資源描述:
《網(wǎng)絡安全6密碼運用與密碼管理》由會員上傳分享�����,免費在線閱讀�����,更多相關(guān)內(nèi)容在行業(yè)資料-天天文庫�����。
1�����、第六章密碼應用與密碼管理6.1密碼應用信息加密����、認證和簽名流程加密保障機密性認證保證完整性簽名保證抗否認性消息鏈接摘要算法簽名算法消息摘要簽名私鑰時間戳消息消息簽名加密算法會話密鑰密文發(fā)送消息簽名認證及簽名加密��、認證和簽名流程6.1.2加密位置鏈路加密底層加密:數(shù)據(jù)鏈路層����、網(wǎng)絡層每經(jīng)過一個交換機都要解密端—端加密高層加密:會話層��、傳輸層在不同層的加密有不同的協(xié)議6.2密鑰管理所有的密碼技術(shù)都依賴于密鑰�����。密鑰的管理本身是一個很復雜的課題����,而且是保證安全性的關(guān)鍵點。密鑰管理方法因所使用的密碼體制(對稱密碼體
2���、制和公鑰密碼體制)而異����。密鑰生成算法的強度����、密鑰的長度�����、保密及安全管理密鑰具有生命周期密鑰管理的目的目的:維持系統(tǒng)中各實體之間的密鑰關(guān)系,以抗擊各種可能的威脅:密鑰的泄露秘密密鑰或公開密鑰的身份的真實性喪失未經(jīng)授權(quán)使用6.2.2密鑰的分類基本密鑰(BaseKey)又稱初始密鑰(PrimaryKey)��,用戶密鑰(Userkey)��,是由用戶選定或由系統(tǒng)分配給用戶的��,可在較長時間(相對于會話密鑰)內(nèi)由一對用戶所專用的密鑰����。會話密鑰(SessionKey)即兩個通信終端用戶在一次通話或交換數(shù)據(jù)時使用的密鑰。當它
3���、用于加密文件時���,稱為文件密鑰(Filekey),當它用于加密數(shù)據(jù)時����,稱為數(shù)據(jù)加密密鑰(DataEncryptingKey)。密鑰類型2密鑰加密密鑰(KeyEncryptingKey)用于對會話密鑰進行加密時采用的密鑰��。又稱輔助(二級)密鑰(SecondaryKey)或密鑰傳送密鑰(keyTransportkey)。通信網(wǎng)中的每個節(jié)點都分配有一個這類密鑰���。主機主密鑰(HostMasterKey)它是對密鑰加密密鑰進行加密的密鑰���,存于主機處理器中。6.2.3密鑰長度的選擇原則原則:既保證系統(tǒng)的安全性��,又不至
4���、于開銷太高�����。對稱密碼的密鑰長度公鑰密碼的密鑰長度對稱密碼的密鑰長度假設算法的保密強度足夠的��,除了窮舉攻擊外�,沒有更好的攻擊方法�����。窮舉攻擊是已知明文攻擊����。窮舉攻擊的復雜度:密鑰長為n位�,則有2n種可能的密鑰��,因此需要2n次計算����。密鑰長度與�窮舉破譯時間和成本估計密鑰的搜索速度由計算機資源確定�。串行搜索下,由計算機的計算時間決定����。并行搜索由空間復雜性和各計算機的計算能力決定。統(tǒng)計的觀點某種計算資源破譯需要一年時間,在一個月內(nèi)破譯的可能性8%,若窮舉需要一個月時間,則一小時內(nèi)破譯的可能性是0.14%破譯56位
5���、DES的成本單位:美元1.使用網(wǎng)絡計算機的空閑時間使用40個工作站的空閑時間在一天內(nèi)完成了對234個密鑰的測試�。一個40臺計算機的網(wǎng)絡�,每臺每秒執(zhí)行32000次加密,系統(tǒng)可用1天時間完成40位密鑰的窮舉攻擊��。2.使用攻擊病毒:軟件攻擊各種類型數(shù)據(jù)所需密鑰長度1.所保存信息的價值2.信息保密的時間3.信息的攻擊者及其使用的設備和資源的情況公開密鑰密碼體制的密鑰長度兩種體制密鑰長度的對比6.2.4密鑰的產(chǎn)生和裝入密鑰的產(chǎn)生手工/自動化選擇密鑰方式不當會影響安全性1)使密鑰空間減小2)差的選擇方式易受字典式攻
6�����、擊攻擊者并不按照數(shù)字順序去試所有可能的密鑰����,首先嘗試可能的密鑰�����,例如英文單詞���、名字等。(DanielKlein使用此法可破譯40%的計算機口令)����,方法如下:用戶的姓名、首字母����、帳戶名等個人信息alice從各種數(shù)據(jù)庫得到的單詞salary數(shù)據(jù)庫單詞的置換yralas數(shù)據(jù)庫單詞的大寫置換SALARY對外國人從外國文字試起catlove嘗試詞組howareyou數(shù)字組合19851212好的密鑰的特點真正的隨機、等概避免使用特定算法的弱密鑰雙鑰系統(tǒng)的密鑰必須滿足一定的關(guān)系選用易記難猜的密鑰較長短語的首字母��,詞組
7�、用標點符號分開不同等級的密鑰的產(chǎn)生方式不同(1)主機主密鑰安全性至關(guān)重要,故要保證其完全隨機性�、不可重復性和不可預測性?��?捎猛队矌?����、骰子���,噪聲發(fā)生器等方法產(chǎn)生(2)密鑰加密密鑰數(shù)量大(N(N-1)/2),可由機器自動產(chǎn)生,安全算法��、偽隨機數(shù)發(fā)生器等產(chǎn)生(3)會話密鑰可利用密鑰加密密鑰及某種算法(加密算法,單向函數(shù)等)產(chǎn)生。(4)初始密鑰:類似于主密鑰或密鑰加密密鑰的方法產(chǎn)生密鑰的裝入主機主密鑰的裝入:可靠的人在可靠的條件下裝入主機終端主密鑰的裝入會話密鑰的獲取密鑰分配基于對稱密碼體制的密鑰分配基于公開密
8�����、碼體制的秘密密鑰分配幾個密鑰分配方案基于對稱密碼體制的密鑰分配利用安全信道實現(xiàn)利用公鑰密碼體制實現(xiàn)安全信道傳送郵遞或者信使���,安全性取決于信使的忠誠�����,成本高分層����,信使只傳送高級密鑰將密鑰拆成幾部分小型網(wǎng)絡中密鑰共享用戶A用戶A11.A向B發(fā)送請求��,和一個一次性隨機數(shù)N122.B用主密鑰(和A共享)對應答的消息進行加密發(fā)送33.A用新建立的會話密鑰加密F(N2)發(fā)送給B大型網(wǎng)絡中的密鑰共享用戶A用戶AKDC123454:防止A發(fā)出去的消息被人截
