• 2019-2020学期 20192404 《网络空间安全专业导论》 第十二周读书笔记

    第10章 密码学及应用

    10.1 密码学的概念及发展历史

    10.1.1 密码学的概念

    • 密码学包括密码编码学密码分析学两部分。
    • 密码编码学主要研究信息的编码,构建各种有效的密码算法和协议,用于消息的加密,认证等方面,密码分析学是研究破译密码获得消息,或对消息进行伪造。

    10.1.2 密码学的发展历史

    • 第一阶段:从古代到19世纪末,密码学发展早期的古典密码(classical cryptography)阶段。
    • 第二阶段:20世纪初到1949年,近代密码学的发展阶段。
    • 第三阶段:1949-1975,近代密码学的早期发展阶段。
    • 第四阶段:自1975年至今。1976年是密码学历史上的一次变革,标志着密码学进入公钥密码学的新时代。

    10.2 密码算法

    • 密码按其功能特性主要分为三类:对称密码、公钥密码和安全哈希算法

    10.2.1 对称密码算法

    • 对称密码算法的基本特征:用于加密和解密的密钥相同,或者相对容易推导,因此也称为单密钥算法。
    • 对称密码算法的分类分组密码算法和流密码算法

    10.2.2 非对称密码算法

    • 在公钥密码系统中,加密密钥和解密密钥不同,由加密密钥推导出相应的解密密钥在计算上是不可行的。
    • 公钥密码体制的作用:既可以用于加密,也可以用于数字签名。

    10.2.3 哈希函数

    • 哈希函数:进行消息认证的基本方法,主要用于消息完整性检测和数字签名
    • 哈希函数是将任意有限长度的比特串映射为固定长度的串
    • 哈希函数的特点:能够应用到任意长度的数据上,并且能够生成大小固定的输出。

    10.3 网络空间安全中的密码学应用

    • 网络空间安全中的密码学应用:
      1)机密性保护问题
      2)完整性保护问题
      3)可鉴别性保护问题
      4)不可否认性保护问题
      5)授权与访问控制的问题

    10.3.1 公钥基础设施

    1. 公钥基础设施:一种遵循标准、利用公钥加密技术提供安全基础平台的技术和规范,能够为网络应用提供密码服务的一种基本解决方案。
    2. PKI体系:一般由CA、注册权威机构、数字证书、证书/CRL库和终端实体等部分组成。
    3. CA:专门负责数字证书的产生、发放和管理
      CA的主要功能
    • 证书的签发和管理;
    • CRL的签发和管理;
    • RA的设立、审核及管理。
    1. RA:负责数字证书的申请、审核和注册,同时也是CA认证机构的延伸。
      RA的主要功能
      1)进行用户身份信息的审核,确保其真实性
      2)管理和维护本区域用户的身份信息
      3)数字证书的下载
      4)数字证书的发放和管理
      5)登记黑名单
    2. 数字证书:一段经CA签名的,包含拥有者身份信息和公开密钥的数据体,是各实体的身份证明,具有唯一性和权威性
      数字证书主要包括三部分内容:证书体。签名算法以及CA签名数据
    • 证书体一般包含以下内容:
    • 版本号
    • 序列号
    • 签名算法标识
    • 签发者
    • 有效期
    • 主体名
    • 主体的公钥
    • 发行者唯一识别符
    • 主体唯一识别符
    • 扩展域
      证书库:主要用来发布/存储数字证书和证书撤销列表
    1. 证书/CRL库:主要用来发布、存储数字证书和证书撤销列表,供用户查询、获取其他用户的数字证书,为系统中的CRL所用。
    2. 终端实体:拥有公/私钥对和相应公钥证书的最终用户,可以是人、设备、进程等。
    3. 常用的PKI互操作模型主要分为三种结构:严格层次结构模型、网状信任结构模型和桥信任结构模型
      PKI技术主要表现在属性证书、漫游证书和无线PKI上。
      PKI技术的发展: 属性证书,漫游证书,无线PKI。

    10.3.2 虚拟专用网

    1. 虚拟专用网:指在公共网络中,利用隧道技术,建立一个临时的、安全的网络。

    2. VPN的特点
      1)成本低
      2)安全保障
      3)服务质量保证
      4)可管理性
      5)可扩展性

    3. VPN的工作原理及关键技术:
      (1)隧道技术:通过对数据进行封装,在公共网络上建立一条数据通道,让数据包通过这条隧道传输。
      主要有三种隧道协议:
      1)第二层隧道协议:先把各种网络协议封装到PPP包中,再把整个数据包装入隧道协议中,这种经过两层封装的数据包由第二层协议进行传输。
      2)第三次隧道协议:在网络层把各种网络协议直接装入隧道协议中,形成的数据包依靠第三层协议进行传输。
      3)第四次隧道协议:在传输层进行数据封装。
      (2)加解密技术
      (3)使用者与设备身份认证技术
      (4)IPSec技术

      • 认证头协议(AH)
      • 封装安全载荷
      • 安全关联
      • Internet密钥交换

      (5) 安全套接层(SSL)技术

      • 记录协议
      • 更改密码协议
      • 告警协议
      • 握手协议

    4. VPN的三种典型应用方式:

    • 远程访问VPN
    • 内联网VPN
    • 外联网VPN

    10.3.3 特权管理基础设施

    • 特权管理基础设施:提供一种在多应用环境中的权限管理和访问控制机制,将权限管理和访问控制从具体应用系统中分类出来,使得访问控制机制和应用系统之间能灵活且方便地结合。
    • PMI的主要功能:对权限管理进行系统的定义和描述,建立用户身份到应用授权的映射,支持应用访问控制。
    • PMI的组成:属性证书、属性权威机构、证书库
    • PMI和PKI之间的主要区别
      1)PMI主要进行授权管理,证明用户有什么权限、能干什么。
      2)PKI主要进行身份鉴别,证明用户身份。
    • PMI应用的结构:
      1)访问者、目标
      2)策略
      3)授权检查
      4)访问控制决策点
  • 相关阅读:
    Beta 冲刺day 6
    Beta冲刺day5
    Beta冲刺day4
    Beta 冲刺day3
    Beta 冲刺day2
    Beta冲刺day1
    Beta预备
    城市安全风险管理项目Postmortem结果
    项目总结
    Alpha冲刺置顶随笔
  • 原文地址:https://www.cnblogs.com/jzbysl0910/p/12099191.html
Copyright © 2020-2023  润新知