在一次網(wǎng)絡(luò)通信或者是進(jìn)程通信中,如果傳輸數(shù)據(jù)采用明文的方式,那么很容易被第三方"竊聽"到,安全性難以保障。
成都創(chuàng)新互聯(lián)是一家專業(yè)提供潁泉企業(yè)網(wǎng)站建設(shè),專注與成都網(wǎng)站設(shè)計(jì)、做網(wǎng)站、H5場(chǎng)景定制、小程序制作等業(yè)務(wù)。10年已為潁泉眾多企業(yè)、政府機(jī)構(gòu)等服務(wù)。創(chuàng)新互聯(lián)專業(yè)網(wǎng)站建設(shè)公司優(yōu)惠進(jìn)行中。而所謂加密是讓數(shù)據(jù)從明文變成密文,傳輸過程中是密文,傳送過去之后對(duì)方接收到的也是密文。——可以理解為密文就是亂碼,看不出內(nèi)在的任何意義,通常也都是逐位對(duì)應(yīng)的。
在接收方接收到密文之后只有把它還原為原來的樣子才可以理解對(duì)方說的具體是什么,此過程就叫做解密。
所謂系統(tǒng)的安全要實(shí)現(xiàn)的目標(biāo)應(yīng)該包括:機(jī)密性-confidentiality,完整性-integrity 和可用性-availability;在通信中威脅到上述三者的***行為分別有:
1.威脅機(jī)密性的***行為:竊聽、嗅探、掃描、通信量分析
2.威脅完整性的***行為:更改、偽裝、重放、否認(rèn)
3.威脅可用性的***行為: 拒絕服務(wù)(DoS)
針對(duì)各種威脅安全性***行為,我們分別從技術(shù)層面和服務(wù)層面出發(fā),有不同的解決方案。
技術(shù):數(shù)據(jù)的加密和解密;服務(wù):安全服務(wù);
今天來初探Linux世界里的加密和解密是怎么一回事;
加密需要兩個(gè)東西,算法+密鑰;
加密的算法分為四類:
對(duì)稱加密算法-通俗的說就是 用什么密鑰加密就用同一個(gè)密鑰進(jìn)行解密;
其優(yōu)勢(shì)所在就是加密速度較快;但劣勢(shì)也非常明顯:
對(duì)稱加密無法保證完整性。被截獲了,隨破解不出來里面的密文是什么,但是,截獲者插入一些字符篡改內(nèi)容,再發(fā)送給接收者;接收者在接收到被篡改的密文以后,解密出來,發(fā)現(xiàn)內(nèi)容似乎沒有什么意義,此時(shí),怎樣確定此密文就是自己信任的對(duì)方發(fā)送過來的呢?所以完整性是無法得到保證的。
這種算法的主流算法有:DES,AES,3DES等等;
公鑰加密算法-采用公鑰加密,私鑰解密;
公鑰加密也叫做非對(duì)稱加密,加密解密采用同一組的公鑰和私鑰。
先來解釋一下什么是公鑰私鑰:
私鑰(seceret key|private key):是通過特定的工具創(chuàng)建生成;由使用者自己留存。務(wù)必保證其私密性;
公鑰(public key):從私鑰中提取生成,可以公開給所有人使用;
這種方式加密的數(shù)據(jù)安全等級(jí)高,代價(jià)就是密鑰很長,從512位、768位、1024位、2048位、4096位、8192位不等;由此也對(duì)系統(tǒng)的性能提出了更高的要求,例如此種加密技術(shù)的RSA的發(fā)展似乎遇到了瓶頸。因此,很少用公鑰加密算法來加密大批量的數(shù)據(jù);
單項(xiàng)加密算法 - 提取數(shù)據(jù)特征碼,只能由明文計(jì)算出密文,也就是只可加密不能解密;
因此此種算法的功能就是保證數(shù)據(jù)的完整性,防止被篡改;
常見的算法:md5、SHA1(安全hash算法)、SHA2、SHA256、SHA512、SHA3(目前最新的)
密鑰加密算法-IKE
所謂IKE:
1、IPsec使用IKE來完成對(duì)等體之間的認(rèn)證和密鑰的生成以及交換
2、協(xié)商和維護(hù)安全關(guān)聯(lián)(SA)參數(shù)
3、SA是一個(gè)集合,包含了加密算法,認(rèn)證方式等等
4、通過認(rèn)證,防止偽裝***
5、自動(dòng)產(chǎn)生密鑰,并自動(dòng)更新密鑰
6、動(dòng)態(tài),安全的交換密鑰
在實(shí)際應(yīng)用里,通信雙方數(shù)據(jù)加密進(jìn)行以下步驟:
1.通信雙方互相交換證書,并到信任的CA進(jìn)行證書驗(yàn)證;
2.發(fā)送方使用某種對(duì)稱加密算法對(duì)數(shù)據(jù)進(jìn)行加密;對(duì)加密后的數(shù)據(jù)使用單向加密,計(jì)算其特征值;發(fā)送方再用自己的私鑰加密此特征值,以證明數(shù)據(jù)來源的可靠;發(fā)送方使用接收方的證書加密對(duì)稱密鑰;
3.接收方在收到數(shù)據(jù)后,先使用自己的私鑰解密對(duì)此密鑰;然后使用發(fā)送方的公鑰特征值,再利用相同的單向加密算法;
不使用SSL/TLS的HTTP通信,就是不加密的通信。所有信息明文傳播,帶來了三大風(fēng)險(xiǎn)。
(1)竊聽風(fēng)險(xiǎn)(eavesdropping):第三方可以獲知通信內(nèi)容。
(2)篡改風(fēng)險(xiǎn)(tampering):第三方可以修改通信內(nèi)容。
(3)冒充風(fēng)險(xiǎn)(pretending):第三方可以冒充他人身份參與通信。
SSL/TLS協(xié)議是為了解決這三大風(fēng)險(xiǎn)而設(shè)計(jì)的,希望達(dá)到:
(1)所有信息都是加密傳播,第三方無法竊聽。
(2)具有校驗(yàn)機(jī)制,一旦被篡改,通信雙方會(huì)立刻發(fā)現(xiàn)。
(3)配備×××?xí)?,防止身份被冒充?/p>
SSL/TLS協(xié)議的基本思路是采用公鑰加密法,也就是說,客戶端先向服務(wù)器端索要公鑰,然后用公鑰加密信息,服務(wù)器收到密文后,用自己的私鑰解密。
它將將公鑰放在數(shù)字證書中。只要證書是可信的,公鑰就是可信的。這樣保證了公鑰不會(huì)被篡改;
數(shù)字證書里包含的內(nèi)容:
擁有者的名稱
擁有者所提交的公鑰
有效期
證書的版本號(hào)
證書的序列號(hào)
簽發(fā)算法ID
簽發(fā)CA的名稱
主體名稱
發(fā)證者唯一標(biāo)識(shí)
發(fā)證者的數(shù)字簽名
擴(kuò)展信息
因此,SSL/TLS協(xié)議的基本過程是這樣的:
(1) 客戶端向服務(wù)器端索要并驗(yàn)證公鑰。
(2) 雙方協(xié)商生成"對(duì)話密鑰"。
(3) 雙方采用"對(duì)話密鑰"進(jìn)行加密通信。
前兩步也叫握手階段 - handshake
SSL/TSL的handshake的四個(gè)階段:
1.客戶端向服務(wù)器索要證書并驗(yàn)證;
client_hello發(fā)送的信息內(nèi)容:
支持的協(xié)議版本,如:TLS V1.2...
客戶端生成的隨機(jī)數(shù),可能在之后充當(dāng)加密的密鑰;
支持的加密算法,如AES,sha...
協(xié)商各自支持的壓縮算法。非必
2.雙方協(xié)商生成會(huì)話密鑰;dh算法交換密鑰
Server_hello的內(nèi)容:
確認(rèn)使用的加密協(xié)議的版本號(hào)。
服務(wù)器生成一個(gè)隨機(jī)數(shù),稍后用于生成會(huì)話密鑰
確認(rèn)加密算法及壓縮算法;
3.雙方采用生成的會(huì)話密鑰進(jìn)行安全加密的通信;
客戶端驗(yàn)證服務(wù)器證書,在確認(rèn)無誤后,取出其公鑰;
驗(yàn)證服務(wù)器證書需要驗(yàn)證下述內(nèi)容:
驗(yàn)證發(fā)證機(jī)構(gòu)CA;
驗(yàn)證證書的完整性;
驗(yàn)證證書的持有者信息;
驗(yàn)證證書的有效期
驗(yàn)證證書的吊銷列表;
客戶端發(fā)送信息給服務(wù)器:
1.一個(gè)隨機(jī)數(shù),用于服務(wù)器上的公鑰加密
2.編碼格式變更的通知,表示隨后的信息都將用雙方已經(jīng)協(xié)商好的加密算法和密鑰進(jìn)行加密發(fā)送;
客戶端握手結(jié)束;
4.雙方互相通告握手結(jié)束的信息;
服務(wù)器會(huì)收到客戶端發(fā)送來的此次握手階段的第三個(gè)隨機(jī)數(shù) Pre-Master_key
計(jì)算本次會(huì)話所用到的會(huì)話密鑰,向客戶端發(fā)送相關(guān)信息;
編碼變更通知,表示隨后的信息都將用雙方已經(jīng)協(xié)商好的加密算法和密鑰進(jìn)行加密發(fā)送;
服務(wù)器端握手結(jié)束;
接下來,客戶端與服務(wù)器進(jìn)入加密通信,就完全是使用普通的HTTP協(xié)議,只不過用"會(huì)話密鑰"加密內(nèi)容。
另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn,海內(nèi)外云服務(wù)器15元起步,三天無理由+7*72小時(shí)售后在線,公司持有idc許可證,提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案,具有“安全穩(wěn)定、簡單易用、服務(wù)可用性高、性價(jià)比高”等特點(diǎn)與優(yōu)勢(shì),專為企業(yè)上云打造定制,能夠滿足用戶豐富、多元化的應(yīng)用場(chǎng)景需求。
本文名稱:數(shù)據(jù)加密解密初探-創(chuàng)新互聯(lián)
標(biāo)題路徑:http://www.rwnh.cn/article10/ccihdo.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站設(shè)計(jì)公司、面包屑導(dǎo)航、品牌網(wǎng)站建設(shè)、微信小程序、搜索引擎優(yōu)化、標(biāo)簽優(yōu)化
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請(qǐng)盡快告知,我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如需處理請(qǐng)聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時(shí)需注明來源: 創(chuàng)新互聯(lián)
猜你還喜歡下面的內(nèi)容