一、网络加密的方式及实现
链路加密:报头以密文传输,中间节点存在明文。开销大,需要对链路两端的加密设备进行系统同步。
节点加密:报头以明文传输,中间节点不存在明文。开销大,需要对链路两端的加密设备进行系统同步。
端到端加密:报头以明文传输,中间节点不存在明文。开销小,无需系统同步。
链路与端到端混合加密:报头以密文传输,中间节点不存在明文。开销大,需要对链路两端的加密设备进行系统同步。
二、密钥管理
密钥的种类
- 基本密钥:kp(Base Key),在较长时间由一对用户专用的密钥
- 会话密钥:ks(Session Key),两个通信终端用户在一次通话或交换数据时所用的密钥
- 密钥加密密钥:ke(Key Encrypting Key),用于对传送的会话或文件加密进行加密的密钥
- 主机主密钥:km(Host Master Key),对密钥加密密钥进行加密的密钥,存于主机处理器中
密钥认证的分类
- 隐式密钥认证
- 密钥确证
- 显式密钥认证
三、密钥分配
密钥分配的方法
- 利用安全信道实现密钥传递
- 利用双钥体系建立安全信道传递
- 利用特定的物理现象(量子传递)实现密钥传递
密钥分配的模式
- 点对点密钥管理
- 中心密钥管理
四、可信第三方TTP
可信第三方的三种工作模式:联机,脱机,协调
TTP功能
密钥服务器、密钥管理设备、密钥查阅服务、时戳代理、仲裁代理、托管代理
密钥交换协议
- 采用单钥体制的密钥建立协议:通信双方需要依赖Trent,他的安全性也完全依赖于Trent,Trent可能成为影响系统性能的瓶颈。
- 采用双钥体制的密钥交换协议:通信双方的公钥被可信第三方签名后存入数据库中。不能阻挡中间人攻击。
- 连锁协议(一半密文传输):可以抵挡中间人攻击,中间人既不能对一半密文解密,也不能用一方的公钥加密。
- 采用数字签名的密钥交换:可以防止中间人攻击
- 密钥和消息广播:与多人通信
- Diffie-hellman密钥交换协议:不能抵抗中间人攻击,没有对通信双方的身份进行验证。
五、密钥保护
- 终端密钥保护
- 主机密钥保护
- 密钥分级保护管理法
按照协议的功能分类,密钥协议可以分为认证建立协议,密钥建立协议,认证的密钥建立协议
网络安全概论——网络加密与密钥管理
原文:https://www.cnblogs.com/wkfvawl/p/14360337.html
