2019-2020-1学期 20192417 《网络空间安全专业导论》第十二周学习总结

久未见 提交于 2020-04-08 06:47:59

第10章 密码学及应用

10.1 密码学的概念及发展历史

10.1.1 密码学的概念

  • 密码学包括密码编码学(cryptography)密码分析学(cryptanalysis)两部分。
  • 密码编码学:主要研究信息的编码,构建各种安全有效的密码算法和协议,用于消息的加密、认证等方面。
  • 密码分析学:研究破译密码获得消息,或对消息进行伪造

10.1.2 密码学的发展历史

  • 密码学的发展历史可以大致划分为四个阶段

  • 第一阶段:古典密码阶段,从古代到19世纪末,密码算法多采用针对字符的替代和置换

  • 第二阶段:近代密码学的发展阶段,从20世纪初到1949年,代表性物品是ENIGMA转轮机

  • 第三阶段:现代密码学的早期发展时期,从1949年到1975年。

  • 第四阶段:公钥密码学的新时代,自1976年开始一直延续至今。


10.2 密码算法

  • 密码按其功能特性主要分为三类:对称密码(传统密码)、公钥密码(非对称密码)和安全哈希算法

10.2.1 对称密码算法

  • 基本特征:用于加密和解密的密钥相同,或者相对容易推导,因此也称为单密钥算法。
  • 分类:分组密码算法和流密码算法。

10.2.2 非对称密码算法

  • 传统对称密码体制局限性:密钥分配、密码管理和没有签名功能等
  • 在公钥密码系统中,加密密钥和解密密钥不同,由加密密钥推导出相应的解密密钥在计算上是不可行的。
  • 公钥密码体制的作用:既可以用于加密,也可以用于数字签名。

10.2.3 哈希函数

  • 哈希(Hash)函数:进行消息认证的基本方法,主要用于消息完整性检测和数字签名。
  • 哈希函数的特点:能够应用到任意长度的数据上,并且能够生成大小固定的输出。

10.3 网络空间安全中的密码学应用

  • 密码学应用可以解决以下安全保护问题:
    1)机密性保护问题
    2)完整性保护问题
    3)可鉴别性保护问题
    4)不可否认性保护问题
    5)授权与访问控制的问题

10.3.1 公钥基础设施(PKI)

  • 公钥基础设施:一种遵循标准、利用公钥加密技术提供安全基础平台的技术和规范,能够为网络应用提供密码服务的一种基本解决方案。
  • PKI体系:一般由CA、注册权威机构、数字证书、证书/CRL库和终端实体等部分组成。
  • CA:认证权威机构,专门负责数字证书的产生、发放和管理。主要功能:证书的签发和管理;CRL的签发和管理;RA的设立、审核及管理。
  • RA:证书注册中心,负责数字证书的申请、审核和注册,同时也是CA认证机构的延伸。
  • RA的主要功能
    1)进行用户身份信息的审核,确保其真实性
    2)管理和维护本区域用户的身份信息
    3)数字证书的下载
    4)数字证书的发放和管理
    5)登记黑名单
  • 证书/CRL库:主要用来发布、存储数字证书和证书撤销列表,供用户查询、获取其他用户的数字证书,为系统中的CRL所用。
  • 终端实体:拥有公/私钥对和相应公钥证书的最终用户,可以是人、设备、进程等。
  • 常用的PKI互操作模型主要分为三种结构:严格层次结构模型、网状信任结构模型和桥信任结构模型。

10.3.2 虚拟专用网(VPN)

  • 虚拟专用网:指在公共网络中,利用隧道技术,建立一个临时的、安全的网络。
  • VPN的特点
    1)成本低
    2)安全保障
    3)服务质量保证
    4)可管理性
    5)可扩展性
  • 隧道技术:通过对数据进行封装,在公共网络上建立一条数据通道,让数据包通过这条隧道传输。
  • 协议层次看,主要有三种隧道协议:
    1)第二层隧道协议:先把各种网络协议封装到PPP包中,再把整个数据包装入隧道协议中,这种经过两层封装的数据包由第二层协议进行传输。
    2)第三次隧道协议:在网络层把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
    3)第四次隧道协议:在传输层进行数据封装。
  • 在VPN实现中,大量通信流量的加密使用对称加密算法,而在管理和分发对称加密的密钥上采用非对称加密技术。
  • AH,认证头协议:用于增强IP层安全,该协议可以提供无连接的数据完整性、数据源验证和抗重放攻击服务
  • 封装安全载荷协议,ESP:一种增强IP层安全的IPSec协议。
  • Internet密钥交换协议:用来实现安全协议的安全参数协商,以确保VPN与远端网络或者宿主主机进行交流时的安全。
  • 安全套接层协议的架构:由记录协议、握手协议、更改密码说明协议和告警协议组成。
  • VPN的三种典型应用方式:远程访问VPN、内联网VPN、外联网VPN

10.3.3 特权管理基础设施

  • 特权管理基础设施:提供一种在多应用环境中的权限管理和访问控制机制,将权限管理和访问控制从具体应用系统中分类出来,使得访问控制机制和应用系统之间能灵活且方便地结合。
  • PMI的主要功能:对权限管理进行系统的定义和描述,建立用户身份到应用授权的映射,支持应用访问控制。
  • PMI的组成:属性证书、属性权威机构、证书库
  • PMI和PKI之间的主要区别
    1)PMI主要进行授权管理,证明用户有什么权限、能干什么。
    2)PKI主要进行身份鉴别,证明用户身份。
  • PMI应用的结构:
    1)访问者、目标
    2)策略
    3)授权检查
    4)访问控制决策点
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!