PKI 公钥基础设施(Public Key Infrastructure)

 PKI的作用:实现数据的安全传输

1.应用场景

  • SSL:SSL (Secure Sockets Layer)安全套接层。是由Netscape公司于1990年开发,用于保障Word Wide Web(WWW)通讯的安全。主要任务是提供私密性,信息完整性和身份认证。1994年改版为SSLv2,1995年改版为SSLv3.
  • VPN:IPsec VPNlPSec (Internet Protocol Security)作为一种开放标准的安全框架结构,可以用来保证lIP数据报文在网络上传输的机密性、完整性和防重放。

2.算法

2.1对称加密算法

密钥相同,通信前需要协商密钥,密钥使用明文传输

对称算法优点: 加密速度快

对称算法缺点: 密钥key容易丢失,因为双方协商生成key的时候是明文传输,密钥量大

常见算法: DES 3DES AES

2.2非对称加密算法

分为公钥和私钥,公钥公开,私钥不进行公开

公钥私钥互为加解密关系,私钥加密只有公钥能解开,公钥加密只有私钥能解开,公钥私钥无法互相推算

 

  1. 通信之前双方交换公钥;

  2. tom发送的数据使用jerry的公钥进行加密得到数据包,再使用MD5加密形成摘要然后使用tom的私钥进行加密形成数字签名,发送时将加密的数据包和数字签名发送给jerry;

  3. jerry收到数据包和数字签名后,使用tom的公钥解密数字签名得到摘要,使用MD5对数据包进行加密得到摘要2,将摘要摘要2进行对比,相同的话证明数据包未被篡改,再使用自己的私钥解密数据包。

  4. 但是如果中途第三方截取了tom和jerry的公钥,然后又截获了tom的数据包、数字签名,然后生成自己的公钥私钥;对一份假文件进行MD5运算得到假的文件摘要,再用自己的私钥和文件摘要进行签名运算得到假的数字签名,然后使用jerry的公钥将假文件加密得到数据包;最后将原本tom的数据包,公钥,数字签名全部替换为自己的,那么jreey收到假的数据包、公钥和数字签名,使用假的数据包进行MD5运算得到的文件摘要,再使用假的数据签名和假的公钥进行解密得到假的文件摘要2,将摘要摘要2进行对比发现一样误以为是tom的,但是得到的却是假的文件。

常见算法: RSA DH

2.3完整性算法

  • 完整性算法=hash算法=哈希算法

  • HASH算法: MD5 SHA (验证完整性)

  • HASH值可逆么? 不可逆!

  • HASH值=摘要

3.安全三要素

  • 机密性

  • 完整性

  • 身份验证(操作的不可否认)

4.证书

  • 证书用于保证公密的合法性 证书格式遵循X509标准

  • 数字证书包含信息: 使用者的公钥值 使用者标识信息 (如名称和电子邮件地址) 有效期(证书的有效时间) 颁发者标识信息 颁发者的数字签名

  • 数字证书由权威公正的第三方机构即CA签发

CA:是权威证书颁发机构,为了公正“公钥”的合法性!

CA机构在每个计算机中都提前安装了自己的公钥,从而确保数字证书的真实性

如上图,百度申请证书是线下进行的,线下将自己的域名,邮箱公司地址,和百度的公钥交给权威机构,权威机构使用自己的私钥对百度进行加密生成认证,再将生成的认证发送至本机构的认证里;每台计算机中基本都有全为机构的认证。

权威机构提前在各个计算机中安装自己的公钥,计算机使用百度时确定是不是百度在和自己通信,就先使用ca的公钥对百度的证书进行解密确认认证是否是真的。

 

评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

网安咸鱼1517

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值