《2022年通信安全的基础知识.docx》由会员分享,可在线阅读,更多相关《2022年通信安全的基础知识.docx(8页珍藏版)》请在taowenge.com淘文阁网|工程机械CAD图纸|机械工程制图|CAD装配图下载|SolidWorks_CaTia_CAD_UG_PROE_设计图分享下载上搜索。
1、精选学习资料 - - - - - - - - - 通信安全的基础性学问作者 : 韩光华 /67370 通信安全的核心是: 1. 保证服务可用, 2. 保证服务 /数据不被非法使用;各式各样的破坏、攻击、监听、入侵等手段,其目的就是以上2点博弈性的反论;常常听到的洪泛攻击、DDOS ,它们只是让服务器瘫痪,但并不产生经济、法律以及个人信息泄露等问题,属于第1点的范畴;而信用卡数据库遭到入侵和泄露、棱镜门中的电话被监听,均涉及到第 2点,即服务 /信息被入侵 /监听后,带来法律、经济等方面的负面影响;应对第 1种攻击和破坏行为的方式,一般是通过规避协议漏洞、特别的攻击场景应对性设计、增强服务器处理
2、性能、增强数据库I/O效率等纯粹的技术手段来实现;本文不进一步阐述; 需要留意的是,服务的可用性,任何系统从架构设计到详细实现,都有一个基础性的才能底线门限; 一旦恳求和任务, 瞬时并发超过这个底线,向一个较陡峭下滑的衰落曲线;系统整体的表现有可能会快速走常常可以听到,加密、X.509 证书、 TLS 、 SSL、HTTPs 、IPSec、AES128 、Radius、篡改、侵入等正反向的名词和概念;这些内容均是和第 2点的 ”服务不被非法使用” 相关;假如期望能精确地懂得这些概念,以及在通信系统、会议系统、互联网业务、甚至到生活中的一些场景的应用, 下面 2个内容最为关键, 一个是对应安全体
3、系的机制性要求, 一个是对应机制的详细实现的核心内容;AAA : - 机制性要求AAA = Authentication, Authorization, Accounting,前 2个与安全强相关;什么是非法使用?就是不合适的人,看到或用到他没有权限的数据或服务;如何区分合适和不合适?就是身份认证;QQ/微信帐号、银行帐号、而身份,有特别多的类型, 如物理性的人类指纹或动物的气味、3G的USIM 、X.509 证书、 SIP的URI 、电话号码等等;在电子化的世界里, 身份一般只能是一串数字或数字与字符结合的特别字串;不同的系统里, 对串的组成和含义,会有不同的特别化定义,典型的如 3G的US
4、IM 和SIP的URI ;认证, 就是对身份的确认,解决安全中的信任问题;对称和非对称,是实现身份认证的机理;而认证的过程,一般都会包括所谓的” Challenge ”过程;银行柜台出示身份证、输入名师归纳总结 QQ帐号和密码登陆系统、信用卡中心的电话密码或客服小姐口头向你确认如干xx问题 ,第 1 页,共 4 页其实这些都是 Challenge/挑战的过程; 最简洁的挑战过程只需要一次,复杂的挑战过程可能会有多次中间夹带随机数并且有双向挑战的场景;在电子化通信场景了,假如身份信息以及- - - - - - -精选学习资料 - - - - - - - - - 证明自己身份的密码或其它证明性信息
5、以明文的形式进行交互,被监听和破解的可能性就会很大;其爱护性的机理措施就是对称和非对称的加 /解密过程;Authorization ,授权;在Challenge的过程中或 Challenge终止后,一般同步完成授权;授权,简洁的说就是具有该身份的人在系统中所拥有的权限和业务有用范畴;与身份对应的权限信息 / 业务信息,大部分系统都是储存在后台数据库当中,在 Radius / Diameter 等鉴权流程后,将权限信息发放给个人和服务器状态掌握器;建议,假如想明白更多的关于AAA 方面的信息,可以参阅IETF 定义的 Radius / Diameter协议,分别为 RFC2865 / RFC35
6、88 ;对称和非对称算法- 机制实现的核心原理内容对称和非对称,背后有高等数论的基础,这里仅介绍其表征性的机理;对称和非对称, 名字本身已经隐含了他们的差异;对称, 简洁的懂得就是通信体在加密 的密钥 /加密算法上拥有完全一样对等信息,称之为对称;而非对称,每个通信体各自有一 个密钥对,一个叫公钥,一个叫私钥;私钥只有通信体自身拥有,任何第三方均不知道;公钥,可以发布给任何第三方;用私钥加密的信息,只能用该私钥对应的公钥可以解开;用公钥加密的信息,只能用该公钥对应的私钥能够解开;对称和非对称,参考下面的图表;图表 1 对称算法名师归纳总结 - - - - - - -第 2 页,共 4 页精选学
7、习资料 - - - - - - - - - 图表 2 非对称算法非对称算法中 , Cat实体拥有自己的密钥对外,它仍可以知道 Panda的公钥; Panda的情形与Cat类似,它拥有自己的密钥对外,仍可以有Cat的公钥;整个流程分为2类:私钥加密 /公钥解 -用于数字签名流程;Panda可以用 Cat的公钥验证明文戳是否由Cat用自己的私钥进行明文加密戳的产生,Cat本身产生的; 明文及明文戳同时传递给Panda, Panda通过比对的方式验证;明文,一般包括 Cat的身份信息及随机数;随机数的意义是规避 Replay攻击 ;公钥加密 /公钥解 -用于加密信息传递;Cat用Panda的公钥进行
8、信息加密,加密后的信息在通信媒介中传递,只有 Panda可以用自己私钥解出最终的明文;以上是对称和非对称最基础性的定义和差异懂得,并且背后有高等数论做支撑;除此之外,对称和非对称仍会有其它一些差异,比如加 /解密的算法执行过程的效率,从 CPU运算时间纬度看, 对称要 优于 非对称算法; 许多系统都是第一用非对称算法进行身份验证,并在身份验证通过基础上,产生一次性的暂时对称加密 Key,用该 Key进行后续信息的加密交互;对称和非对称,除了上面加解密流程性场景外,在真正的商用系统中仍有密钥的产生、发布、 失效回收等一系列的流程;这些流程中也有涉及技术和非技术的因素,如私钥的安全性爱护,并且如发布的难易会影响其可商用性;建议,假如想明白对称和非对称方面进一步信息,可以参阅X.509 、IPSec对应的一些参名师归纳总结 - - - - - - -第 3 页,共 4 页精选学习资料 - - - - - - - - - 考性文件;本文介绍了通信安全的基础性技术和场景,场景因素在日常生活中有着类似的应用;理解了 AAA 和 对称 & 非对称的基础性学问,对于企业网中的安全性需要会有较大的裨益;名师归纳总结 - - - - - - -第 4 页,共 4 页