安全体系
2020-10-26 19:33:46 0 举报
AI智能生成
为你推荐
查看更多
安全
作者其他创作
大纲/内容
数字签名
数字签名(又称公钥数字签名、电子签章)是一种类似写在纸上的普通的物理签名,但是使用了公钥加密领域的技术实现,用于鉴别数字信息的方法。一套数字签名通常定义两种互补的运算,一个用于签名,另一个用于验证
数字签名是非对称密钥加密技术与数字摘要技术的应用
签名
普通数字签名算法
RSA
ElGamal
Fiat-Shamir
Guillou- Quisquarter
Schnorr
Des/DSA
椭圆曲线数字签名算法
有限自动机数字签名算法
特殊签名
盲签名
代理签名
群签名
不可否认签名
公平盲签名
门限签名
具有消息恢复功能的签名
算法类型
密码生成算法
标记算法
验证算法
功能
数字签名保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生
数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送者的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性
CA
一个完整地PKI系统是由认证机构、密钥管理中心(KMC)、注册机构、目录服务、以及安全认证应用软件、证书应用服务等部分组成,其中认证机构(Certification Authority,CA)在PKI系统中居于核心地位。
国内分类
第一类是行业性的CA
中国金融认证中心(CFCA)
海关CA
商务部CA(国富安CA)
以上CA是由相应行业的主管部门牵头建立的
第二类是地方性CA
北京CA
上海CA
浙江CA
这些CA是由当地地方政府牵头建立的
第三类CA是商业性CA
天威诚信CA
这类CA进行商业化经营,并不从属于任何行业或地域,但它们也必须具有良好的公信力,必须由国家主管部门审批通过才能投入运营,以确保其权威、公正性
组成部分
CA服务器:这是CA的核心,是数字证书生成、发放的运行实体,同时提供发放证书的管理、证书废止列表(CRL)的生成和处理等服务
证书下载中心:该中心连接在互联网上,用户通过登录CA网站访问证书下载中心,CA服务器生成的证书通过证书下载中心供用户下载。
目录服务器:它的功能是提供数字证书的存储,以及数字证书和证书撤销列表(CRL)的查询。业者有时把它称为”LDAP”,这是因为目录服务的技术标准遵循LDAP (轻量级目录访问协议)的缘故。
OCSP服务器:该服务器向用户提供证书在线状态的查询
证书注册机构(Registration Authority,RA):它负责受理证书的申请和审核,其主要功能是接受客户证书申请并进行审核。 RA主要是远程的,CFCA的RA部署在各家用户银行、税务机关、或企业所在地。因为,这样一方面便于进行客户资料的审查,另一方面也便于银行将证书与客户的帐号进行绑定,以实现认证。但即使RA部署在远程所在地,这些RA也仍然是CA的组成部分。
基本功能
签发数字证书(最重要)
CA密钥的管理
接受证书申请,审核申请者身份
证书管理
提供证书和证书状态的查询
安全体系
加密算法
对称加密
单秘钥加密/秘钥加密
常用算法
DES
3DES
AES
RC2/4/5
TDEA
IDEA
SKIPJACK
优缺点
优点
算法公开
计算量小
加密速度快
加密效率高
缺点
数据发送前,双方必须协商好秘钥
每对用户秘钥唯一,秘钥数量巨大,管理秘钥成负担
一方秘钥泄露就不安全
非对称加密
公钥和私钥
原理
将两个大质数相乘十分容易,但是想要对其乘积进行因式分解却极其困难,因此可以将乘积公开作为加密密钥。
数学基础
到素数、互质数、欧拉函数、模运算等简单的数学知识
Elgamal
背包算法
Rabin
ECC
D-H
安全性更好
公钥公开,秘钥自己保存,不需要像对称加密那样在通信之前要先同步密钥
加密和解密花费时间长
速度慢
只适合对少量数据进行加密
一般来说,非对称加密是用来处理短消息的
不可逆加密
不可逆加密算法的特征是加密过程中不需要使用密钥,输入明文后由系统直接经过加密算法处理成密文,这种加密后的数据是无法被解密的,只有重新输入明文,并再次经过同样不可逆的加密算法处理,得到相同的加密密文并被系统重新识别后,才能真正解密
数字摘要
数字摘要是将任意长度的消息变成固定长度的短消息,它类似于一个自变量是消息的函数,也就是Hash函数
数字摘要就是采用单项Hash函数将需要加密的明文“摘要”成一串固定长度(128位)的密文这一串密文又称为数字指纹,它有固定的长度,而且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致
算法
SHA:Secure Hash Algorithm
MD5(MD Standards for Message Digest)
一个Hash函数的好坏是由发生碰撞的概率决定的
如果攻击者能够轻易地构造出两个消息具有相同的Hash值,那么这样的Hash函数是很危险的
0 条评论
回复 删除
下一页