2019-2020-1学期 20192403 《网络空间安全专业导论》第十二周学习总结
2019-2020-1学期 20192403 《网络空间安全专业导论》第十二周学习总结
第十章
学习收获
密码学初步
密码学概念
密码学包括:密码编码学、密码分析学
密码编码学主要研究信息的编码,构建各种安全有效的密码或协议
密码分析学是研究破译密码获得消息,或对消息进行伪造
CIA:机密性、完整性、可用性
密码学发展史
- 第一阶段:从古代到十九世纪末,是密码学发展早期的古典密码阶段
- 第二阶段:从二十世纪初到1949年,是近代密码学的发展阶段
- 第三阶段:从1949年到1975年,这是现代密码学的早期
密码算法
对称密码算法(单密钥算法)
- 基本特征:用于加密和解密的密钥相同,或者相对容易推导
- 分类:根据输出的每一位数字是否只与相对应的输入明文数字有关分为分组密码和流密码
- 分组密码:将明文消息编码后表示的数字序列,划分成长度为N的组,每组分别在密钥的控制下变换登场的输出数字序列。
常见的有:DES、IDEA、AES、RC5 - 流密码:利用少量密码通过某种复杂的运算产生大量的伪随机位流,用于对明文位流的加密。
非对称密码算法
- 在公钥密码系统中,加密密钥与解密密钥不同,由加密密钥推导出相应的解密密钥在计算上是不可行的。系统的加密算法和加密密钥可以公开,只有解密密钥保密
- 缺点:计算复杂、耗用资源大、并且会导致密文变长
哈希函数
- 哈希函数是进行消息验证的基本方法,主要用于信息完整性检测和数字签名
网络空间安全中密码学的应用
应用密码学解决的安全问题有
- 机密性保护问题:机密性通常用加密来解决
- 完整性保护问题
- 可鉴别性保护问题:一般通过数字签名来实现
- 不可否认性保护问题:在发送数据中嵌入一段只有发送者才能更改的数据,这段数据别人不可伪造,可用于证实这些数据来源的真实性
- 授权与访问控制的问题:授权证书能保证授权访问的有效性
公钥设施基础
概述
公钥基础设施(PKI)是一种遵循标准、利用公钥加密技术提供安全基础平台的技术和规范,能够为网络应用提供密码服务的一种基本解决方案
PKI解决了大规模网络中的公钥分发和信任建立问题
PKI体系架构
PKI一般由CA、权威注册机构、数字证书、证书/CRL库和终端实体等部分组成。
- CA
为保证数字证书真实可靠,需要建立一个可信的机构,专门负责数字证书的产生、发放和管理。
CA的主要功能包括:证书的签发和管理,CRL的签发和管理,RA的设立、审核及管理 - RA
RA也称证书注册中心,负责数字证书的申请、审核和注册,同时也是CA认证机构的延伸。
RA的主要功能包括:进行用户身份信息的审核,管理和维护本区域用户的身份安全、数字证书的下载、数字证书的发放和管理、登记黑名单 - 数字证书
数字证书是一段经CA签名的、包含拥有者身份信息和公开密钥的数据体,是各实体的身份证明,具有唯一性和权威性 - 证书/CRL库
主要用来发布、存储数字证书和证书撤销列表,供用户查询、获取其他用户的数字证书为系统CRL所用 - 终端实体
指对拥有公/私钥对和相应公钥证书的最终用户
PKI互操作模型
- 严格层次结构模型
构架特点:一棵树
优点:其结构与许多组织或单位的结构相似、容易规划
缺点:不同单位的CA必须在一个共同的根CA下,会导致风险集中
适用对象:具有层次结构的机构
- 网状信任结构模型
构架特点:把信任分散到一个或更多个CA上
优点:结构灵活、扩展容易
缺点:证书路径的拓展与层次结构比较复杂,选择证书路径比较困难
适用对象:动态变化的组织机构
- 桥信任结构模型
构架特点:每个根CA都与单一的作用相互连接的处于中心位置的CA进行交叉认证,处于中心地位的CA成为桥CA
优点:任何结构类型的PKI都可以通过桥CA连接在一起
PKI应用与发展
基于PKI技术的IPSec协议已经成为构建VPN的基础
PKI技术的发展表现在:属性证书,漫游证书,无线KPI
虚拟专用网
概述
虚拟专用网络(VPN)通常是指在公共网络中,利用隧道技术建立一个临时的、安全的网络。
介绍
特权管理基础设施PMI
概述
提供一种在多应用环境中的权限管理和访问控制机制,将权限管理和访问控制从具体应用系统中分离出来
主要功能:对权限管理进行系统的定义和描述,建立用户身份到应用授权的映射,支持应用访问控制
组成
- 属性证书
- 属性权威机构
- 证书库
应用结构
- PMI是建立在PKI提供的可信的身份认证服务的基础之上的
- PMI和PKI主要区别是
- PMI主要进行授权管理中,证明用户拥有什么权限、能干什么
- PKI主要进行身份鉴别,证明用户身份