密钥技术

密钥技术（精选12篇）

密钥技术 篇1

摘要：为了清晰地认识具有自保护功能的密码系统,对现有的几种抗密钥泄漏技术进行研究。从时间和核心技术两个角度对向前安全,密钥隔离,入侵回弹和代理重加密进行系统的分析,给出其研究的发展历程、核心技术和研究现状,并指出进一步需要研究的问题。文章对迅速全面把握抗密钥技术研究动态具有重要参考意义。

关键词：密钥泄漏,向前安全,密钥隔离,入侵回弹,代理重加密

1 抗密钥泄漏技术应用

当今随着互联网的普及,用户或企业离不开密钥的保护。密钥在一个密码系统中起着十分重要的地位:在加密系统中只有合法的用户才能执行解密操作,签名系统中只有合法用户才能产生有效的签名。目前,大部分的密码系统都是假设密码系统可以安全地保护密钥的。但是随着新技术的不断发展,智能手机,移动互联网设备(MID)等移动设备的拥有率越来越高,越来越多的数据加密系统被用于各种各样的安全性较差的场合,密钥的泄漏就在所难免。对于一个密码系统来说,密钥的泄漏是毁灭性的打击。和求解加密系统所基于的困难问题相比,攻击者直接盗取用户的密钥更为容易。在公钥密码系统中,密钥的泄漏是最致命的打击。

2 系统结构中的密钥保护技术

早期是采用分布式的办法来增加发生密钥泄漏的难度。它是通过把整个密钥分成若干个部分,分别存放在不同的设备上,加密解密签名等操作需要这些设备的共同协作才能完成。这样即使敌手可以获取某些模块,也无法恢复整个密钥。但是当密钥模块泄漏得足够多的时候,还是对系统的安全构成威胁。

当前较好地应对密钥泄漏的办法是一类被称为具有自保护(Self Protecting)功能的密码系统。该类系统包括向前安全密码系统、密钥隔离系统和入侵回弹密码系统。其主要思想是:在保持公钥不变的前提下,对用户的私钥采用进化的办法,达到在不同的时间片段内使用不同的私钥,而在某个时间片内泄漏的私钥不会危害到其它时间片内的安全性的目的。

2.1 向前安全

最初思想由Anderson[1]正式提出,之后Bellare等人[2]提出了基于前向安全的签名方案,给出了正式的模型和安全定义,他们的方案在离散对数困难问题假设下达到了可证明安全性的要求。Ran Canetti等人[3]给出了首个的向前加密方案,但该方案只支持有限的时间片,而且运算代价较高。向前安全的基本思想是:固定公钥pk,私钥ski随时间进化,ski由ski-1通过一个公开的单向函数h来生成,然后删除ski-1以期达到一个目的:即使时间片段i内的密钥ski泄漏,也不会导致之前t(t<i)的阶段内的信息泄漏。

虽然向前安全机制可以很好地保证在密钥泄漏发生之前的安全性,但是没有办法保证密钥泄漏之后的安全性。这就是说在发生密钥泄漏之后,用户的公钥还是要更改。而在基于身份的加密系统中,用户的的身份信息通常是手机号码等,这是不允许撤销的。从这方面来说,向前安全的加密体制不大适合基于身份的加密。

2.2 密钥隔离

在安全性上,秘密分享和门限加密等方式对于限制安全系统的单一密钥脆弱点具有良好的效果,但需要多方配合协作,用户对于开销的承受能力和该类方案对于不同环境的适用性有限。而前向安全虽然具备了操作上的一定的便利性,但对于日常使用的终端仍然难以避免被入侵,由于FS方案下单个终端拥有密钥进化的全部知识,一旦在不可信环境下的设备被攻破,则无法保证将来数据的安全。为此,Dodis等人[4]在2002年提出了密钥隔离方案。

密钥隔离基于密钥进化的思想,密钥的进化不再由用户独自进行,用户自己不完全具备密钥进化所需的全部知识,而增加一个协助者Helper(与用户分离开,但计算能力受限)来协作生成新阶段的密钥,在KI传统的设计中新加入的空间上隔离的Helper使得在前向加密中的局限性得到改善。攻击者单独得到Helper或者用户的阶段密钥ski,都不具备密钥进化的全部知识,这样,实现了(t,N)隔离安全性:任意时段t的密钥泄露,都不能影响剩余时段N-t信息的安全性。对于Helper,进一步假定它不可信,这样构造出来的KIE称为强(t,N)-安全性的密钥隔离,所有的具体加密/签名操作仍然由用户独立完成。

在PKC’03上,Dodis等人[5]给出了一个构造密钥隔离签名的通用方法。但是该方法的方案在签名和验证方面需要很高的运算代价。所以他们同样在文中给出了一个更为具体的(t,N)密钥隔离签名方案。该方案比通用的方法更快,不仅减少了HSK的使用频率,而且减少了密钥泄漏带来的危害。

物理上隔离的协助器密钥一方面使到敌手即使拿到用户当前的密钥也无法计算出之前或以后的密钥,但是另一方面因为经常的密钥更新使到密钥泄漏的可能性也增加。一旦敌手把当前密钥和协助器密钥拿到,就可以攻破整个系统。为此Hanaokao等人提出了并行密钥隔离的思想并给出了选择明文的构造方案和选择密文的构造方案及其安全性证明。该方案中,有两个相互独立的协助器密钥,既减少了密钥泄漏的可能性,也满足了经常使用更新下的安全性,从而保证了整个系统的安全性。

Weng Jian等人[6]在2006年首先提出了基于身份的并行密钥隔离加密的形式及其安全模型。该方案满足随机语言机模型安全,达到可以经常更新密钥而又不增加密钥泄漏的威胁的目的。Weng Jian等人[7]在2008年给出标准模型下基于身份的门限密钥隔离方案,实现了标准模型下CPA的密钥隔离。进一步地,Weng等还构造了(t-N)门限密钥隔离方案,此时用户拥有N个更新协作者,每次阶段密钥更新至少需要使用k个协作者参与才能完成,(k-N)门限密钥隔离在提供了基本隔离性质的基础上,创造性的支持了随机密钥访问能力,这在传统的密钥隔离协议中是难以实现的。

2.3 入侵回弹

尽管在上面方案的基础上,系统的安全性可以得到很好的保证,但是还是可能存在泄漏。为此Itkis等人[8]提出了入侵回弹概念。它与密钥隔离有很多相似的地方,不同的是协助器也进行更新操作。Itkis等人同样给出了一个具体的签名方案,但该方案只支持有限的时间片段。之后Itkis给出了一个通用的入侵回弹签名方案。在此基础上,他们在文献[9]中进一步给出了一个用于构造入侵回弹的公钥加密方案的通用办法。

3 代理重加密技术

随着信息技术的发展,为了应对合谋攻击,代理重加密技术在近年来越来越受到关注。代理重密码首先由Blaze、Bleumer和Strauss[10]在1998年的欧密会上提出来。在代理重密码中,一个拥有代理重加密密钥的半可信代理者可以把Alice的密文转换为对同一个明文的Bob的密文,而这个代理者不能获得明文的。R.Canetti等人在文献[11]中给出了可满足选择密文攻击的安全性定义和一个方案。在R.Canetti等人的文献中提出一个公开的问题,如何构造出一个没有使用配对的满足选择密文安全的可代理加密方案。为此Weng Jian等人在文献[12]构造一个双向的方案并证明是满足随机预言机模型安全的。Shao Jun等人构造一个单向的方案并证明是满足随机预言机模型安全的。但是Shao Jun等的方案是容易受到攻击的,为此Weng Jian等在文献[13]给出一个强的单向的方案,该方案的有较高的效率。Weng Jian等接着给出更为一般的构造方法。为解决如何构建一个在自适应攻陷模型下满足选择密文安全的单向代理重加密方案重要问题。Weng Jian等提出了一个新的单向代理重加密方案,并在不依赖随机预言机模型的前提下,证明了方案在自适应攻陷模型下的选择密文安全性。

进一步地,Matsuada等人提出一个在标准模型下选择密文安全的双向的代理重加密方案,但Weng Jian等在文献[14]中攻击该方案,指出该方案是不满足选择密文安全的,并指出在标准模型下如何构建一个有选择密文安全的可代理重加密方案还是一个公开的问题。

4 需要继续研究的问题

目前,向前密码系统得到研究最为深入,然而,对于向前安全密码系统在多用户环境下的研究,还存在广阔的空间。例如如何构建标准模型下可证明安全的向前安全群/环签名方案。与向前安全系统相比,学界对密钥隔离系统的研究还有大量要解决的问题。例如,并行密钥隔离系统和门限隔离系统能够很好地减轻密钥泄漏带来的危害,但是目前还没有存在这两类系统的通用构造方法;目前的并行密钥隔离方案的效率较为低下,其运算代价和密文的长度均和协助器的数目呈线性关系。同时学界对密钥绝缘在多用户环境下的研究极少,近存在一个随机语言机模型下的可证明安全的密钥绝缘环签名方案,也尚未存在密钥绝缘群签名方案。

5 结论

抗密钥泄漏技术有着重要而广阔的应用前景。本文就自保护密码系统的几种技术进行分析。学界对具有自保护功能的密码系统的研究远未成熟,尤其在国内外密码学界,主要集中在向前安全签名方面的研究,对其它技术未给予很大的重视。在自保护功能的密码系统方面研究领域还有大量需要解决的问题。例如,探讨具有自保护功能与其它密码系统之间的关系,提出构造具有自保护功能密码系统的通用方法。

密钥技术 篇2

一、保密密钥和公开/私有密钥

有两类基本的加密算法保密密钥和公开/私有密钥。在保密密钥中，加密者和解密者使用相同的密钥，也被称为对不对称密钥加密，这类算法有DES和IDEA。这种加密算法的问题是，用户必须让接收人知道自己所使用的密钥，这个密钥需要双方共同保密，任何一方的失误都会导致机密的泄露。而且在告诉收件人密钥过程中，还需要的防止任何人发现或偷听密钥，这个过程被称为密钥发布。有些认证系统在会话初期用明文传送密钥，这就存在密钥被截获的可能性。用保密密钥对信息加密。另一类加密技术是公开/私有密钥，与单独的密钥不同，它使用相互关联的一对密钥，一个是公开密钥，任何人都可以知道，另一个是私有密钥，只有拥有该对密钥的人知道。如果有人发信给这个人，他就用他的私有密钥进行解密，而且只有他持有的私有密钥可以解密。这种加密方式的好处显而易见。密钥只有一个人持有，也就更加容易进行保密，因为不需在网络上传送私人密钥，也就不用担心别人在认证会话初期劫持密钥。用公开/私有钥技术对信息进行加密，下面把公开/私有密钥技术总结为以下几点：

1、公开钥/私有密钥有两个相互关联的密钥。

2、公开密钥加密的文件只有私有密钥能解开。

3、私有密钥加密的文件只有公开密钥能解开，这一特点被用于PGP(prettygoodprivacy)，

二、摘要函数(MD2、MD4和MD5)

摘要是一种防止改动的方法，其中用到的函数叫摘要函数。这些函数的输入可以是任意大小的消息，而输出是一个固定长度的摘要。摘要有这样一个性质，如果改变了输入消息中的任何东西，甚至只有一位，输出的摘要将会发生不可预测的改变，也就是说输入消息的每一位对输出摘要都有影响。总之，摘要算法从给定的文本块中产生一个数字签名(fingerprint或messagedigest)，数字签名可以用于防止有人从一个签名上获取文本信息或改变文本信息内容。摘要算法的数字签名原理在很多加密算法中都被使用，如S/KEY和PGP(prettygoodprivacy)。现在流行的摘要函数有MD4和MD5，下面就来讨论一下它们。记住，客户机和服务器必须使用相同的算法，无论是MD4还是MD5,MD4客户机不能和MD5服务器交互。MD2摘要算法的设计是出于下面的考虑：利用32位RISC结构来最大其吞吐量，而不需要大量的替换表(substitutiontable)。MD4算法将消息的给予对长度作为输入，产生一个128位的指纹或消息化。要产生两个具有相同消息化的文字块或者产生任何具有预先给定指纹的消息，都被认为在计算上是不可能的。MD5摘要算法是个数据认证标准。MD5的设计思想是要找出速度更快但更不安全的MD4中潜在的不安全，MD5的设计者通过使MD5在计算上慢下来。，以及对这些计算做了一些基础性的改动来解决这个问题。MD5在RFC1321中给出文档描述，是MD4算法的一个扩展。

★ Word 文档怎么加密WORD

★ 加密保护PDF文档的几个方法网络技巧

★ 高三数学小技巧

★ 常用的谈判小技巧

★ 高考英语听力小技巧

★ 演讲小技巧45个

★ 高中议论文小技巧

★ 高中化学学习小技巧

★ 职称英语小技巧参考

密钥技术 篇3

关键词：密钥；密钥备份；密钥托管

中图分类号：TP393文献标识码：A文章编号：16723198（2007）11026702

1电子商务中存在的安全问题

随着电子商务的广泛开展，网络安全问题得到越来越多的重视。而以计算机网络为基础的电子商务，面临着下面一些安全问题：

(1)信息的泄漏。

在电子商务中表现为商业机密的泄漏，主要包括两个方面：交易双方进行交易的内容被第三方窃取；交易一方提供给另一方使用的文件被第三方非法使用。

(2)信息的窜改。电子交易信息在网络上传输的过程中，可能被他人非法修改、删除或重改，这样就使信息失去了真实性和完整性。

(3)身份的认证。如果不进行身份认证，第三方就有可能假冒交易一方的身份，以破坏交易、破坏被假冒一方的信誉或盗取被假冒一方的交易成果等，进行身份认证后，交易双方就可防止“相互猜疑”的情况。

为了解决上述问题，公钥基础设施（Public Key Infrastructure，PKI）应运而生。PKI是电子商务和其它信息系统的安全基础，用来建立不同实体间的“信任”关系。它的基础是加密技术，核心是证书服务。用户使用由证书授权认证中心（Certificate Authority，CA）签发的数字证书，结合加密技术，可以保证通信内容的保密性、完整性、可靠性及交易的不可抵赖性，并进行用户身份的识别。 

2密钥和密钥备份

密钥就是指加密解密时所使用的参数，可以是一个整数或一串字符，或其它任何加解密方法所能理解的形式。在数据加密中有两种最基本的加密方式，一种是采用相同的密钥加密、解密数据，这种方法叫做对称加密，而另外一种称为公共密钥加密技术，公共密钥加密技术采用一对匹配的密钥进行加密、解密。每把密钥执行一种对数据的单向处理，密钥对中其中一把的功能恰恰与另一把相反，一把用于加密时，则另一把就用于解密。 公开密钥是由其主人加以公开的，而私人密钥必须保密存放。为发送一份保密报文，发送者必须使用接收者的公共密钥对数据进行加密，一旦加密，只有接收方用其私人密钥才能加以解密。 相反地，用户也能用自己私人密钥对数据加以处理。换句话说，密钥对的工作是可以任选方向的。而在密钥的生命周期之内，由于各种原因，可能出现用户的私钥丢失，这可能导致在商务过程中业务的严重损失甚至停止。解决这个问题的一个通用可行的办法，就是在密钥生命周期中引入密钥备份和解密密钥的恢复机制，即从远程备份设施，如可信赖的密钥恢复中心或者CA中恢复私有解密密钥。密钥的备份与恢复只能有可信赖的机构来完成。

密钥的备份的必要性是以合理的实际的商业需求为出发点，与法律或政府对加密数据的管理无关，而密钥托管不同，他是出于对法律强制或者政府对加密数据的访问控制的要求而设置的。

3密钥托管与密钥托管代理

在电子商务广泛采用公开密钥技术后，随之而来的是公开密钥的管理问题。对于政府机构来说，为了加强对贸易活动的监管，客观上也需要银行、海关、税务、工商等管理部门紧密协作。为了打击犯罪，还要涉及到公安和国家安全部门。这样，交易方与管理机构就不可避免地产生联系。为了监视和防止计算机犯罪活动，提出了密钥托管（Key Escrow，KE）的概念。KE与CA相接合，既能保证个人通信与电子交易的安全性，又能实现法律职能部门的管理介入，是今后电子商务安全策略的发展方向。 

密钥托管技术是一种能够在紧急情况下提供获取信息解密密集新途径的技术。它用于保存用户的私钥备份，既可在必要时帮助国家司法或安全等部门获取原始明文信息，也可在用户丢失、损坏自己的密钥后恢复密文。 

执行密钥托管功能的机制是密钥托管代理（Key Escrow Agent，KEA）。KEA与CA是PKI的两个重要组成部分，分别管理用户的私钥与公钥。KEA对用户的私钥进行操作，负责政府职能部门对信息的强制访问，不参与通信过程。CA作为电子商务交易中受信任和具有权威性的第三方，为每个使用公开密钥的客户发放数字证书，负责检验公钥体系中公钥的合法性。因此它参与每次通信过程，但不涉及具体的通信内容。 

4安全密钥的托管

密钥托管最关键，也是最难解决的问题是：如何有效地阻止用户的欺诈行为，即逃脱托管机构的跟踪。为防止用户逃避脱管，密钥托管技术的实施需要通过政府的强制措施进行。用户必须先委托密钥托管代理进行密钥托管，取得托管证书，才能向CA申请加密证书。CA必须在收到加密公钥对应的私钥托管证书后，再签发相应的公钥证书。 

为了防止KEA滥用权限及托管密钥的泄漏，用户的私钥被分成若干部分，由不同的密钥托管代理负责保存。只

有将所有的私钥分量合在一起，才能恢复用户私钥的有效性。 

(1)用户选择若干个KEA，分给每一个代理一部分私钥和一部分公钥。代理根据所得的密钥分量产生相应的托管证书。证书中包括该用户的特定表示符（Unique Identify，UID）、被托管的那部分公钥和私钥、托管证书的编号。KEA还要用自己的签名私钥对托管证书进行数字签名，以保证其真实性，并将其附在托管证书上。 

(2)用户收到所有的托管证书后，将证书和完整的公钥递交给CA，申请加密证书。 

(3)由CA验证每个托管证书的真实性，即是否每一个托管代理都托管了一部分有效的私钥分量，并对用户身份加以确认。完成所有的验证工作后，CA生成加密证书，返回给用户。

所有传送的加密信息都带有包含会话密钥的数据恢复域（Data Recovery Field，DRF），它由时间戳、发送者的加密证书、会话密钥组成，与密文绑定在一起传送给接收方。接收方必须通过数据恢复域才能获得会话密钥。在必要时，政府机构可利用KEA，通过数据恢复域实现对通信内容的强制访问。 

在政府机构取得授权后，首先监听并截获可疑信息，利用数据恢复域中发送者的加密证书获得发送者的托管代理标示符及其对应的托管证书号，然后把自己的授权证书和托管证书号交给相应的密钥托管代理。KEA验证授权证书的真伪后，返回自己保管的那部分私钥。这样在收集了所有的私钥成分后，司法部门就能恢复出发送者的私钥，再结合接收者的公钥及时间戳，就能破解会话密钥，进而破解整个密文。由于密钥托管不参与通信过程，所以在通信双方毫无察觉的情况下，政府机构就能审查通信内容。 

参考文献

［1］胡伟雄.电子商务安全认证系统［M］.武汉：华中师范大学出版社，２００５.

［2］国际电子商务师培训教程编委会. 国际电子商务师培训教程［M］.北京：人民交通出版社，２００６.

［3］冯登国.公开密钥基础设施［M］.北京：人民邮电出版社，２００１.

［4］刘荫铭等.计算机安全技术［M］.北京：清华大学出版社，２０００.

密钥技术 篇4

随着LED照明技术的迅速发展, 在网络与照明相互整合趋势的驱使下, 2012年4月, 国际Zig Bee联盟正式公布了Zig Bee Light Link (以下简称ZLL) 技术标准。这是一项由广泛的企业联盟提供支持的开放性全球标准, 为高效LED照明提供无线控制解决方案。

ZLL技术标准由GE、Greenwave Reality、欧司朗和飞利浦等厂商共同开发, 并得到了世界主流照明厂商的支持。该标准保障了产品的互操作性, 用户可以通过单一网络控制不同品牌厂商的照明产品, 并且可方便地与计算机、智能手机和平板电脑连接。

ZLL是一项基于Zig Bee全球无线标准的应用层标准。目前智能家居领域已包含Wi-Fi、蓝牙以及Zig Bee等多种无线技术。由于Zig Bee特有的低成本、低功耗、传输距离较远及支持多节点网络的技术优势, 人们看好其在数字化社区与家庭领域的应用。ZLL标准的产生, 更加丰富了Zig Bee的应用领域, 推动了其进一步发展。图1和图2分别描述了ZLL在Zig Bee标准簇中与其他应用标准的关系, 以及ZLL协议栈的组成部分。

可以看到, ZLL是一个完整的垂直技术标准, 即该标准完整定义了整个通信协议从物理层到应用层的所有技术实现, 这保障了该技术良好的兼容性和互操作性。

Zig Bee具有完整的产业链, 经认证的芯片供应商提供支持ZLL完整协议栈的So C平台, 用户无需关心复杂的Zig Bee协议, 而仅关注其照明产品的应用级功能开发。

2 Zig Bee Light Link的典型应用

ZLL为网络化的智能照明应用提供直观、便于操作的界面与互联技术。目前已经有多家照明厂商和供应链厂商采用该标准, 且推出相关产品。根据照明行业的分析报告, 自2013年起, 内嵌Zig Bee无线通讯模块的照明产品将开始大量进入市场。ZLL技术可以使LED照明或其他节能照明产品获得更高的附加价值和更好的用户感受。

根据应用环境的不同, ZLL可以直接组成独立的网络, 也可以通过网关接入如Wi-Fi的其他网络。ZLL标准定义了丰富的照明设备和控制设备类型, 基于这些设备类型开发的节能灯泡、LED灯具、传感器、定时器、遥控器与开关等设备能够很方便地接入同一ZLL网路, 并且无需添加任何额外装置进行调试。这使得家庭照明网络可以简单、方便地扩展和增减设备。

当需要将ZLL网络接入其他网络时, 专用的“Zig Bee——目标网络”网关是必不可少的。目前, 用户的智能设备普遍接入Wi-Fi网络, 当需要将智能设备如手机作为ZLL网络的控制终端时, 一个“Zig Bee——Wi-Fi”网关作为Wi-Fi节点接入手机网络, 同时作为ZLL网络的路由器。与全Wi-Fi的实现方案相比, 这种实现模式带来一定的设计冗余 (网关) , 但其大大简化了灯具端的复杂度。特别是, 基于Zig Bee的照明控制设备, 如遥控器、开关等, 由于其低功耗的无线连接, 可以采用电池供电并持续工作数月。这对于Wi-Fi连接的设备是不可能的。图3为ZLL的典型应用。

图3 ZLL的典型应用

3 ZLL的密钥管理机制

与传统的Zig Bee网络不同, ZLL网络不含协调器设备。因此, Zig Bee网络的基于协调器的信任中心 (trust center) 安全机制并不适用。针对照明应用的安全, ZLL采用的是网络层的密钥加密技术。网络密钥是ZLL网络建立时生成的通信密钥, 每个ZLL网络均有唯一的网络密钥。网络密钥的分发不是明文形式, 而是采用ZLL密钥进行AES加密, 即密钥的密钥。

ZLL标准针对开发、认证和正式产品的不同阶段, 定义了三种ZLL密钥:开发密钥、认证密钥和产品密钥。

3.1 开发密钥及其加解密算法

开发密钥仅用于ZLL产品的开发过程, 其密钥的格式是:

其中, ||表示连接符;Tr ID和Rs ID分别代表设备在扫描过程中交换的transaction id和response id (其含义和生成方式这里不再赘述) 。“”中的字符为ASCII码形式。图4给出了采用开发密钥的加解密算法。

ZLL发起者的网络层协议栈生成本ZLL网络的网络密钥, 该密钥的明文由加密模块加密后发送给目标设备。目标设备利用共同的开发密钥进行解密, 恢复ZLL网络密钥。之后的ZLL网络的通信均基于该网络唯一的网络密钥。

3.2 认证/产品密钥及其加解密算法

认证密钥用于ZLL产品的认证过程, 其密钥由明文定义:

认证密钥的加解密机制为两级加密, 即:在发送端, 认证密钥加密设备交互过程中的识别符, 产生一次性的传输密钥。传输密钥再次作为密钥加密ZLL网络密钥。接收端执行对称的解密流程恢复网络密钥。图5给出了采用认证密钥的加解密算法。

产品密钥的安全机制与认证密钥相同。产品密钥作为商业秘密, 在产品经过认证后由Zig Bee联盟发布。每个经认证的厂商的ZLL产品密钥都是相同的。

4 ZLL产品的认证与开发平台

目前, 可进行Zig Bee认证的有三家国际机构:NTS、TüV和TRa C Global, 如图6所示。

ZLL拥有全球范围内的成熟产业链。IC制造商如德州仪器 (TI) 和爱特梅尔 (Atmel) 公司提供集成完整Zig Bee Light Link协议栈的So C平台。以TI的CC2530 So C平台为例, 该芯片集成IEEE 802.15.4 RF收发器、微控制器、系统运行所需的Flash、RAM以及业界领先的Z-Stack Zig Bee通信协议栈, 以超低成本的物料清单实现稳定的无线控制网络, 有助于Zig Bee Light Link设备的快速开发、上市。

ZLL产品的开发与认证对企业至关重要。要开发符合ZLL标准的产品, 最简单可靠的途径是选择经Zig Bee联盟认证的ZLL参考设计方案, 也称为黄金单元 (Golden Unit) 。

TRa C Global对Atmel、Ember、OSRAM、飞利浦和TI提交的首批Zig Bee Light Link认证产品进行了独立测试。这些产品将作为“Golden Unit”, 未来采用这项标准的ZLL认证产品将以此为基准进行测试。这个测试过程可确保产品符合标准, 消费者大可放心, 无论生产商是谁, 所有Zig Bee Light Link产品都将具备互操作性。

5 结语

Zig Bee Light Link树立了一个智慧照明互联技术的新标准。它提供了一种非常经济实惠、易于安装和使用的独立照明解决方案, 尤其适用于大众消费市场, 同时还能与更广泛的Zig Bee家庭自动化解决方案进行整合。

密钥技术 篇5

Autodesk 2016 全系列产品注册机说明：

1、安装Autodesk 程序

2、使用以下序列号666-69696969安装。

3、产品密钥请查看下面的密钥列表。

4、安装完成后，开启软件。多国语言版的在开始菜单中选择简体中文版的快捷方式开启软件。

5、点击激活，勾选同意协议之后它会告诉您,您的序列号是错误的,这时点击关闭或上一步再点击激活即可。

6、在激活界面中选择“我拥有一个Autodesk激活码”。

7、将注册机复制到桌面启动对应版本的XFORCE Keygen 32bits 或 64bits注册机。

8、先粘贴激活界面的申请号至注册机中的Request中，9、点击Generate算出激活码,在注册机里点Mem Patch键否则无法激活提示注册码不正确。这条是激活的关键所在一定要算好之后先点击Mem Patch键否则就会提示激活码无效。

10、最后复制Activation中的激活码至“输入激活码”栏中，并点击下一步完成激活。

11、这样就完成了Autodesk产品的注册了。

Autodesk 2015 全系列产品密钥： Autodesk 3ds Max 2016 128H1 Autodesk 3ds Max Design 2016 495H1 Autodesk 3ds Max Entertainment Creation Suite Premium 2016 774H1 Autodesk 3ds Max Entertainment Creation Suite Standard 2016 661H1 Autodesk 3ds Max with SoftImage 2016 978H1 Autodesk Advance Concrete 2016 960H1 Autodesk Advance Steel 2016 959H1 Autodesk Advance Steel 2016.1 959H2 Autodesk Advance Steel 2016 with AutoCAD 958H1 Autodesk Alias Automotive 2016 710H1 Autodesk Alias AutoStudio 2016 966H1 Autodesk Alias Design 2016 712H1 Autodesk Alias Surface 2016 736H1 Autodesk AutoCAD 2016 001H1 Autodesk AutoCAD Architecture 2016 185H1 Autodesk AutoCAD Civil 3D 2016 237H1 Autodesk AutoCAD Design Suite Premium 2016 768H1 Autodesk AutoCAD Design Suite Standard 2016 767H1 Autodesk AutoCAD Design Suite Ultimate 2016 769H1 Autodesk AutoCAD Electrical 2016 225H1 Autodesk AutoCAD for Mac 2016 777H1 Autodesk AutoCAD Inventor LT Suite 2016 596H1 Autodesk AutoCAD LT 2016 057H1 Autodesk AutoCAD LT Civil Suite 2016 545H1 Autodesk AutoCAD LT for Mac 2016 827H1 Autodesk AutoCAD Map 3D 2016 129H1 Autodesk AutoCAD Mechanical 2016 206H1 Autodesk AutoCAD MEP 2016 235H1 Autodesk AutoCAD OEM 2016 140H1 Autodesk AutoCAD P&ID 2016 448H1 Autodesk AutoCAD Plant 3D 2016 426H1 Autodesk AutoCAD Raster Design 2016 340H1 Autodesk AutoCAD Revit LT Suite 2016 834H1 Autodesk AutoCAD Structural Detailing 2016 587H1 Autodesk AutoCAD Utility Design 2016 213H1 Autodesk Bridge Module 2016 974H1 Autodesk Building Design Suite Premium 2016 765H1 Autodesk Building Design Suite Standard 2016 784H1 Autodesk Building Design Suite Ultimate 2016 766H1 Autodesk Display Cluster Module for Autodesk VRED Design 2016 889H1 Autodesk Education Master Suite 2016 651H1 Autodesk Enterprise Token Flex 535H1 Autodesk Entertainment Creation Suite For Education 2016 656H1 Autodesk Entertainment Creation Suite Ultimate 2016 793H1 Autodesk Fabrication CADmep 2016 839H1 Autodesk Fabrication CAMduct 2016 842H1 Autodesk Fabrication CAMduct Components 2016 844H1 Autodesk Fabrication ESTmep 2016 841H1 Autodesk Fabrication RemoteEntry 2016 845H1 Autodesk Fabrication Tracker 2016 843H1 Autodesk Factory Design Suite Premium 2016 757H1 Autodesk Factory Design Suite Standard 2016 789H1 Autodesk Factory Design Suite Ultimate 2016 760H1 Autodesk Geotechnical Module 2016 973H1 Autodesk HSMWorks Premium 2016 872H1 Autodesk HSMWorks Professional 2016 873H1 Autodesk Infrastructure Design Suite Premium 2016 786H1 Autodesk Infrastructure Design Suite Standard 2016 787H1 Autodesk Infrastructure Design Suite Ultimate 2016 785H1 Autodesk Infrastructure Map Server 2016 796H1 Autodesk Infrastructure Map Server 5 Activations 2016 877H1 Autodesk InfraWorks 2016 808H1 Autodesk InfraWorks 360 – companion 2016 976H1 Autodesk InfraWorks 360 2016 927H1 Autodesk Inventor 2016 208H1 Autodesk Inventor Engineer-to-Order Series 2016 805H1 Autodesk Inventor Engineer-to-Order Server 2016 752H1 Autodesk Inventor HSM 2016 969H1 Autodesk Inventor LT 2016 529H1 Autodesk Inventor OEM 2016 798H1 Autodesk Inventor Professional 2016 797H1 Autodesk Inventor Publisher 2016 666H1 Autodesk Maya 2016 657H1 Autodesk Maya Entertainment Creation Suite Standard 2016 660H1 Autodesk Maya LT 2016 923H1 Autodesk Maya with SoftImage 2016 977H1 Autodesk MotionBuilder 2016 727H1 Autodesk Mudbox 2016 498H1 Autodesk Navisworks Manage 2016 507H1 Autodesk Navisworks Simulate 2016 506H1 Autodesk Plant Design Suite Premium 2016 763H1 Autodesk Plant Design Suite Standard 2016 788H1 Autodesk Plant Design Suite Ultimate 2016 764H1 Autodesk Point Layout 2016 925H1 Autodesk Product Design Suite for Education 2016 654H1 Autodesk Product Design Suite Premium 2016 782H1 Autodesk Product Design Suite Standard 2016 783H1 Autodesk Product Design Suite Ultimate 2016 781H1 Autodesk ReCap 2016 919H1 Autodesk Revit 2016 829H1 Autodesk Revit Architecture 2016 240H1 Autodesk Revit LT 2016 828H1 Autodesk Revit MEP 2016 589H1 Autodesk Revit Structure 2016 255H1 Autodesk River and Flood Analysis Module 2016 972H1 Autodesk Robot Structural Analysis Professional 2016 547H1 Autodesk Showcase 2016 262H1 Autodesk Simulation CFD 2016 809H1 Autodesk Simulation CFD 2016 Advanced 810H1 Autodesk Simulation CFD 2016 Connection for NX 815H1 Autodesk Simulation CFD 2016 Connection for Parasolid 824H1 Autodesk Simulation CFD 2016 Connection for Pro/E 822H1 Autodesk Simulation CFD 2016 Design Study Environment 812H1 Autodesk Simulation CFD 2016 Motion 811H1 Autodesk Simulation Composite Analysis 2016 899H1 Autodesk Simulation Composite Design 2016 918H1 Autodesk Simulation DFM 2016 837H1 Autodesk Simulation Mechanical 2016 669H1 Autodesk Simulation Moldflow Adviser Premium 2016 571H1 Autodesk Simulation Moldflow Adviser Standard 2016 570H1 Autodesk Simulation Moldflow Adviser Ultimate 2016 572H1 Autodesk Simulation Moldflow Insight Premium 2016 574H1 Autodesk Simulation Moldflow Insight Premium 2016 574H1 Autodesk Simulation Moldflow Insight Standard 2016 573H1 Autodesk Simulation Moldflow Insight Ultimate 2016 575H1 Autodesk Simulation Moldflow Synergy 2016 579H1 Autodesk SketchBook Designer 2016 741H1 Autodesk SketchBook Pro 2016 871H1 Autodesk Smoke 2016 for Mac OS X 776H1 Autodesk Softimage 2016 590H1 Autodesk Softimage Entertainment Creation Suite Standard 2016 662H1 Autodesk Vault Collaboration 2016 549H1 Autodesk Vault Collaboration AEC 2016 801H1 Autodesk Vault Office 2016 555H1 Autodesk Vault Professional 2016 569H1 Autodesk Vault Workgroup 2016 559H1 Autodesk Vehicle Tracking 2016 955H1 Autodesk VRED 2016 884H1 Autodesk VRED Design 2016 885H1 Autodesk VRED Presenter 2016 888H1 Autodesk VRED Professional 2016 886H1 Autodesk VRED Server 2016 887H1 CADdoctor for Autodesk Simulation 2016 577H1 Enterprise Multi-Flex Enhanced Bundle 2016 535H1 mental ray Standalone 2016 718H1 T1 Enterprise Multi-flex 2016 535H1 T1 Enterprise Multi-flex Prior Version 2016 535H1 T1 Enterprise Multi-flex Standard Bundle 2016 535H1 T1 Enterprise Multi-Flex Standard Prior Version Bundle 2016 535H1

Autodesk 2016 全系列通用注册机下载：http://pan.baidu.com/s/1eQClzyy[/url]

Autodesk 2016 全系列官方下载：（建议用迅雷或旋风）AutoCAD 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/ACD/DLM/AutoCAD_2016_Simplified_Chinese_Win_32bit_dlm.sfx.exe

http://download.autodesk.com/NET16SWDLD/2016/ACD/DLM/AutoCAD_2016_English_Win_32bit_dlm.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ACD/DLM/AutoCAD_2016_Simplified_Chinese_Win_64bit_dlm.sfx.exe

http://download.autodesk.com/NET16SWDLD/2016/ACD/DLM/AutoCAD_2016_English_Win_64bit_dlm.sfx.exe

Autodesk AutoCAD Map 3D 2016 官方下载地址：

http://download.autodesk.com/NET16SWDLD/2016/MAP/DLM/Autodesk_Map_2016_English_Win_32bit_DLM.sfx.exe

Autodesk Maya LT 2016 官方下载地址：

http://download.autodesk.com/NET16SWDLD/2016/MAYALT/DLM/Autodesk_Maya_LT_2016_dlm.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/MAYALT/DLM/Autodesk_Maya_2016_dlm.sfx.exe

AutoCAD Mechanical 2016 官方下载地址：

http://download.autodesk.com/NET16SWDLD/2016/AMECH_PP/DLM/AutoCAD_Mechanical_2016_English_Win_64bit_dlm.sfx.exe

http://download.autodesk.com/NET16SWDLD/2016/AMECH_PP/DLM/AutoCAD_Mechanical_2016_English_Win_32bit_dlm.sfx.exe

Autodesk Alias Design 2016 官方下载地址：

http://download.autodesk.com/NET16SWDLD/2016/DESNTS/ESD/Alias_Design_2016_English_Win_64bit_dlm.sfx.exe

Autodesk VRED Presenter 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/VRDPRS/ESD/Autodesk_VREDPRS_2016_Enu_Win_64bit_dlm.sfx.exe

Autodesk VRED Server 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/VRDSRV/ESD/Autodesk_VREDSRV_2016_Enu_Win_64bit_dlm.sfx.exe

AutoCAD Raster Design 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/ARDES/DLM/Autodesk_AutoCAD_Raster_Design_2016_English_Win_32bit_dlm.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ARDES/DLM/Autodesk_AutoCAD_Raster_Design_2016_English_Win_64bit_dlm.sfx.exe

Autodesk MotionBuilder 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/MOBPRO/DLM/Autodesk_MB_2016_English_Win_64bit_dlm.sfx.exe

AutoCAD 2016 LT English 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/ACDLT/DLM/AutoCAD_LT_2016_SWL_English_Win_32bit_dlm.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ACDLT/DLM/AutoCAD_LT_2016_SWL_English_Win_64bit_dlm.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ACDLT/DLM/AutoCAD_LT_2016_NWL_English_Win_64bit_dlm.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ACDLT/DLM/AutoCAD_LT_2016_NWL_English_Win_32bit_dlm.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ACDLT/DLM/AutoCAD_LT_2016_English_LP_Win_64bit_dlm.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ACDLT/DLM/AutoCAD_LT_2016_English_LP_Win_32bit_dlm.sfx.exe

Autodesk AutoCAD Electrical English 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/ACAD_E/DLM/AutoCAD_Electrical_2016_English_Win_32bit_dlm_001_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ACAD_E/DLM/AutoCAD_Electrical_2016_English_Win_32bit_dlm_002_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ACAD_E/DLM/AutoCAD_Electrical_2016_English_Win_64bit_dlm_001_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ACAD_E/DLM/AutoCAD_Electrical_2016_English_Win_64bit_dlm_002_002.sfx.exe

Autodesk Vault Basic English 2016 Win 32/64 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/INVVAU/DLM/VBC2016_ENU_32_64bit_dlm.sfx.exe

Autodesk Vault Basic Server 2016 English Win 64bit 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/INVVAU/DLM/VBS2016_ENU_64bit_dlm.sfx.exe

AutoCAD Architecture 2016 English 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/ARCHDESK/DLM/AutoCAD_Architecture_2016_English_Win_32bit_dlm_001_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ARCHDESK/DLM/AutoCAD_Architecture_2016_English_Win_32bit_dlm_002_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ARCHDESK/DLM/AutoCAD_Architecture_2016_English_Win_64bit_dlm_001_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/ARCHDESK/DLM/AutoCAD_Architecture_2016_English_Win_64bit_dlm_002_002.sfx.exe

AutoCAD MEP 2016 English 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/BLDSYS/DLM/AutoCAD_MEP_2016_English_Win_32bit_dlm_001_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/BLDSYS/DLM/AutoCAD_MEP_2016_English_Win_32bit_dlm_002_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/BLDSYS/DLM/AutoCAD_MEP_2016_English_Win_64bit_dlm_001_003.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/BLDSYS/DLM/AutoCAD_MEP_2016_English_Win_64bit_dlm_002_003.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/BLDSYS/DLM/AutoCAD_MEP_2016_English_Win_64bit_dlm_003_003.sfx.exe

Inventor Professional 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/INVNTOR/DLM/Inventor_2016_English_Win_64bit_dlm_001_003.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/INVNTOR/DLM/Inventor_2016_English_Win_64bit_dlm_002_003.sfx.exe http://trial2.autodesk.com/NET16SWDLD/2016/INVNTOR/DLM/Inventor_2016_English_Win_64bit_dlm_003_003.sfx.exe

Autodesk Maya Entertainment Creation Suite Standard 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/MYECS/DLM/Autodesk_MYECS_2016_English_Japanese_Win_64bit_dlm_001_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/MYECS/DLM/Autodesk_MYECS_2016_English_Japanese_Win_64bit_dlm_002_002.sfx.exe

AutoCAD Design Suite Ultimate 2016 English 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/DSADV/DLM/ADS_Ultimate_2016_English_Win_32bit_DLM_001_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/DSADV/DLM/ADS_Ultimate_2016_English_Win_32bit_DLM_002_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/DSADV/DLM/ADS_Ultimate_2016_English_Win_64bit_DLM_001_004.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/DSADV/DLM/ADS_Ultimate_2016_English_Win_64bit_DLM_002_004.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/DSADV/DLM/ADS_Ultimate_2016_English_Win_64bit_DLM_003_004.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/DSADV/DLM/ADS_Ultimate_2016_English_Win_64bit_DLM_004_004.sfx.exe

Autodesk Mudbox 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/MBXPRO/DLM/Autodesk_MBX_2016_English_French_German_Japanese_Win_64bit_dlm.sfx.exe

Autodesk 3ds Max Entertainment Creation Suite Standard 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/MXECS/DLM/Autodesk_MXECS_2016_English_Japanese_Win_64bit_dlm_001_003.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/MXECS/DLM/Autodesk_MXECS_2016_English_Japanese_Win_64bit_dlm_002_003.sfx.exe http://trial2.autodesk.com/NET16SWDLD/2016/MXECS/DLM/Autodesk_MXECS_2016_English_Japanese_Win_64bit_dlm_003_003.sfx.exe

AutoCAD Plant 3D 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/PLNT3D/DLM/AutoCAD_Plant_3D_2016_English_Win_64bit_dlm_001_002.sfx.exe

http://trial2.autodesk.com/NET16SWDLD/2016/PLNT3D/DLM/AutoCAD_Plant_3D_2016_English_Win_64bit_dlm_002_002.sfx.exe

AutoCAD PNID 2016 官方下载地址：

http://trial2.autodesk.com/NET16SWDLD/2016/PNID/DLM/AutoCAD_PNID_2016_English_Win_32bit_dlm.sfx.exe

开启肌肤能量的密钥 篇6

谢琴（雅诗兰黛高级培训经理）、臧芬远（丝魅欧珀莱极致美肌专家）设计：Sheedy

如果对护肤品的功能做一个统计，“为肌肤补充能量”的词条，准能登上出现频率最高的前五名，然而究竟什么是肌肤能量？肌肤能量从何而来，我们又需要为肌肤补充什么样的能量呢？如果说，肌肤就像一台发动机，肌肤最需要的能量，就是维系其运转的燃料，然而仅仅有这些燃料还不够，你可能还需要润滑的机油、排除废气的风扇以及定时保养和清洗。现在，就一起打开肌肤能量的密钥吧。

左至右：

迪奥凝世金颜精华液/3480元 15ml

资生堂莉薇质纯防皱精华液/600元 125ml

雅诗兰黛鲜活营养晚霜/580元 50ml

羽西生机之水活能平衡调理液 /165元

香奈儿青春活力日霜 /665元

娇兰恒采动能紧致日霜 /1120元50ml

玉兰油新生醒活焕肤霜/160元 50g

肌肤能量之

细胞能力说

关键词：修复 再生

核心观点：肌肤能量就是提供细胞再生和修复的能力。

健康的肌肤，有着完善的新陈代谢系统，新生的细胞会有序地生长，肌肤在这种不断再生的情况下，能修复受损的肌质，维持理想的状态。但是，年龄增长、外界环境污染、心理压力过大等等因素，会降低肌肤的这种能力，导致细胞“没有力气”来修复自身的损伤。为肌肤补充能量，就是帮助细胞来完成正常的再生和修复。

能量源：ATPQ10果酸

ATP 也叫三磷酸腺苷，是生命活动能量的直接来源，人体预存的ATP能量只能维持15秒，跑完一百公尺后就全部用完，因此，通过刺激人体自身合成这种物质可以帮助肌肤获得更多能量。

Q10 是人体存在的一种辅助酶素，它是一种强抗氧化剂，能把食物转化为细胞生存必需的能量，使细胞保持最佳状态。

果酸 复合式的果酸成分能帮助肌肤重新排列角质细胞，代谢老化角质，促进胶原蛋白吸收，维持肌肤活力。

肌肤能量守恒定律：细胞修复

如果用盖房子的比喻来形容护肤过程，那么每个细胞就是砖头，假如有任何一块砖头出现破损，房子也注定会漏风。因此，最基本的问题就是细胞修复，我们可以把保养品看作是水泥，在表面给与每一块“砖头”有力的支撑。但与此同时，再好的房子内部如果不勤于打扫，也会破败，所以，肌肤能量除了外界补充，还要自身调养。

能量守恒特别建议：

重视不可见的细胞损伤日晒、辐射等因素造成的细胞受伤往往是肉眼不可见的，但是发炎的细胞产生自由基进而导致老化，就是无法逆转的。因此，你需要积极地修护受损细胞，坚持防晒。

减轻肌肤压力 肌肤压力和情绪压力已经被证实是老化的一大杀手，压力大的时候多喝水，可以保持血液循环畅通。

肌肤能量之

肌肤排毒说

关键词：排毒 抗氧化

核心观点：肌肤能量就是肌肤排除毒素的能力。

美好健康的肌肤源自由内而外的纯净和丰沛充盈的能量。只有充分地排解和消除影响肌肤健康的最大毒素——自由基，恢复自身机制的健康运行，肌肤才能充满活力。肌肤所需要的最重要能量就是帮助细胞排出毒素、净化平衡的能量。

能量源：原花青素多酚

原花青素 是有着特殊分子结构的生物黄酮。它是高效的辅助因子，国际上公认的活性最强的天然抗氧化剂、清除自由基以及其抗衰老作用的物质。

多酚 是在植物性食物中发现的具有很强抗氧化作用的成分。它可以抑制LDL胆固醇氧化并可以促进血管舒张，降低炎症反应和降低血凝块形成等作用。

肌肤能量守恒定律：排除毒素 + 注入营养

肌肤就像一个蓄水池，如果里面积累了污垢，不先过滤，而是一味注入清水，水池始终还是脏的，无论你再保湿和美白，展现出来的仍旧是暗淡不透明的肤质。因此，要实现健康美丽的肌肤，关键在于先为肌肤排出毒素，再注入营养。

能量守恒特别建议：

健康平衡的生活方式中国传统医学中讲究的是阴阳平衡，这种“平衡”的理念在护肤中同样很重要。比如说，为肌肤补充适当的营养很重要，但是如果营养过剩，肌肤同样会无法承受。

Living Food“生机饮食”生机饮食在近年来的欧美国家大行其道，它强调的是“均衡饮食”，不排斥没被污染的牛奶、鸡蛋、鸡肉、鱼肉等动物蛋白，把食物当成一种享受，而不是苦行僧般的素食主义。

上至下：

植村秀三元弹性嫩肤水/380元 150ml

赫莲娜烁金焕颜霜/1680元 50ml

IPSA自律美白活肤液/500元 125ml

兰芝活肌轻盈精华水/185元 160ml

IP组播密钥管理技术研究 篇7

IP组播是一种一次传输发送IP数据报文给多个接收者的数据传输方式[1]。发送者只需发送一份数据包,由路由器复制并分发给组播群组中的多个接收者。IP组播可以降低网络传输开销,节省主干网带宽资源。但是IP组播在设计之初并没有在组播成员认证、访问控制等方面多做考虑。以此为出发点,本文提出一种基于门限技术、并利用椭圆曲线密码体制实现用户认证系统及组播密钥管理的实用性方法。

1 Shamir门限密钥共享方案

Shamir在1979年提出了一种基于Lagrange插值公式的(t,n)门限密钥共享方案[2]。该方案通过构造一个t-1次拉格朗日多项式,将共享密钥K作为多项式的常数项。其中,共享密钥K由n个共享者共享,任何不少于t个共享者合作就可以恢复共享密钥。Shamir门限密钥共享方案具体算法流程如下:

(1)初始化

密钥管理者A首先选择n个不同的非零元素xi,1≤i≤n。A将xi分配给对应的密钥共享者Pi,这里xi是公开的。

(2)子密钥分发

密钥管理者A随机选取t-1个元素a1,a2,…,at-1,构造一个t-1次的多项式f(x)=K+a1x+a2x2+…+at-1xt-1,再计算yi=f(xi),1≤i≤n。并通过秘密信道将yi分发给共享者Pi,而(xi,yi)作为一个子密钥由Pi保存。

(3)密钥恢复

为了恢复密钥,需要至少t个共享者合作才能完成。个共享者首先出示各自持有的子密钥:(x1,y1),(x2,y2)…,(xt,yt),利用Lagrange插值法,可以求出f(x),而密钥则为K=f(0)。

2 椭圆曲线密码体制

椭圆曲线密码体制(ECC)是由Miller和Koblitz分别独立提出的[3],主要原理是有限域上的椭圆曲线离散对数问题的难解性。ECC没有亚指数攻击[4],其密钥长度较小。256位的ECC密码体制可以认为是目前已知的公钥密码体制中每位提供加密强度最高的一种密码体制。

椭圆曲线指的是由Weierstrass方程y 2+a1xy+a3y=x3+a2x2+a4x+a6所确定的平面曲线[5]。其中,满足方程的数偶(x,y)称为F域上的椭圆曲线E的点。F域可以是有理数域,复数域或有限域。椭圆曲线的一般形式可表示为Y3=X3+a X+b,其判别式Δ=4 a 3+27 b 2≠0。椭圆曲线上的运算包括点加、点乘、多点乘等运算。

3 拉格朗日插值法

门限密钥的重构需要使用拉格朗日插值法[6],具体实现为:假设x1,x2,…,xn为n个组播参与者,为了恢复密钥,需要在n个组播者中的至少t个参与者,不妨设为x1,x2,…,xt。这t个参与者持有的密钥片分别为邀(x1,y1),(x2,y2),…,(xn,yn)妖,其中,xi(1≤i≤t)互不相同。这t个点可以看做是二维平面上的t个点,那么这个平面上有且仅有一个t-1次多项式f(x)通过这t个点,使得yi=f(xi)(1≤i≤t)。根据这t个点可以求出这个多项式的所有系数,如果把需要共享的密钥SEK取做f(0),那么可以通过t个点重构得到SEK,SEK=f(0)=Σti=1yi∏1≤j≤t,j≠i(-xj/(xi-xj))。

4 IP组播密钥管理体系

为了实现IP组播上的用户认证与管理,本文实现了一个IP组播安全服务体系,该系统由五种成员角色组成:IP组播数据服务器IMDS(IP Multicast Data Server)、IP组播参与者IMU(IP Multicast User)、IP组播超级用户IMSU(IP Multicast Super User)、密钥分发代理SDP(Secret Distribute Proxy)、心跳服务器HBS(Heart Beat Server)。

4.1 IP组播系统结构

组播系统结构为三层树形结构,组播过程中的通信密钥为SEK,并假设SEK的传输信道为安全信道。系统结构如图1所示。

IMDS是IP组播系统的数据源,IMDS发送的组播数据是经过当前有效SEK加密的,SEK是使用椭圆曲线生成的,加密运算为流加密。SDP按照HBS的心跳信息定期更新SEK,SEK更新后会立刻分发给IMDS。

SDP是一种计算机上运行的服务,主要负责用户和密钥的管理。IP组播顶层的SDP对系统的所有用户进行身份认证与管理,并负责从各个群组中选取合适的用户成为超级用户IMSU。SDP同时负责根据HBS的心跳信息生成与更新组播服务通信密钥SEK,并将SEK分发到IMDS。通过与下层SDP进行SEK共享,隐藏计算生成SEK密钥片,并将生成的密钥片分发到下层SDP中。针对所有SDP设立公告板,公开SEK共享的相关信息,维护所有IMSU的信息数据库。IP组播树第二层SDP,即IMSU上的SDP,主要负责接收顶层SDP分发的SEK,并维护组内IMU的成员信息。

IP组播树第二层SDP在顶层SDP的管理下使用Shamir门限技术共享通信密钥SEK,每一个二层SDP负责一个组播群组的通信密钥的分发,通过将有效管理组密钥,并将其转发给该组播群组成员,使组成员拥有当前有效的通信密钥SEK的密钥片,组成员可以使用门限技术恢复SEK。

IMSU也是普通的用户,用户的行为是不可预知的,IM-SU有可能会出现退出或掉线等情况。如果IMSU失效,IMSU上的SDP管理的子群的所有IMU无法获得SEK密钥片,即IMU无法获得IMDS传来的数据。为防止出现这种情况,本文设计了一个后备IMSU队列。一旦IMSU失效,就从IMSU队列中选择一个继续工作。

4.2 组播密钥的管理

组播密钥管理体系是在IP组播系统结构基础之上实现的,针对参与IP组播角色上的不同,管理结构上共分为两个层次:顶层SDP和二层SDP(S-S)、二层SDP和IMU(S-I)。其中,顶层SDP与二层SDP之间采用历史门限方案与椭圆曲线相结合的方式实现,二层SDP与IMU之间采用IMU合作形式下的门限与椭圆曲线相结合的方式实现。

4.2.1 S-S密钥初始化

S-S密钥管理方案由顶层SDP与二层SDP参与完成。S-S密钥初始化使用历史门限方案,首先由顶层SDP生成一个大素数p,取有限域Zp上椭圆曲线y2=x3+ax+b,是由一个称为无穷远点的特殊点O满足同余方程y2≡x3+ax+b mod p的点(x,y)∈Zp×Zp组成集合E,a,b∈Zp,4a2+27 b2≠0。E是定义在有限域Zp上的安全椭圆曲线,e∈E是椭圆曲线上的一个点,{e,2e,…,qe}⊆E是由点e生成的q阶循环子群。这里(p,E,e)是公开的。

4.2.2 S-S密钥分发

顶层SDP生成一个通信密钥SEK,然后将SEK分发给n个二层SDP,设每个代理为Pi(i=1,2,…,n)。密钥分发算法描述如下:

(1)首先,顶层SDP选取一个有限域Zp上的t-1次方程fi(x)=a0+a1x+a2x2+…+at-1xt-1mod p,其中a0=f(0)=SEK,最高项系数at-1≠0。

(2)顶层SDP选取t-1个互不相同的数xj∈邀1,2,…,n妖(j=1,2,…,t-1),然后顶层SDP计算Kj=fi(xj)(j=1,2,…,t-1),同时计算aie(i=0,1,…,t-1)。再后顶层SDP将生成的密钥片集合邀(x1,K1),(x2,K2),…,(xt-1,Kt-1)妖和邀a0e,a1e,…,at-1e妖通过安全信道发送给二层SDP,二层SDP接收顶层SDP生成的密钥片,即将邀(x1,K1),(x2,K2),…,(xt-1,Kt-1)妖作为历史密钥保存。

(3)顶层SDP将邀a0,a1,…,at-1妖保存并选取一个数xt≠xj,t∈邀1,2,…,n妖,j∈邀1,2,…,t-1妖作为二层SDP的子密钥。顶层SDP计算Kt=fi(xt),然后通过安全信道将(xt,Kt)发送给二层SDP。

4.2.3 S-S密钥恢复

二层SDP收到顶层SDP发送的密钥片后,首先验证密钥片是否合法。如果密钥片不合法,则要求顶层SDP重新发送密钥片。密钥恢复过程如下:

(1)对于每个Kj(j=1,2,…,t)验证是否成立,这里设置一个抱怨行为机制,即对于每个二层SDP,如果其验证失效,顶层SDP则将其抱怨次数加一。如果在短时间内,某个二层SDP抱怨次数达到一定的数量L,则认为这个二层SDP具有攻击行为或其节点不能正常工作[7]。这时要取消这个二层SDP对应的IMSU的资格,重新从IMSU队列中选取一个节点作为组内的IMSU。当检测所有Kj均合法,还要将其一并代入椭圆曲线验证。

(2)利用拉格朗日插值法恢复密钥SEK=fi(0)Σt i=1Ki∏1≤j≤t,j≠i(-xj/(xi-xj))。

4.2.4 S-S密钥更新

二层SDP本质上也是普通的IP组播成员节点,节点的行为是不可预知的,一旦IMSU退出IP组播或节点失效,为了保证密钥体系的安全性,密钥需要定期更新。顶层SDP根据心跳信息或者IMSU失效信息重新生成密钥,并分发密钥片。密钥更新过程如下:

(1)顶层SDP为二层SDP重新选取一组随机数xt∈Zp并且xt∉{1,2,…,t-1},Kt∈Zp,xt≠xj(j=1,2,…,t-1),这里Kt≠fi(xt)。

(2)顶层SDP将(xt,Kt)通过安全信道发送给二层SDP。

(3)顶层SDP计算xte与Kte,并将计算结果通过安全信道发送给二层SDP。

4.2.5 S-I密钥初始化

为了保证组内的密钥传输效率,当组成员在线个数小于预设值x时,采用直接发送密钥的形式;当组成员个数大于x时,采用门限技术分发密钥。直接发送形式毋需赘言。采用门限技术的密钥分发首先需要二层SDP构造有限域Zp上的t-1次方程f(x)=a0+a1x+…+at-1xt-1mod p,其中a0=f(0)=SEK,且at-1≠0。t是(t,n)门限,n为子组成员数。

4.2.6 S-I密钥分发

二层SDP首先选取n个互不相同的数xi∈邀1,2,…,n妖(i=1,2,…,n),接下来计算yi=f(x)(i=1,2,…,n)。然后将(xi,yi)通过安全信道发送给组内的IMU。二层SDP计算aie(i=0,1,…,t-1),并将计算得到的邀a0e,a1e,…,at-1e妖广播给组内的所有在线成员。

4.2.7 S-I密钥恢复

S-I密钥恢复采用组内成员合作的方式,密钥恢复过程如下:

(1)首先将组内的成员编号,根据编号给自身编号后面紧邻的t个组员发送密钥片。若第i个组员参与密钥恢复,则给第i+1,i+2,…,i+t(mod n)个组员发送密钥片。

(2)每个在线组员得到足够多的密钥片后,验证是否成立,并验证是否在椭圆曲线E上。

(3)利用拉格朗日插值公式恢复密钥

4.2.8 S-I密钥更新

S-I的密钥更新是与S-S的密钥更新同步实现的,这种同步保证了系统的整体性与安全性。S-I密钥更新需要重选多项式函数,并将生成的密钥广播给组内的IMU。

4.2.9 两层管理结构的优点

采用两层结构可以减少顶层SDP的工作压力,将组播密钥的分发与用户管理等工作分散到各个二层SDP来完成。IP组播过程中,IMU可能频繁加入或退出。通过子群的通信密钥来处理这种变化,而只有当IMSU失效时才更新密钥,尽量保证了组播密钥管理系统的稳定性。

5 实验及结果分析

针对本文的安全架构,在linux环境下实现了一个简单的IP组播服务系统以验证门限技术和椭圆曲线密码在IP组播密钥管理方面的可行性。在该服务系统上实现了一个简单的安全管理系统,并设计不同数量的IMSU(或二层SDP)、S-S门限值及不同长度的SEK,综合得到测试结果如表1所示。

由表1的测试结果可知,在密钥分发和恢复过程中,主要的时间消耗是在密钥生成上,而密钥恢复的时间相比密钥片的生成时间少之又少。密钥片的生成时间受密钥长度影响较大,受门限值的影响很小。本文的密钥管理方案分为S-S和S-I两层树形结构,假设该树为完全m叉树,共包括m2+m个节点,且需要m个IMSU节点上的SDP存储共2m个密钥片,而余下的m2个叶节点,每一个只需要存储1个密钥片。所以共需要m2+2m个密钥片,而单个IMU的加入或退出对于子组密钥更新的影响为m,IMSU的改变对于组密钥更新的影响则为m 2+m。

6 结束语

本文使用门限技术和椭圆曲线加密算法,为开放的、安全性较差的IP组播应用实现了用户认证与密钥管理。通过使用S-S和S-I双层密钥管理方法,根据系统角色的不同区别对待以实现灵活而又统一的密钥体系。并通过构建一个基于门限和椭圆曲线安全IP组播系统验证该方案在IP组播中的可行性,实验结果表明:该方案实现效率较高,可扩展性强,是可以被应用在当前的各种实时IP组播应用之上的。而在IPv6上实现安全组播则是今后的研究方向。

摘要：为了在IP组播中实现用户身份认证等安全管理,避免IP组播中的不安全因素,提出了一种运用门限技术和椭圆曲线密钥体制相结合的方案,构建一个IP组播服务系统并在其上分层实现了组播密钥的分发与恢复。最后通过实验测试给出了此方案的管理代价,证明了此方案可以很好地实现IP组播应用中的密钥管理,有效地解决了用户身份认证和授权管理问题,实现了安全IP组播。

关键词：门限,椭圆曲线密码,密钥分发,IP组播

参考文献

[1]QUINN B,ALMEROTH K.RFC3170:IP multicast applicatio-ns:challenges and solutions[S].IETF,2001,9:1-2.

[2]SHAMIR A.How to Share a Secret[J].Communications of the ACM,1979,22(11):612-613.

[3]陈厚友,马传贵.椭圆曲线密码中一种多标量乘算法[J].软件学报,2011,22(4):782-783.

[4]陈逢林,胡万宝,孙广人.基于超椭圆曲线的顺序多重盲签名[J].计算机工程,2011,37(9):160-161.

[5]许德武,陈伟.基于椭圆曲线的数字签名和加密算法[J].计算机工程,2011,37(4):168-169.

[6]PANG Liaojun,SUN Xi,WANG Yumin.An efficient and sec-ure(t,n)threshold secret sharing scheme[J].Journal of Electr-onics,2006,23(5):731-733.

密钥技术 篇8

关键词：物联网,感知,密钥管理,轻量级

1 引言

随着物联网[1]在实际应用中的逐渐推广, 物联网的安全问题越来越被人们重视。各式各样新型攻击方式的出现使得对物联网的安全体系的研究迫在眉睫。而密钥管理技术是物联网安全的核心技术, 因此, 研究物联网环境下的密钥管理机制具有较高的实用价值。

物联网是有多种类型的网络构成, 如无线传感器网络、RFID网络、互联网等。对于物联网环境下的感知网络而言, 除了部分智能终端外, 大部分感知节点的计算能力和存储能力都比较低, 传统的代价比较大的密钥管理协议和机制不能很好地适用于物联网环境下的感知网络, 因此, 需要针对感知网络的这些特点设计轻量级的密钥管理方案。

2 研究内容以及所面临的挑战

本文重点研究物联网环境下感知网络中的无线传感器网络 (Wireless Less Sensor Network, WSN) 以及射频识别网 (Radio Frequency Identification, RFID) 的密钥管理机制。

WSN由许多可以相互通讯的传感器节点构成, 如图1所示, 这些节点能够对感知区域内被监测对象的信息进行协作监测、感知和采集, 然后对这些信息进行处理, 并通过远程任务管理将处理结果传输给需要这些信息的用户[2]。RFID网络系统主要由电子标签 (tag) 、阅读器 (reader) 、天线 (antenna) 以及后台数据库组成, 如图2所示。在RFID系统中, 阅读器通过天线读取电子标签上的数据信息, 并将这些信息发送到后台数据库进行存储或者直接提供给用户。

RFID和WSN的共同特点是, RFID中的电子标签以及WSN中的传感器节点都具有计算能力弱、能量有限以及存储空间比较小、通信距离短等特点。因而, 在RFID和WSN中建立的密钥管理体系必须是轻量级的。RFID和WSN的不同点是, WSN中任何两个相邻的传感器节点之间都可以通信, 而在RFID中, 只有阅读器和电子标签之间才能通信。因此, RFID和WSN的密钥管理体系的研究内容与所面临的挑战又有些区别。

2.1 WSN密钥管理技术的研究内容与挑战

WSN密钥管理包含密钥的建立、更新以及密钥的撤销等阶段, 在密钥管理的不同阶段所研究的问题不同, 所面临的安全威胁和挑战也不尽相同。下面分别探讨WSN密钥管理的各个阶段所需要解决的问题和面临的挑战。

(1) 密钥的建立阶段。WSN密钥建立的最大挑战来自于传感器节点本身的计算能力以及资源限制, 密钥建立的过程既要保证安全性, 又要保证计算开销以及存储开销足够小。在密钥的建立过程中, 需要根据不同的应用要求设计不同的密钥建立方案。实际应用中常见的密钥类型有对密钥和组密钥。对密钥指的是两个节点之间的通讯密钥;而组密钥指的是一组 (大于2) 节点之间的通讯密钥, 通常用于安全组播。

对密钥的建立过程需要解决的主要问题是如何减少计算代价和存储代价, 以及如何抵抗破坏密钥建立的各种攻击。进行密钥建立时常见的攻击类型有窃听攻击 (eavesdrop attack) 和假冒攻击 (spoofing attack) 。窃听攻击是指攻击者试图通过监听传感器节点传递的密钥材料来破解节点之间的通讯密钥的一种攻击形式。其中密钥材料是节点为建立通讯密钥所需要的某种信息。为了抵御窃听攻击, 在设计密钥建立方案时, 必须尽可能地降低节点之间传输的密钥材料占计算节点之间的通讯密钥所需要的密钥材料的比例。假冒攻击是指攻击者冒充合法节点与真正的合法节点建立通讯密钥的一种攻击形式。为抵御假冒攻击, 密钥建立方案必须提供一种安全的认证机制。

组密钥的建立需要解决的问题是, 如何减少组密钥发布的延时, 在组成员节点之间协同生成组密钥时如何降低生成组密钥的计算量, 以及如何避免多个组成员发起的合谋攻击等。另外, 由于传感器节点数量具有不固定性, 如何提高WSN中密钥建立方案的可扩展性也是WSN中密钥建立方案需要解决的一个问题。

(2) 密钥更新阶段。节点之间的通讯密钥被破解的概率会随着时间的增加而增加, 因此, 需要定期对网络中节点的通讯密钥进行更新。对密钥和组密钥在进行密钥更新时所需要解决的问题略有不同。对密钥在密钥更新时需要解决的问题是, 如何避免攻击者利用已泄漏的密钥来计算节点之间更新后的对密钥;对于组密钥而言, 当组中有新节点加入或者有旧节点退出时都要进行密钥更新, 需要解决的问题是, 如何保证密钥更新的前向加密安全性和后向加密安全性。所谓前向加密安全性是指组成员在退出后, 除非重新加入, 否则无法再参与组播, 包括获知组播报文的内容和发送加密报文;后向加密安全性是指新加入的组成员无法破解它加入前的组播报文。

(3) 密钥撤销阶段。当传感器网络中某些节点被捕获时, 其所用的对密钥以及组密钥在传感器网络中都不能被其它合法节点应用, 需要将其全部撤销。密钥撤销需要解决的问题主要是, 如何判断密钥撤销指令的合法性以及密钥撤销后如何建立新的通讯密钥。攻击者可能会不断地发出密钥撤销命令, 以此来消耗节点的资源和破坏网络的安全性。因此, 需要一种认证机制来鉴别密钥撤销指令的真伪。另外, 通常情况下, 为了节省存储空间和提高系统安全性, 节点保存的密钥材料在节点的通讯密钥建成后都会被删除。当某些对称密钥被撤销后, 原来使用这些对称密钥的节点对之间需要重新建立对称密钥, 而原来用来建立对称密钥的密钥材料都已经被删除, 此时如何建立节点对之间的通讯密钥是一个挑战。

2.2 RFID密钥管理技术的研究内容与挑战

RFID系统所面临的威胁主要是隐私威胁 (privacy threats) 和安全威胁 (secure threats) 。隐私威胁是指攻击者通过使用未授权的阅读器阅读电子标签来获得一些私密信息, 这些私密信息中可能包含一些具有唯一性特点的信息, 攻击者可利用这些信息进一步发动秘密跟踪攻击 (clandestine tracking) [3]。RFID系统所面临的安全威胁主要有假冒攻击 (spoofing attack) 和重放攻击 (replay attack) [4]。在RFID系统中, 假冒攻击的一种形式是, 攻击者通过在一些空白的电子标签上写入一些具有某种适当格式的数据来冒充真正合法的电子标签;假冒攻击的另一种形式是标签克隆 (tag cloning) , 即制造出合法电子标签的多个非授权拷贝。重放攻击是指攻击者通过拦截并转发合法阅读器发出的查询请求来达到欺骗系统的目的, 主要用于身份认证过程, 破坏认证的正确性。

同WSN一样, RFID系统中的密钥管理机制也分为密钥的建立、更新和撤销三个阶段。

(1) 密钥建立阶段。这一阶段主要为阅读器和电子标签之间建立通讯密钥, 通常有两种方法:建立对称密钥和建立非对称密钥。然而, 这两种密钥建立方法都会遇到挑战。如果阅读器和电子标签之间建立的通讯密钥是非对称密钥 (即采用公钥加密) , 则会提高系统的安全性, 但由于电子标签的计算能力有限, 使得公钥加密的方法的可行性降低;如果阅读器和电子标签之间建立的通讯密钥是对称密钥, 加解密的计算量都比较小, 比较适合RFID系统, 但由于电子标签数量众多 (甚至有好几百万个) , 如果全部标签采用一个对称密钥, 则安全性不够, 如果为每对电子标签与阅读器之间分配不同的对称密钥, 则会增加阅读器进行密钥查找的难度, 增加相互认证的延时。因此, 采用对称密钥作为阅读器和电子标签的通讯密钥时, 需要解决的一个关键问题是如何减少阅读器在服务器端的密钥查找难度。

(2) 密钥更新。当电子标签与读写器之间的通信密钥泄露以后, 需要对其进行密钥更新以使得它们能够继续安全通信。一种简单的方法是, 令电子标签与阅读器各保存多个对称密钥, 当电子标签与读写器之间的某个通信密钥泄露之后, 电子标签与阅读器可将该通信密钥丢弃并启用下一个通讯密钥与读写器进行通信, 从而完成密钥更新。然而这样会大大增加阅读器端服务器上的密钥存储量, 增大读写延迟。因此, 需要更深一步研究RFID系统的密钥更新问题。

(3) 密钥撤销。当电子标签与读写器之间的通信密钥泄露以后, 如果不及时撤销泄露的密钥, 攻击者可以制造出许多非法的电子标签, 并利用已破解的密钥和阅读器进行通讯, 传递许多虚假信息。密钥撤销需要有一种有效的认证机制, 以保证电子标签接到的密钥撤销命令是合法阅读器发出的命令, 否则, 攻击者可能会恶意撤销通信密钥, 造成合法阅读器与电子标签之间无法正常通讯。

3 方案和协议的分类总结

3.1 WSN密钥管理研究方案和协议分类总结

在WSN中, 由于大多数情况下网络的拓扑情况不可预知, 传感器节点只能在部署后通过预先部署在节点上的密钥材料协商和计算得出节点之间的通信密钥。因此, 目前WSN密钥管理方案和协议主要是针对密钥材料的预分配方式和节点部署完成后建立通讯密钥的协商模式展开研究, 大致可以分为以下三类:

(1) 集中式密钥管理。主要指基于可信中心KDC的密钥管理模式, 如SPINS[5]。在该类模式的协议中, 每个传感器节点上预先部署的密钥材料是节点与汇聚节点之间的共享密钥, 节点与节点之间的通信密钥的建立与更新等都需要通过汇聚节点来完成。这种模式的优点在于每个节点所需要的密钥存储空间小, 计算复杂度也较低;缺点是密钥协商通信开销大, 过分依赖汇聚节点, 容易造成网络瓶颈, 存在单点失效问题, 并且如果汇聚节点被攻破, 则整个网络的安全性将遭到破坏。

(2) 分布式密钥管理。主要指采用密钥预分配方案的密钥管理模式。在这类模式的协议中, 节点部署前预先部署的初始密钥是一些密钥集合或者密钥参数, 节点使用这些初始密钥或者密钥参数和相互协作来建立节点之间的通信密钥。这种模式的优点在于通信密钥协商不依赖汇聚节点, 消除了网络瓶颈, 能较好地应用于分布式环境中;缺点是需要保存的密钥量较大, 因此与集中式的密钥管理模式相比, 增加了存储开销。采用密钥预分配方案最典型的代表是Eschenauer和Gligor提出随机密钥预分配E-G方案[6]。为了降低通信代价和存储代价, 提高可扩展性和抗节点受损攻击能力, 出现了很多E-G方案的改进方案, 如改进密钥池的Q-composite[7]、DDHV[8]、RS方案[9]等等;利用节点位置信息的CPKS方案和LBKP方案[10]、Grib-based方案[11]和PIKE方案[12]等。

(3) 层次密钥管理。层次密钥管理模式又称为半分布式管理模式, 在该类模式的协议中, 网络节点被分为若干簇, 每一簇中有一个能力较强的簇头进行管理, 负责簇中传感器节点之间的密钥分配、协商和更新等操作, 如LEAP方案[13]、LOCK方案[14]、URKP方案[15]等等。该模式是前两种模式的折中, 因此折中了集中式和分布式密钥管理模式的优点和缺点, 是目前WSN密钥管理的研究的主要热点之一。

3.2 RFID密钥管理方案和协议分类总结

总体而言, 目前有关RFID密钥管理方面的文献相对较少, 这些文献中所提出的一些方案和协议按照所采用的核心技术可分为基于哈希函数的RFID密钥管理协议、基于可信赖第三方的密钥管理协议、基于噪音的密钥管理协议、基于神经加密的密钥管理协议以及基于公钥加密的密钥管理协议等。下面分别对其进行介绍和分析。

3.2.1 基于哈希函数的RFID密钥管理

哈希函数具有单向性特征, 即已知哈希函数的输出求哈希函数的输入是十分困难的。利用哈希函数的这种单向性特征, 可设计具有相互认证功能的RFID密钥管理协议。目前, 许多基于哈希函数的RFID安全协议主要解决如何在阅读器和标签之间进行双向认证的问题, 典型的有Hash Lock协议、随机化Hash Lock协议、Hash链协议等。然而, 阅读器与标签之间除了需要进行双向认证之外, 还需要安全的密钥建立与更新机制, 以保证通讯的安全性。文献[16]提出了一种基于哈希函数的密钥建立协议, 该协议不但能够提供双向认证功能还能够在阅读器与电子标签之间安全建立会话密钥。然而, 该协议的缺点是后台数据库需要保存与每个电子标签之间的对称密钥, 当电子标签数量众多时, 后台数据库保存的对称密钥数量也会很大。由于阅读器与电子标签之间的相互认证依赖于后台数据库与电子标签之间的对称密钥, 当后台数据库中的对称密钥数量太大时会增大阅读器与电子标签之间的认证延迟。

3.2.2 基于可信赖第三方的RFID密钥管理

目前大多数关于RFID的密钥管理研究成果都假设阅读器与后台数据库之间的通讯是安全的, 而一些研究人员认为, 随着大量低成本可移动阅读器的应用, 这种假设将不再成立。Bai Enjian等人提出了一种应用于移动RFID服务系统的密钥管理协议, 该协议引入了一种被称为TTP-RPS (TrustThird-Party and Privacy-Policy-Based System) 的可信赖第三方系统, 并利用该系统通过发放证书的方式建立电子标签、阅读器以及后台数据库服务系统之间的会话密钥。该协议通过在阅读器与后台数据库服务系统之间采用匿名通讯的方式为阅读器提供隐私保护, 并通过动态更新电子标签ID来抵御跟踪攻击, 有效提高了系统的安全性。

3.2.3 基于噪音的RFID密钥管理

基于噪音的RFID密钥管理技术需要在包含物品信息的电子标签与阅读器之间引入一种被称为噪音标签的特殊标签。这种特殊的电子标签可以在阅读器与被询问标签之间的公共信道上制造噪音, 只要保证这种噪音只能够被阅读器区分出来就能够保证阅读器与电子标签之间安全的进行通讯密钥交换。文献[26]是基于噪音的RFID密钥管理技术的典型例子。这种密钥管理技术需要在RFID系统中插入一种新的组件以保证攻击者无法将噪音与被访问标签的正常信号区分开来。同时, 为了防止攻击者进行重放攻击 (replay attacks) , 需要引入动态噪音 (dynamic noise) , 增加了系统管理的复杂性。

3.2.4 基于神经加密的RFID密钥管理

神经加密是指利用神经网络产生密钥的一种加密方式[3]。神经网络是由多个平行的分布式处理器构成的一种网络体系结构。树对等机 (tree parity machine) 是一种最常见的神经网络结构体系结构。这种体系结构由一个负责提供数据的输入层、一个或者多个负责提取更高层次统计结果的隐身层 (hidden layers) 以及一个负责输出总体统计结果的输出层构成。两个树对等机通过公共信道交换输出结果数据, 当二者具有相同输出结果时更新隐身层中神经元的权值。当两个树对等机的权值相同时, 则可将树对等机的权值作为两通讯实体的会话密钥。基于神经加密的RFID密钥管理能够保证密钥建立的安全性, 但在密钥建立过程中需要进行多次数据交互, 增加了密钥建立的延时。

3.2.5 基于公钥加密的RFID密钥管理

文献[27]证明基于公钥加密系统的RFID认证协议可以提供更好的安全性和私密性, 基于此, 文献[17, 18]提出了基于公钥加密的RFID认证协议。然而, 目前的公钥加密算法计算复杂度较高, 需要进一步研究如何减少公钥加密算法的复杂度。

4 研究展望

物联网环境下的感知网络的密钥管理技术研究工作面临许多挑战, 虽然目前国内外学者已做了一些工作, 也取得了一些初步成果, 但还有许多问题需要解决。关于WSN密钥管理方面下一步的研究重点包括:

(1) 建立能满足单播、组播和广播等多种类型的通信密钥。目前的WSN密钥管理方案和协议大多仅考虑建立邻居节点间的配对密钥, 但配对密钥只能实现节点一对一通信, 不支持组播或全网广播。新的方案或协议应建立多种类型通信密钥, 满足像单播、组播、泛播或广播通信等需求。

(2) 密钥的动态管理。在WSN网络中sensor节点不可避免地会受损, 密钥管理体系要能够动态更新或撤回已受损节点的密钥。另外, 在一些WSN中, 节点可能由于自身的能力或者在外力作用下发生移动。目前大部分WSN密钥管理方案和协议都是基于静态传感器网络的, 需要进一步研究动态网络环境下的密钥管理体系。

(3) 有效的身份认证机制。密钥的协商协议需要对数据包和节点身份进行有效认证, 防止攻击者假冒合法节点加入网络。在对称密钥管理中单纯的物理地址认证机制存在被伪造的问题, 而基于非对称密钥的数字签名机制由于计算开销量大不太适用于WSN。因此, 需要进一步研究符合WSN特点的身份认证机制。

(4) 节点的容侵性和容错性支持。节点由于具备易被捕获及计算通信能力受限的特点, 使得WSN中节点易受到攻击。此外, 由于无线通讯的不可靠性, 数据包丢失不可避免。如何更好地支持容侵和容错是WSN密钥管理技术下一步需要深入研究的研究点。

关于RFID网中的密钥管理技术方面下一步的研究重点有:

(1) 研究高效安全的轻量级RFID密钥建立、撤销、更新机制。目前RFID安全方案的研究主要集中在如何建立安全的认证机制。而事实上, 针对密钥管理体系本身的研究不容忽视, 需要充分考虑RFID系统的资源有限性, 设计出计算开销、存储容量和通信代价低的轻量级密钥建立、撤销、更新机制。

(2) 支持密钥参数的动态分配与管理。RFID标签同样会受损、被俘获以及被假冒, 若要把受损标签排除或者避免假冒攻击和重放攻击, 需要研究如何对密钥参数进行动态管理。

(3) 降低RFID公钥加密算法的复杂度。公钥加密算法比对称密钥加密算法拥有更好的安全性, 但公钥加密的计算复杂度较高, 为了能更好地在RFID中应用公钥加密算法, 需要进一步降低公钥加密的计算复杂度。

5 结语

密钥技术 篇9

在数字电视系统中,条件接收技术是保障其增值业务的核心技术,它能够实现数字电视各项业务的统一管理、授权和控制。数字电视运营商依靠条件接收系统(CAS)来管理用户。

2 CAS的破解原理

CAS的工作原理[1,2,3]如图1所示。

传统的CAS对于解扰控制字(CW)的传输是没有保护的,盗版集团在智能卡将透明的CW传回机顶盒时将其截获,通过对CW明文和密文的分析对比,解出机顶盒的产品密钥,收集了所有或部分密钥后,制作盗版卡。随着加密算法的不断进步,CAS厂家都对机卡通信进行了加密,但依然无法阻止盗版集团获取CW,因为CW最终要在机顶盒的动态存储区中以明文的形式出现。随着互联网的普及,盗版集团开始提供网上共享CW的服务,即将透明的CW截获后通过互联网进行特定用户群的发送,非法用户利用盗版集团提供的共享机顶盒从互联网获取CW对节目进行解密,从而免费收看。

3 机顶盒加密的高级安全技术

为了杜绝CW共享和其他盗版方式,需要在传统的CAS体系中加入高级安全技术。笔者针对如何提高系统加密的安全性,提出在多个方面强化安全设计的方法,包括芯片级CW加密、安全启动、JTAG口保护等。

芯片级CW加密是指CW在机卡通信时以密文形式存在,在机顶盒的程序空间和内存中也始终以密文的形式存在,避免机卡通信软加密后内存中透明的CW被窃取。为了避免通过机卡通信数据分析出任何与CW相关的信息,采用随机数和密钥迭代相结合的算法设计。智能卡在每次传送CW之前,利用随机数发生器产生2个128 bit的密钥K3和K4,用机卡通信密钥K1和K2对K3,K4进行迭代加密后传输,然后用K3,K4对CW迭代加密后传输给机顶盒。机顶盒端在机顶盒芯片中增加AES128解密算法模块和2个128 bit的密钥空间(ROM),2个128 bit的CW寄存器用来存储当前加扰周期和后续加扰的CW,该空间机顶盒主程序不能读取。由一片内部RAM空间来存储K3和K4,这2个密钥的作用是对已加密的CW进行解密,该空间不能被读取,只能根据地址对RAM的数据进行芯片内的操作,从而保证CW的整个解密过程对机顶盒主程序是不透明的。

机顶盒对CW的解密流程分为3个步骤,前面的步骤为后面步骤的前提条件。其中,K1,K2,K3和K4表示密钥;EK2K3表示由K2加密的K3;EK3(EK1K4)表示对K4进行了2层加密,第1层密钥为K1,第2层密钥为K3;EK3(EK4CW)表示对CW进行了2层加密,第1层密钥为K4,第2层密钥为K3。

第1步:解密EK2K3。由K2解密得到K3,并将K3存储在内部RAM中,其流程如图2所示。

第2步:解密EK3(EK1K4)。先由K3完成第1层解密,再通过K1解密EK1K4得到K4,并将K4存储在内部RAM中,解密流程如图3所示。

第3步:解密EK3(EK4CW)。先由K3完成第1次解密,再通过K4解密EK4CW得到CW,最后用CW设置解扰器,该流程如图4所示。

安全启动是指每次机顶盒开机启动时都对机顶盒程序进行合法校验,如果是合法机顶盒程序则正常启动,否则不进入启动程序。在机顶盒芯片的ROM区中预置一个2 048 bit的RSA公钥K0用来验证Flash中代码的合法性,但不直接用K0对代码进行签名,为了降低被攻破的风险,采用密钥迭代的方法,先用一个2 048 bit的RSA私钥K1对代码进行签名,然后用K0的私钥对K1签名,利用K0验证K1,利用K1验证代码[4](见图5)。给不同的机顶盒芯片厂商分配不同的K0,不同的机顶盒厂商分配不同的K1,由CAS厂家控制K0和K1对应的私钥,机顶盒厂家只能在软件定版并通过CAS厂家确认后,由CAS厂家对代码和K1进行签名,而不能擅自改动机顶盒软件。

验证流程具体如下:1)上电时由启动代码开始运行;2)读取K1签名,用K0解密,算法为RSA;3)读取K1,用SHA-1进行Hash运算,结果与上一步结果比较,一致则继续,否则启动失败;4)读取代码签名,用K1解密,算法为RSA;5)对代码用SHA-1算法进行Hash运算,结果与上一步结果比较,一致则继续,否则启动失败;6)跳转到代码运行,同时关闭启动区,不允许再访问;7)若前述验证失败,则芯片必须尝试再重新启动。

芯片冷启动后,系统将检测安全启动功能是否被使能。如安全启动没有使能,安全启动ROM区域将被隐藏以保护ROM中的签名算法及密钥,CPU将从外部管脚选择的设备开始执行。如果安全启动被使能,安全启动ROM内的代码首先被执行,用于验证外部引导装载程序的完整性。首先使用ROM中保存的RSA2048公钥对存储在外部Flash上的引导装载程序签名进行解密。与此同时,使用SHA-1算法计算引导装载程序的Hash值。如两值相等,签名验证通过,CPU将跳转至外部的引导装载程序开始执行;如不相等,CPU将进入死循环。无论签名是否成功,安全启动ROM都将被隐藏。

为了防止利用JTAG口进行攻击,在启动时默认被打开一个Watchdog Timer,系统在签名验证完成后关闭Watchdog Timer。如果在规定的时间内安全启动过程不能完成,则系统将自动重启。关闭Watchdog Timer也需要输入相应的密码。

4 系统实现方法

图6给出了上述高级安全技术的实现方法。

CW解密引擎包括1个AES128解密模块、128 bit×2的ROM空间用来存储对称密钥K1和K2,大于128 bit×2的内部RAM用来存储K3和K4,一个128 bit×2×4的队列寄存器用来存储4组CW1和CW2,整个解密引擎的内部都不允许机顶盒主程序访问,内部的解密操作全部封装到原来的解扰函数中,机顶盒主程序不需要任何改动。

安全启动ROM包括1个SHA1的签名模块,1个RSA2048的解密模块,2 048 bit的ROM空间用来存储RSA公钥K0,1片ROM空间用来存储启动校验过程,在机顶盒Flash中有签名后的应用程序、引导装载程序和2 048 bit RSA公钥K1。整个启动ROM在机顶盒启动时执行,不受机顶盒主程序的干预,保证了主程序的安全和合法性。

JTAG口保护包括在机顶盒芯片中增加ROM空间存储1个与芯片唯一编号(UID)对应的密钥。在机顶盒部署前关闭JTAG口,如需重新打开,则需要输入与芯片UID对应的密钥。在通用的机顶盒芯片构架中可以采用Debug I2C来完成这一功能,在JTAG口被关闭的同时,Debug I2C对总线的访问被禁止,只允许其访问JTAG密码输入寄存器。芯片冷启动后,JTAG口被关闭,需要重新输入密码。这样做能有效防止JTAG口执行非法程序或非法访问芯片内部资源。

在不影响主观图像质量的前提下,电视编码器通过水印算法在最终输出的模拟图像上叠加智能卡卡号和芯片的UID号,以避免模拟视频输出被复制引发的版权纠纷,有效打击盗版活动。

视频流在解扰后被写入外部SDRAM中等待解码,在此过程中可能通过非法程序窃取未解码的视频流。为对其进行保护,将SDRAM和主芯片进行堆叠封装(SIP),并关闭可能的高速输出接口如SPI,Parallel Interface等。

5 小结

该方法已经通过实验室原形样机验证,实验室测试表明该方法对于控制字共享、JTAG攻击、非法代码植入均具有良好的抗攻击性能,可以应用于各种对系统安全性要求较高的数字电视广播系统和网络中。以上各种技术的实现成本在量产芯片中不到0.1美元,只占芯片总成本的很小一部分,几乎可以忽略不计,但可以大大提高整个CAS的安全性,最大程度地打击盗版,保证数字电视运营商的利益。目前,该方案已由中天联科和意法半导体验证通过并进行量产。集成了该方法的条件接收系统MediaCraft V2.0已于2009年6月通过国家广播电影电视总局的CAS入网认证,取得A级证书,并且已在贵阳铁路局拥有3万用户,运行稳定。

摘要：提出了一种基于密钥迭代的高级安全技术与其实现方法,能够有效地杜绝数字电视加扰控制字共享等盗版问题,最大程度保护数字电视运营商利益。该方法已经通过实验室样机验证并量产。

关键词：数字电视,条件接收,控制字共享,安全启动,控制字加密

参考文献

[1]ETSI TS103197,Digital video broadcasting(DVB);head-end implementation of DVB simulcrypt[S].2000.

[2]ETSI TS101197,Digital video broadcasting(DVB);DVB simulcrypt;head-end architecture and synchronization[S].1997.

[3]ETSI EN300468,Digital video broadcasting(DVB);DVB specificationfor service information(SI)in DVB systems[S].1995.

密钥技术 篇10

PKI技术是公钥基础设施的简称,这种技术的主要原理是遵循既定标准的密钥管理平台,能够为互联网的应用提供加密服务以及数字签名服务。简单来说,PKI技术就是一种基础设施,主要是利用公钥理论和技术来提供一切安全服务。这种技术是目前网络安全建设的核心和关键,也是为电子商务发展提供保障的基础。PKI技术的应用一定程度上能够满足人们对网络交易安全保障的需求。PKI技术逐渐行成了一种复杂的系统,会涉及到其他的密钥,对于这些密钥的安全性要求也不同,因此,需要可靠的密钥管理方案来保证网络系统的安全。

1 PKI技术的应用分析

1.1 PKI技术在电子邮件加密中的应用

电子邮件以其低成本、便捷的特征成为现代人们信息交流的主要方式,很多商业机构以及政府机构通常使用电子邮件的方式进行秘密信息的传送和有一些有价值信息的传输,但是邮件信息在传输过程中被拦截,非法使用的情况经常出现,一些信息或者是附件在通信双方不知情的情况下会被第三方所读取,一些有心人士通过篡改信息达到谋利的目的。此外,发送的电子邮件难以确定其发送方的真实性和可靠性,由于电子邮件本身安全和信任方面存在一定的缺陷,导致一些公司和机构不再使用电子邮件进行信息交换和传输,对人们的正常交流造成严重的影响,对通信的安全性也行成了严重的威胁。为了增强电子邮件通信的安全性,可以利用PKI对电子邮件进行加密处理。通过PKI技术的公钥和私钥能够完成电子邮件的安全认证以及完整性检查。公钥加密系统和私钥加密系统是基于PKI原理上设置的一种网络加密系统。其中公钥加密体系简称为PGP系统,这种系统已经在电子邮件通信加密中得到了广泛的应用,但是其使用范围受到一定的限制,需要通信双方交流之后才能够实现加密。私钥加密系统是专门针对电子邮件通信设置的一种正式的因特网标准系统,与前者不同的是,这种系统有证书的有效性认证。

1.2 PKI技术在电子商务安全管理中的应用

电子商业管理的核心问题也是安全问题,虽然电子商业的发展有着潜在的发展市场,但是由于这种模式涉及到很多商业行为,其安全保障成为人们关注的重点问题。PKI技术能够有效地解决电子商务的安全问题,利用PKI应用能够建立一种安全的网络,并且具有可信任的认证中心。例如,可以通过政府部门或者是银行等机构进行认证,进而利用加密技术消除开放网络带来的更多风险,确保商业交易的安全可靠性。

1.3 PKI技术在网页安全管理中的应用

人们访问互联网最为常用的方式就是浏览Web网页,如果不涉及其他私密问题的情况下浏览网页一般不会产生什么影响,但是如果有人填写表单或者是个私人信息时,一些敏感信息会被居心叵测的人所利用,一些人使用网页进行商品交易,网页的安全问题很难得到有效的保障。常见的网页安全问题有网络诈骗、信息泄露、黑客攻击、网页被篡改等,为了解决这一问题,需要从浏览器的改造入手。SSL协议是一种传输层和应用层之间的安全通信层,在不同的实体进行通信之前,需要建立SSL连接系统,以此来确保应用层实体之间通信的安全性。可以利用PKI技术在浏览器和服务器之间进行加密,也可以使用数字信息的方式保证通信的安全性,由第三方颁发服务器和浏览器的数字证书。在交易过程中,双方就能够通过数字信息的方式确认对方的身份,避免别人冒名顶替窃取信息。

2 PKI系统下的密钥管理

密钥管理主要是由管理中心提供用户加密密钥对的一种管理功能,管理中心主要负责用户密钥的生成、储存、备份、更新以及归档恢复等内容。密钥管理系统由多个部分组成,逻辑上的密钥管理系统主要由密钥生成、密钥综合管理、密钥备份和恢复、密码服务等部分内容组成。各个逻辑系统的主要功能如下所示:

2.1 密钥生成

该过程是密钥对的产生过程,会生成一种非对称的密钥对,然后将这种密钥对通过数据库进行保存,如果备用数据库中密钥数量不够充足时,数据库就会自动进行补充。生成的对称密钥主要用于数字信封,而生成的随机数用于安全验证。密钥对的产生是证书申请过程中的重要内容,证书类型不同的情况下,密钥对的形式和方法也不同,普通证书的密钥对一般由浏览器或者是移动终端产生,但是这样的密钥强度较小,在重要的网络安全保护中不适合应用。一些重要的证书安全管理一般由专业应用程序产生,在专业应用程序下产生的密钥强度较大,主要适用于重要的场合。

2.2 密钥综合管理

密钥综合管理是密钥管理下的一个分支,包括多个部分的管理,有数据库管理、认证管理、安全审计管理等内容。其中数据库管理的模块主要负责密钥的存储管理,由于存储的状态不同,密钥数据库分为三种类型,分别是备用密钥数据库、历史密钥数据库以及在用密钥数据库,数据库中的密钥通常是采用加密的形式存放。密钥认证管理模块主要是对密钥管理系统中的有关人员身份进行认证。安全审计模块是负责审计和统计服务的模块,主要是对各个功能的运行事件进行检查和分析,包括对运行事件的记录、服务器状态的记录以及系统设置等内容。

2.3 密钥备份及恢复

用户如果丢失了密钥,就会导致加密的文件难以解密,让更多的数据出现丢失。PKI技术所提供的密钥备份和密钥恢复机制能够避免这种事件的发生。密钥的保护一般是使用口令进行保护,管理人员的疏忽很有可能造成口令的丢失,PKI技术能够对密钥进行备份,即使在口令丢失的情况下也能够恢复密钥并且设置新的口令。

2.4 密码服务

密码服务模块主要是对KMC中的不同业务提供一定的密码支撑。

3 结束语

在当今互联网快速发展的时代,PKI有着较大的市场需求,尤其是在网络安全保障中的应用可以保障各种信息的机密性、真实性和完整性。无论是政府、企业还是电子商务网站等都需要PKI技术进行解决。互联网的发展在我国各个领域中的应用已经普及,鉴于此,需要不断发展和应用PKI技术,以此来保障互联网应用的安全性。

参考文献

[1]李志国,李波.PKI技术与应用[J].无线互联科技,2012.

[2]陈君波.浅谈PKI技术与应用[J].科技信息,2012.

[3]钱靓靓.浅析电子信息安全技术PKI[J].电子世界,2014.

[4]张伟丽.浅析PKI技术在数字家庭网络中的应用[J].电视技术,2014.

[5]胡艳.PKI技术在电子政务OA系统中的安全设计与应用[J].软件工程师,2015.

女性宫寒预防密钥 篇11

宫寒非小事，女性需警惕

但是由于宫寒的一些症状比较常见，很多女性往往认为那都是小事，没放在心上，更不会及时治疗，结果一拖再拖，有时往往就会追悔莫及。而事实上，宫寒可引发50%以上的妇科病或不孕症。

宫寒的症状主要有：

1.白带量多，清稀

2.月经不调、痛经

3.性冷漠、多流产

4.小腹不温，四肢冰凉，眩晕，经前乳胀

5.黄褐斑、痤疮

6.困倦腰痛、面色晦暗、眼睑肿胀

据了解，满足以上所述的第1、2两种症状的为一度宫寒，满足第1、2两种症状及后面任意一项症状的为二度宫寒，满足第1、2两种症状及后面任意两项症状以上的则为最严重的三度宫寒。从调查中发现，目前，每6个患有宫寒的女性中，患有三度宫寒的高达2个。

五大防寒密钥，温暖你的子宫

宫寒原因一：体质

有些女性天生体质较寒：四肢容易冰冷，对气候转凉特别敏感，脸色比一般人苍白，喜欢喝热饮，很少口渴，冬天怕冷，夏天耐热。寒性体质大多由后天因素造成，居住环境寒冷、嗜好寒凉食物、过劳或易怒损伤身体阳气……这些是让身体偏寒的常见问题。

另外，还有一部分遗传因素，也许你的父母体质偏寒，或者是你出生时，他们年龄比较大，身体阳气逐渐减少，这会直接导致在你的基因上写入寒性体质密码。即使和别人处在相同的条件下，你更容易出现宫寒的症状，所以除了小心防寒之外，还要长期温煦身体。

防寒密钥：

1.多吃补气暖身的食物

例如核桃、枣、花生，让先天的不足由后天的高能量来补足，不用担心上火，宫寒体质属于火气不足，不容易出现火大体热的症状。

2.用鲍鱼滋补

中医认为鲍鱼滋补清热，可以滋陰养颜、清肝明目，是女性最好的补品。过去太医院进贡给皇后妃嫔们的中药丸，调和时不像现在使用蜂蜜，而是用鲍鱼汁。所以宫寒女性应该经常给自己做些鲍鱼食物。

3.宫廷暖宫羹

这道食物可以温暖下身的元阳之气，经常作为清代后宫嫔妃每月必食的药膳。材料为鹿茸粉0.5克、冬虫夏草1根、鸡蛋1枚、食盐少许，一起隔水蒸成蛋羹即可食用。长期吃可以调理子宫的寒气，比服药效果更好。

4.健走

这类人偏于安静沉稳，运动过多时容易感觉疲劳。其实“动则生阳”，寒性体质者特别需要通过运动来改善体质。快步走是最简便的办法，步行，尤其是在卵石路上行走，能刺激足底的经络和穴位，可以疏通经脉、调畅气血、改善血液循环，使全身温暖。

5.艾条温灸

这是要到医院进行的方法。中医师一般选取两个穴位：肚脐正中直下1.5寸处的气海穴、肚脐正中直下3寸处的关元穴。用艾条每日熏烤30分钟，长期坚持就可以有效。

宫寒原因二：夏日空调房

进入盛夏之后，女人们都在展露肌肤，美腿、玉臂、香肩，甚至一大片后背、一小抹蛮腰尽收眼底。可办公室里，永远是四季恒定的24℃，空调冷气拒骄阳于千里，离你近在咫尺。殊不知，此时你的子宫正在受着外界寒冷的折磨，你又有多少热量禁得起这样消耗呢？不知不觉间，寒气侵入身体，女性特有的脏器——子宫，首当其冲，就离宫寒不远了。

防寒密钥：

1.在办公室备外套或披肩

比如有袖的小开衫，即使夏季天天穿吊带衣服，也可以护住你的肩膀了，穿着裙子时可用披肩护住腿部，尤其是膝盖。丝袜对怕冷的女子也是需要的，以防寒从脚下生。

2.别坐在空调下面

如果座位挪不开，就要多准备一条小丝巾，别让风直吹颈部。如果坐在空调的前面，最好是面对空调，冷风从背后吹着你的背部、腰部，比迎面风对人体造成的伤害更大。

3.别在办公室午休

趴在桌上睡觉会无意中露出后腰，而且睡眠时毛孔打开，这样比较容易被寒邪所伤。还有就是最好别一直在空调房待满8小时，中午去室外走走，让皮肤接触外界的自然气息，如果体内有寒气也可以发散出来。

4.不要坐“寒”

夏天不要坐有寒气的椅子，例如地面、石面或铁面椅子，导热快，寒气重，寒邪会迅速击退你身体的阳气直接攻击子宫。

5.受寒后补救

如果偶有受寒现象，例如淋雨、湿发出门时，一定要事后补救，给自己煎一碗驱寒汤。材料是红糖2汤匙、生姜7片，水煎10分钟即可，饮用1~2次就可以驱走寒气。

密钥技术 篇12

(一) 背景。河北联通移动互联网渠道管理平台是互动营销平台基础上建设的子系统, 从合作伙伴管理、信息安全、合理利用接入资源及用户体验角度出发, 渠道运营合作伙伴通过此平台对接, 进行用户消费信息、产品订购信息、产品互斥等信息查询及用户产品订购, 全面支撑渠道伙伴增值业务产品营销, 实现增值产品的分销、统一、高效、规范的渠道运营管理。从流量拉动提升及用户流量自由分配角度出发, 扩大流量销售渠道, 提供流量批发业务, 实现用户流量自由控制及使用将是目前重要发展方向。

(二) 技术创新方向。

1.SM4加/解密技术运用。此算法是一个分组算法, 用于无线局域网产品。该算法的分组长度为128比特, 密钥长度为128比特。加密算法与密钥扩展算法都采用32轮非线性迭代结构。解密算法与加密算法的结构相同, 只是轮密钥的使用顺序相反, 解密轮密钥是加密轮密钥的逆序。此算法采用非线性迭代结构, 每次迭代由一个轮函数给出, 其中轮函数由一个非线性变换和线性变换复合而成, 非线性变换由S盒所给出。与传统的软件加密方式相比, SM4加解密算法具有以下特点:

(1) 计算速度快、效率高。虚拟卡平台与加密平台采用Web Service接口的方式进行加解密处理, 在处理比较大的订单时 (如百万级) , 为了及时给虚拟卡平台反馈加密结果, 对加解密算法的执行效率要求较高。SM4加密算法可以在短时间内对大批量的卡号进行加密操作, 正是由于SM4加密算法计算速度快、效率高的特点, 在虚拟卡密文安全的同时, 提升了虚拟卡加解密的执行效率。

(2) 安全性高。SM4算法是我国自主研制的分组密码算法, 由2006年国家密码管理局公布至今, 还未被攻破, 目前仍然是安全的。并且SM4算法密钥长度为128位, 若采用穷举攻击法, 需要2, 128次运算, 远比DES算法256次运算大得多, 要想要用穷举攻击法破解需要相当长的时间, 在目前看来是不现实的。

SM4加/解密技术平台应用:渠道平台与加密平台之间使用Web Service接口进行交互, 渠道平台将生成的虚拟卡号及订单号发送到加密平台后, 由加密平台对卡号进行检验、加密处理。

2.MD5加密技术运用。MD5属于单向加密算法, 是不可逆的加密方式, 也就是说, 采用了MD5加密方式加密之后, 就不能对加密的结果进行解密, 得到原有的字符串, 这是不可以的。MD5是散列算法, 将任意大小的数据映射到一个较小的、固定长度的唯一值。加密性强的散列一定是不可逆的, 这就意味着通过散列结果, 无法推出任何部分的原始信息。任何输入信息的变化, 哪怕仅一位, 都将导致散列结果的明显变化, 这称之为雪崩效应。散列还应该是防冲突的, 即找不出具有相同散列结果的两条信息。具有这些特性的散列结果就可以用于验证信息是否被修改。MD5就和人的指纹一样, 每个人的指纹都是唯一的, 而文件的MD5值也是唯一的。

MD5算法特点:一是压缩性:任意长度的数据, 算出的MD5值长度都是固定的。二是容易计算:从原数据计算出MD5值很容易。三是抗修改性:对原数据进行任何改动, 哪怕只修改1个字节, 所得到的MD5值都有很大区别。四是弱抗碰撞:已知原数据和其MD5值, 想找到一个具有相同MD5值的数据 (即伪造数据) 是非常困难的。五是强抗碰撞:想找到两个不同的数据, 使它们具有相同的MD5值, 是非常困难的。

MD5加密技术平台应用:第三方渠道与管理平台做信息交互的时候, 管理平台从用户名密码鉴权、IP鉴权、业务类型鉴权这三个方面做身份鉴权, 所有鉴权通过后才能进行业务流程申请。IP鉴权依托DCN网络安全保护, 业务类型鉴权依托计费系统安全保护, 此次加密工作是对用户名密码鉴权做的二次加密保障。

二、实施方案

(一) 虚拟卡SM4加/解密技术 (全流程加密技术) 。

1.加密处理。渠道平台与加密平台之间使用Web Service接口进行交互, 渠道平台将生成的虚拟卡号及订单号发送到加密平台后, 由加密平台对卡号进行检验、加密处理, 加密过程如下:一是渠道平台批量发送卡号、订单号到加密平台;二是加密平台对收到的卡号、订单号的有效性进行检验, 若检验失败, 则驳回加密请求。三是根据订单号、时间截进行MD5加密, 并生成加密密钥;四是根据卡号、加密密钥进行SM4加密, 并将虚拟卡密文存储到数据库中;五是向渠道平台应答成功加密的卡号数量。

2.解密处理。渠道平台在收到用户短信上行的虚拟卡密文, 并且密文的格式校验通后, 由渠道平台向加密平台发起解密请求, 对收到的虚拟卡密文进行解密。解密过程如下:一是渠道平台发送解密请求, 将虚拟卡密文发送到加密平台;二是加密平台在收到虚拟卡密文后, 对该密文的有效性进行校验;三是校验通过后, 根据订单号、时间截进行MD5加密, 并生成解密密钥;四是根据虚拟卡密文、解密密钥, 对虚拟卡密文进行SM4解密操作, 并得到虚拟卡号;五是向渠道平台应答解密后的虚拟卡号。

(1) 虚拟卡生成。分销商在运营商处购买虚拟卡并缴费后, 操作员根据批发商信息、购买资源信息 (如:流量、短信等) 创建虚拟卡订单, 并设置这批虚拟卡的有效时间、截止时间等信息。订单提交后, 需要由管理员进行审核, 订单审核通过后, 方可开通虚拟卡, 并进行卡号等信息的分配。

(2) 虚拟卡加密。为保证虚拟卡信息的安全性, 虚拟卡平台采用卡密分离的方式进行存储。由虚拟卡平台创建订单, 并生成虚拟卡, 然后交由加密平台对卡号进行加密操作, 并且卡密始终保存在加密平台内。整个交互过程中, 虚拟卡平台不会接触到卡密信息。

(3) 卡密导出。虚拟卡开通、加密完成后, 分销商通过登录虚拟卡平台将卡密信息进行导出。虚拟卡平台通过动态短信验证码方式进行登录, 登录前, 分销商需要填写登录账号、订单号、动态短信密码, 所有信息必须验证通过后才可以登录系统。为避免分销商重复导出卡密信息, 系统设置一次性导出, 每个订单只允许分销商导出一次。导出卡密时, 系统向分销商发送一条动态密码短信, 分销商接收到密码短信并验证成功后, 再进行卡密文件的下载。

(4) 虚拟卡使用。分销商获取卡密以后, 将卡密分发到用户手中。用户通过发送上行短信, 将卡密发送到指定接入号。系统接收到上行卡密信息后, 向加密平台发送解密请求, 并返回对应的虚拟卡号, 系统判断该虚拟卡号是否有效, 若有效, 则对为该用户添加相应的资源, 若无效, 则短信通知用户。

(二) 第三方接口MD5加密技术。传统的客户端访问服务器各接口时, 需要输入账号和密码等信息, 服务器接收用户传来的数据包, 提取用户的账号信息和密码信息, 再查询服务器的数据库, 最后反馈认证成功或者失败信息给用户。这种身份认证模式是目前最常用的一种远程认证方式, 然而却存在请求数据包被窃取及数据库密码泄露的隐患。由于MD5算法具有加密单向性和数字指纹性的特点, 因此在远程身份认证中引入MD5算法就能弥补传统模式的缺陷。MD5算法就是将任意长度的输入信息经过复杂的线性变换成一个定长为128位 (bits) 且唯一的新数据, 我们称这个过程为产生数字指纹, 通过MD5加密的数据具有很高的可靠性。为了保证数据的安全性, 在进行身份鉴别的过程必须保证安全可靠。所以需要满足的条件是鉴别过程中数据要具有保密性, 同时为保证数据发送过程中不被修改, 也要保证数据的完整性。在鉴别过程中需要使用报文鉴别技术来保证完整性, 同时需要使用密码算法技术来保证数据的安全性。那么在接口数据鉴权之前, 需要将加密算法及密钥告知各第三方渠道。

1.平台的安全管理。第三方渠道与管理平台做信息交互的时候, 管理平台从用户名密码鉴权、IP鉴权、业务类型鉴权这三个方面做身份鉴权, 所有鉴权通过后才能进行业务流程申请。IP鉴权依托DCN网络安全保护, 业务类型鉴权依托计费系统安全保护, 此次加密工作是对用户名密码鉴权做的二次加密保障。

2.业务描述。第三方渠道与渠道管理平台交互, 发送查询及订购业务请求, 管理平台收到后对信息报文判断, 判断包头字段的合法性及有效性 (依据接口标准文档) , 判断包体内产品代码、业务模式 (依据接口文档) 、用户鉴权 (用户名密码判断) 、生成本平台识别的订单流水号, 并加入到BSS交互队列里, BSS返回记过后自动匹配订单流水号后分发给不同渠道方。

3.加密流程。第三方渠道在访问管理平台的时候, 把平台所分配给其的鉴权密码加上动态时间戳后自动混合加密, 生成32位秘钥随信息报文一起发送到管理平台, 管理平台收到全部的信息报文后, 先根据用户名解析出该用户的鉴权密码, 再根据该用户的发起时间自动混合加密后, 生成32位秘钥, 与第三方渠道申请报文中的秘钥进行配匹判断, 判断结果相同后再启动下一步业务流程。

三、系统实施效果

本项目始于2014年1月, 2014年3月完成了功能模块的开发, 经验收合格后投入上线运营。本项目中基于安全加密及话单采集处理技术的流量转赠、批发应用为国内首创, 期间针对河北省移动互联网渠道的统一接入管理建设了移动互联网渠道管理平台, 通过建设统一接入接口, 合作伙伴通过对接, 进行用户消费信息、产品订购信息、产品互斥等信息查询及用户产品订购, 全面支撑渠道伙伴增值业务产品营销, 实现增值产品的分销、统一、高效、规范的渠道运营管理;2014年增收四百多万元, 取得了良好的社会效益和经济价值。

摘要：为了保证流量批发及渠道接口数据安全, 用户流量转赠流程操作便利、高实时性, 渠道管理平台进行了安全处理模块加固, 实现了基于SM4及MD5密钥及业务全流程的加解密技术, 从而更加保证数据的安全性, 实现在进行身份鉴别的过程安全可靠, 实现转赠流程便利性和高实时性最大限度地避免流量扣减对主赠人带来的损失。