"网络加密与密钥管理"主要介绍了网络加密与密钥管理的各个方面,包括网络加密的四种模式、密钥管理的基本概念、密钥的生成与分配方法、密钥的保护、存储与备份、层次化密钥管理方法以及密钥管理系统的组成。
- 四种网络加密模式的原理、特点:
-
链路加密:对网络中两个相邻节点之间传输的数据进行加密保护,所有消息在传输之前被加密,每个节点先解密再加密后传输。适用于点对点同步或异步线路,但存在密钥分配和管理的高成本问题。
-
节点加密:不允许消息在网络节点以明文形式存在,先解密再加密,报头和路由信息以明文传输。适用于防止攻击者分析通信业务,但报头和路由信息的安全性较弱。
-
端到端加密:对一对用户之间的数据连续保护,各对用户采用相同密码算法和密钥,中间节点无法解密。适用于保护数据传输过程中的安全性,减少密码设备数量。
-
混合加密:结合链路加密和端到端加密的特点,根据具体情况选择合适的加密方式。
- 密钥管理的基本概念:
- 密钥管理涉及密钥从产生到销毁的整个过程,包括生成、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、撤销和销毁等内容。
- 密钥管理的目标是维持系统中各实体之间的密钥关系,抗击各种可能的威胁,如密钥泄漏、确证性丧失和未经授权使用。
- 密钥的生成与分配方法:
- 密钥可以通过手工方式或自动生成器产生,生成算法的强度非常关键。
- 密钥分配的基本方法包括基本方法、密钥分配工具和可信第三方(TTP)等。
- 密钥的保护、存储与备份:
- 密钥的安全保密是密码系统安全的重要保证,必须以加密形式存储。
- 密钥备份是必要的,可以通过共享密钥协议或加密后封存。
- 层次化密钥管理方法:
- 通过少量动态产生的数据加密密钥保护大量数据,数据加密密钥又可由相对不变的密钥或主机主密钥保护。
- 只有极少数密钥以明文形式存储在有严密物理保护的主机密码器件中,其他密钥则以加密后的密文形式存储。
- 密钥管理系统组成:
- 密钥管理系统负责密钥整个生存期的管理,包括预运行、运行、后运行和报废四个阶段。
- 系统包括用户注册、初始化、密钥生成、输入、注册、正常使用、备份、更新、档案、注销与销毁、恢复和吊销等12个工作步骤。
- 密钥管理系统需要初始化过程,提供初始化安全信道支持自动化建立工作密钥。