信息安全技術(shù)之個(gè)人數(shù)字證書(shū)與CA認(rèn)證培訓(xùn)課件(ppt-88頁(yè))

1、信息安全技術(shù)第 3章 個(gè)人數(shù)字證書(shū)與CA認(rèn)證3.1 個(gè)人數(shù)字證書(shū)與CA認(rèn)證3.2 加密技術(shù)與DES加解密算法3.3 認(rèn)證技術(shù)與MD5算法3.1.1 個(gè)人數(shù)字證書(shū)3.1.2 實(shí)驗(yàn)與思考3.1 個(gè)人數(shù)字證書(shū)與CA認(rèn)證數(shù)字證書(shū)又稱數(shù)字標(biāo)識(shí)，是用來(lái)標(biāo)志和證明網(wǎng)絡(luò)通信雙方身份的數(shù)字信息文件。數(shù)字證書(shū)一般由權(quán)威、公正的第三方機(jī)構(gòu)即CA (Certificate Architecture) 中心簽發(fā)，包括一串含有客戶基本信息及CA 簽字的數(shù)字編碼。在網(wǎng)上進(jìn)行電子商務(wù)活動(dòng)時(shí)，交易雙方需要使用數(shù)字證書(shū)來(lái)表明自己的身份，并使用數(shù)字證書(shū)來(lái)進(jìn)行有關(guān)的交易操作。3.1 個(gè)人數(shù)字證書(shū)與CA認(rèn)證通俗地講，數(shù)字證書(shū)就是個(gè)人或

2、單位在因特網(wǎng)的身份證。數(shù)字證書(shū)主要包括三方面的內(nèi)容：證書(shū)所有者的信息證書(shū)所有者的公開(kāi)密鑰證書(shū)頒發(fā)機(jī)構(gòu)的簽名3.1.1 個(gè)人數(shù)字證書(shū)標(biāo)準(zhǔn)的X.509 數(shù)字證書(shū)包含 (但不限于) 以下內(nèi)容：1) 證書(shū)版本信息；2) 證書(shū)序列號(hào)，每個(gè)證書(shū)都有一個(gè)唯一的證書(shū)序列號(hào)；3) 證書(shū)所使用的簽名算法；4) 證書(shū)的發(fā)行機(jī)構(gòu)名稱 (命名規(guī)則一般采用X.500 格式) 及其私鑰的簽名；5) 證書(shū)的有效期；6) 證書(shū)使用者的名稱及其公鑰的信息。3.1.1 個(gè)人數(shù)字證書(shū)以數(shù)字證書(shū)為核心的加密技術(shù)可以對(duì)網(wǎng)絡(luò)上傳輸?shù)男畔⑦M(jìn)行加密和解密、數(shù)字簽名和簽名驗(yàn)證，以確保網(wǎng)上傳遞信息的機(jī)密性、完整性，以及交易實(shí)體身份的真實(shí)性，簽名信

3、息的不可否認(rèn)性，從而保障網(wǎng)絡(luò)應(yīng)用的安全性。3.1.1 個(gè)人數(shù)字證書(shū)數(shù)字證書(shū)采用公鑰密碼體制，即利用一對(duì)互相匹配的密鑰進(jìn)行加密、解密。每個(gè)用戶擁有一把僅為本人所掌握的私有密鑰 (私鑰) ，用它進(jìn)行解密和簽名；同時(shí)擁有一把公共密鑰 (公鑰) 并可以對(duì)外公開(kāi)，用于加密和驗(yàn)證簽名。3.1.1 個(gè)人數(shù)字證書(shū)當(dāng)發(fā)送一份保密文件時(shí)，發(fā)送方使用接收方的公鑰對(duì)數(shù)據(jù)加密，而接收方則使用自己的私鑰解密，這樣，信息就可以安全無(wú)誤地到達(dá)目的地了，即使被第三方截獲，由于沒(méi)有相應(yīng)的私鑰，也無(wú)法進(jìn)行解密。通過(guò)數(shù)字手段保證加密過(guò)程是一個(gè)不可逆過(guò)程，即只有用私有密鑰才能解密。在公開(kāi)密鑰密碼體制中，常用的是RSA體制。3.1.1

4、個(gè)人數(shù)字證書(shū)用戶也可以采用自己的私鑰對(duì)信息加以處理，由于密鑰僅為本人所有，這樣就產(chǎn)生了別人無(wú)法生成的文件，也就形成了數(shù)字簽名。采用數(shù)字簽名，能夠確認(rèn)以下兩點(diǎn)：保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認(rèn)或難以否認(rèn)。保證信息自簽發(fā)后到收到為止未曾作過(guò)任何修改，簽發(fā)的文件是真實(shí)文件。3.1.1 個(gè)人數(shù)字證書(shū)數(shù)字證書(shū)可用于發(fā)送安全電子郵件、訪問(wèn)安全站點(diǎn)、網(wǎng)上證券、網(wǎng)上招標(biāo)采購(gòu)、網(wǎng)上簽約、網(wǎng)上辦公、網(wǎng)上繳費(fèi)、網(wǎng)上稅務(wù)等網(wǎng)上安全電子事務(wù)處理和安全電子交易活動(dòng)等。3.1.1 個(gè)人數(shù)字證書(shū)根據(jù)加密密鑰和解密密鑰是否相同或本質(zhì)上相同,即從其中一個(gè)容易推出另一個(gè)，可將現(xiàn)有的加密體制分為兩種，即單鑰加密體制和

5、雙鑰加密體制 (又稱公開(kāi)密鑰體制) 。前者的加密密鑰和解密密鑰或者相同或者本質(zhì)上相同，即從其中一個(gè)可以很容易的推出另一個(gè)，其典型代表是美國(guó)的數(shù)據(jù)加密標(biāo)準(zhǔn) (DES) ；后一種加密體制中的加密密鑰和解密密鑰不相同，并且從其中一個(gè)很難推出另一個(gè)，因此它的加密密鑰可以公開(kāi)，而解密密鑰可以由用戶自己保存。3.1.1 個(gè)人數(shù)字證書(shū)在公開(kāi)密鑰體制中，應(yīng)用得最多的是RSA體制。RSA算法是由Rivest，Shamir和Adleman于1978年提出的，曾被ISO/TC97的數(shù)據(jù)加密委員會(huì)SC20推薦為公開(kāi)數(shù)據(jù)加密標(biāo)準(zhǔn)。RSA體制是根據(jù)尋求兩個(gè)大素?cái)?shù)容易，而將他們的乘積分解開(kāi)則極其困難這一原理來(lái)設(shè)計(jì)的，其安全

6、性在于對(duì)大數(shù)N的分解極其困難。例如，用每一微秒做一次操作的計(jì)算機(jī)，分解100位的十進(jìn)制數(shù)N，需要時(shí)間為74年。3.1.1 個(gè)人數(shù)字證書(shū)本節(jié)實(shí)驗(yàn)與思考的目的是：1) 了解中華人民共和國(guó)電子簽名法及其關(guān)于電子認(rèn)證服務(wù)的相關(guān)規(guī)定。2) 熟悉CA 認(rèn)證的基本原理和作用，掌握數(shù)字證書(shū)的申請(qǐng)和使用過(guò)程。3.1.2 實(shí)驗(yàn)與思考第 3章 個(gè)人數(shù)字證書(shū)與CA認(rèn)證3.1 個(gè)人數(shù)字證書(shū)與CA認(rèn)證3.2 加密技術(shù)與DES加解密算法3.3 認(rèn)證技術(shù)與MD5算法3.2.1 古典密碼算法3.2.2 單鑰加密算法3.2.3 數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法3.2.4 實(shí)驗(yàn)與思考3.2 加密技術(shù)與DES加解密算法密碼學(xué)是研究數(shù)據(jù)的加密及

7、其變換的學(xué)科，它集數(shù)學(xué)、計(jì)算機(jī)科學(xué)、電子與通信等諸多學(xué)科于一身。進(jìn)入20世紀(jì)80年代，隨著計(jì)算機(jī)網(wǎng)絡(luò)，特別是因特網(wǎng)的普及，密碼學(xué)得到了廣泛的重視。如今，密碼技術(shù)不僅服務(wù)于信息的加密和解密，還是身份認(rèn)證、訪問(wèn)控制、數(shù)字簽名等多種安全機(jī)制的基礎(chǔ)。3.2 加密技術(shù)與DES加解密算法信息安全主要包括系統(tǒng)安全和數(shù)據(jù)安全兩個(gè)方面。系統(tǒng)安全一般采用防火墻、防病毒及其他安全防范技術(shù)等措施，屬于被動(dòng)型安全措施；數(shù)據(jù)安全則主要采用現(xiàn)代密碼技術(shù)對(duì)數(shù)據(jù)進(jìn)行主動(dòng)的安全保護(hù)，如數(shù)據(jù)保密、數(shù)據(jù)完整性、身份認(rèn)證等技術(shù)。3.2 加密技術(shù)與DES加解密算法加密技術(shù)包括密碼算法設(shè)計(jì)、密碼分析、安全協(xié)議、身份認(rèn)證、消息確認(rèn)、數(shù)字簽名

8、、密鑰管理、密鑰托管等技術(shù)，是保障信息安全的核心技術(shù)3.2 加密技術(shù)與DES加解密算法古典密碼大都比較簡(jiǎn)單，一般根據(jù)字母的統(tǒng)計(jì)特性和語(yǔ)言學(xué)知識(shí)來(lái)加密，在可以用計(jì)算機(jī)進(jìn)行密碼分析的今天，很容易被破譯。古典密碼雖然現(xiàn)在已經(jīng)很少采用，但研究這些密碼算法的原理，對(duì)于理解、構(gòu)造和分析現(xiàn)代密碼是十分有益的。古典密碼算法主要有代碼加密、替換加密、變位加密、一次性密碼簿加密等幾種算法。3.2.1 古典密碼算法傳統(tǒng)加密方法的統(tǒng)計(jì)特性是這類算法致命的缺陷。為了提高保密強(qiáng)度，可將這幾種加密算法結(jié)合使用，形成秘密密鑰加密算法。由于可以采用計(jì)算機(jī)硬件和軟件相結(jié)合來(lái)實(shí)現(xiàn)加密和解密，算法的結(jié)構(gòu)可以很復(fù)雜，有很長(zhǎng)的密鑰，使破

9、譯很困難，甚至不可能。3.2.2 單鑰加密算法由于算法難以破譯，可將算法公開(kāi)，攻擊者得不到密鑰，也就不能破譯。因此，這類算法的保密性完全依賴于密鑰的保密，且加密密鑰和解密密鑰完全相同或等價(jià)，又稱為對(duì)稱密鑰加密算法，其加密模式主要有序列密碼 (也稱流密碼) 和分組密碼兩種方式。3.2.2 單鑰加密算法流密碼是將明文劃分成字符 (如單個(gè)字母) ，或其編碼的基本單元 (如0、1數(shù)字) ，字符分別與密鑰流作用進(jìn)行加密，解密時(shí)以同步產(chǎn)生的同樣的密鑰流解密。流密碼的強(qiáng)度完全依賴于密鑰流序列的隨機(jī)性和不可預(yù)測(cè)性，其核心問(wèn)題是密鑰流生成器的設(shè)計(jì)，流密碼主要應(yīng)用于政府和軍事等國(guó)家要害部門。3.2.2 單鑰加密算

10、法根據(jù)密鑰流是否依賴于明文流，可將流密碼分為同步流密碼和自同步流密碼，目前，同步流密碼較常見(jiàn)。由于自同步流密碼系統(tǒng)一般需要密文反饋，因而使得分析工作復(fù)雜化，但其具有抵抗密文搜索攻擊和認(rèn)證功能等優(yōu)點(diǎn)，所以這種流密碼也是值得關(guān)注的研究方向。3.2.2 單鑰加密算法分組密碼是將明文消息編碼表示后的數(shù)字序列x1, x2, , xi, 劃分成長(zhǎng)為m的組x = (x0, x1, , xm-1) ，各組 (長(zhǎng)為m的矢量) ，分別在密鑰k = (k0, k1, , kL-1) 控制下變換成等長(zhǎng)的輸出數(shù)字序列y = (y0, y1, , yn-1) (長(zhǎng)為n的矢量) ，其加密函數(shù)E: VnKVn，Vn是n維矢量

11、空間，K為密鑰空間。3.2.2 單鑰加密算法分組密碼與流密碼的不同之處在于輸出的每一位數(shù)字不是只與相應(yīng)時(shí)刻輸入的明文數(shù)字有關(guān)，而是還與一組長(zhǎng)為m的明文數(shù)字有關(guān)。在相同密鑰條件下，分組密碼對(duì)長(zhǎng)為m的輸入明文組所實(shí)施的變換是等同的，所以只需要研究對(duì)任一組明文數(shù)字的變換規(guī)則。這種密碼實(shí)質(zhì)上是字長(zhǎng)為m的數(shù)字序列的代替密碼。通常取n = m，若n m，則為有數(shù)據(jù)擴(kuò)展的分組密碼；若 n m，則為有數(shù)據(jù)壓縮的分組密碼。3.2.2 單鑰加密算法圍繞著單鑰密鑰體制，密碼學(xué)工作者已經(jīng)開(kāi)發(fā)了許多行之有效的單鑰加密算法，常用的有DES算法、IDEA算法等。3.2.2 單鑰加密算法DES算法的發(fā)明人是IBM公司的W.

12、Tuchman和C. Meyer。美國(guó)商業(yè)部國(guó)家標(biāo)準(zhǔn)局 (NBS) 于1973年5月和1974年8月兩次發(fā)布通告，公開(kāi)征求用于計(jì)算機(jī)的加密算法，經(jīng)評(píng)選，從一大批算法中采納了IBM的LUCIFER方案，該算法于1976年11月被美國(guó)政府采用，隨后被美國(guó)國(guó)家標(biāo)準(zhǔn)局和美國(guó)國(guó)家標(biāo)準(zhǔn)協(xié)會(huì) (ANSl) 承認(rèn)，并于1977年1月以數(shù)據(jù)加密標(biāo)準(zhǔn)DES的名稱正式向社會(huì)公布，并于1977年7月15日生效。3.2.3 數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法DES算法是一種對(duì)二元數(shù)據(jù)進(jìn)行加密的分組密碼，數(shù)據(jù)分組長(zhǎng)度為64位 (8字節(jié)) ，密文分組長(zhǎng)度也是64位，沒(méi)有數(shù)據(jù)擴(kuò)展。密鑰長(zhǎng)度為64位，其中有效密鑰長(zhǎng)度56位，其余8值為奇偶

13、校驗(yàn)。DES的整個(gè)體制是公開(kāi)的，系統(tǒng)的安全性主要依賴密鑰的保密，其算法主要由初始置換IP、16輪迭代的乘積變換、逆初始置換IP-1以及16個(gè)子密鑰產(chǎn)生器構(gòu)成。56位DES加密算法的框圖如圖3.5所示。3.2.3 數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法圖3.5 56位DES加密算法的框圖DES加密算法框圖中，明文加密過(guò)程如下：1) 將長(zhǎng)的明文分割成64位的明文段，逐段加密。將64位明文段首先進(jìn)行與密鑰無(wú)關(guān)的初始變位處理。2) 初始變位后的結(jié)果要進(jìn)行16次的迭代處理，每次迭代的框圖相同，但參加迭代的密鑰不同，密鑰共56位，分成左右兩個(gè)28位，第i次迭代用密鑰Ki參加操作，第i次迭代完成后，左右28位的密鑰都作循環(huán)

14、移位，形成第i + 1次迭代的密鑰。3.2.3 數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法3) 經(jīng)過(guò)16次迭代處理后的結(jié)果進(jìn)行左右32位的互換位置。4) 將結(jié)果進(jìn)行一次與初始變位相逆的還原變換處理得到了64位的密文。3.2.3 數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法上述加密過(guò)程中的基本運(yùn)算包括變位、替換和異或運(yùn)算。DES算法是一種對(duì)稱算法、既可用于加密，也可用于解密：解密的過(guò)程和加密時(shí)相似，但密鑰使用順序剛好相反。3.2.3 數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法DES是一種分組密碼，是兩種基本的加密組塊替代和換位的細(xì)致而復(fù)雜的結(jié)合，它通過(guò)反復(fù)依次應(yīng)用這兩項(xiàng)技術(shù)來(lái)提高其強(qiáng)度，經(jīng)過(guò)共16輪的替代和換位的變換后。使得密碼分析者無(wú)法獲得該算法一般特性

15、以外更多的信息：對(duì)于DES加密，除了嘗試所有可能的密鑰外，還沒(méi)有已知的技術(shù)可以求得所用的密鑰。DES算法可以通過(guò)軟件或硬件實(shí)現(xiàn)。3.2.3 數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法自DES成為美國(guó)國(guó)家標(biāo)準(zhǔn)以來(lái)，已有許多公司設(shè)計(jì)并推廣了實(shí)現(xiàn)DES算法的產(chǎn)品，有的設(shè)計(jì)專用LSI器件或芯片，有的用現(xiàn)成的微處理器實(shí)現(xiàn)，有的只限于實(shí)現(xiàn)DES算法，有的則可以運(yùn)行各種工作模式。3.2.3 數(shù)據(jù)加密標(biāo)準(zhǔn)DES算法本節(jié)實(shí)驗(yàn)與思考的目的是：1) 熟悉加密技術(shù)的基本概念，了解加密技術(shù)的基本內(nèi)容。2) 用Visual C+ 實(shí)現(xiàn)DES加解密算法，從而深入理解DES加解密算法及其在程序設(shè)計(jì)中的實(shí)現(xiàn)過(guò)程。3.2.4 實(shí)驗(yàn)與思考第 3章 個(gè)

16、人數(shù)字證書(shū)與CA認(rèn)證3.1 個(gè)人數(shù)字證書(shū)與CA認(rèn)證3.2 加密技術(shù)與DES加解密算法3.3 認(rèn)證技術(shù)與MD5算法3.3.1 RSA算法3.3.2 認(rèn)證技術(shù)3.2.3 實(shí)驗(yàn)與思考3.2 加密技術(shù)與DES加解密算法3.3.1.1 雙鑰加密算法雙鑰密碼體制的加密密鑰和解密密鑰不相同，它們的值不等，屬性也不同，一個(gè)是可公開(kāi)的公鑰；另一個(gè)則是需要保密的私鑰。雙鑰密碼體制的特點(diǎn)是加密能力和解密能力是分開(kāi)的，即加密與解密的密鑰不同，或從一個(gè)難以推出另一個(gè)。3.3.1 RSA算法它可以實(shí)現(xiàn)多個(gè)用戶用公鑰加密的消息只能由一個(gè)用戶用私鑰解讀，或反過(guò)來(lái)，由一個(gè)用戶用私鑰加密的消息可被多個(gè)用戶用公鑰解讀。其中前一種方

17、式可用于在公共網(wǎng)絡(luò)中實(shí)現(xiàn)保密通信；后一種方式可用于在認(rèn)證系統(tǒng)中對(duì)消息進(jìn)行數(shù)字簽名。3.3.1 RSA算法雙鑰加密算法的主要特點(diǎn)如下：1) 用加密密鑰PK對(duì)明文m加密后得到密文，再用解密密鑰SK對(duì)密文解密，即可恢復(fù)出明文m，即 DSK( EPK( m ) ) m2) 加密密鑰不能用來(lái)解密，即 DPK( EPK( m ) ) m; DSK( ESK( m ) ) m3) 用SK加密的信息只能用PK解密；用PK加密的信息只能用SK解密。3.3.1 RSA算法4) 從已知的PK不可能推導(dǎo)出SK。5) 加密和解密的運(yùn)算可對(duì)調(diào)，即 EPK( DSK( m ) ) m3.3.1 RSA算法雙鑰密碼體制簡(jiǎn)化了

18、復(fù)雜的密鑰分配管理問(wèn)題，但公鑰算法要比私鑰算法慢得多 (約l 000倍) 。因此，在實(shí)際通信中，雙鑰密碼體制主要用于認(rèn)證 (比如數(shù)字簽名、身份識(shí)別等) 和密鑰管理等，而消息加密仍利用私鑰密碼體制。雙鑰密碼體制的杰出代表是RSA加密算法。3.3.1 RSA算法3.3.1.2 RSA算法RSA體制是由R. L. Rivest、A. Shamir和L. Adleman設(shè)計(jì)的用數(shù)論構(gòu)造雙鑰的方法，是公開(kāi)密鑰密碼系統(tǒng)的加密算法的一種，它不僅可以作為加密算法使用，而且可以用作數(shù)字簽名和密鑰分配與管理。3.3.1 RSA算法RSA在全世界已經(jīng)得到了廣泛的應(yīng)用，ISO在1992年頒布的國(guó)際標(biāo)準(zhǔn)X.509中，將

19、RSA算法正式納入國(guó)際標(biāo)準(zhǔn)。1999年，美國(guó)參議院通過(guò)立法，規(guī)定電子數(shù)字簽名與手寫簽名的文件、郵件在美國(guó)具有同等的法律效力。在因特網(wǎng)中廣泛使用的電子郵件和文件加密軟件PGP (Pretty Good Privacy) 也將RSA作為傳送會(huì)話密鑰和數(shù)字簽名的標(biāo)準(zhǔn)算法。RSA算法的安全性建立在數(shù)論中“大數(shù)分解和素?cái)?shù)檢測(cè)”的理論基礎(chǔ)上。3.3.1 RSA算法1) 大數(shù)分解。按由公鑰推算出密鑰的途徑，雙鑰密碼體制算法可分為兩類：一類基于素?cái)?shù)因子分解問(wèn)題 (如RSA算法) ，它的安全性基于100位十進(jìn)制數(shù)以上的所謂“大數(shù)”的素?cái)?shù)因子分解的難題，這是一個(gè)至今沒(méi)有有效快速算法的數(shù)學(xué)難題；另一類基于離散對(duì)數(shù)問(wèn)

20、題 (如EIGamal算法) ，其安全性基于計(jì)算離散對(duì)數(shù)的困難性。離散對(duì)數(shù)問(wèn)題是指模指數(shù)運(yùn)算的逆問(wèn)題，即找出一個(gè)數(shù)的離散對(duì)數(shù)。一般情況下，計(jì)算離散對(duì)數(shù)是非常困難的。3.3.1 RSA算法RSA算法運(yùn)用了數(shù)論中的Euler同余定理，即與r是兩個(gè)互質(zhì)的自然數(shù)，則z = 1 (mod r ) ，其中z為與r互質(zhì)的且不大于r的自然數(shù)，稱z為r的Euler指標(biāo)函數(shù)3.3.1 RSA算法2) RSA算法表述。假定用戶A欲送消息m給用戶B，則RSA算法的加/解密過(guò)程為： 首先用戶B產(chǎn)生兩個(gè)大素?cái)?shù)p和q ( p和q是保密的) 用戶B計(jì)算n = pq和歐拉函數(shù)(n) = (p - 1) (q - 1) (n)

21、是保密的) 。 用戶B選擇一個(gè)隨機(jī)數(shù)e ( 0 e (n) ) ，使得 (e, (n) ) = 1，即e和互素。3.3.1 RSA算法 用戶B通過(guò)計(jì)算得出d，使得de mod (n) 1 (即在與n互素的數(shù)中選取與(n) 互素的數(shù)，可以通過(guò)Euclidean算法得出。d是用戶B自留且保密的，用作解密密鑰) 。 用戶B將n及e作為公鑰公開(kāi)。 用戶A通過(guò)公開(kāi)渠道查到n和e。 對(duì)m施行加密變換，即EB( m ) = me mod n = c。 用戶B收到密文c后，施行解密變換 DB( c ) = cd mod n = (me mod n)d mod n = med mod n = m mod n3.

22、3.1 RSA算法3) RSA安全性分析。RSA的保密性基于一個(gè)數(shù)學(xué)假設(shè)：對(duì)一個(gè)很大的合數(shù)進(jìn)行質(zhì)因數(shù)分解是不可能的。若RSA用到的兩個(gè)質(zhì)數(shù)足夠大，可以保證使用目前的計(jì)算機(jī)無(wú)法分解。即RSA公開(kāi)密鑰密碼體制的安全性取決于從公開(kāi)密鑰 (n, e) 計(jì)算出秘密密鑰 (n, d) 的困難程度。想要從公開(kāi)密鑰 (n, e) 算出d，只能分解整數(shù)n的因子，即從n找出它的兩個(gè)質(zhì)因數(shù)p和q，但大數(shù)分解是一個(gè)十分困難的問(wèn)題。3.3.1 RSA算法RSA的安全性取決于模n分解的困難性，但數(shù)學(xué)上至今還未證明分解模就是攻擊RSA的最佳方法。盡管如此，人們還是從消息破譯、密鑰空間選擇等角度提出了針對(duì)RSA的其他攻擊方法

23、，如迭代攻擊法、選擇明文攻擊法、公用模攻擊、低加密指數(shù)攻擊、定時(shí)攻擊法等，但其攻擊成功的概率微乎其微。出于安全考慮，建議在RSA中使用l 024位的n，對(duì)于重要場(chǎng)合n應(yīng)該使用2 048位。3.3.1 RSA算法數(shù)據(jù)加密是密碼技術(shù)應(yīng)用的重要領(lǐng)域，在認(rèn)證技術(shù)中，密碼技術(shù)也同樣發(fā)揮出色，但它們的應(yīng)用目的不同。3.3.2 認(rèn)證技術(shù)加密是為了隱蔽消息內(nèi)容，而認(rèn)證的目的有三：一是消息完整性認(rèn)證，即驗(yàn)證信息在傳送或存儲(chǔ)過(guò)程中是否被篡改；二是身份認(rèn)證，即驗(yàn)證消息的收發(fā)者是否持有正確的身份認(rèn)證符，如口令或密鑰等；三是消息的序號(hào)和操作時(shí)間 (時(shí)間性) 等的認(rèn)證，其目的是防止消息重放或延遲等攻擊。認(rèn)證技術(shù)是防止不法

24、分子對(duì)信息系統(tǒng)進(jìn)行主動(dòng)攻擊的一種重要技術(shù)。3.3.2 認(rèn)證技術(shù)3.3.2.1 認(rèn)證技術(shù)的分層模型認(rèn)證技術(shù)一般可以分為三個(gè)層次：安全管理協(xié)議、認(rèn)證體制和密碼體制。安全管理協(xié)議的主要任務(wù)是在安全體制的支持下，建立、強(qiáng)化和實(shí)施整個(gè)網(wǎng)絡(luò)系統(tǒng)的安全策略；認(rèn)證體制在安全管理協(xié)議的控制和密碼體制的支持下，完成各種認(rèn)證功能；密碼體制是認(rèn)證技術(shù)的基礎(chǔ)，它為認(rèn)證體制提供數(shù)學(xué)方法支持。3.3.2 認(rèn)證技術(shù)典型的安全管理協(xié)議有公用管理信息協(xié)議CMIP、簡(jiǎn)單網(wǎng)絡(luò)管理協(xié)議SNMP和分布式安全管理協(xié)議DSM。典型的認(rèn)證體制有Kerberos體制、X.509體制和Light Kryptonight體制。3.3.2 認(rèn)證技術(shù)一

25、個(gè)安全的認(rèn)證體制至少應(yīng)該滿足以下要求：1) 接收者能夠檢驗(yàn)和證實(shí)消息的合法性、真實(shí)性和完整性。2) 消息的發(fā)送者對(duì)所發(fā)的消息不能抵賴，有時(shí)也要求消息的接收者不能否認(rèn)收到的消息。3) 除了合法的消息發(fā)送者外，其他人不能偽造發(fā)送消息。3.3.2 認(rèn)證技術(shù)發(fā)送者通過(guò)一個(gè)公開(kāi)的無(wú)擾信道將消息送給接收者。接收者不僅得到消息本身，而且還要驗(yàn)證消息是否來(lái)自合法的發(fā)送者及消息是否經(jīng)過(guò)篡改。攻擊者不僅要截收和分析信道中傳送的密報(bào)，而且可能偽造密文送給接收者進(jìn)行欺詐等主動(dòng)攻擊3.3.2 認(rèn)證技術(shù)認(rèn)證體制中通常存在一個(gè)可信中心或可信第三方 (如認(rèn)證機(jī)構(gòu)CA，即證書(shū)授權(quán)中心) ，用于仲裁、頒發(fā)證書(shū)或管理某些機(jī)密信息。

26、通過(guò)數(shù)字證書(shū)實(shí)現(xiàn)公鑰的分配和身份的認(rèn)證。3.3.2 認(rèn)證技術(shù)數(shù)字證書(shū)是標(biāo)志通信各方身份的數(shù)據(jù)，是一種安全分發(fā)公鑰的方式。CA負(fù)責(zé)密鑰的發(fā)放、注銷及驗(yàn)證，所以CA也稱密鑰管理中心。CA為每個(gè)申請(qǐng)公開(kāi)密鑰的用戶發(fā)放一個(gè)證書(shū)，證明該用戶擁有證書(shū)中列出的公鑰。CA的數(shù)字簽名保證不能偽造和篡改該證書(shū)，因此，數(shù)字證書(shū)既能分配公鑰，又實(shí)現(xiàn)了身份認(rèn)證。3.3.2 認(rèn)證技術(shù)3.3.2.2 數(shù)字簽名技術(shù)鑒別文件或書(shū)信真?zhèn)蔚膫鹘y(tǒng)做法是親筆簽名或蓋章。簽名起到認(rèn)證、核淮、生效的作用。電子商務(wù)、電子政務(wù)等應(yīng)用要求對(duì)電子文檔進(jìn)行辨認(rèn)和驗(yàn)證，因而產(chǎn)生了數(shù)字簽名。數(shù)字簽名既可以保證信息完整性，同時(shí)提供信息發(fā)送者的身份認(rèn)證。3

27、.3.2 認(rèn)證技術(shù)數(shù)字簽名就是信息發(fā)送者使用公開(kāi)密鑰算法技術(shù)，產(chǎn)生別人無(wú)法偽造的一段數(shù)字串。發(fā)送者用自己的私有密鑰加密數(shù)據(jù)傳給接收者，接收者用發(fā)送者的公鑰解開(kāi)數(shù)據(jù)后，就可以確定消息來(lái)自于誰(shuí)，同時(shí)也是對(duì)發(fā)送者發(fā)送信息的真實(shí)性的一個(gè)證明。發(fā)送者對(duì)所發(fā)信息不能抵賴。3.3.2 認(rèn)證技術(shù)數(shù)字簽名必須保證以下幾點(diǎn)：1) 可驗(yàn)證：簽字是可以被確認(rèn)的。2) 防抵賴：防發(fā)送者事后不承認(rèn)發(fā)送報(bào)文并簽名。3) 防假冒：防攻擊者冒充發(fā)送者向收方發(fā)送文件。4) 防篡改：防收方對(duì)收到的文件進(jìn)行篡改。5) 防偽造：防收方偽造對(duì)報(bào)文的簽名。3.3.2 認(rèn)證技術(shù)簽名對(duì)安全、防偽、速度要求比加密更高。一個(gè)數(shù)字簽名方案由安全參數(shù)

28、、消息空間、簽名、密鑰生成算法、簽名算法、驗(yàn)證算法等成分構(gòu)成。從接收者驗(yàn)證簽名的方式可將數(shù)字簽名分為真數(shù)字簽名和公證數(shù)字簽名兩類。3.3.2 認(rèn)證技術(shù)在真數(shù)字簽名中，簽名者直接把簽名消息傳送給接收者，接收者無(wú)需求助于第三方就能驗(yàn)證簽名；在公證數(shù)字簽名中，簽名者把簽名消息經(jīng)由被稱作公證者的可信的第三方發(fā)送給接收者，接收者不能直接驗(yàn)證簽名，簽名的合法性是通過(guò)公證者作為媒介來(lái)保證的，也就是說(shuō)接收者要驗(yàn)證簽名必須同公證者合作。3.3.2 認(rèn)證技術(shù)數(shù)字簽名算法可分為普通數(shù)字簽名算法、不可否認(rèn)數(shù)字簽名算法、Fail-Stop數(shù)字簽名算法、盲數(shù)字簽名算法和群數(shù)字簽名算法等。普通數(shù)字簽名算法包括RSA數(shù)字簽名

29、算法、ElGamal數(shù)字簽名算法、Fiat-Shamir數(shù)字簽名算法、Guillou-Quisquarter數(shù)字簽名算法等。3.3.2 認(rèn)證技術(shù)3.3.2.3 身份認(rèn)證技術(shù)身份認(rèn)證，又稱身份鑒別，是指被認(rèn)證方在不泄露自己身份信息的前提下，能夠以電子的方式來(lái)證明自己的身份。其目的是驗(yàn)證信息收發(fā)方是否持有合法的身份認(rèn)證符 (口令、密鑰和實(shí)物證件等) 。從認(rèn)證機(jī)制上講，身份認(rèn)證技術(shù)可分為兩類：一類是專門進(jìn)行身份認(rèn)證的直接身份認(rèn)證技術(shù)；另一類是在消息簽名和加密認(rèn)證過(guò)程中，通過(guò)檢驗(yàn)收發(fā)方是否持有合法的密鑰進(jìn)行的認(rèn)證，稱為間接身份認(rèn)證技術(shù)。3.3.2 認(rèn)證技術(shù)在用戶接入 (或登錄) 系統(tǒng)時(shí)，直接身份認(rèn)證技

30、術(shù)首先要驗(yàn)證他是否持有合法的身份證 (口令或?qū)嵨镒C件等) 。如果是，就允許他接入系統(tǒng)中，進(jìn)行收發(fā)等操作，否則拒絕他接入系統(tǒng)中。通信和數(shù)據(jù)系統(tǒng)的安全性常常取決于能否正確識(shí)別通信用戶或終端的個(gè)人身份。比如，銀行的自動(dòng)取款機(jī) (ATM) 可將現(xiàn)款發(fā)放給經(jīng)它正確識(shí)別的賬號(hào)持卡人。對(duì)計(jì)算機(jī)的訪問(wèn)和使用及安全地區(qū)的出入放行等都是以準(zhǔn)確的身份認(rèn)證為基礎(chǔ)的。3.3.2 認(rèn)證技術(shù)進(jìn)入信息社會(huì)，雖然有不少研究者試圖電子化生物唯一識(shí)別信息 (如指紋、掌紋、聲紋、視網(wǎng)膜、臉形等) ，但由于代價(jià)高，準(zhǔn)確性低，存儲(chǔ)空間大和傳輸效率低等，不適合計(jì)算機(jī)讀取和判別，一般只能作為輔助措施應(yīng)用。3.3.2 認(rèn)證技術(shù)1) 身份認(rèn)證方

31、式。身份認(rèn)證常用的方式主要有兩種：通行字方式和持證方式。通行字方式，即我們所熟悉的“用戶名 + 口令”方式，是目前使用最為廣泛的一種身份認(rèn)證方式。通行字一般為數(shù)字、字母、特殊字符等組成的字符串。3.3.2 認(rèn)證技術(shù)通行字識(shí)別的方法是：被認(rèn)證者先輸入他的通行字，然后計(jì)算機(jī)確定它的正確性。被認(rèn)證者和計(jì)算機(jī)都知道這個(gè)秘密的通行字，每次登錄時(shí)，計(jì)算機(jī)都要求輸入通行字，這樣就要求計(jì)算機(jī)存儲(chǔ)通行字，一旦通行字文件暴露，攻擊者就有機(jī)可乘。為此，人們采用單向函數(shù)來(lái)克服這種缺陷，此時(shí)，計(jì)算機(jī)存儲(chǔ)通行字的單向函數(shù)值而不是存儲(chǔ)通行字。3.3.2 認(rèn)證技術(shù)持證方式是一種實(shí)物認(rèn)證方式。持證是一種個(gè)人持有物，它的作用類似

32、于鑰匙，用于啟動(dòng)電子設(shè)備。使用較多的是一種嵌有磁條的塑料卡，磁條上記錄有用于機(jī)器識(shí)別的個(gè)人識(shí)別號(hào) (PIN) 。這類卡易于偽造，因此產(chǎn)生了一種被稱作“智能卡”(smartcard)的集成電路卡來(lái)代替普通的磁卡。智能卡已經(jīng)成為目前身份認(rèn)證的一種更有效、更安全的方法。智能卡僅僅為身份認(rèn)證提供一個(gè)硬件基礎(chǔ)，要想得到安全的識(shí)別，還需要與安全協(xié)議配套使用。3.3.2 認(rèn)證技術(shù)2) 身份認(rèn)證協(xié)議。目前的認(rèn)證協(xié)議大多數(shù)為詢問(wèn)-應(yīng)答式協(xié)議，它們的基本工作過(guò)程是：認(rèn)證者提出問(wèn)題 (通常是隨機(jī)選擇一些隨機(jī)數(shù)，稱作口令) ，由被認(rèn)證者回答，然后認(rèn)證者驗(yàn)證其身份的真實(shí)性。詢問(wèn)-應(yīng)答式協(xié)議可分為兩類：一類是基于私鑰密碼

33、體制的，在這類協(xié)議中，認(rèn)證者知道被認(rèn)證者的秘密；另一類是基于公鑰密碼體制的，在這類協(xié)議中，認(rèn)證者不知道被認(rèn)證者的秘密，因此，它們又稱為零知識(shí)身份認(rèn)證協(xié)議。3.3.2 認(rèn)證技術(shù)典型的零知識(shí)身份認(rèn)證協(xié)議有ElGamal簽名機(jī)制、Feige-Fiat-Shamir簽名機(jī)制等。3.3.2 認(rèn)證技術(shù)3.3.2.4 消息認(rèn)證技術(shù)消息認(rèn)證是指通過(guò)對(duì)消息或消息相關(guān)信息進(jìn)行加密或簽名變換進(jìn)行的認(rèn)證，目的是為防止傳輸和存儲(chǔ)的消息被有意或無(wú)意地篡改，包括消息內(nèi)容認(rèn)證 (即消息完整性認(rèn)證) 、消息的源和宿認(rèn)證 (即身份認(rèn)證) 及消息的序號(hào)和操作時(shí)間認(rèn)證等。它在票據(jù)防偽 (如稅務(wù)的金稅系統(tǒng)和銀行的支付密碼器) 中具有重

34、要應(yīng)用。3.3.2 認(rèn)證技術(shù)消息認(rèn)證所用的摘要算法與一般的對(duì)稱或非對(duì)稱加密算法不同，它并不用于防止信息被竊取，而是用于證明原文的完整性和準(zhǔn)確性。也就是說(shuō)，消息認(rèn)證主要用于防止信息被篡改。3.3.2 認(rèn)證技術(shù)1) Hash函數(shù)。了解消息內(nèi)容認(rèn)證的方法之前，需要先了解一下Hash函數(shù) (雜湊、哈希函數(shù)) 。Hash函數(shù)是將任意長(zhǎng)的數(shù)字串m映射成一個(gè)較短的定長(zhǎng)輸出的數(shù)字串H的函數(shù)，以h表承函數(shù)名，h(m) 易于計(jì)算，稱H = h(m) 為m的雜湊值。這個(gè)H又被稱為輸入m的數(shù)字指紋或消息摘要。h是多對(duì)一映射，因此不能從H求原來(lái)的m，但可以驗(yàn)證任意給定序列m，是否與m有相同的雜湊值。3.3.2 認(rèn)證技術(shù)

35、若雜湊函數(shù)h為單向函數(shù)，則稱其為單向雜湊函數(shù)。用于消息認(rèn)證的雜湊函數(shù)都是單向雜湊函數(shù)。單向雜湊函數(shù)按其是否有密鑰控制劃分為兩大類：一類是有密鑰控制的，以h(k, m) 表示，為密碼雜湊函數(shù)；另一類是無(wú)密鑰控制的，為一般雜湊函數(shù)。無(wú)密鑰控制的單向雜湊函數(shù)，其雜湊值只是輸入字串的函數(shù)，任何人都可以計(jì)算，因而不具備身份認(rèn)證功能，只用于檢測(cè)接收數(shù)據(jù)的完整性。3.3.2 認(rèn)證技術(shù)如篡改檢測(cè)碼MDC，主要用于非密碼計(jì)算機(jī)應(yīng)用中。有密鑰控制的單向雜湊函數(shù)，要滿足各種安全要求，其雜湊值不僅與輸入有關(guān)，而且與密鑰有關(guān)，只有持該密鑰的人才能計(jì)算出相應(yīng)的雜湊值，因此具有身份驗(yàn)證功能，如消息認(rèn)證碼MAC。3.3.2

36、認(rèn)證技術(shù)雜湊函數(shù)在實(shí)際中有廣泛應(yīng)用，在密碼學(xué)和數(shù)據(jù)安全技術(shù)中，它是實(shí)現(xiàn)有效、安全可靠數(shù)字簽名和認(rèn)證的重要工具，是安全認(rèn)證協(xié)議中的重要模塊。由于雜湊函數(shù)應(yīng)用的多樣性和其本身的特點(diǎn)而有很多不同的名字，其含義也有差別，如壓縮函數(shù)、緊縮函數(shù)、數(shù)據(jù)認(rèn)證碼、消息摘要、數(shù)字指紋、數(shù)據(jù)完整性校驗(yàn)、密碼檢驗(yàn)和、消息認(rèn)證碼 (MAC) 、篡改檢測(cè)碼 (MDC) 等。目前已研制出適合各種用途的雜湊算法。為了抵抗各種攻擊，所采用的雜湊函數(shù)應(yīng)滿足單向性、偽隨機(jī)性、非線性性及雜湊速率的高效性等密碼學(xué)性質(zhì)。3.3.2 認(rèn)證技術(shù)2) 消息內(nèi)容認(rèn)證。消息內(nèi)容認(rèn)證常用的方法是：消息發(fā)送者在消息中加入一個(gè)鑒別碼 (MAC、MDC等

37、) 并經(jīng)加密后發(fā)送給接收者 (有時(shí)只需加密鑒別碼即可) 。接收者利用約定的算法對(duì)解密后的消息進(jìn)行鑒別運(yùn)算，將得到的鑒別碼與收到的鑒別碼進(jìn)行比較，若二者相等，則接收，否則拒絕接收。3.3.2 認(rèn)證技術(shù)3) 源和宿的認(rèn)證。在消息認(rèn)證中，消息源和宿的常用認(rèn)證方法有兩種。一種是通信雙方事先約定發(fā)送消息的數(shù)據(jù)加密密鑰，接收者只需證實(shí)發(fā)送來(lái)的消息是否能用該密鑰還原成明文就能鑒別發(fā)送者。如果雙方使用同一個(gè)數(shù)據(jù)加密密鑰，那么只需在消息中嵌入發(fā)送者識(shí)別符即可。另一種是通信雙方實(shí)現(xiàn)約定各自發(fā)送消息所使用的通行字，發(fā)送消息中含有此通行字并進(jìn)行加密，接收者只需判別消息中解密的通行字是否等于約定的通行字就能鑒定發(fā)送者。

38、為了安全起見(jiàn)，通行字應(yīng)該是可變的3.3.2 認(rèn)證技術(shù)4) 消息序號(hào)和操作時(shí)間的認(rèn)證。消息的序號(hào)和時(shí)間性的認(rèn)證主要是阻止消息的重放攻擊。常用的方法有消息的流水作業(yè)、鏈接認(rèn)證符隨機(jī)數(shù)認(rèn)證法和時(shí)間戳等。3.3.2 認(rèn)證技術(shù)5) 典型算法。構(gòu)造雜湊函數(shù)的方法有兩種：一種是直接構(gòu)造，比如MD5雜湊算法和安全雜湊函數(shù) (SHA) ；另一種是間接構(gòu)造，主要是利用現(xiàn)有的分組加密算法，諸如DES、AES等，對(duì)其稍加修改，采用它們加密的非線性變換構(gòu)造雜湊函數(shù)。3.3.2 認(rèn)證技術(shù)MD5信息摘要算法，由RSA Data Security公司的Rivest于1992年提出，能對(duì)任意長(zhǎng)度的輸入消息進(jìn)行處理，產(chǎn)生128位

39、的“消息摘要”輸出；SHA算法是美國(guó)國(guó)家標(biāo)準(zhǔn)技術(shù)研究所與國(guó)家安全局共同設(shè)計(jì)的與美國(guó)數(shù)字簽名算法 (DSS) 一起使用的安全雜湊算法。它可以對(duì)任意長(zhǎng)度的明文產(chǎn)生160位的數(shù)據(jù)摘要。這兩個(gè)算法目前被廣泛應(yīng)用于因特網(wǎng)的消息認(rèn)證與數(shù)字簽名中。3.3.2 認(rèn)證技術(shù)3.3.2.5 數(shù)字水印技術(shù)數(shù)字水印就是將特定的標(biāo)記隱藏在數(shù)字產(chǎn)品中，用以證明原創(chuàng)者對(duì)產(chǎn)品的所有權(quán)，并作為起訴侵權(quán)者的證據(jù)，用來(lái)對(duì)付數(shù)字產(chǎn)品的非法復(fù)制、傳播和篡改，保護(hù)知識(shí)產(chǎn)權(quán)。數(shù)字水印技術(shù)還可以廣泛應(yīng)用于其他信息的隱藏，如在一個(gè)正常的文件中嵌入文本、圖像、音頻等信息。當(dāng)然，數(shù)字水印技術(shù)必須不影響原系統(tǒng)，還要善于偽裝，使人不易察覺(jué)。隱藏信息的分

40、布范圍要廣，能抵抗數(shù)據(jù)壓縮、過(guò)濾等變換及人為攻擊。3.3.2 認(rèn)證技術(shù)本節(jié)實(shí)驗(yàn)與思考的目的是：1) 了解RSA加解密算法及其實(shí)現(xiàn)，熟悉認(rèn)證技術(shù)的基本概念和基本內(nèi)容。2) 在Visual C+中實(shí)現(xiàn)MD5算法。將整個(gè)文件當(dāng)作一個(gè)大文本信息，通過(guò)其不可逆的字符串變換算法，產(chǎn)生一定長(zhǎng)并惟一的大整數(shù)即信息摘要，以防止被篡改3.3.3 實(shí)驗(yàn)與思考（第14講）考場(chǎng)作文開(kāi)拓文路能力分解層次(網(wǎng)友來(lái)稿)江蘇省鎮(zhèn)江中學(xué) 陳乃香說(shuō)明：本系列稿共24講，20XX年1月6日開(kāi)始在資源上連載【要義解說(shuō)】文章主旨確立以后，就應(yīng)該恰當(dāng)?shù)胤纸鈱哟危箮讉€(gè)層次構(gòu)成一個(gè)有機(jī)的整體，形成一篇完整的文章。如何分解層次主要取決于表現(xiàn)主

41、旨的需要。【策略解讀】一般說(shuō)來(lái)，記人敘事的文章常按時(shí)間順序分解層次，寫景狀物的文章常按時(shí)間順序、空間順序分解層次；說(shuō)明文根據(jù)說(shuō)明對(duì)象的特點(diǎn)，可按時(shí)間順序、空間順序或邏輯順序分解層次；議論文主要根據(jù)“提出問(wèn)題分析問(wèn)題解決問(wèn)題”順序來(lái)分解層次。當(dāng)然，分解層次不是一層不變的固定模式，而應(yīng)該富于變化。文章的層次，也常常有些外在的形式：1小標(biāo)題式。即圍繞話題把一篇文章劃分為幾個(gè)相對(duì)獨(dú)立的部分，再給它們加上一個(gè)簡(jiǎn)潔、恰當(dāng)?shù)男?biāo)題。如世界改變了模樣四個(gè)小標(biāo)題：壽命變“長(zhǎng)”了、世界變“小”了、勞動(dòng)變“輕”了、文明變“綠”了。 2序號(hào)式。序號(hào)式作文與小標(biāo)題作文有相同的特點(diǎn)。序號(hào)可以是“一、二、三”，可以是“A、

42、B、C”，也可以是“甲、乙、丙”從全文看，序號(hào)式干凈、明快；但從題目上看，卻看不出文章內(nèi)容，只是標(biāo)明了層次與部分。有時(shí)序號(hào)式作文，也適用于敘述性文章，為故事情節(jié)的展開(kāi)，提供了明晰的層次。 3總分式。如高考佳作人生也是一張答卷。開(kāi)頭：“人生就是一張答卷。它上面有選擇題、填空題、判斷題和問(wèn)答題，但它又不同于一般的答卷。一般的答卷用手來(lái)書(shū)寫，人生的答卷卻要用行動(dòng)來(lái)書(shū)寫?！敝黧w部分每段首句分別為：選擇題是對(duì)人生進(jìn)行正確的取舍，填空題是充實(shí)自己的人生，判斷題是表明自己的人生態(tài)度，問(wèn)答題是考驗(yàn)自己解決問(wèn)題的能力。這份“試卷”設(shè)計(jì)得合理而且實(shí)在，每個(gè)人的人生都是不同的，這就意味著這份人生試卷的“答案是豐富多

43、彩的”。分解層次，應(yīng)追求作文美學(xué)的三個(gè)價(jià)值取向：一要?jiǎng)蚍Q美。什么材料在前，什么材料在后，要合理安排；什么材料詳寫，什么材料略寫，要通盤考慮。自然段是構(gòu)成文章的基本單位，恰當(dāng)劃分自然段，自然就成為分解層次的基本要求。該分段處就分段，不要老是開(kāi)頭、正文、結(jié)尾“三段式”，這種老套的層次顯得呆板。二要波瀾美。文章內(nèi)容應(yīng)該有張有弛，有起有伏，如波如瀾。只有這樣才能使文章起伏錯(cuò)落，一波三折，吸引讀者。三要圓合美。文章的開(kāi)頭與結(jié)尾要遙相照應(yīng)，把開(kāi)頭描寫的事物或提出的問(wèn)題，在結(jié)尾處用各種方式加以深化或回答，給人首尾圓合的感覺(jué)?！纠慕馄省?話題：忙忙，不亦樂(lè)乎 忙，是人生中一個(gè)個(gè)步驟，每個(gè)人所忙的事務(wù)不同，但是不能是碌碌無(wú)為地白忙，要忙就忙得精彩，忙得不亦樂(lè)乎。 忙是問(wèn)號(hào)。忙看似簡(jiǎn)單，但其中卻大有學(xué)問(wèn)。忙是人生中不可缺少的一部分，但是怎么才能忙出精彩，忙得不亦樂(lè)乎，卻并不簡(jiǎn)單。人生如同一張地圖，我們一直在自己的地圖上行走，時(shí)不時(shí)我們眼前就出現(xiàn)一個(gè)十字路口，我們?cè)撓蚰膬?，面?duì)那縱軸橫軸相交的十字路口，我們?cè)撛鯓舆x擇?不急，靜下心來(lái)分析