思维导图
·前言
·对称机密
·非对称加密
·数字指纹
·数字信封
·数字签名
·数字证书及PKI体系
前言
为保证数据在通信过程中可以被安全的传输,通常采取一系列加密的措施来对数据进行保护。常见的加密方式为对称加密和非对称加密
对称加密
特点:通信双方有相同的密钥,使用这个相同的密钥来对数据进行加解密
常见算法:DES(Date Encryption),3DES,AES,RC等,其中DES以及被攻克,不再安全
缺点:在密钥传输的过程中,缺乏保护,易被监听从而被不法分子获取密钥,窃取信息。当不法分子获得密钥时,就可以对传输中的数据进行监听,伪造和修改
非对称加密
特点:通信双方使用不同的密钥(一对)进行加密和解密。公钥可以对私钥加密的信息进行解密,私钥可以对公钥发送的信息进行解密
常见算法:RSA
缺点:
1.当使用公钥加密,私钥解密时。数据不会被监听,因为必须使用私钥对其进行解密,但是黑客可以使用公钥来伪造信息
2.当使用私钥加密,公钥解密时。数据不会被伪造因为攻击者不知道发送方的私钥,但数据可能会被监听,因为黑客是有可能知道发送方的公钥的
数字指纹
作用:可以保证数据的完整性(也称为消息摘要)
描述:顾名思义,指纹是用来确定人的身份的,数字指纹也是用来确定在网络通信中通信双方的身份的一项机制
原理:将发送数据进行散列计算,得到一个散列值,将原数据和散列值一同发往对端,对端收到后,同样对原数据进行散列,将本地得到的散列值与收到的散列值进行比对,若一致,则证明数据没有被修改
常见算法:MD5,SHA
数字信封
描述:即使用对称加密算法,又使用非对称加密算法
过程:发送方使用接收方的公钥对对称密钥进行加密,接收方用自己的私钥对收到的信息进行解密,得到对称密钥,再使用对称密钥对通信过程中的数据进行加密
意义:非对称加密算法确保了对称密钥的安全性,对称加密确保了传输过程中加解密的速度(非对称加密的解密速度要比对称解密的速度慢,消耗的系统资源也更多)
数字签名
·作用:验证数据的来源 和完整性(防篡改)
·描述:对哈希散列值用本地私钥进行加密就是数字签名
·过程:对一个数据块进行散列算法得到散列函数,用发送方的私钥对散列值进行加密(用私钥是为了验证数据合法来源,因为不可以被伪造,用发送方的公钥可以将数据进行解密,则证明是来自发送方的数据),然后将加密后的散列值和原数据块(这两部分一般采用对称加密算法,用对称密钥加密,用对称密钥解密)一起发送给接收方,接收方用对称密钥对数据进行解密得到原数据包和加密后的散列值,再用发送方的公钥对加密的散列值进行解密,将解密的散列值和自己对原数据进行散列算法得到的散列值进行比对,若一致则可以认为数据没有被更改
数字证书及PKI体系
前面介绍的几种算法都用到了公钥,那么公钥的来源的可靠性就成为了通信安全中非常重要的一个环节,不法分子可以通过使用假的或者不合法的公钥对安全产生映像,所以需要一个机制来对公钥的来源和可靠性进行支持,数字证书就是这样一种机制,来证明公钥的可靠性
一.PKI组件
·终端实体,证书的申请者和使用者,大部分情况下是USG
·证书机构(CA):用于签发并管理证书的第三方机构,其作用包括:发放证书,规定证书的有效期和通过发布CRL确保必要时可以废除证书
·PKI存储库:各个终端实体证书以及CRL列表等信息几种存放的地方,提供公共查询,可以是专门的服务器或者普通数据库
二.证书注册
证书注册,即证书申请。就是实体向CA自我介绍并获取证书的过程,实体向CA提供身份信息,以及相应的公钥,这些信息将成为颁发该实体证书的主要组成部分
注册方式:在线方式和离线方式
离线方式:申请者通过外带方式(电话,磁盘,电子邮件等)向CA提供申请信息
在线方式:有手工发起和自动发起两种方式
三.CA证书的组成
版本:
序列号:
签名算法:
颁发者:CA名称
有效期:
主题:证书所有者的名称
公钥信息:对外公开的公钥
签名:CA的签名信息,CA用自己的私钥对证书所有者的公钥的哈希后的散列值进行的签名
四.证书的颁发及使用过程
颁发过程
1.用户A首先获得 CA的根证书,即CA的公钥信息
2.用户A提交自己的公钥,身份信息等消息
3.CA对用户A提交的公钥进行哈希计算得到散列值,然后用CA自己的私钥对得到的散列值进行签名
4.CA将用户的公钥,签名和用户信息放入证书中下发给用户A
使用过程
1.用户将自己的证书发送给B
2.用户B拥有CA的公钥,所以他会对证书中的签名进行解密,得到散列值,将两个散列值进行比较,若两个散列值相同,则表明公钥可靠
