网络安全 | 密码基础知识介绍

概述

密码介绍

安全问题

1. 保密性：对发送的消息进行获取
2. 完整性：对发送的消息进行篡改
3. 身份伪造：对发送的主体身份进行篡改，a发的消息，篡改为b发的
4. 行为抵赖：对发送的消息进行否认，丧失行为的可追溯性

密码技术

1. 保密性
2. 完整性
3. 真实性
4. 不可否认性

密码发展史

1. 密码起源：狼烟、虎符，基于“密语”
2. 古典密码：凯撒密码、20世纪早期密码机，基于算法的保密
3. 现代密码：密码机、非对称密码，基于密钥的保密
4. 量子密码：基于密钥的保密理论上绝对安全

密码行业分类

1. 商用密码（非涉及国家秘密）：适用于银行、证券、税务、保险、电力、交通、电子商务、电子政务外网、企业集团等。
2. 普密（党政机关/军工涉及国家秘密）
3. 核密（国家领导）

名称解释

密码

1. 泛指“密码技术”
2. 从功能上看：密码技术主要包括加密保护技术和安全认证技术。
3. 从内容上看：密码技术主要包括密码算法、密钥管理和密码协议。
4. 密码算法：对称算法、非对称算法、摘要算法、随机数生成算法。

明文

需要安全传输的算法

密文

明文经过密码变换后的乱码信息

加密

由明文到密文的过程

解密

从密文恢复出明文的过程

加密算法

对明文进行加密时采用的一组规则

解密算法

对密文进行解密时采用的一组规则

密钥

加密和解密时使用的一组秘密信息

加解密过程介绍

加密

解密

密码算法

密码算法分类

国密算法

1. 对称密码算法：SM1、SM4、SM6
2. 非对称密码算法：SM2
3. 密码杂凑算法：SM3

国际算法

1. 对称密码算法：DES、3DES、AES
2. 非对称密码算法：RSA
3. 密码杂凑算法：SHA1

对称算法

概念

使用相同的密钥进行加密与解密的算法

过程

特点

1. 性能：速度快。
2. 密钥管理：共享密钥，加密和解密使用的相同的密钥。
3. 使用场景：快速的加密、解密。

弱点

1. 密钥不便于管理。
2. 每对通信者都需要一对不同的密钥，不适用于大用户量的应用。
3. 不可能和与你不曾谋面的人通信。

非对称算法

概念

1. 使用不同的密钥进行加密与解密的算法。
2. 成对存在，公钥和私钥，私钥可推导出公钥，公钥推导不出私钥。

过程

特点

1. 性能：速度较慢。
2. 密钥管理：加密和解密使用不同密钥，公钥可以公开。
3. 密钥使用：公钥加密，则私钥解密；私钥加密，则公钥解密。
4. 使用场景：小数据量加密、数字签名、密钥交换。

弱点

1. 速度慢、资源占用明显。
2. 不适合做大数据量数据加密处理。

摘要算法

概念

将任意长度的数据值映射为固定长度的较小数据值，这个小数据值称为杂凑值（摘要值）

特点

1. 把变长信息映射成定长信息。
2. 不可逆性。
3. 速度较快。
4. 使用场景：完整性校验。如MD5进行档案校验码（Checksum）

杂凑和加密的区别

1. 加密需要密钥，且可以透过解密得到原文。（加密可逆）
2. 杂凑不需密钥，无法逆向解出原始输入。（杂凑不可逆）

组合密码技术

1. 最佳的解决方案：组合密码技术
2. 使用对称算法进行大数据量的数据加密，且每次产生一个新的随机密钥。
3. 使用非对称算法进行签名验签，确认双方身份真实性。
4. 使用摘要算法运算杂凑值。

数字签名和证书

数字签名

概念

签名者使用私钥对待签名数据的杂凑值做密码运算得到的结果，该结果只能用签名者的公钥进行验证，用于确认待签名数据的完整性、签名者身份的真实性和签名行为的抗抵赖性。——《密码术语》（GM/Z 0001-2013）

数字证书概述

概念

1. 数字证书，又叫“数字身份证”、“网络身份证”。
2. 由CA机构发放冰经其认证的，包含拥有者身份信息以及公开密钥相关信息的一种电子文件。
3. 可用来证明数字证书持有者的真实身份，是各类实体（个人、商户、企业、单位等）在网上进行信息交流及商务活动的身份证明，解决相互间的信任问题。
4. 数字证书是一段包含用户身份信息、用户公钥信息以及身份验证机构数字签名的数据，身份验证机构的数字签名可以确保证书信息的真实性。

存储

1. 存储信息：用户的证书、用户的私钥、CA机构根证书。
2. 存储设备：硬盘、智能IC卡、TF卡/SD卡、智能密码钥匙（USB Key）

CA和RA

CA

概念

证书认证机构（CA）：是一个负责发放和管理数字证书的权威机构，主要实现：证书发放、证书更新、证书撤销和证书验证。

作用

1. 发布本地CA策略。
2. 对下级机构进行认证和鉴别。
3. 产生和管理下属机构的证书。
4. 接收和认证RA证书请求。
5. 签发和管理证书。
6. 发布证书CRL。
7. 交叉认证。

RA

概念

证书注册审批机构（RA）：负责证书申请者的信息录入、审批以及证书发放等工作。

作用

1. 进行用户身份信息的审核，确保其真实性。
2. 本区域用户身份信息管理和维护。
3. 数字证书的下载。
4. 数字证书的发放和管理。
5. 登记黑名单。

CA和RA关系

CA和RA类似于公安厅和派出所的关系。

密码基本功能

1. 加密功能
2. 可信认证功能

商用密码产品

商用密码产品分类

软件

1. 指以纯软件形态出现的密码产品。
2. 如：信息保密软件、密码算法软件、数字证书认证系统软件。

芯片

1. 指以芯片形态出现的密码产品。
2. 如：算法芯片、密码SOC芯片等。
   其中，SOC：System on Chip的缩写，翻译过来就是系统级芯片，也有称片上系统。

板卡

1. 以板卡形态出现，具备完整密码功能的产品。
2. 如：IC卡、USBKEY、PCI-E密码卡、TF卡、MINI、PCI-E卡等。

整机

1. 以整机形态出现，具备完整密码功能的产品。
2. 如：签名服务器、服务器密码机、VPN安全网关等。

系统

1. 以系统形态出现，有密码功能支撑的产品。
2. 如：电子签章系统、密钥管理系统、安全公文传输系统等。

商用密码产品应用案例

确保信息的机密性

1. 存储信息加解密
2. 传输数据加解密

确保信息的可信和抗抵赖

为CA提供密钥服务

确保身份真实性、数据完整性和抗抵赖性