- 加密算法
1、加密的两种方法:
对称(私钥)密码体制
非对称(公钥)密码体制
2、对称密码体制
加密密钥与解密密钥相同
保密强度高,但密钥管理难且可抵赖
从加密模式来看,分为两类:
a、序列密码
有限状态机产生伪随机序列——>使用该序列逐比特加密信息流
b、分组密码
明文按照固定长度分组——>用固定长度密钥单独加密每个分组
分组算法:DES、3DES、IDEA、IDEA、Skip-jack、Safer-64、LOK189、Shark
3、非对称加密体制
加密密钥(公开密钥)与解密密钥(专用密钥)不同
基本过程:A生成一对密钥——>公开其中的公开密钥PK——>C使用PK加密并将密文发送给A——>A用其中的专用密钥ZK解密
非对称密码体制中的每个用户都有一对选定的密钥
非对称密码体制,密钥管理简单,不可抵赖,但所需密钥长度较长,处理速度较慢
- WPKI
1、PKI:公钥基础设施
PKI系统:提供公钥加密和数字签名的系统
数字证书组成:用户身份,用户公钥,认证中心的数字签名
2、PKI系统的组成:认证中心CA、注册中心RA、证书库、客户端软件
a、认证中心
验证用户身份——>对含有用户身份与公钥的数据结构数字签名,捆绑用户身份和密钥——>生成公钥证书
根证书:直接被用户终端信任的CA
用户验证目标证书是否为它所声称的CA所签发时,用户用自己CA证书中的公钥对目标证书加密,将其发往根CA来验证
b、注册中心
代替CA确认用户身份
代表终端用户启动和CA的认证过程
生成代表用户的密钥资料
执行某些密钥/证书生存周期的管理功能
c、证书库
CA颁发的证书和CRL被保存在证书库
实际中主要实现方式是:数据库或LDAP
d、客户端软件
独立于用户系统中的其他应用程序之外完成PKI服务
独立的库或模块或工具包,应用程序通过客户端软件的应用程序接口访问PKI
3、证书管理
a、初始化注册/认证
建立和验证终端实体的身份
受理注册请求和验证终端实体身份
b、证书创建和分发
终端需要两个证书:签名证书(用于签名),加密证书(用于加密会话密钥)
证书创建过程:客户端软件产生签名密钥——>注册时向RA提供签名公钥和私钥拥有证明——>RA对终端实体的签名公钥签名——>发送签名公钥和RA的签名以及其他某些用户信息给CA——>CA创建签名证书并发布到证书库——>CA产生加密密钥并备份——>CA根据加密公钥和用户信息创建加密证书并发布到证书库——>CA用签名公钥对加密私钥加密——>CA通过RA将其发送给客户端
c、证书撤销
实现方法两种:周期性的发布机制,在线查询机制
d、证书验证
证书有可信CA签名
证书完整
证书在有效期内
证书没有被撤销
4、WPKI
a、认证机构CA
分发验证数字证书
b、注册机构RA
数字证书分发给请求者之前对证书进行验证,获取并认证用户身份,向CA提出证书请求
c、智能卡(例如SIM卡)
存储、加密、数据处理的集成芯片
在客户端认证应用
d、加密算法
5、WPKI中的数字证书
安全便捷的交换用户数字证书,两种解决方法:
a、WTLS证书
证书必须含有与密钥交换算法相一致的密钥
除非特别指定,签名算法是与证书中的密钥算法相同的
b、移动证书标识
只需将移动证书标识和秦铭数据提交给对方
6、WPKI在无线应用协议WAP中的作用
无线应用协议开发模型的三大要素:无线应用协议终端、无线应用协议网关和Web服务器
a、无线协议网关的两个主要功能:
无线应用协议与Internet协议栈之间的协议转换
对信息内容编解码
移动终端<———WTLS———>无线应用协议网关<———SSL———>有线Internet
b、无线应用协议识别模块:作用于安全层和应用层,用来存储和处理用于用户识别和身份认证的信息,主要在智能卡上实现
无线应用协议识别模块主要的两个功能:
握手过程中,特别是客户认证操作中执行密码操作
保证持续的无线传输层的安全会话
c、WIM保存永久的、被认证过的私钥
WIM使用固定的客户密钥,执行密钥交换操作
WIM保存必需的认证文件:认证中心及用户的认证文件
WIM保护安全会话,支持生成会话密钥
d、WIM在应用层主要用于解出密钥和生成数字签名
应用程序收到自己公钥加密过的消息密钥——>在WIM中用自己的私钥解开并获得这个消息密钥——>用户用这个消息密钥加密相关信息。 此外,为达到身份认证和不可抵赖的目的,WIM进行数字签名
e、所有这些操作都是使用保存在WIM中的私钥
7、无线认证中心的建立
无线认证中心机那里的两种方法:
a、建立全新无线认证中心,专为无线应用协议应用服务,通过一定接口与有线认证中心进行数据交换和资源共享
b、扩展现有的有线认证中心到无线领域
- AES加密算法简介