四个安全要素
- 机密性:通讯是否安全
- 完整性:发出的信息被篡改过吗?
- 身份验证:我在与谁通讯?是否有权?
- 不可抵赖:是否发出/收到消息?
数据加密
作用
- 解决数据机密性的问题
算法分类
加密和解密使用同一个密钥,数据传输之间需要现在网络中传输密钥
一旦密钥泄露,数据将会泄露原理
加密和解密使用不通密钥:使用公钥加密,就得用私钥解密。使用私钥加密,就得用公钥解密
密钥
使用非对称加密来保护对称加密的密钥协商阶段
使用对称加密密钥来保护数据的传输
数字签名
作用
解决数据完整性问题
解决身份验证问题工作原理
数据发送方根据报文摘要计算出HASH值
数据发送方使用本端私钥对HASH值进行加密后,附加在报文中传输
数据接收方使用发送方的公钥对HASH值进行解密。成功解密,则确认对方身份,否则判断身份系为伪造身份
数据接收方对报文摘要自行计算出HASH值,与发送方附加的HASH值进行对比。对比结果一致,则数据完整,否则判断数据被篡改
数字证书
技术背景
非对称加密和数字签名本身无法验证公钥的真伪
需要权威第三方来统一下发和管理公钥定义
一个经证书颁发机构(CA)数字签名的包含公开密钥拥有者信息和公钥的文件
数字证书由证书颁发机构下发
包含用户身份,用户公钥,根证书签名
PKI体系
定义
一个签发证书,传播证书,管理证书,使用证书的环境
PKI体系保证了公钥的可获得性,真实性,完整性CA
证书颁发机构
处理用户的证书请求,签发用户证书,注销用户证书RA
证书注册机构
用于处理用户的证书注册请求