PKI公钥基础设施

PKI-公钥基础设施

主要用于确保数据传输安全

1. 不能被窥探 - 具备私密性 - 【加密】
2. 不能被篡改 – 具备完整性 - 【哈希 ｜ 验证】
3. 抗抵赖性 – 不可抵赖性 - 【电子签名 - 数字证书】

加密学基础

私密性

数据加密技术

• 对称加密
  加密key/解密key 同一把钥匙
  正向/逆向
  算法公开

  密钥传递 【明文】
  带内传输 – 通过主机数据传输
  带外传输 – 不通过主机

  【加密算法 – 加密key 密钥】
  Key 泄漏 ----- 数据不具备私密性

  DES/3DES/AES
  

• 非对称加密【公钥加密】
  公钥 -----密钥对----- 私钥
  公钥： 可以在internet中明文传递 public-key
  私钥 ： 不允许在internet中明文传递 private-key

  公钥加密-只有私钥解密
  私钥加密-只有公钥解密

  RSA/DH/ECC等
  数学算法过于复杂 – 加密速度慢

  使用公钥加密技术加密对称加密技术key
  使用对称加密技术加密最终传递数据

  Key 1024 / 2048
  

• 哈希算法
  哈希算法/验证算法/校验算法/摘要算法/散列函数
  MD5 : 128bit 2^128
  SHA192 : 192bit 2^192
  SHA256
  SHA384
  SHA 512

  通过数据哈希校验算法，得到一个固定长度哈希值
  数据固定 + 哈希算法固定 ，每次哈希结果相同

  Huawei123456 -> MD5 -> 00011001010101
  Huawei223456 -> MD5 -> 11010101010110

哈希特点：

1. 不可逆效应 – 摘要 （随机提取）

2. 雪崩效应 ，原始数据有一个bit发生表法，得到的hash结果完全不同

3. 计算迅速

4. 不固定输入长度

5. 固定输出长度

   HMAC- Hash-based Message Authentication Code
   密钥化哈希运算消息认证码

   哈希算法 ： 验证算法 + 原始数据 + 验证密钥 – > HMAC
   

数字签名

数字签名 （完全信任公钥）

1. 身份验证

2. 数据防止/不可抵赖

3. 完整性校验

   发送端 -原始数据 + 私钥 + 签名算法 ------数字签名

   接收端 - 原始数据 + 公钥 + 签名验证算法 ------ 签名验证

原始数据123用sha256进行哈希，然后用私钥A进行加密的到数字签名，发送的时候发送原始数据123如何将数字签名附着在后面一起发送。

数字证书

防止公钥被篡改