加密技术和认证技术
1. 加密技术
密钥加密技术的密码体制分为对称密钥体制
和非对称密钥体制
。
数据加密的技术分为两类,即对称加密
(私人密钥加密)和非对称加密
(公开密钥加密)。
1-1 对称加密算法
文件加密和解密使用相同的密钥。
常用的对称加密算法:
-
数据加密标准算法简称
DES
:运算速度块、密钥产生容易;适合在当前大多数计算机上用软件方法实现;适合于在专用芯片上实现。 -
三重DES(3DES或TDEA):在 DES 的基础上采用三重DES,密钥长度加倍;发送方式,K1加密–>k2解密–>K1加密;接收方式,K1解密–>k2加密–>K1解密
-
RC-5:是在RCF2040中定义的
-
国际数据加密算法(IDEA):密钥为 128位置;是一种据库块加密算法
-
高级加密标准(AES)算法:基于排列(对数据进行重新安排)和置换(将一个数据单元替换为另一个)运算。AES 是一个迭代的、对称密钥分组的密码,可使用 128、192和256位密钥。
扫描二维码关注公众号,回复: 14236488 查看本文章
1-2 非对称加密算法
因为加密和解密使用的是两个不同的密钥。非对称加密算法需要两个密钥:公开密钥
和私有密钥
。若使用公开密钥进行加密则私有密钥才能解密;反之;
优缺点
:保密性好;加密和解密花费的事件长、速度慢,不适合对文件加密,适合少量数据加密。
RSA算法
是一种公钥加密算法;安全性是基于大素数分解的困难性能。
1-3 秘钥管理
包括密钥生产
、密钥备份和恢复
、密钥更新
等
-
密钥生产
密钥对的产生是证书申请中的一步,产生的私密由用户保留,公密由和其他信息交给CA中心进行签证,从而产生证书。普通/测试证书由浏览器或固定的终端应用产生。重要(商家证书、服务器证书)的证书,一般由专用应用或CA中心直接产生。 -
密钥备份和恢复
在 PKI(公开密钥体系) 系统中,即使密钥丢失,使用 PKI 的企业和组织必须仍能得到确认,受密钥保护的重要信息也必须能够恢复。 -
密钥更新
对没和由CA颁发的证书都会有有效期,密钥对生命周期的长短由签发证书的CA中心来确定,各证书的有效期都不同。 -
多密钥的管理
Kerberos 建立了一个安全的、可信任的密钥中心(KDC),每个用户只要知道一个和KDC进行会话的密钥就可以了。
2. 认证技术
主要解决网络通信过程中通信双方的身份认可。涉及加密(对称加密、不对称加密、两种混合)和密钥交换。认证一般有账户名/口令认证
、使用摘要算法认证
和基于PKI认证
。
- 认证机构:数字证书的申请及签发机关(CA);
2-1 关键绩效指标(PKI)
-
PKI 的主要目的:通过自动管理密钥和证书为用户建立一个安全的网络运行环境,是用户可以在多种环境下方便的使用加密和数字签名技术,保证网上数据的机密性、完整性和有效性。
-
PKI标准化主要有两方面:
- 1、RSA 公司的公钥加密标准;
- 2、一组具有互操作性的公钥基础设施协议;
2-2 Hash 函数与信息摘要
信息摘要:简要地描述一份较长的信息或文件。用于创建数字签名(是唯一的)。
例子:MD5(MD表示信息摘要)
- MD5(MD表示信息摘要):是被广泛应用的 Hash 函数。特点:压缩性(长度固定)、容易计算、抗修改性、强抗碰撞。
2-3 数字签名
-
数字签名过程
信息发送者对信息生成信息摘要–>信息发送者使用私钥签名信息摘要–>把信息本身和已签名的信息摘要一起发送出去–>(使用同一个散列函数)接收者对信息本身生成新的信息摘要,并使用公钥对信息摘要进行验证。 -
数字加密过程:
- 1、信息发送者需要生成一个对称密钥,用该密钥加密要发送的报文。
- 2、信息发送者用接收者的公钥加密对称密钥。
- 3、数字信封:步骤1和步骤2结合在一起的结果。
- 4、接收者使用私钥解密被解密的对称密钥,再用对称密钥解密被加密的密文,得到原文。
-
总结:数字加密是多对一的关系;任何知道公钥的人都可向接收方发送加密信息;采用对称加密算法和非对称加密算法,保证发送信息的保密性。
2-4 SSL 协议
SSL 是安全套接层,主要用于提高应用程序之间数据的安全系数。是一个保证计算机通信安全的协议。
提供以下3方面的服务:
- 1、用户和服务器的合法性认证。
是它们确信数据被送到正确的客户端和服务器上。验证用户的合法性,安全套层协议要求在握交换数据时,进行数字认证。 - 2、加密数据易隐藏被发送的数据。
在客户端与服务器进行数据交换之前,交换SSL初始握手信息,在 SSL 握手信息中采用了各种加密技术对其加密,保证其机密性和数据完整性,并用数字证书进行鉴别,防止破译。 - 3、保护数据的完整性。
安全套接层协议采用 Hash 函数和机密共享的方法来提供信息的完整性服务,建立客户端与服务器之间的安全通道。
- 主要经过的阶段:
接通(服务响应)–>密码交换–>会谈密码–>检验–>结束。
发送时,信息用对称密钥加密,对称密钥用非对称算法加密,再把两个包捆绑在一起送过去。
2-4 数字事件戳技术
是数字签名技术的一种变种应用。
-
数字时间戳服务(DTS)
是网上电子商务安全服务项目之一,提供电子文件的日期和时间信息的安全保护。
是一个经加密后形成的凭证文档。 -
包括如下3步骤:
文件的摘要–>DTS收到文件的日期和时间–>DTS的数字签名