系统架构设计师备考第20天——信息加解密技术&密钥管理技术

一、信息加解密技术

1. 数据加密基础
  • 核心目的:防止未授权访问敏感信息。
  • 密码学分类
    • 密码编码学:设计加密算法(如DES、AES)。
    • 密码分析学:破解加密算法。
  • 保密通信模型
    • 加密 :明文P → 加密算法E + 密钥K → 密文C(C = E(K, P))。
    • 解密 :密文C → 解密算法D + 密钥K → 明文P(P = D(K, C))。
  • 安全性原则:密钥保密是核心,算法可公开。
2. 对称密钥加密算法
  • 特点:加密密钥 = 解密密钥(共享密钥)。
  • 典型算法
    • DES(Data Encryption Standard)
      • 64位明文分块,56位密钥,19轮变换。
      • 弱点:密钥短易被暴力破解(如Diffie-Hellman破解机)。
      • 改进 :三重DES(3DES)使用两把密钥(K1、K2),加密流程:加密(K1)→解密(K2)→加密(K1),等效密钥长度112位。
    • IDEA(国际数据加密算法)
      • 128位密钥,64位分块,8轮迭代,速度快于DES。
    • AES(高级加密标准)
      • 支持128/192/256位密钥,抗攻击性强,取代DES成为新标准(2002年发布)。
3. 非对称密钥加密算法(公钥加密)
  • 特点:加密密钥(公钥)≠ 解密密钥(私钥)。

  • RSA算法原理

    1. 选两个大素数 pq(>100位)。
    2. 计算 n = p × qz = (p-1)(q-1)
    3. 选整数 d 满足 gcd(d, z) = 1
    4. e 满足 e × d ≡ 1 mod z
    • 加密C = P^e mod n(公钥=(e, n))。
    • 解密P = C^d mod n(私钥=(d, n))。
  • 安全性基础:大素数分解困难(如分解500位需10²⁵年)。

  • 应用场景

    • 保密通信:公钥加密 → 私钥解密。
    • 数字签名:私钥加密 → 公钥解密。

二、密钥管理技术

1. 对称密钥分配与管理
  • 核心问题:减少密钥数量 + 自动化分配。
  • 密钥分配方式
    1. 人工分发(物理传递):适用于小规模网络。
    2. KDC(密钥分配中心)
      • 用户与KDC共享主密钥(共需n个)。
      • KDC生成会话密钥(临时使用,通信结束销毁)。
      • 分层KDC:本地KDC管理小范围,全局KDC互联,减少主密钥分布风险。
  • 密钥控制技术
    • 密钥标签:DES中用校验位标识密钥用途(主/会话钥、加解密)。
    • 控制矢量:动态字段定义密钥权限,KDC用主密钥异或哈希值加密会话密钥。
2. 公钥加密体制的密钥管理
  • 分配方式
    • 公开发布:用户广播公钥(易被伪造,如PGP)。
    • 公用目录表:可信机构维护动态公钥目录(管理员密钥泄露则系统崩溃)。
    • 公钥管理机构:集中管理公钥,易成系统瓶颈。
    • 公钥证书(CA)
      • 证书内容 :用户ID、公钥、时戳 + CA私钥签名(CA = E_{SK_{CA}}[T, ID_A, PK_A])。
      • 验证:用CA公钥解密证书,确保公钥真实性(避免伪造)。
3. 公钥加密分配会话密钥(混合机制)
  • 步骤 (A与B通信):
    1. A → B:E_{PK_B}(ID_A, N1)
    2. B → A:E_{PK_A}(N1, N2)
    3. A → B:E_{PK_B}(N2)
    4. A → B:E_{PK_B}(E_{SK_A}(KS))(会话密钥KS)。
    5. B解密获得KS。
  • 优势:兼具保密性(防窃听)和认证性(防冒充)。

三、核心考点与典型考题

考点提炼
  1. 对称 vs 非对称加密:密钥管理方式、速度、适用场景对比。
  2. RSA算法:密钥生成步骤(p/q选择、n/z计算、e/d关系)。
  3. KDC架构:主密钥与会话密钥分工、分层设计意义。
  4. 公钥证书:CA签名机制、时戳作用、防伪造原理。
  5. 混合密钥分配:5步流程的保密性与认证性设计。
典型考题
  1. 选择题

    以下哪种密钥分配方式可减少系统中驻留的密钥数量?

    A. 人工分发

    B. 无KDC的密钥分配

    C. KDC分配会话密钥
    答案:C(KDC只需n个主密钥)。

  2. 简答题

    简述RSA算法中公钥(e,n)和私钥(d,n)的生成步骤。

    ① 选大素数p、q;

    ② 计算n=p×q,z=(p-1)(q-1);

    ③ 选d满足gcd(d,z)=1;

    ④ 选e满足e×d≡1 mod z。

  3. 场景分析题

    若攻击者篡改公用目录表中的公钥,会引发什么风险?如何解决?
    :风险:用户可能使用伪造公钥通信,导致信息泄露。

    解决:采用公钥证书(CA签名验证),确保公钥真实性。


四、总结图示

plaintext 复制代码
加解密技术
├─ 对称加密(DES/3DES/AES):速度快,密钥管理复杂
├─ 非对称加密(RSA):密钥分配简单,速度慢
└─ 应用场景:对称加密数据 + 非对称加密密钥

密钥管理
├─ 对称密钥:KDC分层管理,会话密钥临时使用
├─ 公钥管理:CA证书防伪造
└─ 混合分配:公钥加密会话密钥,兼顾效率与安全

TIP :重点理解RSA数学原理KDC架构设计证书验证流程,这些是考试高频考点!

相关推荐
文火冰糖的硅基工坊2 小时前
[创业之路-645]:手机属于通信?还是属于消费类电子?还是移动互联网?
网络·智能手机·系统架构·通信·产业链
Tadas-Gao4 小时前
微服务可观测性的“1-3-5”理想:从理论到实践的故障恢复体系
java·开发语言·微服务·云原生·架构·系统架构·可观测
做运维的阿瑞8 小时前
Python核心架构深度解析:从解释器原理到GIL机制全面剖析
开发语言·python·架构·系统架构
lypzcgf18 小时前
Coze源码分析-资源库-编辑插件-后端源码-领域/数据访问层
系统架构·插件·coze·coze源码分析·智能体平台·ai应用平台·agent平台
做运维的阿瑞1 天前
从入门到精通:Django的深度探索之旅
开发语言·后端·python·系统架构·django
做运维的阿瑞1 天前
Python原生数据结构深度解析:从入门到精通
开发语言·数据结构·后端·python·系统架构
文火冰糖的硅基工坊2 天前
[创业之路-640]:通信行业供应链 - 通信网的发展趋势:IP化统一 、云网融合 、算网协同 、FMC(固定移动融合)、空天地一体化
网络·网络协议·tcp/ip·系统架构·通信·产业链
谱写秋天2 天前
软考-系统架构设计师*数据库基本概念详细讲解
数据库·系统架构·软考架构师
腾飞开源2 天前
01_系统架构设计
人工智能·系统架构·情感分析·工具调用·ai智能体·意图识别·智能路由
WPG大大通2 天前
从数据到模型:Label Studio 开源标注工具完整实施指南
经验分享·笔记·ai·系统架构·开源·大大通