2019-2020-1学期 20192413 《网络空间安全专业导论》第十二周学习总结

第十章 密码学及应用

10.1密码学的概念及发展历史

10.1.1密码学的概念

  • 密码学包括密码编码学和密码分析学两部分
  • CIA:机密性、完整性、可用性

10.1.2密码学的发展历史

  • 第一阶段:从古代到19世纪末,这是密码学发展早期的古典密码
  • 第二阶段:从20世纪初到1949年,这是近代密码学的发展阶段
  • 第三阶段:从1949年到1975年,这是现代密码学的早期发展时期
  • 第四阶段:自1976年开始一直延续至今,密码学进入公钥密码学的新时代

10.2密码算法

  • 密码按其功能特性分为三类:对称密码、公钥密码和安全哈希算法

10.2.1对称密码算法

  • 对称密码的基本特征是用于加密和解密的密钥相同
  • 对称密码算法分为分组密码算法和流密码算法,区别在于其输出的每一位数字不是指与相对应的输入明文数字有关,而是与长度为N的一组明文数字有关。

10.2.2非对称密码算法

  • 公钥密码体系是建立在数学函数的基础上
  • 优点:克服了对称密码算法的缺点,解决了密钥传递的问题,大大减少了密钥持有量,提供了对称密码技术无法或很难提供的认证服务(如数字签名)
  • 缺点:计算复杂、耗用资源大,并且会导致密文变长

10.2.3哈希函数

  • 哈希函数是进行消息认证的基本方法,主要用于消息完整性检测和数字签名
  • 哈希函数是将任意有限长度的比特串映射为固定长度的串:h=H(M)
  • 特点:能够应用到任意长度的数据上,并且能够生成大小固定的输出

10.3网络空间安全中的密码学应用

  1. 机密性保护问题
  2. 完整性保护问题
  3. 可鉴别性保护问题
  4. 不可否认性保护问题
  5. 授权与访问控制的问题

10.3.1公钥基础设施

1.PKI概述

  • PKI也称为公开密钥基础设施,是一种遵循标准、利用公钥加密技术提供安全基础平台的技术和规范,能够为网络应用提供密码服务的一种基本解决方案
  • PKI解决了大规模网络中的公钥分发和信任建立问题

2.PKI体系架构

  • PKI引入了数字证书的概念,通过数字证书,用户能方便安全的获取对方公钥,可以离线验证公钥的真实性
  • PKI的组成:
    (1)CA:CA是PKI的核心组成部分,专门负责数字证书的产生、发放和管理
    主要功能包括:
    1.证书的签发和管理
    2.CRL的签发与管理
    3.RA的设立、审核及管理
    (2)RA:也称为证书注册中心,负责数字证书的申请、审核和注册,同时也是CA认证机构的延伸
    主要功能如下:
    1.进行用户身份信息的审核,确保其真实性
    2.管理和维护本区域用户的身份信息
    3.数字证书的下载
    4.数字证书的发放和管理
    5.登记黑名单
    (3)数字证书
    是一段经CA签名的、包含拥有者身份信息和公开密钥的数据体,是各实体的身份证明,具有唯一性和权威性。
    证书体一般包括以下内容:
    版本号
    序列号
    签名算法标识
    签发者
    有效期
    主体名
    主体的公钥
    发行者唯一识别符
    主体唯一识别符
    扩展域
    (4)证书/CRL库
    (5)终端实体

3.PKI互操作模型
信任模型描述了如何建立不同认证机构之间的认证路径,以及构建和寻找信任路径的规则
(1)严格层次结构模型
是一种集中式的信任模型,又称为树模型或层次模型,比较适合具有层次结构的机构。
优点:其结构与许多组织或单位的结构相似、容易规划
缺点:不同单位的CA必须在一个共同的根CA管理之下,根CA会导致风险集中
(2)网状信任结构模型
也称为分布式信任模型,把信任分散到两个或更多个CA上
优点:结构灵活,扩展容易,适合动态变化的组织机构,因为单CA安全性的削弱不会影响整个PKI的运行
缺点:证书路径的扩展与层次结构比较复杂,选择证书路径比较困难
(3)桥信任结构模型
又称为中心辐射式信任模型,处于中心地位的CA称为桥CA。任何结构类型的PKI都可以通过桥CA连接在一起,实现相互信任,每个单独的信任域了可通过桥CA扩展到多个CA之间
4.PKI的应用与发展
PKI作为一种安全基础设施,在网络中应用非常广泛,包括虚拟专用网、安全电子邮件、web安全应用等领域。
随着PKI技术应用的不断深入,PKI技术本身也在不断发展与变化,主要表现在:
(1)属性证书
(2)漫游证书
(3)无线PKI

10.3.2虚拟专用网

1.虚拟专用网概述
虚拟专用网(VPN)通常是指在公共网络中,利用隧道技术,建立一个临时的安全的网络
2.VPN的特点
1)成本低
2)安全保障
3)服务质量保证
4)可管理性
5)可扩展性
3.VPN的工作原理及关键技术
(1)隧道技术
(2)加解密技术
(3)使用者与设备身份认证技术
(4)IPSec技术
(5)安全套接层技术
4.VPN的典型应用方式
(1)远程访问VPN
(2)内联网VPN
(3)外联网VPN

10.3.3特权管理基础设施

1.PMI概述
PMI提供了一种在多应用环境中的权限管理和访问控制机制,将权限管理和访问控制从具体应用系统中分离出来,使得访问控制机制和应用系统之间能灵活且方便的结合
2.PMI的组成
(1)属性证书
(2)属性权威机构
(3)证书库
3.PMI应用的结构
PMI建立在PKI提供的可信的身份认证服务的基础上,采用基于属性证书的授权模式,提供用户身份到应用权限的映射。
PMI和PKI主要区别:

  • PMI主要进行授权管理,证明用户有什么权限、能干什么
  • PKI主要进行身份鉴别,证明用户身份
  • 两者之间的关系类似于护照和签证
    PMI和PKI的相似之处:
  • 为用户数字证书签名的实体被称为CA,签名AC的实体被称为AA
  • PKI信任源被称为根CA,PMI的信任源被称为SOA
  • CA可以有他们信任的次级CA,次级CA可以代理鉴别和认证,SOA可以授权给次级AA
  • 如果用户需要废除其签名密钥,则CA将签发CRL。如果用户要废除授权允许,AA将签发一个AC撤销列表
posted @ 2019-12-24 17:31  20192413  阅读(172)  评论(0编辑  收藏  举报