新一代可信网络世界-湳相浩-PKI vs CPK
PKI与CA 信息安全技术专题讲座精品PPT课件
1.3 我国PKI/CA的现状
市场需求骤增,发展势头迅猛 行业推动形成开发热点 部分发展过热,但必须加以调整
通 常 PKI 的 最 高 管 理 是 通 过 一 个 政 策 管 理 机 构 (Policy Management Authority,PMA)来实现的。 这个机构主要是对PKI进行宏观的决策管理,确定 大的原则和策略。而PAA则根据PMA的决策进行 运行管理 。
2.3 一般结构图
证书链起始端叫“信任锚”,证书链的末端为 验证的用户证书。
选择信任模式是构建和运作PKI所必须的一个环 节。
“信任锚”的选择和证书链的构造方式不是唯 一的。
1.级链模式
A对B进行验证: A - CA3 - CA1 - CA2 - CA4 - B
1 根CA
2
4
B
3
A
5 表示CA 表示终端实体
2.网状模式
A对B进行验证: A→CA3→CA5→CA4→B
3.3 非对称密码体制
非对称密码体制是指加密密钥与脱密密钥是 相关联的不同的两个密钥,且满足:
(1)用一个密钥加密的消息可用另一个进行 解密。
(2)已知加密算法和公开密钥,要求取秘密 密钥是很难的。
使用RSA加密(解密)步骤
(1)生成随机的两个互素的大素数p和q,且满足 n=p·q,φ(n)=(p-1)·(q-1)
(2)随机选择整数e,1<e<φ(n),使得gcd(e,φ(n))=1 (3)计算d,1<d<φ(n)C,d 且使得e·d≡1 mod (φ(n)) (4)将(n,e)公开,将d秘藏 (5)加脱密公式:
第7章 PKI系统架构
软硬件系统
7.3.2 CA、RA与EE
认证中心CA
为了确保用户的身份及他所持有密钥的正确匹配, 公钥系统需要一个可信的第三方充当认证中心 (Certification Authority,CA),来确认公钥拥 有者的真正身份,签发并管理用户的数字证书。
注册机构RA
EE
最终实体EE(End Entity)
针对上述问题,世界各国经过多年的研究, 初步形成一套完整的Internet安全解决方案,即 目前被广泛采用的PKI技术。PKI技术采用证书管 理公钥,通过第三方的可信任机构—认证中心CA ( Certificate Authority)把用户的公钥和用户 的其他标识信息(如名称、E-mail、身份证号等) 捆绑在一起。通过Internet的CA机构,较好的解 决了密钥分发和管理问题,并通过数字证书,对 传输的数据进行加密和鉴别,保证了信息传输的 机密性、真实性、完整性和不可否认性。 目前,PKI的安全认证体系得到了各界人士 的普通关注。国外的一些大的网络安全公司也都 推 出 了 PKI 的 产 品 , 如 美 国 的 IBM 、 加 拿 大 的 Entrust, SUN等,为用户之间的内部信息交互提 供了安全保障。
PKI产品或服务的最终使用者,可以是个人、组 织、设备
7.3.3 PKI运作
PKI运作包括3个阶段:
7.4 PKI应用
保密性Confidentiality: 确保在一个计算机系统 中的信息和被传输的信息仅能被授权让读取的那保仅是被授权的各方能够对 计算机系统中有价值的内容和传输的信息进行权 限范围之内的操作,这些操作包括修改、改变状 态、删除、创建、时延或重放。
可用性Availability: 即保证信息和信息系统随 时为授权者提供服务,而不出现非授权者滥用 却对授权者拒绝服务的情况。 不可否认性non-repudiation: 要求无论发送方 还是接收方都不能抵赖所进行的传输。 鉴别Authentication: 就是确认实体是它所声明 的,用于对人或实体的身份进行鉴别,为身份 的真实性提供保证,一般可通过认证机构CA和 证书来实现。
第三章第四章-PKI导论PKI体系与功能
(1)认证机构
验证并标识证书申请者的身份。 确保CA用于签名证书的非对称密钥的质量。 确保整个签证过程的安全性,确保签名私钥的安全性。 证书资料信息(包括公钥证书序列号、CA标识等)的管理 确定并检查证书的有效期限。 确保证书主体标识的唯一性,防止重名。 发布并维护作废证书列表。 对整个证书签发过程做日志记录。 向申请人发出通知。
(4)一致的解决方案
安全基础设施为所有的应用程序和设备提 供了可靠的、一致的解决方案。 与一系列互不兼容的解决方案相比,这种 一致性的解决方案在一个企业内更易于安 装、管理和维护。 一致性解决方案使管理开销小和简单,这 是基础设施的重要优势。
(5)可验证性
安全基础设施为各种应用系统和设备之间 的安全交互提供了可能,因为所有的交互 采用统一的处理方式 在独立的点对点解决方案之间,安全性是 很差的。 因为即使每一个解决方案都经过严格测试, 但方案之间的交互很难进行大规模的、全 面的测试。
(1)认证机构
一般地,公钥有两大类用途:
用于验证数字签名 用于加密信息
相应地,系统中需要配置两对密钥
签名密钥对 加密密钥对
(2)证书库
证书库是CA颁发证书和撤消证书的集中存放地 证书及证书撤消信息的分发方法是发布 (publication),其想法是将PKI的信息放在一个 广为人知的、公开且容易访问的地点。 到证书库访问查询,就是要想得到与之通信实 体的公钥。 公钥可以以一种类似电话簿的形式被发布和散 发
撤销信息可以被分成很多可控的片段以避免庞大 CRL的增长。 证书可以指出CRL分布点的分布位置,这样用户 就不需要提前知道关于特定证书的撤销信息的存 放位置。
《网络信息安全》第9-10讲(3.4-3.6)
证书内容见教材33页
遵义师范学院
3.6 证书和认证
3.证书验证
当用户查询某人的证书时,需要检查证书的有效性,其过程称
为证书验证。证书验证包括如下内容: (1) 一个可信的CA在证书上签名(即CA的数字签名被验证是正确 的)。注意这可能包括证书路径处理。 (2) 证书有良好的完整性,即证书上的数字签名与签名者的公
不可否认的另一个要求是归档:作为证据的过期的证书,旧的证
书撤消列表,数据公证结构和其他有关的数据必须安全地保存(归档), 以便以后可以用来解决争执。
遵义师范学院
3.4 PKI支撑服务
4.不可否认
由于不可否认服务的复杂性,因此实际在最后解决争执的时
候也几乎都需要人为地判决。例如,给Alice的收据确实是用Bob 的私钥签的名,但Bob三天后发表声明:宣称他的私钥在签名的 前两周已经泄密。这种争执的解决,没有人为的参与是无法完成 的。 因此,PKI能提供不可否认服务的说法是不正确的。确切地 说,PKI提供或实现了支持不可否认的服务。
遵义师范学院
3.4 PKI支撑服务
2.安全时间戳
安全时间戳就是一个可信的时间权威用一段可认证的完整的
数据表示的时间戳。在实际使用时,最重要的不是时间本身的真 实性,而是相对时间(日期)的安全。特别是对于一些程序来说, 时间戳根本不需要明确地表述时间(一个简单的序列号表明文档 在文档X之前和文档Y之后提交给权威机构就足够了)。在进行电 子签名时,我们不仅需要用户的签名,还需要安全时间戳。 安全时间戳服务使用核心PKI服务中的认证和完整性。一份 文档上的时间戳涉及到对时间和文档的哈希值的数字签名。
遵义师范学院
3.6 证书和认证
1.X.509证书
公钥基础设施(PKI)国家标准解析
公钥基础设施(PKI)国家标准解析作者:谢宗晓甄杰来源:《中国质量与标准导报》2018年第12期1 公钥基础设施(PKI)的定义与范围对消息进行加密传输是目前安全传递消息的可行途径之一。
发送者将消息加密后传输,就不用担心被窃听了。
因为窃听者即使获取了的也是密文,没有解密密钥毫无意义。
这就是对称密码算法的基本逻辑,但是,在实践中这存在一个很大的缺陷,密钥如何安全地传输给对方?如果将密钥用明文传输,可能会被窃听,如果用密文传输,那么接收者还是无法解读。
实际情况是,为了解决对称密码算法中的密钥传输问题,需要一系列复杂的步骤,包括建立密钥分发中心等。
Whitfield Diffie和Martin Hellman在1976年提出了公钥密码算法的设计思想,发送者用公钥加密,接收者用私钥解密。
公钥一般是公开的,不必担心窃听,私钥又不存在传输的问题。
这解决了对称密码中难以解决的密钥配送问题。
但是,开始并没有找到合适的算法。
1978年,Ron Rivest、Adi Shamir和Leonard Adleman发明了RSA算法,这使得公钥密码算法变得现实可用。
当然,在后续的研究中又发明了一系列的算法,例如,椭圆加密算法(ECC)和ElGamal等。
但是,在非对称密码算法中,接收者依然无法判断收到的公钥是否是合法的,因为有可能是中间人假冒的。
事实上,仅靠公钥密码本身,无法防御中间人攻击。
于是,需要(认证机构)对公钥进行签名,从而确认公钥没有被篡改。
加了数字签名的公钥称为证书(公钥证书,一般简称为证书)。
有了证书来认证,可以有效地防御中间人攻击,随之带来了一系列非技术性工作,例如,谁来发证书?如何发证书?不同机构的证书怎么互认?纸质证书作废容易,数字证书如何作废?解决这些问题,需要制定统一的规则,即公钥基础设施(Public Key Infrastructure,PKI)体系。
PKI是指支持公钥管理体制的基础设施,提供鉴别、加密、完整性和不可否认性服务1)。
PKI技术在5G网络中的应用挑战及应对
PKI技术在5G网络中的应用挑战及应对
王晓晴;李智水;阎军智
【期刊名称】《电信工程技术与标准化》
【年(卷),期】2023(36)1
【摘要】随着移动互联网的发展,PKI作为网络身份认证的重要技术方案,在移动通信网络中产生了巨大的应用空间。
然而,以5G为代表的新一代移动通信网络具有设备规模庞大、复杂程度较高、重要级别凸显和影响范围广泛等特点,给PKI电子认证的普遍应用带来巨大挑战。
为了使PKI技术更好地服务于5G网络,同时避免因证书管理等问题带来的安全隐患和影响,本文分别分析了5G网络中PKI技术的应用场景及面临挑战,并根据应用场景的特点和规范要求,从证书标识、主体认证、证书类型和证书管理等方面提出了相应的安全应对建议。
【总页数】5页(P30-34)
【作者】王晓晴;李智水;阎军智
【作者单位】中国移动通信集团有限公司;中国移动通信集团研究院
【正文语种】中文
【中图分类】TN918
【相关文献】
1.联通5G网络传输技术面临的挑战及应对策略
2.5G网络对传输组网的挑战分析和应对探讨
3.机遇、挑战与应对:5G时代网络体育舆论传播
4.5G时代网络舆论治
理面临的挑战与应对理路——基于意识形态安全视角5.浅论广电网络如何应对5G 时代挑战
因版权原因,仅展示原文概要,查看原文内容请购买。
浅析PKI与网络信息安全
浅析PKI与网络信息安全作者:李玥婷来源:《硅谷》2009年第10期[摘要]利用公钥密码技术为安全通信提供服务的基础平台的技术和规范提供基于非对称密钥密码技术的一系列安全服务,包括通信对象身份认证和密码管理、机密性、完整性、不可否认性和数字签名等务进行安全的信息交互,在线交易和互联网上的各种活动。
[关键词]公共密钥基础设施(PKI)网络信息安全证书密钥中图分类号:TP3文献标识码:A文章编号:1671-7597(2009)0520053-01一、网络信息安全随着计算机技术的飞速发展,信息网络已经成为社会发展的重要保证。
信息网络涉及到国家的政府、军事、文教等诸多领域,存储、传输和处理的许多信息是政府宏观调控决策、商业经济信息、银行资金转账、股票证券、能源资源数据、科研数据等重要的信息。
其中有很多是敏感信息,甚至是国家机密。
在数字世界里信息的交互是以信息流的形式存在,但由于这种交互是建立在网络基础上的,保证交互的顺利进行却不是一件容易的事。
二、PKI与网络信息安全PKI,即“公共密钥基础设施”。
是一套利用公钥密码技术为安全通信提供服务的基础平台的技术和规范,PKI规定了该安全基础平台应遵循的标准。
PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供基于非对称密钥密码技术的一系列安全服务,包括通信对象身份认证和密码管理、机密性、不可否认性和数字签名等。
PKI技术是信息安全技术的核心,用户可利用PKI平台提供的服务进行安全的信息交互,在线交易和互联网上的各种活动。
PKI的提出和研究经过了很长一段时间才形成一套初步完整的安全解决方案,即目前被广泛采用的PKI体系结构。
PKI体系结构采用证书管理公钥,通过第三方的可信认证中心,把用户的公钥和用户的其他标识(如姓名、E-mail、身份证号等)捆绑在一起,以方便网络通信对象之间验证彼此的身份。
1.PKI的组成。
一个典型、完整、有效的PKI应用系统至少应具有以下部分:(1)权威认证机构CA:CA是PKI的核心组件,它必须具备权威性、公正性的特征。
PKI安全性分析
时 而 省略 。
法 等 , 但 还 有 许 多 国 家 并 没 有 建 立 配 套 完 善 相 应 的 法 律 保 障 体 系 ,这 样 ,所 谓 的 安 全 网 络 从 宏 观政 策 上 讲 就 没 有 全 局 的 安全法律保障 。 ( )PKI 设 属 于 基 础 设 施 建 设 , 牵 涉 到 各 级 政 府 2 建
不一样的。
59 0
数 字证 书 ,把 要 传 输 的数 字 信 息 进 行 加 密 和 签 名 , 保 证 信 息
传 输 的 机 密 性 、真 实 性 、 完 整 性 和 不 可 否 认 性 ,从 而 保 证 信
息 的安 全 传 输 。
目前 ,PKI 术 已 逐 渐 覆 盖 了从 安全 电 子 邮 件 、虚 拟 专 技 用 网络 ( N) VP 、W e b交互 安 全 到 电 子 商 务 、 电子 政 务
维普资讯
^I O ∽- {Q Q 芒 o ∞z 13 ∞ I 3 ∈o J a ≥
学术. 术 I 用 术 技 实 技
P I K 安全1
摘 要 公开 密钥基础设施 (K)是 目前能够解 PI
些 缺 陷应 引 起 重视 。该 文主 要 从 政 策 、使 用 、技 才
提 供 指 导 和 监 督 ,提 出 PKI 品 、协 议 的安 全 和 互 操 作 要 求 产
等 等 。美 国 防 部 自 9 0年 代 后 期 成 立 了 PKI 级 指 导 委 员会 高 和 项 目管 理 办 公 室 ,并 由 国 家 安 全 局 负 责 , 国 防信 息 系 统 局 协 助 负 责 该 办 公 室 和 整 个 国 防 部 的 PKI 调 工 作 。 然而 , 因 协 为 各 国 PKI 术 和 使 用 水 平 的不 同 ,其 发 展 和 建 设 的高 度 是 技
浅谈中国PKI
中国地质大学本科生课程论文课程名称计算机科学导论教师姓名学生姓名学生学号学生班级所在专业信息安全日期: 2012 年12 月3日浅谈中国PKI实施现状(Discussion on implementation situation of China PKI)作者:黄丽萍 Author:Huang Li ping摘要:随着网络技术的发展, 网络安全问题越来越受关注, 公开密钥基础设施(PKI)技术为全面解决网络安全问题提供了可行方案。
各国政府先后提出了自己的PKI体系结构及其工作原理。
探究了(PKI)技术的起源,。
分析了(PKI)的应用方面,阐述了国内应用实施现状及其应用前景, 并描述了PKI领城存在的问题。
Abstract:With the development of network technology, network security problem is becoming more and more popular, public key infrastructure (PKI) technology for a comprehensive solution to the issue of network security provides a feasible scheme. Governments have put forward their own PKI system structure and working principle. Exploring the origin of Technology (PKI),. Analysis of the (PKI) application, elaborated the domestic application status and application prospect, and described the PKI field problems关键词:公开密钥基础设施PKI CA 认证中心Key words: Public Key Infrastructure CA Certification Center引言:随着Internet的发展,网络已经渗透到了人们生活的各个方面,并改变了人们的生活方式。
第9章PKI网络安全协议讲解
安全电子邮件
S/MIME协议是指安全多用途Internet邮件扩展 (Secure/Multipurpose Internet Mail Extensions, S/MIME)
第九章 PKI网络安全协议
公钥基础设施PKI概述
PKI简介
从狭义上讲,PKI可理解为证书管理的工具,包括为创建、管 理、存储、分配、撤消公钥证书(Public Key Certificate , PKC)的所有硬件、软件、人、政策法规和操作规程。利用证 书可将用户的公钥与身份信息绑定在一起,然而如何保证公 钥和身份信息的真实性,则需要一定的管理措施。
从广义上讲,PKI是在开放的网络上(如Internet)提供和支 持安全电子交易的所有的产品、服务、工具、政策法规、操 作规程、协定、和人的结合。从这个意义上讲,PKI不仅提供 了可信的证书,还包括建立在密码学基础之上的安全服务, 如实体鉴别服务、消息的保密性服务、消息的完整性服务和 抗抵赖服务等。
初始化
在客户系统能够安全运行之前,必须安装一些密钥 信息,这些密钥与基础设施中某些在其他地方存储 的密钥是相关的。例如,用户需要以安全的方式获 得可信CA的公钥和其他确认信息,并利用这些信息 对其系统进行初始化。同时用户还需对他自己的密 钥对进行初始化。
PKI的功能
颁发证书
CA为用户颁发证书的过程。对于通过验证的 用户,CA需要为其签发数字证书,并将证书 返回给客户,同时发布到证书库中。
认证中心(CA)
可信权威机构,负责颁发、管理和吊销最终实体的 证书。CA最终负责它所有最终实体身份的真实性。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
新一代安全 可信网络世界
2005年11月25日 1 内容 前言 4 一、术语解释 5 1.1信息 5 1.2信息安全 5 1.3可信 5 1.4网络世界 5 1.5标识 6 1.6认证 6 1.7第三方 6 1.8密码算法 6 1.9密钥算法 7 1.10 自主保障 7 二、历史的回顾 7 2.1通信保密技术发展 7 2.2信息安全技术发展 8 2.3网络安全技术发展 8 2.4相关支撑技术发展 9 2.4.1 密码技术发展 9 2.4.2密钥技术发展 9 1)国外密钥技术进展 10 2)我国密钥技术进展 11 3) PKI应用中几个认识问题 11 2 2.4.3 认证逻辑的发展 12三、可信网络世界:新一代安全 14 四、可信网络世界:三个支撑环境 15 4.1可信计算 15 4.2可信连接 15 4.3可信应用 16 五、可信网络世界:两个关键技术 16 5.1 认证技术 17 5.2代理技术 18 六、可信网络世界:鉴别模式和认证网络 19 6.1 鉴别模式 19 6.2 认证网络 19 6.2.1专用认证网络 19 6.2.2公众认证网络 20 6.2.3混合认证网络 20七、几点建议 21 7.1做好顶层设计 21 7.2选好切入点 21 7.3法规建设技术研发并进 22 结束语 22 参考文献 23 附件 23 网络世界安全:全国性的重要问题 23 网络世界安全:优先研究项目 24
3 前言 受孙玉院士的委托,写一篇有关我国信息安全方面的概要性文章,可以独立成章,作为国务院信息化办公室课题《国家信息基础网络的网络安全体系框架》的附件。 由于目前正处于由信息安全到网络世界安全的转换时期,而网络世界安全的核心是构建可信网络世界,因此,对信息安全只作了历史的回顾,重点放在了《新一代安全:可信网络世界》的新题目上。 防伪工作,在物质世界建立可信系统中占有很重要的位置,网络世界中的可信认证技术,同样应用于物质世界,这一部分另有专题报告。 本文由南相浩执笔,陈华平、赵建国参加,周仲义、屈延文、林鹏、吴亚非、吕述望参与讨论。 如有不妥,希望指正。
4 一、术语解释 这里只对文中所用重要术语作简要说明。
1.1信息 美国国会研究部给国会的报告《信息战和网络世界战争:能力与相关政策问题》中对信息的定义是:“信息是由两个方面构成的资源,一是可视的表象数据;二是解释数据赋予内容的系统”。
1.2信息安全 总统信息技术顾问委员会(PITAC)的报告中,对信息安全的定义如下:“信息安全是为防护和维护网络中的信息所采取的措施,包括网络本身。因此,它包括物理安全、人员安全、犯罪法、调查、经济和其他问题。这些因素需要包含在网络世界安全的实践中,并为使法律和技术适应新情况提供支持。”
1.3可信 在X509国际标准中对可信的定义是:“如果实体甲认为乙的行为符合甲的期望,那么可以说乙是可信的” 在可信计算平台联盟(TCPA)章程中对可信的定义是:“如果一个实体的行为始终按预期的方式达到设定目的,那么这个实体是可信的。”
1.4网络世界 网络世界来源于cyber。现有cyber, cyberspace, cyberworld等不同叫法,翻译也有赛博,电脑时空,网络时空,网络空间等,考虑到新
5一代安全和将要建立的可信网络世界的概念,本文采用了“网络世界”一词。
1.5标识 身份和标识均由identity来。中文的“身份”一般指一个人的社会地位,是抽象名词,并不是IT语言。我国《计算机科学名词》中将identity正式定名为“标识”,因此本文采用“标识”一词,而没有采用“身份”一词,如:基于标识的(identity-based)密钥等。 在可信网络世界中,标识是识别、分类、认证的基本依据,因此,任何主体和客体都要有自己的标识,如:人员、数据、设备、进程等。
1.6认证 “认证”由certification来,“鉴别”由authentication来,认证特指“资质”的证明,而鉴别特指“真伪”的证明。两者有区别,也有相同点,但在中文中没有加以严格区分,认证可以包括发证、识别、鉴别,如:CPK认证系统、PKI认证系统等。
1.7第三方 CA的概念于1978年由Kohnfelder提出,称:Certificate Agency(证书局),这个机构是有关联的第三方,与主管方管理的密钥管理中心(KMC)相同。后来PKI作为国际标准,改称:Certificate Authority (证书机构),CA变成无关联第三方。因此CA有两种,为了避免混淆,将无关联的第三方称CA,而有关联的第三方称主管方或KMC。
1.8密码编制 密码编制是进行加密变换的规则的集合。传统的密码是序列密码,
6使用于各类专用网的数据加密,与文件密级相关。专用密码在我国分类为核密、普密、商密。
1.9密钥算法 密钥算法是为密钥交换、数字签名所采用的运算规则的集合。密钥参数与文件密级无关。创建于上世纪70年代中期的“公钥密码”(Public-Key cryptography)实为公钥算法(Public-Key Algorithm)。
1.10 自主保障 美国总统指令指出:互联网络的安全单单依靠官方是不行的,应该依靠广大网民自行维护,这就是深层次防御战略的基本思想,于是正式提出“自主保障”的新概念。“自主保障”一词由assurance来,是对应于以往的security的。《信息保障技术框架》(IATF)一书中的“保障”是严重的翻译错误,因为它没有表达强制性和自主性策略的区分,容易引起误导。书名原意的重点并不在“保障”而在于“自主”。
二、历史的回顾 回顾历史的目的是要实事求是地反映我国在通信保密、信息安全包括网络安全中走过的路程,准确把握我们所达到的水平与能力,分析优势和不足,以新的安全观,自觉迎接新一代安全的变革,最终达到在网络世界构建可信系统的目的。
2.1通信保密技术发展 20世纪50年代,国外的密码机由机械式发展到电子式,将通信和密码结合起来,由此进入了第一个发展阶段―通信保密(communication security)年代。通信保密的安全要求很简单,就是一个
7加密保护,因此其安全构件也就是C:机密性,而满足机密性的核心技术是传统的密码技术。我国军事系统于20世纪70年代从手工直接跨入电子密码时代,与发达国家的差距从几十年缩短到十多年。
2.2信息安全技术发展 20世纪70年代计算机系统实现了系统内部的信息交换和数据存储,产生了新的安全要求,由此跨入了第二个发展阶段―信息安全(information security)年代,传统密码发展到了现代密码,安全构件由C发展到CIA2:机密性、完整性、访问控制和负责性(accountability)。信
息安全开始实施以授权和保密为主的强制性安全策略,将人员和数据划分为不同等级和不同范畴,由单级控制模式转变为多级控制的新模式,以适应多级并存的计算机信息系统。我军计算机网络信息安全技术是从20世纪80年代与美军国防网络保密系统(SDNS)同时起步的,两军的网络规模相同,但是20世纪90年代初我军率先实现了10万用户规模的安全系统,第一次赶在了美军的前面,而且这种技术优势一直保持到现在。
2.3网络安全技术发展 20世纪90年代,计算机系统发展成开放的互联网,打破了网际界限,真正实现了个人化通信。网际边界的开放直接给网络安全带来威胁,于是就进入了以边界保护为主的网络安全(network security)年代。 网络安全仍然属于信息安全的范畴,但是其防范的重点是网络本身,而不是信息,所以单独列出来讨论。网络安全的基础安全构件是PDR2:保护、探测、响应和报告,所用基本技术是防火墙、VPN加密
8隧道、IDS入侵检测等,网络划分为内、外网,以不同等级加以保护。 信息网络的变化,给网络安全带来空前的发展机遇,出现了一批网络安全骨干企业,培养了一批年轻的网络安全技术专家,并推出了若干具有自主知识产权的产品,并取得了可喜的成绩。
2.4相关支撑技术发展 在相关的支撑技术中,只对密码技术发展、密钥技术发展、认证逻辑发展情况作简要论述。
2.4.1 密码技术发展 在通信保密的年代所使用的密码机是电子密码机,采用序列密码。序列密码的密钥只能用于一次通信,每一次通信都要更换。上世纪70年代,美国第一次正式推出数据加密标准DES。DES密码设计成分组密码,算法公开,密钥可以固定,这对密钥管理带来很大方便。因此,DES算法一经出台,立即得到广泛的应用。 上世纪90年代,随着公众网的急剧发展和个人化通信的扩张,PGP作为保护个人私密的密码系统应运而生,成为公众密码时代到来的标志。公众密码是用户有权选择、有权使用、有权知情,以标准化的形式(或得到社会公认)确定并管理的密码。
2.4.2密钥技术发展 在计算机网络时代,信息安全的最辉煌的成就就是上世纪70年代起发明了D-H、DSA、RSA等公钥算法,实现了密钥交换、数字签名以及多种验证功能。但是,网络规模的急剧扩张,给密钥技术提出了新的难题。围绕这一难题,美国和中国各自选择了不同的发展道路。
9