对称/非对称加密、https单/双向认证、数字签名

最新推荐文章于 2024-07-26 15:15:40 发布
最新推荐文章于 2024-07-26 15:15:40 发布
阅读量2.9k 收藏 11
点赞数 1
分类专栏: 网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xybz1993/article/details/80874169
版权

密钥主要有两类用途:加密和鉴别(验证通信对象是否是自己要通信的对象,而不是其他冒充的对象,并且传输的报文是未被篡改的)。一般公钥密码体制既可用来加密,又可用来鉴别;对称加密一般用来加密。

对称加密(对称密码体制)

加密密钥与解密密钥相同。DES、IDEA等

非对称加密(公钥密码体制)

加密密钥与解密密钥不同。主要是用于解决对称加密中密钥分配问题和数字签名需求。RSA等

加密密钥PK(public key,即公钥)是公开的,解密密钥SK(secret key,即私钥或秘钥)是保密的。加密算法和解密算法也是公开的。

公钥加密过程

公钥密码体制特点

任何加密方方式的安全性取决于密钥的长度,以及攻破密文所需的计算量,而不是简单取决于加密的体制(公钥密码体制或对称密钥体制)

数字签名

对纯数字的电子信息进行签名,表明该信息确实是某个特定的对象产生的。(报文鉴别)

数字签名必须钥实现的三点功能

数字签名过程

任何人用A的公钥解密后都可以还原出明文X,可见数字签名并非为了保密,而是为了进行签名的核实,即确认此明文是A发送的。

为什么数字签名能具有上述三点功能

但上述仅对报文进行了签名,并未对报文本身加密,任何截获了密文并通过查阅得知公钥者都可以通过公钥解密得知报文的真实内容,以下通信方式可以实现既加密和数字签名的功能。发送端对签名的内容加密后再传输,接收端先解密再验证身份。

更简单的数字签名

以上数字签名能够实现对报文的鉴别,但是有个缺点,对较长的报文进行数字签名会极大增加计算机的负担。加解密都需要花费非常多计算机的CPU时间。密码散列函数可以相对简单地对报文进行鉴别。SHA-1,MD5MD5已被破解,建议SHA-1)。

散列函数输入长度可以很长,但是其输出长度固定且较短。

原理

以上报文鉴别对整个报文是不需要加密的。虽然需要对散列码进行加密,但由于散列码的长度通常远小于报文长度,因此这种加密不会消耗很多计算资源。

注意:公钥加密,私钥解密,解决加密问题。私钥加密,公钥解密,解决身份验证问题,两者同时使用,都可以解决。

实体鉴别

实体鉴别与报文鉴别不同。报文鉴别是对每个收到的报文都要鉴别报文的发送者,而实体鉴别是在系统接入的全部时间内对只对通信方验证一次。不展开讲了,中间还涉及到密钥的管理与分配,比较复杂。可以参考谢希仁《计算机网络第六版》第七章。

SSL

ssl是一种安全协议,ssl应用最多的是http,但并非仅用于http,可以用于任何应用层的协议。ssl作用在应用层的http和传输层之间,在tcp之上建立一个安全通道,为通过tcp传输的应用层提供安全保障。

在发送方,ssl从ssl套接字接受应用层的数据,对数据进行加密,然后将加密的数据送往tcp套接字;在接收方,ssl从tcp套接字读取数据,解密后,通过ssl套接字将数据交给应用层

ssl工作过程(以万维网为例):

ssl既用到了公钥加密又用到了对称加密。用公钥传递对称密钥,用对称密钥进行数据加密传输

https单向认证与双向认证

图7-18过程就是https单向认证过程,即客户端验证服务端,客户端保存着服务端证书并信任该证书。https一般是单向认证,这样可以让他人访问你的站点。双向认证即客户端和服务端互相验证。客户端与服务端互相保存着对方的证书并互相信任对方的证书。双向认证一般用于企业间服务对接。证书中保存着域名,公钥、证书过期时间等信息

双向认证具体过程

客户端验证服务端过程:

服务端生成自己的证书,客户端信任服务端的证书,即在浏览器导入服务端证书(一般为cer文件)。客户端与服务端通信时需验证客户端身份,服务端会将自身的证书信息发送给客户端,由于客户端信任过该证书,所以验证通过,客户端可以安全的访问该站点。否则浏览器会弹出所要访问的站点不安全的警告信息。

服务端验证客户端过程:

客户端生成自己的证书,服务端信任客户端的证书,即将客户端的证书(一般为cer文件)导入服务端信任的keyStore文件,(使用命令),keyStore是存放密钥的容器,包括私钥和公钥,有jks,keyStore,trustStore等后缀格式,并在服务端配置文件中配置。(此处的配置服务端自身密钥库与服务端需要安装自己的证书一个道理,因为在被验证的时候会将自身的证书发给对方)

客户端还需安装自己的证书,在与服务端通信时会将自己的证书信息发送给服务端,由于服务端信任过客户端的证书,所以验证通过。

双向认证的配置:https://www.cnblogs.com/xiaofanke/p/6504552.html

各种证书后缀解释:https://www.cnblogs.com/testlife007/p/6888191.html

参考:

《计算机网络》第七版 谢希仁

http://www.cnblogs.com/2333/p/6601769.html

推荐阅读:

http://www.williamlong.info/archives/2058.html

https://zhuanlan.zhihu.com/p/60690241

你赖东东不错嘛~
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
加密、签名、验签、证书、对称加密、非对称加密【部分知识点】
本不平凡
04-02 98
加密、签名、验签、证书、对称加密、非对称加密【部分知识点】
对称加密和非对称加密的区别以及应用。了解哪些常用的加密算法?MD5算法详解
weixin_41563161的博客
01-27 5763
对称加密和非对称加密的区别以及应用。了解哪些常用的加密算法?能简介绍一种吗? 内推军P186 P192 1.分类 加密算法首先分为两种:向加密、双向加密。 向加密是不可逆的,也就是只能加密,不能解密。通常用来传输类似用户名和密码,直接将加密后的数据提交到后台,因为后台不需要知道用户名和密码,可以直接将收到的加密后的数据存储到数据库。 双向加密算法通常分为对称性加密算法和非对称性加...
加解密及数字证书原理
weixin_30437847的博客
09-07 189
转自http://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627247.html (部分) 1、基础知识 1.1、公钥密码体制(public-key cryptography) 公钥密码体制分为三个部分,公钥、私钥、加密解密算法,它的加密解密过程如下: 加密:通过加密算法和公钥对内容(或者说明文)进行加密,得到密文...
【软考】【非对称加密认证
我思故我在
05-12 864
吐槽:有时候东西学会了想总结、感觉特别简没什么总结的…………………………这样的想法是不对的   加密与解密?            A向B传送数据(我是帅哥)、不直接传送过去、把我是帅哥这段文字加密、也就是通过一个算法变成另一些字符、传过去、B接受这些字符、再通过这个算法来还原文字、就算中间被截获了也没关系。因为是密文。           抗日战争时期、每个团都有一个加密解密本、上面有
对称(DES/AES)与非对称(RSA/SSL/数字证书)加密介绍及实际应用
最新发布
u013712343的博客
07-26 252
对称(DES/AES)与非对称(RSA/SSL/数字证书)加密介绍及实际应用
基于SSL协议的双向认证 - 数字证书 [2]
weixin_30314793的博客
03-26 242
1.1数字证书 1.1.1 概念理解 一种文件的名称,例如一个机构或人的签名,能够证明这个机构或人的真实性。简而言之数字证书是一种网络上证明持有者身份的文件,同时还包括有公钥。证书是由国际上公认的证书机构颁发,这些机构是公认的信任机构。要想请这些机构颁发证书是要给钱的。客户端程序通过维护一个“根授信机构列表”,当收到一个证书时,查看这个证书是否在该列表中,如果是则这个证书是...
对称密码体制
weixin_30496751的博客
09-14 159
因为非对称加密实现的多对一向保密通信,公钥可以用来加密,但是不能用来解密。各方浏览器持有公钥后对自己的报文加密后发送给服务器,只有服务器能够用其私钥来解密多个密文。 数字签名的实现也利用了非对称加密数字签名是用颁发机构的私钥对本证书的公钥,名称以及其他信息做hash散列加密而成的。这里出现“用私钥加密”,我们知道用私钥参与的都是“解密运算”,但是这里并没有什么“解密”,只是为了得到某种不可读...
非对称加密(RSA、数字签名、数字证书)
user2025的博客
04-19 4062
非对称加密数字签名、数字证书的参考文章 1. 什么是非对称加密 (1)公钥和私钥成对出现 (2)公钥加密、私钥解密,私钥加密、公钥解密 (3)公钥一般对外公开,私钥保密 (4)主要用于防止通信数据被篡改,保证数据的完整性,也可对明文来实现保密 对称加密:加密和解密使用同一个密钥 非对称加密:加密、解密使用不同的两把密钥,这两把密钥成对 一般通信开始时通过非对称加密对称加密的密钥发送给另一方,然后双方通过对称加密来进行沟通 2. 常用的非对称加密算法 常用的非对称加密算法有:RSA、ECC 对比: (1)
非对称加密数字签名、数字证书
怎会无恙的博客
06-12 469
1."对称加密算法" (1)甲方选择某一种加密规则,对信息进行加密。 (2)乙方使用同一种规则,对信息进行解密。 由于加密和解密使用同样规则(简称"密钥"),所以被称为"对称加密算法"。 存在问题:甲方必须把加密规则告诉乙方,否则无法解密。但密钥在传递和保存过程中会存在安全隐患。 2."非对称加密算法" (1)乙方生成两把密钥(公钥和私钥)。公钥是公开的,任何人都可以获得,私钥则是保...
对称加密和非对称加密数字签名和证书
m0_70432049的博客
01-27 1130
对称加密中,任何人都可以使用公钥进行加密。在数字签名中,任何人都可以使用公钥验证签名。数字签名,其实就是将非对称加密反过来使用。公钥私钥非对称加密发送者加密时使用接收者解密时使用数字签名验证者验证签名时使用签名者生成签名时使用谁持有密钥?只要有需要,任何人都可以持有个人持有既然是加密,那肯定是不希望别人知道我的消息,所以只有我才能解密。公钥负责加密,私钥负责解密。既然是签名,那肯定是不希望有人冒充我发消息,所以只有我才能签名。私钥负责签名,公钥负责验签。
SSL/TLS、对称加密和非对称加密和TLSv1.3
tinychen
02-27 4464
本文主要对对称加密和非对称加密的原理以及过程进行分析,同时还会简介绍一下TLS/SSL的一些相关内容,并且对比TLSv1.2和TLSv1.3的不同。 1、SSL和TLS的历史 其实早期的互联网协议基本都是不加密进行传输的,如HTTP、FTP、telnet.等协议的 传输层安全性协议(英语:Transport Layer Security,缩写:TLS)及其前身安全套接层(英语:Secure Sockets Layer,缩写:SSL)的历史进程如下表所示: 协议 发布时间 状态 SSL 1
HTTPS双向认证图解+自签泛域名证书生成及使用
11-27
非对称加密用于加密对称密钥,速度慢,但具有更好的身份认证能力。 认证过程分为几个步骤: 1. 客户端向服务端发送SSL协议版本号、支持的加密算法和随机数。 2. 服务端返回SSL协议版本号、加密算法、随机数和...
【下】安全HTTPS-全面详解对称加密,非对称加密数字签名,数字证书和HTTPS
热门推荐
tenfyguo的技术专栏
11-09 1万+
1.  HTTPS 1.1. 什么是HTTPS HTTPS(HypertextTransfer Protocol Secure)即安全的HTTP。HTTPS的安全基础是安全套接层(Secure Sockets Layer,SSL)。HTTP工作在应用层(OSI模型的最高层),SSL协议工作在一个较低的子层,位于TCP/IP协议和HTTP协议之间。在HTTP报文传输前对其加密,并在到达时对其解密
对称加密和非对称加密、公钥和私钥、认证双向认证数字签名、数字证书、根证书
m0_45406092的博客
03-10 8991
文章目录1. 什么是公钥和私钥?2. 加密算法2.1 对称加密2.2 非对称加密2.2.1 非对称加密的重要性质2.2.2 非对称加密算法应用2.2.2.1 应用1 加密通信2.2.2.1.1 认证双向认证2.2.2.1 应用2 数字签名3. 数字签名3.1 数字签名用法演示3.2 数字签名存在问题4. 数字证书(Digital Certificate)4.1 创建数字证书4.1.1 举例,CA如何给我们签发一个有效证书: 1. 什么是公钥和私钥? 摘自《什么是公钥和私钥?》 公钥(Public Ke
向加密 对称加密 非对称加密
zhaoweixing1989的专栏
11-03 366
向加密 md5 SHA 对称加密 DES  AES 非对称加密 RAS
[学习笔记] 非对称加密和签名认证
aaron67的博客
06-12 1427
现代密码学中,加密算法包括两部分。 算法,一组规定如何进行加解密的规则,描述加解密的具体操作步骤。为了方便使用及保证算法可靠性,算法都是公开的 密钥,用于算法的秘密参数 在对称加密中,无论加密还是解密,都使用同一个密钥。因此, 对密钥的保护十分重要,泄露则意味着通信密文不再安全 通信双方在交换密钥时,特别是在公开的、不可信的链路(互联网)上交换密钥时,要确保密钥从未泄露(Diffie-Hellman 密钥交换算法) 受 Diffie-Hellman 密钥交换算法的启发,人们意识到加密和解密可以使用不
从http到https简介,tomcat和nginx的https配置,认证双向认证简介,对称加密和非对称加密简介,RSA算法简介
lkforce
01-11 1778
Http HyperText Transfer Protocol,超文本传输协议,是互联网上使用最广泛的一种协议,所有WWW文件必须遵循的标准。HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。 使用TCP端口为:80。 是浏览器默认的协议。 也就是: 如果在地址栏输入:rainbow.dingding.com, 浏览器会认为真正的地址是:h
初识通信安全:对称加密、非对称加密、证书认证
曈默生的博客
11-09 5484
  通信双方(客户端C和服务端S)在数据交互的过程中,或多或少会涉及一些敏感信息的问题,而由于传输信道本身是不安全,随时有可能会被黑客劫持,必然会产生信息泄密的风险,给双方带来财产损失(见图1)。由于数据在传输过程中被劫持不可避免,又不能任由信息泄漏,通信双方通常会对自己的数据进行加密传输,这样即使流量被劫持了,黑客依然无法获取数据的真实内容,就避免了泄漏风险。根据加密方式的不同,分为对称加密、非对称加密,证书认证
对称密码、公钥密码、向散列函数、消息认证码、数字签名
yatum_2014的博客
07-23 3636
据一项调查显示,有80%的企业和个人担忧电子邮件沦为泄密管道,致使机密资料误入他人之手。这并不是空穴来风,就在今年6月份网上出现了一份41G数据文件,包含14亿的明文邮箱密码,其中不乏Gmail、Hotmail、Yahoo、Sina、qq等知名邮箱,还涉及不少公司邮箱、大学和科研机构邮箱,以及政府邮箱。 据360互联网安全中心2017年发布的预警显示,电子邮件已成为网络安全的重灾区。邮件安全事...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值