给大家的福利
零基础入门
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
同时每个成长路线对应的板块都有配套的视频提供:
因篇幅有限,仅展示部分资料
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
目录
简介
含义
密钥管理就是在授权各方之间实现密钥关系的建立和维护的一整套技术和程序。密钥管理是密码学的一个重要分支,也是密码学最重要、最困难的部分,在一定的安全策略指导下完成密钥从产生到最终销毁的整个过程,包括密钥的生成、存储、分配和协商、使用、备份/恢复、更新、撤销、存档和销毁等。
目的
- 对密钥实施有效的管理,保证密钥的**”绝对”安全或实际**安全(安全性);
- 保证密码系统对密钥的使用需求,并能及时维护和保障密钥。(可用性)
原则
明确密钥管理的策略和机制
策略是密钥管理系统的高级指导,而机制是实现和执行策略的技术机构和方法。
全面安全原则
必须对密钥生命周期的各个阶段采取妥善的安全管理。
最小权利原则
只分配给用户进行事务处理所需的最小密钥集合。
责任分离原则
一个密钥应当专职一种功能,不要让一个密钥兼任几种功能。
密钥分级原则
对于一个大的系统,所需要的密钥的种类和数量都很多,根据密钥的职责和重要性,把密钥划分为几个级别。
密钥更换/轮转原则
**密钥必须按时更换。**否则,即使采用很强的密码算法,只要攻击者截获足够多的密文,密钥被破译的可能性就非常大。
密钥应有足够的长度
密钥安全的一个必要条件是密钥有足够的长度。
密钥体制不同,密钥管理也不相同
由于传统密码体制与公开密码体制是性质不同的两种密码,因此它们在密钥管理方面有很大的不同。
密钥生命周期
总览
使用前状态
密钥不能用于正常的密码操作,处于准备阶段。
使用状态
密钥是可用的,并处于在线使用中。
使用后状态
密钥不再正常使用,但为了某种目的对其进行离线访问是可行。
过期状态
密钥不再使用,所有的密钥记录已被删除。
生成
- 密钥的生成一般首先通过密钥生成器借助于某种随机源产生具有较好统计分析特性的序列,以保障生成密钥的随机性和不可预测性,然后再对这些序列进行各种随机性检验以确保其具有较好的密码特性。
- 用户可以自己生成所需的密钥,也可以从可信中心或密钥管理中心申请,密钥长度要适中,至少能够抵御穷举攻击。
- 不同的密码体制或密钥类型,其密钥的具体生成方法一般是不相同的,与相应的密码体制或标准相联系。
存储
- 密钥的安全存储实际上是针对静态密钥的保护;如果密钥不是临时实时产生并一次使用,则必然要经历存储的过程。
- 其目的是确保密钥的秘密性,真实性以及完整性。
重要密钥的保护常用方法:
1.基于硬件的保护:
存入专门密码装置中(如ICCard、USBKey、加密卡等)。
工商的USBKey叫做U盾,博主大学时有一个,后来忘记放在哪里了,找了张网图:
2.基于软件的保护:
1Password、PasswordBox等
建立(分配和协商)
使用
利用密钥进行正常的密码操作,如加密/解密、签名/验证等,通常情况下,密钥在有效期之内授权的用户都可以使用。
应注意使用环境对密钥安全性的影响。
密钥安全使用的原则是不允许密钥以明文的形式出现在密钥设备之外。
备份/恢复
- 密钥备份指密钥处于使用状态时的短期存储,为密钥的恢复提供密钥源。要求安全方式存储密钥,并且具有不低于正在使用的密钥的安全控制水平,不同的密钥,其备份的手段和方式差别较大。(实际应用中非常重要)
注:如果密钥过了使用有效期,密钥将进入存档阶段或销毁阶段,密钥备份也被清除了。 - 当密钥因为人为的操作错误或设备发生故障时可能发生丢失和损坏,因此任何一种密码设备应当具有密钥恢复的措施。从备份或存档中获取密钥的过程称为密钥恢复。
若密钥丧失但其安全未受威胁,就可以用安全方式从密钥备份中恢复。
密钥恢复措施需要考虑恢复密钥的效率问题,能在故障发生后及时恢复密钥。
更新
需要密钥更新的情况:
- 密钥有效期结束;
- 密钥的安全受到威胁;
- 通信成员中提出更新密钥。
现用密钥和新密钥同时存在时应处于同等的安全保护水平下。更换下来的密钥一般情况下应避免再次使用,除将用于归档的密钥及时采取有效的保护措施以外应及时进行销毁处理。
撤销/存档/销毁
- 密钥撤销:若在密钥使用中密钥的安全受到威胁或提前中止,需要将它从正常使用的集合中删除,密钥将进入存档阶段或销毁阶段。
- 密钥存档:当密钥不再使用且保护对象在有效期内时,需要对其进行存档,以便在某种特别需要情况下(如需解密秘密保存的文档等)能够对其进行检索并使用。存档的密钥是离线保存的,处于使用后状态。
- 密钥销毁:如果密钥过了有效期,即处于过期状态,将清除密钥及与该密钥相关的痕迹。
密钥安全审计
密钥管理中的安全审计是对在密钥的生存期中对密钥进行的各种操作及相关事件进行记录,以便及时发现问题,在事故发生后跟踪事故线索,追究事故责任。
密码安全审计记录应包括:
- 实施密钥管理和操作的人员、时间;
- 对密钥管理和操作的内容;
- 存放密钥的载体及标志;
- 可能泄露密钥的行为及涉及密钥安全的事件。
密钥建立
分配
目的
密钥分配就是一种机制,通过这种机制,通信双方中的一方或密钥分配中心选取一个秘密密钥,然后将其传送给通信双方中的另一方。
安全
密钥分配技术是在不让其他人(除密钥分配中心)看到密钥的情况下将一个密钥传递给希望交换数据的双方的方法。
重要
为防止攻击者得到密钥,必须时常更新密钥,密码系统的强度依赖于密钥分配技术。
分配办法
- 事先设置
如果A、B事先已拥有相同的密钥(对称密钥),则其中一方选取新密钥后,用已有的密钥加密新密钥并发送给另一方。 - 分配中心
如果A和B与第三方C分别有一保密信道,则C为A、B选取新密钥后,其中一方把新密钥安全传送给另一方。 - 基于公钥
如果A、B事先有自己的私钥,则其中一方选取新密钥,利用公钥密码技术实现新密钥安全传送。
协商
- 密钥协商是保密通信双方(或更多方)通过公开信道的通信来共同形成秘密密钥的过程。一个密钥协商方案中,密钥的值是某个函数值,其输入量由两个成员(或更多方)提供。
- 密钥协商的结果是:参与协商的双方(或更多方)都将得到相同的密钥,同时,所得到的密钥对于其他任何方都是不可知的
Diffie-Hellman密钥交换方案
前提条件:设p是一个安全的大素数,
g
∈
Z
p
本人从事网路安全工作12年,曾在2个大厂工作过,安全服务、售后服务、售前、攻防比赛、安全讲师、销售经理等职位都做过,对这个行业了解比较全面。
最近遍览了各种网络安全类的文章,内容参差不齐,其中不伐有大佬倾力教学,也有各种不良机构浑水摸鱼,在收到几条私信,发现大家对一套完整的系统的网络安全从学习路线到学习资料,甚至是工具有着不小的需求。
最后,我将这部分内容融会贯通成了一套282G的网络安全资料包,所有类目条理清晰,知识点层层递进,需要的小伙伴可以点击下方小卡片领取哦!下面就开始进入正题,如何从一个萌新一步一步进入网络安全行业。
学习路线图
其中最为瞩目也是最为基础的就是网络安全学习路线图,这里我给大家分享一份打磨了3个月,已经更新到4.0版本的网络安全学习路线图。
相比起繁琐的文字,还是生动的视频教程更加适合零基础的同学们学习,这里也是整理了一份与上述学习路线一一对应的网络安全视频教程。
网络安全工具箱
当然,当你入门之后,仅仅是视频教程已经不能满足你的需求了,你肯定需要学习各种工具的使用以及大量的实战项目,这里也分享一份我自己整理的网络安全入门工具以及使用教程和实战。
项目实战
最后就是项目实战,这里带来的是SRC资料&HW资料,毕竟实战是检验真理的唯一标准嘛~
面试题
归根结底,我们的最终目的都是为了就业,所以这份结合了多位朋友的亲身经验打磨的面试题合集你绝对不能错过!
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
扫一扫
5720
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
