第二章 信息保密技术
目录
前言
信息保密技术是研究对信息进行变换,以防止第三方对信息进行窃取、破坏其保密性的技术。
一、密码算法概述
对称密码算法:也称为单钥密码算法,有序列(流)密码(如RC4算法)和分组密码(DES、AES、SM4——国际商用等)
算法效率:简便、高效
密钥保护:需要安全分发、存储等
应用场景:大量数据加密、消息认证
非对称密码算法:也称双钥密码算法、公钥密码算法,其中一个可以公开的是公钥,另一个保密的仅用户自己使用和拥有的是私钥,有RSA、ECC、D-H、SM2——商用公钥密码算法等
算法效率:复杂、效率较低
密钥保护:公钥可公开,私钥需要加密保护
应用场景:少量数据加密、密钥交换、数字签名
采用非对称密码算法时,公钥可以公开发布,但也存在密钥管理的需要
Hash函数:MD5、SHA系列算法、SM3(国际商用Has算法);应用:密钥分发、消息认证、身份认证等
二、密钥管理概述
根据Kerckhoffs原则,密码体制的保密性取决于密码系统所使用的密钥的安全性。因此,密钥管理是保证密码系统安全性的关键。
密钥保护方法:采用密码技术(加密保护密钥、完整性验证、数字签名、时间戳限定密钥有效期、抵抗重放攻击);采用物理手段(脱机存储密钥、从独立的安全密钥设备中加载密钥);采用组织手段(eg:对称密钥分层管理保护)
密钥生存周期:状态(待激活、激活、挂起)、转换(生成、激活、释放、销毁、再激活)
三、密钥分发技术
密钥分发的安全性:保密性、完整性、可用性、可控性、不可否认性、
可认证性
密钥分发分发方式:人工方式(专人递送、介质拷贝)存在效率问题,一般用于顶层密钥分发;在线方式(点到点——适用于小型网络或系统、
基于中心
——密钥管理中心KMC,密钥分发中心KDC,密钥传递中心KTC(最大限度地降低系统中的密钥量、简化特俗情况下的密钥分发需求)存在问题:中心是瓶颈;解决方法:分域;域间密钥分发;分层KMC)
四、密码算法实现技术
软件方式:密码软件包
硬件方式:密码芯片
五、通信加密技术
链-链加密:数据链路层、物理层
每条链路所有的数据都被加密,较好地抗通信量分析;密钥管理较容易;对用户透明,在线实时加密,可硬件实现;中间节点易受攻击,开销较大
端-端加密:应用层、传输层、网络层
加密数据部分;源端和目的端共享密钥;对用户可见,可软件实现;内部消息是密文;路由信息不能加密,易受通信量分析攻击;密钥管理相对复杂
需要路由存储转发,不加密IP头部;需要保护通信量保密性,要加密IP头部
通信加密技术加密会话密钥,生存周期较短,重点解决如何安全分发问题
六、存储加密技术
基于用户模式:应用程序增加加解密功能;windows下的HOOKAPI;实现简单,易被绕过
基于核心模式:修改驱动程序(文件系统驱动、磁盘驱动)文件过滤驱动技术;实现难度大,可控制、透明加密
加密产品:文件/文件夹主动加密、DEM数字版权管理技术、磁盘加密、透明文件加密
存储加密技术数据加密密钥,生存周期相对较长,解决如何安全存储问题
总结
以上就是今天要讲的内容,本文仅仅对信息保密技术做了简单概述