无线安全:密码学基础,基本原理
密码学由两部分组成:密码学是研究加密算法及其使用的科学;还有密码分析,这是一门通过研究加密信息来获得加密密钥或解密信息的科学。本工业无线技术教程解释了密码学的基础知识。
无线安全使用数据加密,对数据加密的研究被称为密码学。密码学由两部分组成:密码学是研究加密算法及其使用的科学;还有密码分析,这是一门通过研究加密信息来获取加密密钥或解密信息的科学。下图显示了密码学分支之间的一般关系。
加密技术已经存在了几千年。在最后几节中,我们讨论了通过使用协议实现数据加密的方法,这些协议使用各种算法将明文数据转换为密文。在关于无线安全的无线教程系列文章的前面,解释了描述加密和解密的简化表达式:
明文->密码->密文(加密)
密文->密文->明文(解密)
用于解密的无线密码
这两个过程的共同点是密码。密码是允许对数据进行转换的密钥或算法。了解一点历史可以为理解这项技术奠定基础。当我们加密数据时,我们将数据从任何人都可以访问的可读形式转换为保密的“秘密”形式,只有拥有加密密码密钥的各方才能解密数据。
那么什么是密码呢?密码、代码或加密算法之间究竟有什么区别?从本质上讲,它们都是一样的。密码被定义为用于加密和解密的算法。代码是一种掩饰或模糊明文的方法。加密算法包含一个密码,是一种将明文转换为代表符号(代码)的方法。密码和代码有多种形式,从简单的、相对不安全的到极其复杂的、几乎不可能破解的。
每个密码、代码或算法都有一个唯一的密钥,允许消息的各方对消息进行加密和解密。密钥可以是密码或口令,然后将其转换或映射为密钥。密钥要么是“预共享的”,这意味着每一方都事先拥有交换所需的密钥或凭证,要么可以动态生成密钥,如802.1X/EAP的讨论中所解释的那样。使用预共享密钥需要分发密钥,这本身就带来了安全性问题。
密码不是协议,协议是使用密码作为加密或解密过程一部分的方法、软件或算法的集合,它本身就是一种算法。常用的密码有两种:流密码和分组密码。在前一种方法中,数据在串行流中被逐位处理;密钥流中的一个比特被添加到明文消息中的一个比特上。分组密码用相同的密钥加密明文位块;所有比特同时加密。一种熟悉的流密码是RC4,它和大多数流密码一样小而快,适合在计算能力有限的系统中使用。Rijndael密码是由高级加密标准指定的分组密码。总的来说,现代分组密码的软件和硬件效率都很高。
流式和分组密码
对称加密同时使用流和分组密码。对称密码系统(有时称为常规的共享密钥或单密钥加密)是1976年之前使用的唯一一种加密,1976年,非对称或公钥加密被开发出来。对称加密要求事务的每一方都知道用于加密和解密的秘密密钥或共享密钥。系统的完整性依赖于双方对密钥的保密。共享密钥加密的一个示例是登录到小型办公室/家庭办公室(SOHO)网络上的无线路由器时的用户名和密码交换。
对称加密的一个问题是密钥交换;通信双方必须拥有相同的密钥,并对其保密。接下来的问题是如何安全地共享密钥。密钥可以直接共享,但如果双方相隔千里,互不认识怎么办?事务在完全不受信任的状态下开始。需要一种方法来允许两个断开连接的方通过不安全的通道共同开发密钥。
1976年,迪菲、赫尔曼和默克尔开发了一种安全的密钥交换方法。一对密钥替换一个密钥,其中一个是公开的,另一个只有一方(通常是生成公钥/密钥对的人)知道。这种类型的加密称为非对称加密或公钥加密;只有一个人知道秘钥。公钥用于加密,秘钥用于解密。密钥交换的方法被称为“迪菲-赫尔曼”密钥交换。
假设双方Alice和Bob(经典的密码学夫妇)想要交换秘密数据。Bob生成一个随机的、数学上相关的公钥/秘钥对,并将公钥提供给Alice和世界上的其他人。Alice使用公钥加密数据,并将加密后的数据发送回Bob。鲍勃用他的秘钥解密数据。Alice只拥有用于“锁定”数据的密钥;鲍勃有“打开”锁的钥匙。任何人都可以加密数据,但只有鲍勃可以解密;只要Bob对密钥保密,传输的数据就可以被认为是安全的。
关于非对称加密和密钥交换动态的全面讨论超出了本无线教程博客的范围。对于那些希望更多地了解这门科学的人来说,布鲁斯·施奈尔的《应用密码学》是一本很好的书。还有一些关于密码学的在线课程。
Daniel E. Capano,康涅狄格州斯坦福德多元化技术服务公司的所有者和总裁,是一名认证无线网络管理员(CWNA);dcapano@sbcglobal.net.Chris Vavra编辑,CFE Media制作编辑,控制工程,cvavra@cfemedia.com.
网上临时演员
www.globalelove.com/blogs有其他来自Capano的关于以下主题的无线教程:
无线安全:可扩展的身份验证协议
无线安全:基于端口的安全、EAP、AKM
无线安全:IEEE 802.11和CCMP/AES
www.globalelove.com/webcasts有无线网络广播,其中一些是PDH信用。
控制工程有一个无线页面.
//www.globalelove.com/networking-security/wireless.html
您是否具有本内容中提到的主题的经验和专业知识?您应该考虑为我们的CFE媒体编辑团队做出贡献,并获得您和您的公司应得的认可。点击在这里开始这个过程。
