信息加解密技术和密钥管理技术
1.信息加密技术
1.1.数据加密
数据加密作为一种防止未经授权的用户访问敏感信息的技术手段被广泛采用 这种技术手段不仅被视为一种安全策略 更为核心的是构建安全架构的基本要素 研究数据加密这门学科被称为密码学(Cryptography) 它主要包含建立密码体系的技术学以及破解密码的方法论
一般的保密通信模型如图1所示。
图1 保密通信模型
从图中可以看出, 发送端使用加密算法E和密钥K对明文P进行加密转换为密文C, 即 C=E(K,P);接收端采用解码算法D和密钥K对C进行解码恢复出明文P, 即 P=D(K,C)
在加密/解密过程中所使用的函数E和D是公开可用的;其中用于加密/解密的核心参数K则是被机密保护的秘密信息。在传输过程中截获者接收的信息经加密处理后变得难以解读;但另一方面他无法获取到这个核心参数K;在这种情况下实现了对第三方通信的安全防护。
需要强调的是:无论窃取者获取了多少 ciphertext(即密文),但因密文中缺乏足够的信息来确定对应的 plaintext(明文),所以这种密码体系被称为具有无条件安全性 ,也可视为理论上不可破解的体系。
不受任何限制的情况下,在现有的所有密码体制中几乎都并非绝对安全。一种密码是否能够被成功破解往往与所使用的计算资源直接相关。因此,在有限计算能力范围内研究的核心问题就是如何设计出一种能够在合理预算内实现安全可靠的密码系统。
1.2.对称密钥加密算法
在对称密钥加密算法中进行的加密过程与解码过程采用了相同的秘密键,并被统称为共享秘密键算法或对称加密技术。
1)DES(Data Encryption Standard)
2)IDEA(International Data Encryption Algorithm)
3)高级加密算法(Advanced Encryption Standard,AES)
1.3.非对称密钥加密算法
非对称加密算法中采用不同的加密密钥和解密密钥的算法被称为不共享秘密钥匙的系统或非对称密码系统。 RSA(Rivest, Shamir, and Adleman)属于公-key encryption algorithms, 其安全性基于大素数分解的计算上不可行性.
2.密钥管理技术
2.1.对称密钥的分配与管理
密钥分配主要涉及解决两个关键问题:其一是采用自动分配密钥机制以提升系统效率;其二是尽量降低系统中残留的密钥数量。这两个问题也可同时解决。
2.2.公钥加密体制的密钥管理
1)公开发布
公开发布指的是将用户的公钥发送给每个其他用户,并非逐一发送而是向一个群体广播传播。举例而言,在PGP(Pretty Good Privacy)系统中应用RSA算法后,则可以让众多用户将他们的公钥附加至消息中,并将其放入公共区域供他人访问。
此方法虽显易懂, 但存在重大缺陷: 任意一方均可轻易发布公开钥匙. 某人冒充用户 A 并试图通过冒充者的身份发送或广播其公开钥匙, 则在被冒充方察觉之前, 该冒充者即可解码所有发往被冒充方的信息, 即使能利用伪造钥匙完成认证.
2)公用目录表
该公共目录表涉及一个公共的公钥动态目錄表。该共有目錄表由可信赖实体或组织(如公共目錄管理员)负责搭建、維護以及提供公鑰。其缺點在於,當該共有目錄表管理員的秘密密鍵被attack者取得時,同样面對著being spoofed的可能性。
3)公钥管理机构
类似于现有的公共目录表, 但采用了基于公钥的管理机构动态维护用户的公共密匙目錄, 通过更为严格规范地分配公匙的方式, 则有助于提升整体系统的安全性. 特别需要注意的是, 每个用户的公共密匙均可被可靠的认证中心所知晓, 仅由认证中心掌握对应的私有密匙.
当用户A向公钥管理机构提交一个请求时, 该机构对该请求进行回应, 并通过使用其秘密钥SKau对数据包进行加密后返回给A; 随后的步骤中, A使用机构的公开钥来解密这个返回的数据包.
其缺点在于每位用户在想与其他用户联系时必须依赖管理机构的帮助,因此容易导致管理机构成为系统的主要障碍,同时,该系统中用于存储公钥的目录表也容易受到敌方攻击者的干扰
4)公钥证书
公钥证书可以在一定程度上缓解以上策略所存在的局限性。这些证书是由专门机构——CA(Certificate Authority) 为不同用户提供的一种数字认证工具。每个CA通过颁发私有密钥来认证各种数据项,在这些数据中包含与用户匹配的公开密钥以及身份信息和时间戳等关键要素。随后,在整个系统中使用统一的方法对所有数据项进行签名处理后即可生成完整的证书文件。这种形式的具体表示方法是CA=ESKca[T, IDa, PKa]。其中T代表当前的时间戳值,IDa是用户A的身份标识符而PKa则是其公开密钥值SKca表示的是颁发方使用的私有密钥而CA则是颁发方的名字或编号等信息。
该系统采用数字证书的方式实现了双方公共钥的安全交换机制,在不直接依赖公共 key management center(PKM)的情况下完成了密钥认证过程。该流程通过取消中间机构参与减少了潜在的安全隐患,并显著提升了操作效率
2.3.公钥加密分配单钥密码体制的密钥
完成公开钥分配后,在公钥加密体制下进行通信。然而该加密方案具有较低的计算效率因此更适合用于单钥密码体系中的密钥管理如图2所示
图2 密钥分配
