网络安全技术第3讲 数字证书与公钥基础设施-2学时

《计算机网络安全技术》课程标准计算机网络安全技术是应用于计算机网络系统中，用于保护网络系统和资源免受未经授权访问、损坏、篡改和破坏的一套技术和方法。

本课程标准旨在培养学生具备计算机网络安全的基本理论知识和实践技能，为信息安全领域的从业者提供必要的知识基础。

第一章：课程介绍1.1 课程背景1.2 课程目标1.3 课程内容1.4 学习要求第二章：计算机网络基础知识2.1 计算机网络概述2.2 OSI参考模型2.3 TCP/IP协议族2.4 网络拓扑结构2.5 网络设备及其功能2.6 IP地质与子网划分第三章：网络攻击与威胁3.1 网络攻击类型3.2 黑客入侵技术3.3 与后门攻击3.4 与蠕虫攻击3.5 DoS与DDoS攻击3.6 网络钓鱼与伪装攻击第四章：网络安全防御技术4.1 防火墙技术4.2 入侵检测与防御系统4.3 网络访问控制技术4.4 安全认证与授权技术4.5 数据加密与解密技术4.6 安全策略与管理第五章：网络安全管理与维护5.1 安全策略与风险评估5.2 安全事件监控与应急响应5.3 安全漏洞扫描与修补5.4 安全日志分析与审计5.5 网络安全培训与教育5.6 网络安全法律与道德规范附件：附件一、计算机网络安全技术案例分析附件二、网络安全实验指导书附件三、网络安全考试题目附录：1、本文所涉及的法律名词及注释1.1 《计算机信息网络国际联网安全保护管理办法》：指对计算机信息网络国际联网进行安全保护管理的法律规定。

1.2 《网络安全法》：指为了维护网络安全，保障网络运行和使用，保护公民、法人和其他组织的合法权益，维护国家安全和社会公共利益，依法制定的维护网络安全的法律。

数字证书认证数字证书认证是一种网络安全技术，通过使用密码学的方法，为网络通信中的实体提供身份认证和信息加密保护。

数字证书认证的原理和流程在现代网络通信中起着重要的作用，为保障数据的安全性和可信性提供了强有力的支持。

一、数字证书认证的概念和原理数字证书认证是基于公钥密码学理论的一种身份认证方法。

它的工作原理主要涉及到三种密码学算法：非对称密钥算法、哈希算法和数字签名算法。

非对称密钥算法利用了不同的密钥用于加密和解密信息的特性。

非对称密钥算法使用了一对密钥，分别是公钥和私钥。

公钥用于加密信息，私钥用于解密信息。

而且，公钥无需保密，可以公开发布，而私钥必须严格保密，只有持有私钥的一方才能解密信息。

非对称密钥算法具有安全性高、性能低的特点。

哈希算法用于产生信息的散列值，将信息的任意长度压缩成固定长度的散列值。

哈希算法可以将任意长度的信息映射为固定长度的哈希值，且不同的信息产生的哈希值是不同的。

常用的哈希算法有MD5、SHA-1等。

数字签名算法是通过使用私钥对信息的散列值进行加密生成数字签名，然后再通过验证者的公钥对数字签名进行解密，从而验证信息的完整性和真实性。

数字签名算法保证了信息的完整性、真实性和不可否认性。

数字证书认证是基于以上密码学算法的作用机制而展开的。

数字证书认证是将用户的公钥和相关的身份信息通过数字签名的方式结合在一起，形成一个包含公钥和相关身份信息的文件。

该文件被称为数字证书。

数字证书通过权威的数字证书颁发机构（CA）进行颁发和验证。

数字证书中的信息经过颁发机构的加密和签名处理，以确保证书的真实性和完整性，从而确保用户的身份信息不被篡改。

二、数字证书认证的流程数字证书认证的流程主要包括密钥对的生成、数字证书申请、数字证书颁发、数字证书验证等步骤。

密钥对的生成是数字证书认证的第一步。

用户首先生成一对密钥，包括公钥和私钥。

公钥可以公开发布，私钥必须严格保密，只有用户本人知道。

数字证书申请是将用户的公钥和相关的身份信息提交给数字证书颁发机构，申请数字证书。

网络安全课程大纲
1. 介绍网络安全的基本概念和定义
- 定义网络安全和其重要性
- 理解网络威胁和攻击类型
2. 计算机网络的基本知识和技术
- 理解计算机网络的基本组成和工作原理
- 掌握 TCP/IP 协议族及其应用
3. 常见的网络安全威胁和攻击手段
- 病毒、蠕虫和木马的工作原理和传播途径 - DOS/DDOS 攻击和防范措施
- 社会工程学攻击和防范方法
- SQL 注入和跨站脚本攻击
4. 网络安全的常见漏洞和风险管理
- 漏洞扫描和漏洞评估
- 防火墙和入侵检测系统的原理和用途
- 风险评估和处理措施
5. 密码学及其在网络安全中的应用
- 对称加密和非对称加密的原理和应用
- 数字签名和证书的概念和使用方式
- VPN 和 SSL/TLS 的工作原理和安全性分析
6. 网络安全管理和策略
- 安全策略的制定和执行
- 用户权限管理和身份验证
- 安全意识培训和教育
7. 网络安全法律法规和合规要求
- 法律法规对于网络安全的规定
- 数据隐私和个人信息保护
- 合规审计和数据泄露应急响应
8. 网络安全的前沿技术和趋势
- 云安全和移动安全的挑战和解决方案
- 物联网安全和工业控制系统的保护措施
- 区块链和人工智能在网络安全领域的应用
9. 实验与案例分析
- 进行网络安全实验，学习常见工具和技术的应用
- 分析网络安全案例，掌握应对策略和解决思路
备注：以上大纲仅供参考，具体课程内容可能会根据实际情况进行调整和修改。

数字证书的原理数字证书是一种用于证明网络通信安全性的数字凭证，它采用了非对称加密技术和数字签名技术，能够确保通信的机密性、完整性和真实性。

数字证书的原理是基于公钥基础设施（PKI）的，通过证书颁发机构（CA）来验证和签发数字证书，从而保障通信的安全性。

首先，数字证书的原理是建立在非对称加密技术上的。

非对称加密技术使用一对密钥，分别是公钥和私钥。

公钥可以公开给任何人使用，而私钥则只有持有者知晓。

在数字证书中，公钥用于加密和验证数字签名，私钥用于解密和生成数字签名。

这种非对称加密技术能够保障通信的机密性，即使公钥被截获，也无法破解加密信息。

其次，数字证书的原理还涉及到数字签名技术。

数字签名是使用私钥对通信内容进行签名，接收方可以使用对应的公钥来验证签名的真实性。

数字签名能够确保通信内容的完整性和真实性，防止信息被篡改或冒充。

数字证书中包含了证书持有者的公钥和数字签名，接收方可以通过验证数字签名来确认证书的真实性。

最后，数字证书的原理还需要依赖于证书颁发机构（CA）来验证和签发数字证书。

证书颁发机构是一个可信的第三方机构，它会对申请数字证书的主体进行身份验证，并签发相应的数字证书。

证书颁发机构会将证书持有者的公钥和身份信息进行绑定，并用自己的私钥对此进行签名，形成数字证书。

接收方可以通过验证证书颁发机构的数字签名来确认证书的真实性和可信度。

综上所述，数字证书的原理是基于非对称加密技术和数字签名技术的，通过证书颁发机构来验证和签发数字证书，从而保障通信的安全性。

数字证书能够确保通信的机密性、完整性和真实性，是网络通信安全的重要保障。

通过对数字证书的原理的深入理解，我们能更好地应用数字证书技术来保障网络通信的安全性。

《网络安全技术》实训指导书实训项目一：个人主机安全策略设置实训学时:2学时实训目的要求:通过实训,学生可以根据需求正确配置安全策略中的项目.实训内容：设置 WINDOWS 系统安全策略.实训条件：网络实训室,视频课件.实训操作方法步骤：设置 WINDOWS 系统安全策略（1）安全管理系统用户（2）用强密码和密码限制策略(3）用最小化原则管理系统服务（4）更新系统补丁（5）用户权限管理实训考核标准：学习态度30％+实训作品70％实训项目二： ARP病毒诊断与防御实训学时：2学时实训目的要求：通过实训，学生可以使用 Wrieshark进行网络嗅探与协议分析；能使用 Cain进行 ARP 攻击；掌握诊断 ARP 病毒的步骤；能设计 ARP 病毒的防御方案。

实训内容：ARP 病毒攻击；ARP 病毒的诊断方案。

实训条件：网络实训室，攻击工具。

实训操作方法步骤：1。

ARP 病毒攻击（1）获得 ARP 病毒攻击工具 Cain并进行安装（2)选好攻击对象，使用 Cain工具进行攻击（3）使用 Cain工具对攻击对象的流量数据进行解密2。

ARP 病毒的诊断方案（1）获得协议分析工具WireShark并进行安装（2)使用 WireShark获取网络流量，分析 ARP 病毒的特征(3）给出 ARP 病毒的防御方案实训考核标准：学习态度30%+实训作品70%实训项目三：计算机远程控制诊断与防御实训学时:2学时实训目的要求：通过实训，学生可以使用扫描工具进行主机和端口扫描;掌握密码暴力破解的原理；掌握黑客入侵的一般步骤；能使用远程控制软件；能清除主机上的木马软件。

实训内容:远程侵入；远程控制。

实训条件:网络实训室，攻击工具。

实训操作方法步骤：1. 远程侵入(1）使用扫描工具（Nmap，X-Scan）寻找入侵目标（2）使用协议分析工具WireShark分析多种扫描方式的特点(3）构造字典，对系统管理员密码进行暴力破解2. 远程控制（1)使用 Psexec.exe、TFTP 等工具在目标主机上安装远程控制服务器软件 r_server。

四川电大省开大专电子商务专业《网络安全基础》课程教课纲领责任教师乔兴媚第一部分纲领说明一、课程的性质和任务《网络安全基础》课程是四川电大省开（专科）电子商务专业选修的一门课程。

学生在学习本课程以前应当具备计算机系统和计算机网络的预备知识。

本课程的任务是1．使学生对网络安全技术从整体上有一个较全面的认识。

2．认识目前计算机网络安全技术面对的挑战和现状。

3．认识网络安全技术研究的内容，掌握有关的基础知识。

4．掌握网络安全系统的架构，认识常有的网络攻击手段，掌握入侵检测的技术和手段。

5．认识网络安全应用领域的基础知识。

总之，学习完本课程后，学生应当拥有较系统的网络安全知识，并在实质应用时具备必定的防备非法入侵、保护系统安全性的能力。

二、先修课要求计算机网络知识、计算机操作三、课程特色和教课要求因为网络安全波及的知识范围很广，新的技术也不停出现，所以在重申基本观点和基来源理、侧重叙述基本安全技术和安全系统架构的基础上，还应增强理论联系实质，突出各项技术的适用性。

四、课程教课要求的层次1．掌握：要修业生可以全面掌握所学内容和方法，深入理解其科学内涵，并可以用所学方法剖析问题。

2．理解：要修业生可以较好地理解所学识题和方法，并能进行简单的剖析和判断。

3．认识：要修业生可以一般地认识所学内容, 不作查核要求。

第二部分教课媒体使用和教课过程建议一、学时分派课程教课总学时54 学时， 3 学分教学内容第一章网络基础知识与因特网第二章操作系统与网络安全课内学时8 学时4 学时第三章网络安全概括8 学时第四章计算机系统安全与接见控制 4 学时第五章数据库系统安全 5 学时第六章计算机病毒的防治8 学时第七章数据加密 4 学时第八章防火墙技术 5 学时第九章网络站点的安全8 学时共计54 学时二、课程教材主教材：《计算机网络安全基础》，袁津生、吴砚农编著，人民邮电第一版社第一版，2002 年 2 月。

三、教课反应经过信函、电子邮件、传真或电话联系。

网络安全技术教材网络安全技术教材第一章：网络安全基础知识1.1 网络安全的定义和重要性- 网络安全的概念- 网络安全的重要性1.2 常见的网络安全威胁- 病毒和恶意软件- 网络钓鱼- DDoS攻击- 数据泄露1.3 网络安全的目标- 机密性- 完整性- 可用性1.4 网络安全的三个关键要素- 人员安全- 技术安全- 过程安全第二章：网络安全技术2.1 防火墙技术- 防火墙的定义和功能- 防火墙的类型- 防火墙的配置和管理2.2 入侵检测和防御系统（IDS/IPS）- IDS/IPS的定义和功能- IDS/IPS的部署和配置- IDS/IPS的管理和维护2.3 虚拟私人网络（VPN）技术- VPN的定义和功能- VPN的工作原理- VPN的部署和配置2.4 认证和授权技术- 认证的概念和方法- 授权的概念和方法- 认证和授权的关系和作用第三章：网络安全策略和管理3.1 网络安全策略的制定和执行- 网络安全策略的定义和内容- 网络安全策略的制定步骤- 网络安全策略的执行和监控3.2 日志和审计- 日志和审计的定义和作用- 日志和审计的管理和分析- 日志和审计的工具和技术3.3 灾难恢复和业务连续性- 灾难恢复和业务连续性的定义- 灾难恢复和业务连续性计划的制定和测试- 灾难恢复和业务连续性的管理和维护第四章：安全意识和教育4.1 安全意识和教育的重要性- 安全意识和教育的概念- 安全意识和教育的作用- 安全意识和教育的目标4.2 安全政策和规程的宣传和培训- 安全政策和规程的宣传方法- 安全政策和规程的培训内容- 安全政策和规程的培训效果评估4.3 员工安全行为的培养和监控- 员工安全行为的培养方法- 员工安全行为的监控和评估- 员工安全行为的激励和警告措施总结：通过本教材的学习，读者可以了解网络安全的基本概念和重要性，掌握常见的网络安全威胁和防御技术，了解网络安全策略和管理的要点，以及培养员工安全意识和教育的方法。

《网络安全》课程教学大纲一、课程介绍1.1 课程背景网络安全作为一门重要的学科，意在培养学生对网络安全的认知和技能，提高网络安全防护能力，为网络安全行业培养专业人才。

1.2 课程目标通过本课程的学习，学生将掌握网络安全的基本概念、原理和技术，了解网络安全的现状与挑战，具备网络安全防护和应急处置的基本能力。

1.3 课程安排本课程分为理论和实践两个部分，共计36学时。

二、课程内容2.1 网络安全基础概念2.1.1 网络安全定义与范畴2.1.2 网络攻击与威胁类型2.1.3 网络安全防护的重要性2.2 网络安全技术与方法2.2.1 防火墙与入侵检测系统2.2.2 身份认证与访问控制2.2.3 密码学与加密算法2.2.4 安全漏洞分析与修复2.2.5 安全审计与监控2.3 网络安全管理与策略2.3.1 安全策略与规划2.3.2 风险评估与管理2.3.3 安全事件响应与处置2.3.4 合规性与法律法规要求2.4 信息安全意识与教育2.4.1 员工安全培训与教育2.4.2 安全意识与行为规范2.4.3 社会责任与伦理道德三、教学方法与评估方式3.1 教学方法3.1.1 讲授与演示相结合3.1.2 实践操作与案例分析3.1.3 学生互动与小组讨论3.1.4 网络安全实验室实训3.2 评估方式3.2.1 课堂表现与参与度3.2.2 实验报告与作业3.2.3 期末考试四、教学资源与参考书目4.1 教学资源4.1.1 计算机设备与网络4.1.2 网络安全实验室4.2 参考书目4.2.1 《网络安全概论》，王晓阳，清华大学出版社4.2.2 《计算机网络安全技术》，李明，电子工业出版社4.2.3 《信息安全与保密学导论》，马骏，国防工业出版社五、课程要求与考核标准5.1 课程要求学生需认真听讲、积极参与课堂活动，完成实验报告和作业。

5.2 考核标准根据学生的课堂表现、实验报告、作业和期末考试等因素进行综合评定。

六、教学团队本课程由具有网络安全领域相关经验的教授和专业人士组成的教学团队负责教学与指导工作。

网络信息安全技术教学大纲．《网络信息安全技术》课程教学大纲课程名称：网络信息安全技术适用专业：计算机科学与技术课程性质：本课程属于专业选修课14 /上机学时：32∕其中实验时数：46 学考核方式：考查分学数：3先修课程：计算机上基础、计算机组成原理、计算机网络后续课程：无教学参考书：，高等教育出版（普通高等教育“十五”国家级规划教材）段云所等编，《信息安全概论》。

社，出版时间2003-09-01 《计算机信息安全技术》，高等教育出版社，出版时间2005-9-1。

步山岳等编，考试方式：要求学生掌握基础知识的同时，应具备一定的科对理论知识与实践能力进行整体考核，学素养和个人能力。

多环节成绩评定包括作业、讨论、实习、测验、论文和笔试成绩等。

综合定量评价：平时成绩占30%，期末成绩占70%。

开课部门：计算机系专业基础教研室课程简介：（200～500字）本课程可以作为计算机科学与技术专业专业选修课程。

通过本课程的学习，使学生建立网络信息安全防范意识，掌握网络信息安全防范的基本方法，加强对计算机安全重要性的理解；熟悉计算机安全的基本理论；了解当前网络信息安全方面所面临的问题和对策；培养学生维护网络信息安全的能力，为学生走向工作岗位积累初步的网络信息安全防范经验。

本门课程对学生知识、能力和素质的培养目标：本课程的开设是基于应用型人才培养的需要，遵循知识实用、丰富，新颖为原则。

教学的主导目标是通过学习网络信息安全技术基础理论，使学生初步掌握网络信息安全实用技能，为学生今后进行进一步学习、研究信息安全技术打下坚实的基础。

通过本课程的学习，将使学生了解网络信息安全的基础知识，从理论、技术和应用等全方面认识信息网络。

通过课程学习，学生将掌握计算机系统与网络基础知识；掌握信息安全理论基础；掌握信息加密、身份认证、访问控制、防火墙、VPN、入侵检测、安全审计等常用计算机安全防御技术；掌握安全协议基本原理及IPSec、SSL、SSH，X.509等常见安全协议；掌握Windows和UNIX的常用安全防御技术；掌握端口扫描、窃听等系统与网络攻击及防御方法。

《网络安全技术》课程标准一、课程基本信息二、课程概述（一）课程简介本课程具有较强的科学性和实践性，能使学生在全面理解信息安全基本原理和中小型企业的信息安全目标要求基础上，掌握密码技术、VPN、防火墙、入侵检测等方面的基础知识和技能，形成基本职业能力。

（二）课程定位1.课程性质《网络安全技术》是信息安全技术应用专业重要的专业基础课之一，也是网络管理员、网络工程师职业技能资格证书考核的重要内容之一。

通过本课程系统的学习，培养学生具备较系统的、必需的信息安全的基本知识和基本技能，具有较强的信息安全的综合职业能力和实践能力，能够从事信息安全技术应用、信息安全管理与维护等岗位工作。

同时为学生通过网络管理员、网络工程师职业资格考试和国家信息安全水平考试（NISP）服务。

因此本门课程为信息安全技术应用专业学生后期的学习和就业打下坚实基础。

2.在课程体系中的地位《网络安全技术》是信息安全技术应用专业的专业基础课，并且与该专业其他课程的学习直接相关，为其他课程的学习打下基础。

本课程的先修课程有：《信息技术》、《网络技术基础》，后续课程有：《WEB应用安全与防护》、《渗透测试》等课程，这些课程的开设都是建立在《网络安全技术》课程的基础之上。

通过学习，学生可以系统的了解信息安全方面的知识和技能，有助于学生整体把握该专业知识要求和能力、技能要求。

3.课程作用《网络安全技术》是培养具有良好的职业道德和敬业精神，掌握基本的信息安全方面的理论知识和实际操作能力，德、智、体、美全面发展的、从事信息安全技术应用和管理等的应用性专门人才。

我们紧密结合经济和社会发展及市场的需求，以培养适应社会需要的技术应用能力并使学生成为效能型服务人才为目标，以课程专业理论教学环节、模拟实训教学为基础，通过先进的、灵活多样的、科学的教学方法与手段，加强学生的职业素质和职业精神培养，使学生既具备较高的业务素质，又具有良好的思想素质和敬业精神，且能够运用信息安全的知识实施信息安全技术应用与管理的基本技能，做到理论知识与实际操作能力的合理结合的目的。

网络安全技术基础随着互联网的发展和普及，网络安全问题日益凸显。

保护个人隐私和重要数据的安全已成为人们共同关注的焦点。

本文将探讨网络安全技术的基础知识，包括密码学、防火墙、入侵检测系统和虚拟私人网络等。

1. 密码学在网络通信过程中，保护数据的机密性和完整性至关重要。

密码学是一门研究如何加密和解密数据的学科。

它通过使用密码算法来对数据进行加密，使得只有授权的用户能够解密和访问数据。

常见的密码算法包括对称加密算法和非对称加密算法。

对称加密算法使用同一个密钥进行加密和解密，加密和解密速度较快，但需要确保密钥的安全性。

常见的对称加密算法有DES、AES等。

非对称加密算法使用一对密钥，分别为公钥和私钥。

公钥可用于加密数据，而私钥用于解密数据。

非对称加密算法安全性较高，但加密和解密速度较慢。

常见的非对称加密算法有RSA、DSA等。

2. 防火墙防火墙是一种网络安全设备，用于监控并控制进出网络的数据流量。

它可根据预先设定的规则，过滤和阻止潜在的恶意流量，从而保护网络免受攻击和未授权访问。

防火墙可以根据源IP地址、目标IP地址、端口号和应用程序类型等进行过滤和限制。

防火墙通常分为网络层防火墙和应用层防火墙。

网络层防火墙通过检查和过滤IP包来实现安全策略，而应用层防火墙可以深入检查应用层协议的内容，提供更精细的安全控制。

3. 入侵检测系统（IDS）入侵检测系统是一种监视和分析网络流量的设备或软件。

它可以发现潜在的入侵行为，并及时采取措施来防止和回应安全事件。

入侵检测系统可以分为主机型和网络型两种。

主机型入侵检测系统在主机上运行，监控主机的系统活动，例如登录尝试、文件修改等，以检测是否存在异常行为。

网络型入侵检测系统则在网络中捕获和分析流量，以检测网络中的异常和潜在攻击。

4. 虚拟私人网络（VPN）虚拟私人网络是一种通过公共网络建立私密连接的技术。

它可以在不安全的网络上建立安全的通信通道，保证数据的机密性和完整性。

VPN通过加密和隧道技术，使得远程用户可以安全地访问组织内部网络资源。

第3章1判断题1-1 PKI只涉及技术层面的问题。

（×）1-2 在桥CA信任模型中，桥CA是一个信任锚。

（×）1-3 当通过浏览器以在线方式申请数字证书时，申请证书和下载证书的计算机必须是同一台计算机。

（√）1-4 在PKI系统中，当通过CRL撤销证书时，CRL中存放着要撤销证书的全部内容（×）1-5 PKI和PMI在应用中必须进行绑定，而不能在物理上分开。

（×）2 填空题2-1 PKI的技术基础包括公开密钥体制和加密机制两部分。

2-2 PKI为网络中的相关活动提供了保密性、完整性、真实性和不可否认性。

2-3 在PKI系统中，私钥由用户自己保管，而公钥存放在数字证书中。

2-4 PKI的中文含义是公钥基础设施，PMI的中文含义是授权管理基础设施。

2-5 在PKI/PMI系统中，一个合法用户只拥有一个唯一的公钥证书，但可能会同时拥有多个不同的属性证书。

3 选择题3-1 PKI无法实现（）A. 身份认证B. 数据的完整性C. 数据的机密性D. 权限分配3-2 PKI的核心是解决网络环境中的（）A. 数据加密问题B. 信任问题C. 身份认证问题D. 数字签名问题3-3 PKI系统的核心是（）A. 注册机构RAB. 证书发布系统C. 认证机构D. 软硬件系统3-4 CA的主要功能为（）A. 确认用户的身份B. 为用户提供证书的申请、下载、查询、注销和恢复等操作C. 定义了密码系统的使用方法和原则D. 负责发放和管理数据证书3-5 在PKI系统中，负责签发和管理数字证书的是（）A. CAB. RAC. LDAPD. CPS3-6 数字证书不包含（）A. 颁发机构的名称B. 证书持有者的私有密钥信息C. 证书的有效期D. CA签发证书时所使用的签名算法3-7 下面有关CRL和OCSP的描述，错误的是（）A. CRL和OCSP都用于数字证书的撤销操作B. OCSP要比CRL高效、及时C. CRL和OCSP都是由IETF颁发的用于检查数字证书当前有效性的协议D. OCSP可以单独使用，也可以与CRL联合使用。

公钥密码、数字签名和数字证书相关知识及原理介绍一、从对称密码谈起自从人类有了战争，智慧的人们就想出了很多的办法来解决通信保密问题，把需要通信的消息按固定规律转变成没有意义的乱码，而只有指定的合法接收者才能恢复解读出来，这就是密码学的基本思想。

通常，人们总是会有很多的秘密信息需要保护，比如个人的信用卡账号，个人的医疗记录和财政细节等等；企业也有秘密，例如战略报告、销售预测、公司财务、技术产品的细节、研究成果、人员档案等，密码学上将这些需要保护的原始信息称为明文。

为了确保明文信息不被别人获知，在将这些明文保存在某个地方或从网络上传送出去之前，需要用某种方法（通常是数学方法）把它伪装起来以隐藏它的真实内容，我们把伪装的这个过程称为加密，把伪装采用的方法称之为加密算法，（明文）伪装后得到的结果称之为密文；相反地，把密文恢复成明文的过程称为解密，恢复时所用的方法称为解密算法。

上述这个过程还不是一个足够安全的过程。

因为无论是加密算法还是解密算法，我们都可以用软件（一段程序）或硬件（加密机或加密卡）来实现。

如果我们能绝对地保证加密和解密算法是保密的（例如只有通信双方知道），那么自然可以达到保密的效果。

可事实上并非如此，实践证明，保护一段程序或者保护一个硬件是秘密的，和直接保护明文信息是秘密的，是一样的困难，高明的密码破译者们总能找到我们用来保密的加密算法和解密算法，从而找到我们要保密的信息。

更何况，如果我们有办法保全加密算法或解密算法是秘密的，那么我们何不用之以直接保全我们的明文信息呢？因此密码学家们最终放弃了保密加解密算法的念头，而选择了设计一类新的加解密算法，在用这类算法加密时需要引入一个只有自己知道的秘密参数，密码学家把它称为密钥，而且只有拥有同样密钥的人才能解密阅读被加密的明文。

顾名思义，“密钥”就是秘密的钥匙，起初人们总是把加解密比喻成利用钥匙给坚固的保险箱上锁开锁。

这里“带锁的保险箱”好比是密码算法，可以用来保存明文文件，“钥匙”好比是密钥，“将明文文件放入保险箱并用钥匙锁上”就是加密过程，相反地，用钥匙将“锁有文件的保险箱”打开取出文件就是解密过程。