第十章 密码学及应用
密码学包括密码编码学和密码分析学两部分。
密码编码学主要研究信息的编码,构建各种有效的密码算法和协议,用于消息的加密,认证等方面,密码分析学是研究破译密码获得消息,或对消息进行伪造。.
2.密码学的发展历史:
第一阶段:从古代到十九世纪末,这是密码学发展早期的古典密码
第二阶段:从20世纪初到1949年,这是近代密码学的发展阶段
第三阶段:从1949年到1975年,这是现代密码学的早期发展阶段
第四阶段:自1976年开始一直延续至今
3.密码算法
密码按其功能特性主要分为三类:对称密码(也称为传统密码),公钥密码(也称为非对称密码)和安全哈希算法
对称密码算法的基本特征是用于加密和解密的密钥相同,或者相对容易推导,因此,也称为单密钥算法。对称密码常分为分组密码算法和流密码算法,分组密码和流密码的区别在于其输出的每一位数字不只是与相对应时刻的输入明文数字有关,而是与长度为N的一组明文数字有关。
分组密码是将明文消息编码表示后的数字,简称明文数字序列,划分为长度为N的组,可看成长度为N的矢量,每组分别在密钥的控制下变换成等长的输出数字,简称密文数字序列。
流密码是指利用少量的密钥(乱制元素)通过某种复杂的运算,密码算法产生大量的伪随机位流,用于对明文位流的加密。解密是指用同样的密钥和密码算法以及与加密相同的伪随机位流来还原明文位流。
非对称密码算法:公钥密码体制是建立在数学函数的基础上,系统的加密算法和加密密钥可以公开,只有解密密钥保密
哈希函数是进行消息认证的基本方法,主要用于消息完整性检测和数字签名。
哈希函数接受一个消息作为输入,产生一个称为哈希值的输出,也可称为散列值或消息摘要,哈希函数是将任意有限长度的比特串映射为固定长度的串,
其中M是变长的报文,h是定长的散列值。
哈希函数的特点是能够应用到任意长度的数据上,并且能够生成大小固定的输出。
4.网络安全中的密码学应用
机密性保护问题
完整性保护问题
可鉴别性保护问题
不可否认性保护问题
授权与访问控制的问题
5.公钥基础设施
PKI是一个包括硬件软件人员/策略和规程的集合,用来实现基于公钥密码体制的密钥和整数的产生,管理,存储,分发和撤销等功能
PKI体系架构:通过可信第三方——认证权威机构,把用户公钥和用户的真实身份绑定在一起,产生数字证书。
PKI体系一般由CA,注册权威机构/数字证书/证书,CRL库和终端实体等部分组成。
CA的主要功能包括:
证书的签发和管理
CRL的签发和管理
RA的设立,审核及管理
RA:
RA也称为证书注册中心,负责数字证书的申请,审核和注册
数字证书:
数字证书是一段经CA签名的,包含拥有者身份信息和公开密钥的数据体,是各实体的身份证明,具有唯一性和权威性
数字证书主要包括三部分内容:证书体。签名算法以及CA签名数据。
证书体一般包含以下内容;版本号
序列号,签名算法标识
签发者,有效期,主体名,主体的公钥,发行者唯一识别符,主体唯一识别符,扩展域
证书库:主要用来发布/存储数字证书和证书撤销列表
终端实体:指拥有公/私钥和相对应公钥证书的最终用户。
PKI操作模型主要的结构:
严格层次结构模型
网状信任结构模型
桥信任结构模型:桥信任结构模型也称为中心辐射式信任模型。
PKI技术的发展:
属性证书,漫游证书,无线PKI,
6.虚拟专用网概述:虚拟专用网通常是指在公共网络中,利用隧道技术建立的一个临时的/安全的网络。
VPN的特点:成本低
安全保障
服务质量保证
可管理性,可扩展性。
VPN的工作原理及关键技术:
隧道技术:隧道技术通过对数据进行封装,在公共网络上建立一条数据通道,让数据包通过这条隧道传输
第二层隧道协议在数据链路层,原理是先把各种网络协议封装到PPP包中,再把整个数据包装入隧道协议中,
第三层隧道协议的原理是在网络层把各种网络协议直接装入隧道协议中
第四层隧道协议在传输层进行封装数据
2)加解密技术:
3)使用者与设备身份认证技术
4)IPSec技术:架构如图所示:
认证头协议
封装安全载荷
安全关联
Internet密钥交换
VPN的典型应用方式:
远程访问VPN
内联网VPN
外联网VPN
特权管理设施基础