暗号と応用
10.1暗号化と開発の歴史の概念
暗号の概念10.1.1
- 二つの部分の暗号化暗号と暗号解読を含みます
- メイン暗号符号化情報は、メッセージの暗号化、認証などのために使用され、安全で効果的な暗号化アルゴリズムとさまざまなプロトコルを構築します
- 暗号解読は、暗号解読の情報を取得するために、またはメッセージ偽造の研究であります
- 情報が不正なユーザ、エンティティ、またはプロセスに開示されていないことを秘密保持手段
- データの整合性を指すは、損傷挿入、即ち、許可なしに変更することができないストレージまたは伝送過程に保持される情報は、誤って、または故意に削除されない、修飾、鍛造、スクランブル、再生、およびその他の操作
アクセスを許可することができる情報および情報システムの可用性を確保することであるが、使用してプレスへのエンティティのニーズが特徴
10.1.2暗号学の歴史
- 第一段階:マルチユース文字置換及び交換のための古典的な段階のパスワード暗号化アルゴリズム
- 第二段階:機械式暗号機と、より高度な電気機械暗号機
- 第三段階:現代暗号の開発の初期期間
フェーズIV:公開鍵暗号方式のデータ暗号化規格新時代
10.2暗号化アルゴリズム
10.2.1対称暗号
- 暗号化と復号鍵に同じ、また、単一鍵アルゴリズムと呼ばれます
共通鍵暗号は、多くの場合、ストリーム暗号とブロック暗号アルゴリズムに分かれています
10.2.2非対称暗号化アルゴリズム
- 公開鍵暗号は、数学関数に基づいています
異なる暗号鍵と復号鍵
10.2.3ハッシュ関数
メッセージ認証のための基本的な方法は、主にデジタル署名とメッセージ完全性のために、行われます
10.3サイバースペースのセキュリティ暗号アプリケーション
- 機密性保護
- 完全性保護
- 保護の問題を特定することができる。一般的には、デジタル署名によって達成されます
- 否認防止保護
認証とアクセス制御の問題
10.3.1公開鍵インフラストラクチャ
1.PKI概要
- また、公開鍵インフラストラクチャとして知られています
これは、公開鍵暗号、管理、保管、流通および失効の機能に基づいて、キーと証明書を生成達成するために使用されるハードウェア、ソフトウェア、人員、方針や手続きの集まりです含ま
2.PKIアーキテクチャ
(1)CA
- 主な機能:証明書を発行し、管理します
- CRLの発行と管理
RAの確立、監査および管理
(2)RA
- その信憑性を確保するため、監査ユーザID情報、
- 地域内のユーザー識別情報の管理とメンテナンス
- デジタル証明書をダウンロード
- デジタル証明書を発行し、管理します
登録ブラックリスト
(3)デジタル証明書
- 証明書のボディは、一般的に次のものがあります。
- バージョン:バージョンの識別証明書
- シリアル番号
- 署名アルゴリズム識別子
- 発行者
- 妥当性
- プリンシパル名
- ボディ公衆
- 発行者固有の識別子
- 件名固有の識別子
拡張フィールド
(4)証明書/ CRLライブラリ
主に、CRLに使用されるシステムを、公開クエリにユーザーのためのデジタル証明書と証明書失効リストを格納し、他のユーザーのためのデジタル証明書を取得するために使用
(5)エンドエンティティ
それは人々など、機器、プロセス、することができ、公開、秘密鍵と対応する公開鍵証明書を持っているエンドユーザーを指し、
3.PKIの相互運用性モデル
- 厳格な階層モデル
- トラストメッシュ構造モデル
橋の信頼構造モデル
4.PKIアプリケーションの開発
- 仮想プライベートネットワークなどのセキュリティインフラ、安全な電子メール、Webアプリケーションのセキュリティ、電子商取引/電子政府や他の分野としてPKI
- 属性証明書
- ローミング証明書
ワイヤレスPKI
10.3.2仮想プライベートネットワーク
1、仮想プライベートネットワークの概要
通常、パブリックネットワークを指し、トンネル技術、一時的に、セキュアなネットワークを構築
2.VPN機能
- 低コスト
- セキュリティ
- サービス品質
- 管理性
スケーラビリティ
3.VPN動作原理とキーテクノロジー
(1)トンネル技術
- レイヤ2トンネリングプロトコル:データリンク層、さまざまなネットワークプロトコルへの最初の原理は、第二層プロトコルによってカプセル化の二つの層を介して、トンネルプロトコルに次にパケット全体、このデータパケットをPPPパケットをカプセル化トランスミッション
- 原則第3層トンネリングプロトコルは、データパケットを送信するための第3層プロトコルの形成に依存して、直接様々なネットワークプロトコルトンネリングにネットワーク層プロトコルであります
カプセル化されるトランスポート層における第4層トンネリングプロトコル
(2)暗号化技術
(3)ユーザとデバイスの身元認証技術
- そのようなパスワード認証プロトコルとして実質的に従来のユーザアカウントを使用して認証プラスパスワードモード、
チャレンジハンドシェイク認証プロトコル、ユーザサービスにおけるリモート認証ダイヤル。
(4)のIPSec技術
2つの通信AH保護メカニズム与えられたカプセル化セキュリティペイロードと
認証ヘッダー
- 次のヘッダー
- ペイロード長
- 保持
- セキュリティパラメータインデックス
- シリアル番号
認証データ
カプセル化セキュリティペイロード
- セキュリティパラメータインデックス
- シリアル番号
- ペイロードデータ
- 充填
- 充填長
- 次のヘッダー
認証データ
セキュリティアソシエーション
インターネット鍵交換
セキュリティアソシエーションと鍵管理プロトコル
- ISAKMPは、SAの確立及び管理のための一般的なフレームワークであります
- オークリープロトコルは、鍵生成プロトコルは、キーの機密保護を提供している、鍵生成方式は、当事者が身元保護を提供相談しませんでした
SKEMEプロトコルは、匿名鍵生成方式、否認され
(5)セキュアソケットレイヤーテクノロジー
1)レコードプロトコル
SSLレコードプロトコルは、SSL接続のための機密性およびメッセージの整合性サービスを提供しています
SSLレコードヘッダフォーマット:SSL記録ヘッドは、ロングコードバイト二、三あってもよいです
記録ヘッド長、データ・レコードの長さは、データレコードを貼り付けデータがあるかどうか:SSLレコードヘッダを含む情報が含まれてい
SSL記録データ形式:
これは3つの部分が含まれますMACデータ、実際のデータを、データを貼り付けます。
2)パスワードの変更記述プロトコル
3)アラートプロトコル
、エラーが発生したどのような時に指示するために使用される2つのホスト間のセッションが終了したか何時間で、それぞれ他のエンティティに関連するSSL転送プロトコルの警告
4)ハンドシェイクプロトコル
- そこで、サーバとクライアントが真剣に互いのアイデンティティは、保護データに使用される暗号化アルゴリズムとMACだけでなく、暗号化キーを交渉することができSSLレコードで送信されました
ハンドシェイクプロトコルを完了するために、第四段、サーバ認証及び鍵交換用の第二段階;クライアント認証及び鍵交換用の第三段階のセキュリティ機能を確立する第一段階:これは4つの段階から成り
次のようにSSLハンドシェイクプロトコルが記載されています:
- クライアントのhelloメッセージ
- サーバーの挨拶メッセージ
- 証明書
- クライアントの認証要求
- サーバーの鍵交換
- サーバーのhelloが行われ
- クライアント証明書
- クライアント鍵交換
- 証明書の検証
- 変更暗号化協定
- クライアント側
- 変更暗号化協定
- エンドサーバー
暗号化されたデータ
4.VPN典型的な適用方法
- リモートアクセスVPN
- イントラネットVPN
エクストラネットVPN
10.3.3特権管理インフラストラクチャ対策
1.PMI概要
これは、結合は、アプリケーションおよびアクセス制御機構との間に柔軟かつ容易にすることができるように、特定のアプリケーション及びアクセス権管理のうち、制御システムから分離された、マルチアプリケーション環境における手段権利管理およびアクセス制御を提供します。
構図2.PMI
- 属性証明書
- 属性認証局
証明書ストア
ファランクス3.PMIアプリケーション
PMIとPKIされているとの主な違い
- PMIは、主にユーザーが何ができるかの権限を証明するために管理を許可します
- 主にPKI認証、ユーザーの身元の証明のために
両者の関係は、パスポートとビザに似ています
一般的には:
- CAと呼ばれるユーザエンティティのための署名デジタル証明書
PKI信頼できるソースは、ルートCAと呼ばれ、PMIの信頼できるソースは、SOAと呼ばれています
論理制御次の両方の適用と組み合わせ
- 訪問者のターゲット
- 戦術
- 権限チェック
アクセス制御判断ポイント