加密解密基礎(chǔ)-創(chuàng)新互聯(lián)

現(xiàn)代網(wǎng)絡(luò)通信中網(wǎng)絡(luò)安全是至關(guān)重要,安全的最基本的當(dāng)然就是加密與解密了,今天跟大家分享一下加密與解密的基礎(chǔ)。

創(chuàng)新互聯(lián)是一家集網(wǎng)站建設(shè),南溪企業(yè)網(wǎng)站建設(shè),南溪品牌網(wǎng)站建設(shè),網(wǎng)站定制,南溪網(wǎng)站建設(shè)報(bào)價(jià),網(wǎng)絡(luò)營銷,網(wǎng)絡(luò)優(yōu)化,南溪網(wǎng)站推廣為一體的創(chuàng)新建站企業(yè),幫助傳統(tǒng)企業(yè)提升企業(yè)形象加強(qiáng)企業(yè)競爭力。可充分滿足這一群體相比中小企業(yè)更為豐富、高端、多元的互聯(lián)網(wǎng)需求。同時(shí)我們時(shí)刻保持專業(yè)、時(shí)尚、前沿,時(shí)刻以成就客戶成長自我,堅(jiān)持不斷學(xué)習(xí)、思考、沉淀、凈化自己,讓我們?yōu)楦嗟钠髽I(yè)打造出實(shí)用型網(wǎng)站。

安全的目標(biāo):

 保密性:confidentiality

 完整性:integrity

 可用性:availability

***類型:

  威脅保密性的***:竊聽、通信量分析;

  威脅完整性的***:更改、偽裝、重放、否認(rèn);

  威脅可用性的***:拒絕服務(wù)(DoS);

解決方案:

 技術(shù)方面:加密和解密;

  傳統(tǒng)加密方法:替代加密方法、置換加密方法

  現(xiàn)代加密方法:現(xiàn)代塊加密方法

 服務(wù)方面:用于抵御***的服務(wù),也即是為了上述安全目標(biāo)而特地設(shè)計(jì)的安全服務(wù);

  認(rèn)證機(jī)制

  訪問控制機(jī)制

加密算法和協(xié)議:

 1、單向加密:即提出數(shù)據(jù)指紋;

  特性:定長輸出、有雪崩效應(yīng);

  功能:完整性驗(yàn)證;

  缺陷:只能加密,不能解密;

  常用算法:MD5(128bits)、sha1(160bits)、sha224、sha256、sha384、sha512...

 2、對(duì)稱加密:加密和解密使用同一個(gè)密鑰;

  特性:(1)加密和解密使用同一個(gè)密鑰;(2)將原始數(shù)據(jù)分割成為固定大小的塊,逐個(gè)進(jìn)行加密;

  功能:加密性好,加密速度快;

  缺陷:(1)密鑰過多;(2)密鑰分發(fā)困難;

  常用算法:3DES(Triple DES)、AES(128bits, 192bits, 256bits, 384bits)、Blowfish、RC6...

 3、公鑰加密:密鑰分為公鑰與私鑰;

  私鑰:secret key,通過工具創(chuàng)建,使用者自己留存,必須保證其私密性;

  公鑰:pubkey,從私鑰中提取產(chǎn)生,可公開給所有人;

  特性:用公鑰加密的數(shù)據(jù),只能使用與之配對(duì)兒的私鑰解密;反之亦然;

  功能:

     數(shù)字簽名:主要在于讓接收方確認(rèn)發(fā)送方的身份;

     密鑰交換:發(fā)送方用對(duì)方公鑰加密一個(gè)對(duì)稱密鑰,并發(fā)送給對(duì)方;

     數(shù)據(jù)加密:不常用,比對(duì)稱加密要慢3個(gè)數(shù)量級(jí);

  常用算法:RSA(即可簽名,也可加解密)、DSA(只能簽名,不可加解密)、ELGamal...

 介紹了以上三種加密算法,下面來具體說一下加密和解密的過程:

  加密過程:

   1、數(shù)字簽名:

      (1)發(fā)送者使用單向加密技術(shù),提取原數(shù)據(jù)特征碼;

      (2)發(fā)送者使用自己私鑰加密特征碼,并附加于原數(shù)據(jù)后方;

   2、密鑰交換:

      (1)發(fā)送者使用對(duì)稱加密技術(shù)對(duì)附有數(shù)字簽名的數(shù)據(jù)進(jìn)行加密,并生成一個(gè)臨時(shí)對(duì)稱密鑰;

      (2)發(fā)送者使用接收者的公鑰加密生成的臨時(shí)對(duì)稱密鑰,并附加于加了密的數(shù)據(jù)后方;

  解密過程:

    1、密鑰交換:

      (1)接收者用自己私鑰解密加了密的對(duì)稱密鑰,得到臨時(shí)密鑰;

      (2)接收者使用得到的臨時(shí)對(duì)稱密鑰,解密數(shù)據(jù),得到附有數(shù)字簽名的數(shù)據(jù);

    2、身份認(rèn)證:接收者使用發(fā)送者的公鑰解密數(shù)字簽名,驗(yàn)證發(fā)送者身份,并得到原特征碼;

    3、數(shù)據(jù)完整性驗(yàn)證:接收者用單向加密技術(shù),提取數(shù)據(jù)特征碼,并與原特征碼比較,驗(yàn)證數(shù)據(jù)完整性

這種加密和解密的過程即能保證數(shù)據(jù)的安全性與完整性,也能保證通信雙方身份的認(rèn)證。但由于公鑰是所有人可以拿到的,所有這樣的安全機(jī)制還是有安全隱患,即中間人欺騙。不過別擔(dān)心,有CA機(jī)構(gòu)可以解決此問題,CA機(jī)構(gòu)將在后面再做詳細(xì)介紹。下面我們繼續(xù)介紹最后一種加密協(xié)議:密鑰交換。

 4、密鑰交換:IKE:Internet Key Exchange

  實(shí)現(xiàn)方法有兩種:

    (1)公鑰加密,在講公鑰加密與加密、解密過程已說到過,不再多說;

    (2)DH:Deffie-Hellman

     通信雙方無需在網(wǎng)絡(luò)上傳送公鑰,通過協(xié)商生成隨機(jī)數(shù)并在網(wǎng)絡(luò)上傳送隨機(jī)數(shù),

   通過計(jì)算隨機(jī)數(shù)生成密鑰。下面舉例說明:

     (1)A和B為通信雙方,雙方先協(xié)商生成兩個(gè)隨機(jī)數(shù)m和n,并在網(wǎng)絡(luò)上傳送;

      現(xiàn)在狀態(tài):A和B同時(shí)擁有兩個(gè)隨機(jī)數(shù)m和n;

     (2)A和B再各自生成一個(gè)私有的隨機(jī)數(shù),不在網(wǎng)絡(luò)上傳送,只有自己知道自己私有隨機(jī)數(shù);

    比如:A生成x隨機(jī)數(shù),B生成y隨機(jī)數(shù),且只有自己知道自己的私有隨機(jī)數(shù);

        現(xiàn)在狀態(tài):A擁有3個(gè)隨機(jī)數(shù):m、n、x,其中x只有自己知道,m和n和B共享;

             B擁有3個(gè)隨機(jī)數(shù):m、n、y,其中y只有自己知道,m和n和B共享;

     (3)計(jì)算隨機(jī)數(shù),并將結(jié)果發(fā)送對(duì)方。

        A: --> m^x%n ==> B

        B: --> m^y%n ==> A

      (4)收到對(duì)方的結(jié)果,再用自己私有的隨機(jī)數(shù)和結(jié)果計(jì)算,得到相同的密鑰;

        A: (m^y%n)^x = m^xy%n

        B: (m^x%n)^y = m^xy%n

        m^xy%n即為雙方協(xié)商后計(jì)算出的密鑰,提高了安全性,即使別人獲取了m和n兩個(gè)數(shù)值,

     也無法計(jì)算出x和y的數(shù)值。

接下來我們?cè)俳榻B一下防止中間人欺騙CA機(jī)構(gòu),CA機(jī)構(gòu)是一個(gè)第三方可信機(jī)構(gòu),為通信方頒發(fā)證書,可讓通信方可靠獲取對(duì)方公鑰的基礎(chǔ)保證機(jī)制。他是由PKI一套架構(gòu)體系來完成的。

PKI:Public Key Infrastructure

 公鑰基礎(chǔ)設(shè)施,以CA為核心生成的一套架構(gòu)體系,提供證書服務(wù),保證證書的合法性。組成部分如下:

  簽證機(jī)構(gòu):CA

  注冊(cè)機(jī)構(gòu):RA

  證書吊銷列表:CRL

  證書存取庫:CB

 通過X.509v3定義了證書的結(jié)構(gòu)以及認(rèn)證協(xié)議標(biāo)準(zhǔn),結(jié)構(gòu)及標(biāo)準(zhǔn)如下:

   版本號(hào)

   序列號(hào)

   簽名算法ID

   發(fā)行者名稱

   有效期限

   主體名稱

   主體公鑰

   發(fā)行者的惟一標(biāo)識(shí)

   主體的惟一標(biāo)識(shí)

   擴(kuò)展

   發(fā)行者的簽名

那么CA是如何來保證通信雙方證書的合法性及通信雙方可靠獲取對(duì)方公鑰的呢?CA工作過各如下:

 1、自簽證書:CA先給自己頒發(fā)一個(gè)證書,證書內(nèi)容如X.509v3所規(guī)定,并將證書發(fā)送給有需要的通信方。取得通信方對(duì)CA的信任,通信方并可從證書中獲取CA的公鑰;

 2、CA頒發(fā)證書:通信方向CA申請(qǐng)注冊(cè)證書,CA將簽署好證書并在證書后方加數(shù)字簽名,再將證書頒給申請(qǐng)方;

 3、通信方獲取并驗(yàn)證證書:

   (1)通信方獲取自己證書或獲取對(duì)方證書后,可用CA公鑰解密證書后方數(shù)字簽名,確認(rèn)證書確實(shí)是自己所信任的CA所頒發(fā);

   (2)用同樣的單向加密算法計(jì)算證書特征碼,對(duì)比原特征碼,驗(yàn)證證書完整性;

  (3)檢查證書有效期,看證書是否在有效期內(nèi);

  (4)驗(yàn)證證書內(nèi)主體名稱,是否是通信對(duì)方的名稱;

  (5)檢查證書是否被吊銷;

至此我們?cè)賮砜偨Y(jié)一下通信雙方通信過程:

 1、通信方獲取CA證書,并申請(qǐng)取得自己證書;

 2、通信雙方協(xié)商各加密算法;

 3、通信雙方協(xié)商獲取對(duì)方公鑰并驗(yàn)證證書;

 4、發(fā)送方加密數(shù)據(jù),并發(fā)送;

 5、接收方接收數(shù)據(jù),并解密驗(yàn)證;

具體過程以上都介紹過,此處不再詳細(xì)說明了。

至此有關(guān)安全加密解密基礎(chǔ)的內(nèi)容就結(jié)束了。只是個(gè)人總結(jié),希望相互學(xué)習(xí)!

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢,專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場景需求。

當(dāng)前文章:加密解密基礎(chǔ)-創(chuàng)新互聯(lián)
轉(zhuǎn)載源于:http://muchs.cn/article8/dcgpip.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站建設(shè)、定制網(wǎng)站、虛擬主機(jī)做網(wǎng)站、網(wǎng)站策劃品牌網(wǎng)站設(shè)計(jì)

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場,如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)

商城網(wǎng)站建設(shè)