网络通信安全需求
网络通信四个安全要求
- 机密性(Privacy)
- 完整性(Integrity)
- 鉴别与授权(Authentication & Authorization)
- 不可抵赖(Non-Repudiation)
网络安全解决方案
- 加密算法
- 数字签名
- 消息摘要,数字指纹
- 公钥基础设施(PKI)
解决网络安全的密码技术
对称加密算法
在两个通讯者之间需要一把共享的**
特点
- 速度快
- 共享**
- 不适用于大用户量的应用
- 用于快速的加密 / 解密
缺点
- **无法管理
- N个人就有N!个**
- 不能和素不相识的人通信
非对称加密算法——公开**算法
加密公钥是公开的,解密的**是私人的
特点
- 效率较慢 – 不适用于大量的数据加密
- 公钥可以公开、分布式存放
- 加密,数字签名,**交换
缺点
- 慢
摘要算法(Hash)
特点
- 不可逆
- 对任何长度的信息进行哈希后,结果都是一个固定长度的数据摘要
- 原始信息中一个字节的改变会导致摘要后的结果发生变化
数字签名
解释
所谓数字签名(Digital Signature),也称电子签名,是指附加在某一电子文档中的一组特定的符号或代码,它是利用数学方法和密码算法对该电子文档进行关键信息提取并进行加密而形成的,用于标识签发者的身份以及签发者对电子文档的认可,并能被接收者用来验证该电子文档在传输过程中是否被篡改或伪造。
满足条件
- 签名是可以被确认的;
- 签名是不可伪造的;
- 签名是不可重用的;
- 签名是不可抵赖的;
- 第三方可确认签名但不能篡改;
数字信封
“数字信封”, 把对称**体制(DES)和非对称**体制(RSA)完美地结合在一起,充分利用了DES效率高速度快和RSA安全性高且**分配、管理简便的优点。
- 使用对称加密算法进行大批量的数据加密
- 使用非对称加密算法传递随机产生的**
解释
- 当要将数据机密地传递时,发送者首先使用随机产生的DES对称**来加密要发送的消息。
- 然后,将此DES对称**用接收者的公钥加密,形成消息的“数字信封”,将其和采用对称**加密的消息一起发送给接收者。
- 数字信封又称为数字封套,主要的目的是保证数据的机密性。
优势
- 通常 **长远小于明文长。
- 在以上过程中,用对称加密体制加密明文,再用非对称加密体制加密对称**,既有对称加密体制效率高速度快的优点,也有非对称加密体制安全性高且**分配、管理简便的优点。
- 提高了加密速度,避免了对称**的分发,保证了数据的机密性。只有用接受者的私钥才能够打开此数字信封,确保只有接收者才能对消息密文解密
数字签名扩展
- 代理签名
- 群签名
- 多重签名
- 门限的数字签名
- 双重签名
PKI(public key infrastructure)公钥基础设施
信息网存在问题
- 授权及访问控制需求:不同种类(如治安、交管、刑侦等)、不同级别(如部、省、市)的信息对不同的用户有不同程度的保密需求(公开、内部、秘密、机密、绝密)。 多个系统,多种应用多个角色群体如何合理的分配、设定、并有机的结合
- 身份认证方面:现有的“用户名+口令”访问控制机制漏洞较多,无法也不可能真正实现将用户与其本人真实身份一一对应起来。并且“口令”采用明文传输,容易被截获**并冒用,降低了系统的安全性。
- 权限管理方面:如何根据职能与工作需要为信息网上的每个用户合理的划分使用范围与访问权限;多个系统,多种应用多个角色群体如何合理的分配、设定、并与应用系统有机的结合。
- 访问控制方面:不同的信息应用采取了不同的授权访问模式,各系统的授权信息只在本系统内有效,不能共享,无法在非安全的、分布式环境中使用,难以满足各地各部门对跨地区、跨部门的信息共享和综合利用的需求。
信息系统安全解决方案
- 建立身份认证与访问授权控制系统(PKI/PMI)为每位上网人员配发数字身份证书
- 对登录用户进行身份的合法性验证
- 根据用户的身份授予访问不同信息内容的权限
**管理
- 是适用于封闭网技术,以传统的**管理中心为代表的**管理中心(KMI)机制
- 是适用于开放网的PKI机制
- 是适用于规模化专用网的SPK/SDKSPK
PKI组成部分
- 公钥证书
- 证书吊销列表
- 策略管理机构
- 认证机构
- ***构
- 证书管理机构
- 证书存档
- 署名用户
- 依赖方
10.终端用户
PKI处理问题
- **的安全生成
- 初始身份的确认
- 证书的颁发,更新和终止
- 证书的有效性检查
- 证书及相关信息的发布
- **的安全归档和恢复
- 签名和时间戳的产生
- 信任关系的建立和管理
PKI功能
- 用户登记
- **生命周期管理
- 签发证书
- 注销证书
- **生命周期管理
- 存储,恢复证书,和黑名单发布
PKI数字证书
数字证书又称公钥证书,是由可信赖的权威机构(CA)签发的、标志身份信息的一系列数据。它是用来在电子商务活动中证实申请者的身份的唯一电子文件。数字证书采用公钥密码体制,利用一对匹配的**对(公钥和私钥)来进行加密和解密。
- 文件加密
- 数字签名
- 身份认证
数字证书的管理
**管理
- 确定客户**的生存周期
- 更新管理
- 其他**的生成和管理以及密码运算功能
- 实施**撤销
- 提供**托管和**恢复服务
- 提供**生成和分发服务
数字证书管理方法
- 证书的注册和生成
- 证书的颁发
- 证书的验证
- 证书的使用
- 证书的存放
PKI基本框架
管理实体
- 管理实体包括CA和RA,同时管理实体是PKI的核心,是PKI服务的提供者。
- CA是PKI框架中唯一能够发布和撤销证书的实体,维护证书的生命周期;RA负责处理用户请求,在验证了请求的有效性后,代替用户向CA提交。
端实体
证书库
数字证书生命周期
- 证书申请
- 证书生成
- 证书发布
- 证书吊销
- 证书过期
- **备份与恢复
PKI应用
- WEB安全
- SSL
小结
机密性
- 加密技术组合——数字信封
- 对称加密
- 非对称加密
完整性
- 数字签名(认证失败,信息不完整)
不可抵赖性
- 数字签名 证明信息已经被发送或接收:
- 发送方 不能抵赖曾经发送过数据,使用发送者本人的私钥进行数字签名
- 接收方 不能抵赖曾经接收到数据,接收方使用私钥对确认信息进行数字签名
身份认证
- (PKI)