PKI安全架构(1)，真香警告

终端实体：可以是人也可以是设备，满足证书使用者就行。证书申请者和使用者，也就是USG。

证书机构CA：签发管理证书的第三方机构，需要被所有用户都信任。用于签发并管理数字证书的第三方机构，其作用包括:发放证书、规定证书的有效期和通过发布CRL（Certificate Revocation List）确保必要时可以废除证书。

• CRL：证书吊销列表由CA颁发的一个文件，这个文件可以导入设备或浏览器，用户证书在吊销列表内看到证书失效就无法使用。

PKI存储库：各个终端实体证书以及CRL列表等信息的集中存放地，提供公众查询，可以是LDAP服务器或普通数据库。

PKI相关基本理论

1、对称加密算法（机密性）

• 用同一把秘钥对数据进行加密，使用相同秘钥对数据进行解密。传输过程中第三方没有获取到加密秘钥就无法解决。
• 对称加密算法在VPN中常用的有：

• DES

• 3DES

• AES

优点：1、加解密速度很快，可以用硬件实现，效率高。2、加密后的数据比较紧凑（紧凑：明文数据和加密后的数据大小相差不大）

• 适合对大的数据进行加解密

缺点：1、通讯双方要提前获取同一份秘钥（用于加解密），秘钥分发、管理、存储，秘钥存在很大问题。2、通信双方如何安全交互这一把秘钥是一个大问题。

• 1、如何要和100个用户进行数据传输，要为每个用户协商秘钥，这100个用户只用同一个秘钥不安全，要安全就要产生100个秘钥。

2、非对称加密算法（机密性）

• 通信的两个用户之间会彼此先拥有一把秘钥对，公钥和私钥，彼此之间交互公钥。发送方可以用接收方公钥加密发送给接收方，接收方使用自己的私钥解密（公钥加密私钥解密，私钥解密公钥加密）。

• 公钥：用于共享，所有用户都可以获取（所有用户指需要这把公钥的用户）。

• 私钥：只有拥有者有私钥，不能被其他人获取（私钥具有唯一性）。

• 公钥和私钥存在数学关系，通常公钥由私钥衍生而来，我们无法在很短时间内用公钥反推出私钥。

• 常见的非对称加密算法有：

• DH

• ASE

优点：1、安全性好，私钥唯一性。

缺点：1、加密后数据变得比较大，对设备性能和带宽有影响。2、加密速度比较慢（相对于对称加密），复杂度更高。

• 不适合对大的数据进行加密

3、数字指纹（完整性）

• 数字指纹是指通过某种算法对数据信息进行综合计算得到的一个固定长度的数字序列，这个序列有时也称信息摘要，常采用单向哈希算法对原始数据进行散列计算得出数字指纹

• 作用是保障数据的完整性。

• 哈希算法有两大类：

• MD5系列

• 128bit

• SHA系列

• 160bit

• MD5和SHA都可以实现数字指纹，通过算法都可以得到固定长度的数字序列。SHA的安全性高于MD5。

• 数字指纹四大特点：

• 1、固定大小

• 无论原始报文是多大，通过哈希后得到的都是固定长度。

• 2、雪崩效应

• 修改文件任何一个bit，修改后得出的哈希值结果和原始文件计算的哈希值结果都会不一样。

• 3、单向不可逆

• 单向算法不可逆，没办法通过哈希值推算出原始数据。

• 4、冲突避免

• 不同的文件计算出的哈希值可能是相同的（几率很低）

• 数字指纹存在的漏洞

• 如果攻击者将数据和哈希一起替换，接收方就无法判断这份数据是否是完整的数据，为了弥补这个缺点，实际使用中，我们会把文件和某一个key（key可以随机生成或者自己配置）一起做哈希值，这个key在接收和发送方保持一致（key本地存在不在网络传输，这样的话可以防范这种攻击，而且一定情况下也可以避免冲突产生）。

4、数字签名（不可否认性）

• 数字签名：将明文数据进行哈希计算后得出定长的哈希值，用自己的私钥对哈希值进行加密的结果就是数字签名。非对称加密不适合大量数据的加密，而对定长的哈希值进行加密，设备性能以及网络带宽影响就很小了。
• 数字签名用途

• 加密：数字签名相当于加密之后的密文。

• 源认证：发送者用自己私钥和哈希值进行的加密，能够产生这份加密数据的人只有私钥的拥有者，而私钥具有唯一性。

• 保障通信双方身份的合法性

• 存在的漏洞

• 用户2是要用用户1的公钥对数字证书进行解密，用户2如何判断这个公钥就是用户1的？

5、数字信封

1、数字信封的功能类似于普通信封，数字信封采用密码技术保证只有指定的接收人才能阅读信息的内容。2、数字信封中采用了对称密码算法和非对称密码算法。信息发送者首先利用随机产生或预先配置的对称密码加密信息（发送者和接收者随机产生一致的加密秘钥），再利用接收方的公钥加密对称密码，被公钥加密后的对称密码被称之为数字信封。3、信息接收方要解密信息时，必须先用自己的私钥解密数字信封，得到对称密码，然后利用对称密码解密所得到的信息，这样就保证了数据传输的真实性和不可窥探性。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）

学习路线：

这个方向初期比较容易入门一些，掌握一些基本技术，拿起各种现成的工具就可以开黑了。不过，要想从脚本小子变成黑客大神，这个方向越往后，需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容：

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！

mg.cn/7a04c5d629f1415a9e35662316578e07.png#pic_center)

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-rUTHS8lJ-1712541987995)]