PKI的作用:实现数据的安全传输
1.应用场景
- SSL:SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。1994年改版为SSLv2,1995年改版为SSLv3.
- VPN:IPsec VPNlPSec (Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证lIP数据报文在网络上传输的机密性、完整性和防重放。
2.算法
2.1对称加密算法
密钥相同,通信前需要协商密钥,密钥使用明文传输
对称算法优点: 加密速度快
对称算法缺点: 密钥key容易丢失,因为双方协商生成key的时候是明文传输,密钥量大
常见算法: DES 3DES AES
2.2非对称加密算法
分为公钥和私钥,公钥公开,私钥不进行公开
公钥私钥互为加解密关系,私钥加密只有公钥能解开,公钥加密只有私钥能解开,公钥私钥无法互相推算
-
通信之前双方交换公钥;
-
tom发送的数据使用jerry的公钥进行加密得到数据包,再使用MD5加密形成摘要然后使用tom的私钥进行加密形成数字签名,发送时将加密的数据包和数字签名发送给jerry;
-
jerry收到数据包和数字签名后,使用tom的公钥解密数字签名得到摘要,使用MD5对数据包进行加密得到摘要2,将摘要与摘要2进行对比,相同的话证明数据包未被篡改,再使用自己的私钥解密数据包。
-
但是如果中途第三方截取了tom和jerry的公钥,然后又截获了tom的数据包、数字签名,然后生成自己的公钥私钥;对一份假文件进行MD5运算得到假的文件摘要,再用自己的私钥和文件摘要进行签名运算得到假的数字签名,然后使用jerry的公钥将假文件加密得到数据包;最后将原本tom的数据包,公钥,数字签名全部替换为自己的,那么jreey收到假的数据包、公钥和数字签名,使用假的数据包进行MD5运算得到的文件摘要,再使用假的数据签名和假的公钥进行解密得到假的文件摘要2,将摘要和摘要2进行对比发现一样误以为是tom的,但是得到的却是假的文件。
常见算法: RSA DH
2.3完整性算法
-
完整性算法=hash算法=哈希算法
-
HASH算法: MD5 SHA (验证完整性)
-
HASH值可逆么? 不可逆!
-
HASH值=摘要
3.安全三要素
-
机密性
-
完整性
-
身份验证(操作的不可否认)
4.证书
-
证书用于保证公密的合法性 证书格式遵循X509标准
-
数字证书包含信息: 使用者的公钥值 使用者标识信息 (如名称和电子邮件地址) 有效期(证书的有效时间) 颁发者标识信息 颁发者的数字签名
-
数字证书由权威公正的第三方机构即CA签发
CA:是权威证书颁发机构,为了公正“公钥”的合法性!
CA机构在每个计算机中都提前安装了自己的公钥,从而确保数字证书的真实性
如上图,百度申请证书是线下进行的,线下将自己的域名,邮箱公司地址,和百度的公钥交给权威机构,权威机构使用自己的私钥对百度进行加密生成认证,再将生成的认证发送至本机构的认证里;每台计算机中基本都有全为机构的认证。
权威机构提前在各个计算机中安装自己的公钥,计算机使用百度时确定是不是百度在和自己通信,就先使用ca的公钥对百度的证书进行解密确认认证是否是真的。
1028
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
