可能是DER.
CRT– CRT應該是certificate的三個字母,其實還是證書的意思,常見於*NIX系統,有可能是PEM編碼,也有可能是DER編碼,大多數應該是PEM編碼。本站提供的CRT格式等同於CER,等同於PEM。
PEM – Privacy Enhanced Mail的縮寫，以文本的方式進行存儲。打開看文本格式,以」—–BEGIN…」開頭, 「—–END…」結尾,內容是編碼. 查看PEM格式證書的信息:openssl x509 -in certificate.pem -text -noout Apache和*NIX伺服器偏向於使用這種編碼格式.
CER– 還是certificate,還是證書,常見於Windows系統,同樣的,可能是PEM編碼,也可能是DER編碼,大多數應該是DER編碼.
DER – Distinguished Encoding Rules的縮寫，以二進制方式進行存儲，文件結構無法直接預覽，查看DER格式證書的信息:openssl x509 -in certificate.der -inform der -text -noout Java和Windows伺服器偏向於使用這種編碼格式.
PFX/P12 – predecessor of PKCS#12,對*nix伺服器來說,一般CRT和KEY是分開存放在不同文件中的,但Windows的IIS則將它們存在一個PFX文件中,(因此這個文件包含了證書及私鑰)這樣會不會不安全？應該不會,PFX通常會有一個」提取密碼」,你想把裡面的東西讀取出來的話,它就要求你提供提取密碼,PFX使用的時DER編碼,如何把PFX轉換為PEM編碼？
JKS – 即Java Key Storage,這是Java的專利,跟OpenSSL關系不大,利用Java的一個叫」keytool」的工具,可以將PFX轉為JKS,當然了,keytool也能直接生成JKS。

Ⅳ 聯想筆記本電腦windows7的產品密鑰是什麼

如果您的電腦出廠配置有正版WINDOWS 7操作系統。在筆記本的C面有微軟正版授權標志，背面有密鑰標簽，輸入密鑰標簽上的密鑰（25位）就可以激活電腦（家庭版的號只能用於激活家庭版的系統）
如果沒有，可能您安裝的是盜版系統。建議去聯想服務中心安裝操作系統。

Ⅵ 域名密鑰

DOMAINKEY是利用EMAIL的郵件頭來實現附著簽名信息的，而公鑰，則是利用該域名的伺服器來公布的。例如，UPS對應的IP是某某，則收信伺服器會去請求該IP去驗證一個聲稱來自[email protected]是否真正符合UPS的簽名政策。。

因為熟悉電子簽名法的人都知道，公鑰可以通過各種方式去分發，只要它的私鑰嚴格保密就行了。

that's a little summary of domainkey

Ⅶ 密碼學中的公鑰和密鑰是怎麼聯系在一起的

公鑰基礎設施PKI

一、 PKI概述
企業生意成功與否在很大程度上取決於該企業是否擁有一個安全可靠的網路系統。目前大多數企業的IT管理人員都為其企業的網路系統採取了某種形式的加密和認證方案。許多企業的網路管理人員正在利用Web向企業提供安全的Internet商務、虛擬專用網路(VPN)以及遠程認證服務,以使其遠地雇員擁有對企業網路的存取能力。然而,當前的大多數安全技術(例如用戶名和口令、一次性口令以及雙向鑒別)並不適合企業的安全需求,而且這些傳統的技術通常需要互不相同的維護與管理措施。
目前,越來越多的企業需要利用網路與其分布在世界各地的分支機構及遠地雇員相連,因此它們需要採取最有效的安全手段以保護企業資源。然而安全防範措施的加強同時也引發了更多額外的管理工作。值得慶幸的是,公共密鑰基礎設施(PKI)可幫助企業解決這一難題,它可幫助企業建立一個安全可靠的網路管理系統。PKI是一種易於管理的、集中化的網路安全方案。它可支持多種形式的數字認證: 數據加密、數字簽字、不可否認、身份鑒別、密鑰管理以及交叉認證等。PKI可通過一個基於認證的框架處理所有的數據加密和數字簽字工作。PKI標准與協議的開發迄今已有15年的歷史,目前的PKI已完全可以向企業網路提供有效的安全保障。

在運行機理上，有近50種有關PKI的標准在過去的15年中得以統一,供應商們的不懈努力較好地解決了其後端資料庫的互操作能力。一個PKI由眾多部件組成,這些部件共同完成兩個主要功能:為數據加密和創建數字認證。伺服器(即後端)產品是這一系統的核心,這些資料庫管理著數字認證、公共密鑰及專用密鑰(分別用於數據的加密和解密)。CA(Certificate Authority,認證權威)資料庫負責發布、廢除和修改X.509數字認證信息,它裝有用戶的公共密鑰、證書有效期以及認證功能(例如對數據的加密或對數字簽字的驗證)。為了防止對數據簽字的篡改,CA在把每一數字簽字發送給發出請求的客戶機之前,需對每一個數字簽字進行認證。一旦數字認證得以創建，它將會被自動存儲於X.500目錄中,X.500目錄為樹形結構。LDAP(Lightweight Directory Access Protocol)協議將響應那些要求提交所存儲的公共密鑰認證的請求。CA為每一用戶或伺服器生成兩對獨立的公共和專用密鑰。其中一對用於信息的加密和解密, 另一對由客戶機應用程序使用,用於文檔或信息傳輸中數字簽字的創建。

大多數PKI均支持證書分布,這是一個把已發布過的或續延生命期的證書加以存儲的過程。這一過程使用了一個公共查詢機制,X.500目錄可自動完成這一存儲過程。影響企業普遍接受PKI的一大障礙是不同CA之間的交叉認證。假設有兩家公司,每一家企業分別使用來自不同供應商的CA,現在它們希望相互託管一段時間。如果其後援資料庫支持交叉認證,則這兩家企業顯然可以互相託管它們的CA,因而它們所託管的所有用戶均可由兩家企業的CA所託管。

二、 PKI體系的基本組成

PKI是一種遵循標準的密鑰管理平台,它能夠為所有網路應用透明地提供採用加密和數字簽名等密碼服務所必需的密鑰和證書管理。PKI必須具有認證機關( CA)、證書庫、密鑰備份及恢復系統、證書作廢處理系統、客戶端證書處理系統等基本成分,構建PKI也將圍繞著這五大系統來構建。
＊ 認證機關

CA是證書的簽發機構,它是PKI的核心。眾所周知,構建密碼服務系統的核心內容是如何實現密鑰管理,公鑰體制涉及到一對密鑰,即私鑰和公鑰, 私鑰只由持有者秘密掌握,無須在網上傳送,而公鑰是公開的,需要在網上傳送,故公鑰體制的密鑰管理主要是公鑰的管理問題,目前較好的解決方案是引進證書（certificate）機制。

證書是公開密鑰體制的一種密鑰管理媒介。它是一種權威性的電子文檔，形同網路計算環境中的一種身份證，用於證明某一主體（如人、伺服器等）的身份以及其公開密鑰的合法性。在使用公鑰體制的網路環境中, 必須向公鑰的使用者證明公鑰的真實合法性。因此,在公鑰體制環境中,必須有一個可信的機構來對任何一個主體的公鑰進行公證,證明主體的身份以及他與公鑰的匹配關系。CA正是這樣的機構,它的職責歸納起來有:

1、驗證並標識證書申請者的身份；

2、確保CA用於簽名證書的非對稱密鑰的質量；

3、確保整個簽證過程的安全性,確保簽名私鑰的安全性；

4、證書材料信息（包括公鑰證書序列號、CA標識等）的管理；

5、確定並檢查證書的有效期限；

6、確保證書主體標識的唯一性,防止重名；

7、發布並維護作廢證書表；

8、對整個證書簽發過程做日誌記錄；

9、向申請人發通知。

其中最為重要的是CA自己的一對密鑰的管理，它必須確保其高度的機密性,防止他方偽造證書。CA的公鑰在網上公開,整個網路系統必須保證完整性。

＊ 證書庫

證書庫是證書的集中存放地,它與網上"白頁」類似,是網上的一種公共信息庫,用戶可以從此處獲得其他用戶的證書和公鑰。

構造證書庫的最佳方法是採用支持LDAP協議的目錄系統,用戶或相關的應用通過LDAP來訪問證書庫。系統必須確保證書庫的完整性,防止偽造、篡改證書。

＊ 密鑰備份及恢復系統

如果用戶丟失了用於解密數據的密鑰,則密文數據將無法被解密,造成數據丟失。為避免這種情況的出現,PKI應該提供備份與恢復解密密鑰的機制。密鑰的備份與恢復應該由可信的機構來完成，例如CA可以充當這一角色。值得強調的是，密鑰備份與恢復只能針對脫密密鑰，簽名私鑰不能夠作備份。

＊ 證書作廢處理系統

證書作廢處理系統是PKI的一個重要組件。同日常生活中的各種證件一樣，證書在CA為其簽署的有效期以內也可能需要作廢，例如,A公司的職員a辭職離開公司,這就需要終止a證書的生命期。為實現這一，PKI必須提供作廢證書的一系列機制。作廢證書有如下三種策略:

1、作廢一個或多個主體的證書；

2、作廢由某一對密鑰簽發的所有證書；

3、作廢由某CA簽發的所有證書。

作廢證書一般通過將證書列入作廢證書表（CRL）來完成。通常，系統中由CA負責創建並維護一張及時更新的CRL,而由用戶在驗證證書時負責檢查該證書是否在CRL之列。CRL一般存放在目錄系統中。證書的作廢處理必須在安全及可驗證的情況下進行,系統還必須保證CRL的完整性。

＊ PKI應用介面系統

PKI的價值在於使用戶能夠方便地使用加密、數字簽名等安全服務，因此一個完整的PKI必須提供良好的應用介面系統，使得各種各樣的應用能夠以安全、一致、可信的方式與PKI交互，確保所建立起來的網路環境的可信性，同時降低管理維護成本。最後，PKI應用介面系統應該是跨平台的。

三、 PKI的功能 歸納起來，PKI應該為應用提供如下的安全支持 ：

＊ 證書與CA，PKI應實現CA以及證書庫、CRL等基本的證書管理功能。

＊ 密鑰備份及恢復證書。

＊ 密鑰對的自動更換證書、密鑰都有一定的生命期限。當用戶的私鑰泄露時,必須更換密鑰對；另外，隨著計算機速度日益提高,密鑰長度也必須相應地長。因此，PKI應該提供完全自動（無須用戶干預）的密鑰更換以及新的分發工作。

＊ 交叉驗證

每個CA只可能覆蓋一定的作用范圍，即CA的域，例如，不同的企業往往有各自的CA，它們頒發的證書都只在企業范圍內有效。當隸屬於不同CA的用戶需要交換信息時，就需要引入交叉證書和交叉驗證，這也是PKI必須完成的工作。

＊ 加密密鑰和簽名密鑰的分隔

如前所述，加密和簽名密鑰的密鑰管理需求是相互抵觸的，因此PKI應該支持加密和簽名密鑰的分隔使用。

＊ 支持對數字簽名的不可抵賴

任何類型的電子商務都離不開數字簽名，因此PKI必須支持數字簽名的不可抵賴性，而數字簽名的不可抵賴性依賴於簽名私鑰的唯一性和機密性,為確保這一點，PKI必須保證簽名密鑰與加密密鑰的分隔使用。

＊ 密鑰歷史的管理

每次更新加密密鑰後，相應的解密密鑰都應該存檔，以便將來恢復用舊密鑰加密的數據。每次更新簽名密鑰後，舊的簽名私鑰應該妥善銷毀，防止破壞其唯一性;相應的舊驗證公鑰應該進行存檔,以便將來用於驗證舊的簽名。這些工作都應該是PKI自動完成的。

四、 PKI體系的發展前景

如上所述,PKI對企業生意的成功與否至關重要,它可使企業擁有一個公共的安全基礎結構——一個所有安全的應用賴以存在的基礎結構。企業中的許多安全電子郵件、Internet商務應用、VPN以及單簽字功能的安全都將依賴於X.509的認證。PKI對數據加密、數字簽字、反否認、數字完整性以及甄別所需的密鑰和認證實施了統一的集中化管理。

每一企業均可受益於PKI結構化的管理方案。然而令人遺憾的是,迄今為止,僅有少數行業(包括銀行業、金融、健康保險)採用了這一系統。一些敢於嘗試新生事物的企業, 例如Automotive Network Exchange(由美國幾家最大的汽車製造商組成)已開始受益於這一安全技術。

預計,當企業的生意變得更依賴於Web時,為了確保它們對客戶信息的安全處理,更多的企業將會不斷轉向PKI。然而,迄今為止,採用PKI的企業仍寥寥無幾。PKI本身存在的問題是限制用戶廣泛採用它的主要原因。統一標準的缺乏,將許多美國企業拒之於PKI方案的大門之外。事實上,對於開發PKI產品來說,目前已有相當成熟的標准可依。缺乏良好的互操作性,也是PKI廣泛被採用的主要障礙之一。在PKI供應商能夠支持所有標准之前,許多企業需要使用其客戶機上的專利工具包,這也會在很大程度上限制PKI的迅速流行。

然而,限制PKI被廣泛採用的最主要的障礙依然是其設計與實現上的復雜性。但據預計,隨著PKI供應商的逐步統一與合並,實現PKI的過程將會變得越來越簡單。如果復雜的實現令你望而卻步, 則可以把企業的系統外包給某個第三方供應商。

許多權威的認證方案供應商(例如VeriSign、Thawte以及GTE)目前都在提供外包的PKI。外包PKI最大的問題是,用戶必須把企業託管給某一服務提供商, 即讓出對網路安全的控制權。如果不願這樣做,則可建造一個專用的PKI。專用方案通常需把來自Entrust、Baltimore Technologies以及Xcert的多種伺服器產品與來自主流應用程序供應商(如Microsoft、Netscape以及Qualcomm)的產品組合在一起。專用PKI還要求企業在准備其基礎設施的過程中投入大量的財力與物力。

對那些高風險行業(如銀行、金融及保險)來說,今後10年,PKI對它們長期的安全需求將至關重要。隨著PKI技術的廣泛流行,PKI的實現將會更趨簡單, 成本也會逐步降低。由於PKI僅於最近才開始變成一種可行的安全方案,因此這一技術仍有待進一步完善。如果你的企業不能等待這一技術的成熟,那麼現在就採用它,因為其目前的功能已足可以滿足一般企業的大多數安全需求。

Ⅷ 華為公開「量子密鑰」相關專利，華為是國內最具權威的民營科技公司嗎

有一些企業能夠通過對自己的企業的管理，來讓自己的企業有一個更好的發展，並且也能夠通過這樣的行為讓自己有一個更好的機會，從而讓自己獲得更多的人才，並且讓自己獲得更多的市場份額，提高他們自己的市場競爭力。華為公司就是一個十分有前途的公司，而且也是有很多人都想要進入華為公司去工作的，因為很多人都認為華為公司真的是一個很有發展潛力的公司，而且也是一個很有實力的公司，能夠讓我們有個比較好的待遇。華為公開“量子密鑰”相關專利，華為是國內最具權威的民營科技公司嗎？我認為的確是，之所以這么說，主要有三個原因:

第一個原因就是華為公司是有科技實力的。華為公司的科技實力的確是很強，而且他們也能夠不斷地去提高對於科技的投入，而且也是在不斷地增加投資的。因為公司知道只有科技強才能夠讓自己獲得更大的競爭力，而且也只有去讓自己有一個比較好的科技能力才能夠去提高自己的市場份額，這樣的話就能夠讓自己有個比較好的市場競爭力。

總而言之，我認為華為的確是國內最具權威的民營科技公司。