PKI
基础设施采用证书管理公钥,通过第三方的可信任机构--认证中心,把用户的公钥和用户的其他标识信息捆绑在一起,在Internet网上验证用户的身份。PKI基础设施把公钥密码和对称密码结合起来,在Internet网上实现密钥的自动管理,保证网上数据的安全传输。
从广义上讲,所有提供公钥和数字签名服务的系统,都可叫做PKI系统,PKI的主要目的是通过自动管理密钥和证书,可以为用户建立起一个安全的网络运行环境,使用户可以在多种应用环境下方便的使用加密和数字签名
技术,从而保证网上数据的机密性、完整性、有效性,数据的机密性是指数据在传输过程中,不能被非授权者偷看;数据的完整性是指数据在传输过程中不能被非法篡改;数据的有效性是指数据不能被否认。一个有效的PKI系统必须是安全的和透明的,用户在获得
加密和数字签名服务时,不需要详细地了解PKI是怎样管理证书和密钥的,一个典型、完整、有效的PKI应用系统至少应具有以下部分:
公钥密码证书管理。
黑名单的发布和管理。
密钥的备份和恢复。
自动更新密钥。
自动管理历史密钥。
支持交叉认证。
由于PKI基础设施是目前比较成熟、完善的Internet
网络安全,国外的一些大的网络安全公司纷纷推出一系列的基于PKI的网络安全产品,如美国的Verisign, IBM ,加拿大的Entrust、SUN等安全产品供应商为用户提供了一系列的客户端和端的安全产品,为的
发展以及政府办公网、EDI等提供了安全保证。简言之,PKI(Public Key Infrastructure)公钥基础设施就是提供公钥加密和数字签名服务的系统,目的是为了管理密钥和证书,保证网上数字信息传输的机密性、真实性、完整性和不可否认性。
1.单钥密码算法(加密)
单钥密码算法,又称对称密码算法:是指加密密钥和解密密钥为同一密钥的密码算法。因此,信息的发送者和信息的接收者在进行信息的传输与处理时,必须
共同持有该密码(称为对称密码)。在对称密钥密码算法中,加密运算与解密运算使用同样的密钥。通常,使用的加密算法比较简便高效,密钥简短,破译极其困
难;由于系统的保密性主要取决于密钥的安全性,所以,在公开的计算机网络上安全地传送和保管密钥是一个严峻的问题。最典型的是DES(Data
Encryption Standard)算法。
DES(Data Encryption Standard,标
准)算法,它是一个分组加密算法,它以64 bit位(8 byte)为分组对数据加密,其中有8 bit奇偶校验,有效密钥长度为56
bit。64位一组的明文从算法的一端输入,64位的密文从另一端输出。DES是一个对称算法,加密和解密用的是同一算法。DES的安全性依赖于所用的密
钥。
密钥的长度为56位。(密钥通常表示为64位的数,但每个第8位都用作奇偶校验,可以忽略。)密钥可以是任意的56
位的数,且可以在任意的时候改变。其中极少量的数被认为是弱密钥,但能容易地避开它们。所有的保密性依赖于密钥。简单地说,算法只不过是加密的两个基本技
术--混乱和扩散的组合。DES基本组建分组是这些技术的一个组合(先代替后置换),它基于密钥作用于明文,这是众所周知的轮(round)。DES有
16轮,这意味着要在明文分组上16次实施相同的组合技术。此算法只使用了标准的算术和逻辑运算,而其作用的数也最多只有64位。
DES对64位的明文分组进行操作,通过一个初始置换,将明文分组分成左半部分和右半部分,各32位长。然后进行16轮完全相同的运算,这些运算被
称为函数f,在运算过程中数据与密钥结合。经过16轮后,左、右半部分合在一起经过一个末置换(初始置换的逆置换),这样该算法就完成了。在每一轮中,密
钥位移位,然后再丛密钥的56位中选出48位。通过一个扩展置换将数据的右半部分扩展成48位,并通过一个异或操作与48位密钥结合,通过8个s盒将这
48位替代成新的32位数据,再将其置换一次。这四步运算构成了函数f。然后,通过另一个异或运算,函数f输出与左半部分结合,其结果即成为新的右半部
分,原来的右半部分成为新的左半部分。将该操作重复16次,便实现了DES的16轮运算。
阅读(1826) | 评论(0) | 转发(0) |