加密与认证技术
一、对称密钥加密体制
1.1 凯撒加密
思想:每个字母都用字母表中向左移动一个固定数字的字母替代。
1.2 置换加密
思想:按某一规则重新排列数据中的字符。
二、非对称密钥加密体制
非对称密钥加密算法有以下几个特征:
- 仅仅掌握密码算法和加密密钥是极其困难地判断出解密密钥的
- 对于绝大多数地公开密钥加密机制,公钥和私钥 以用于加密,另一个用于解密
- 非对称密钥加密速度非常慢
目前常用的加密算法是 RSA:
- 选择两个大素数 p 和 q c(保密)。选择的值越大,RSA 越难于攻破,但是执行加密和解密所用的时间也越长
- 计算,n = pq,欧拉函数 f(n) = (p - 1)(q - 1)
- 随机选择一个小于 n 的数 e,且要求 e 和 f(n) 互质
- 找到一个数 d,使得 ed - 1 可以被 f(n) 整除,即满足 d x e mod f(n) = 1,其中,n 和 d 也要互质
三、密钥分配技术
证书权威机构(CA)把一个特定实体与其公开密钥绑定在一起。
CA 负责完成以下任务:
- 验证一个实体的真实身份
- 在验证了某个实体的身份后,CA 生成一个把该实体的身份和公开密钥绑定到一起的证书,这个证书包含这个公开密钥和公开密钥所有者全局唯一的身份标识信息。由 CA 通过数字签名技术对这个证书进行签名
- 在实际的对称密钥加密体制中,由 CA 完成对用户身份及其公开密钥的确认
- CA 一般由政府出资建立,任何用户都可获取
四、数字签名技术
数字签名过程:先使用 hash 函数对要签名的消息进行处理并生成消息摘要,然后对消息摘要进行签名。
发送方,进行数字签名的创建:
- 使用 hash 函数对要发送的消息进行运算,生成消息摘要。
- 发送方用自己的私有密钥,利用非对称密钥加密算法对生成的消息摘要进行数字签名。
- 发送方将消息本身和已经进行数字签名的消息摘要发送给接收方。
接收方,数字签名的验证:
- 使用与发送方相同的 hash 函数,对收到的消息进行运算,重新生成消息摘要。
- 接收方使用发送方的公钥对接受到的消息摘要解密。
- 将解密的消息摘要与重新生成的消息摘要进行对比,以判断消息在发送过程中是否被篡改。
五、SSL 协议
六、防火墙技术
防火墙是把一个组织的内部网络与整个 Internet 隔离开来的软件和硬件的组合,它允许一些分组通过,也禁止一些数据分组通过。
防火墙的主要任务:
- 组织非授权用户访问敏感数据
- 允许合法用户无障碍地访问内部网络资源
6.1 网络层防火墙
典型技术:分组过滤技术,也就是检查进入网络的分组,将不符合预先设定标准的分组丢掉,而让符合标准的分组通。
6.2 应用层网关防火墙
应用层网关防火墙用于控制对应用程序的访问,即允许访问某些应用程序而阻止访问其他应用程序。采用的方法是在应用层网关上安装代理软件,每个代理模块分别针对不同的应用。