現(xiàn)代網(wǎng)絡(luò)通信中網(wǎng)絡(luò)安全是至關(guān)重要，安全的最基本的當(dāng)然就是加密與解密了，今天跟大家分享一下加密與解密的基礎(chǔ)。

為撫順縣等地區(qū)用戶提供了全套網(wǎng)頁設(shè)計(jì)制作服務(wù)，及撫順縣網(wǎng)站建設(shè)行業(yè)解決方案。主營業(yè)務(wù)為成都做網(wǎng)站、網(wǎng)站制作、成都外貿(mào)網(wǎng)站建設(shè)、撫順縣網(wǎng)站設(shè)計(jì)，以傳統(tǒng)方式定制建設(shè)網(wǎng)站，并提供域名空間備案等一條龍服務(wù)，秉承以專業(yè)、用心的態(tài)度為用戶提供真誠的服務(wù)。我們深信只要達(dá)到每一位用戶的要求，就會(huì)得到認(rèn)可，從而選擇與我們長期合作。這樣，我們也可以走得更遠(yuǎn)！

安全的目標(biāo)：

  保密性：confidentiality

  完整性：integrity

  可用性：availability

***類型：

  威脅保密性的***：竊聽、通信量分析；

  威脅完整性的***：更改、偽裝、重放、否認(rèn)；

  威脅可用性的***：拒絕服務(wù)（DoS）；

解決方案：

  技術(shù)方面：加密和解密；

    傳統(tǒng)加密方法：替代加密方法、置換加密方法

    現(xiàn)代加密方法：現(xiàn)代塊加密方法

  服務(wù)方面：用于抵御***的服務(wù)，也即是為了上述安全目標(biāo)而特地設(shè)計(jì)的安全服務(wù)；

    認(rèn)證機(jī)制

    訪問控制機(jī)制

加密算法和協(xié)議：

  1、單向加密：即提出數(shù)據(jù)指紋；

    特性：定長輸出、有雪崩效應(yīng)；

    功能：完整性驗(yàn)證；

    缺陷：只能加密，不能解密；

    常用算法：MD5（128bits）、sha1（160bits）、sha224、sha256、sha384、sha512...

  2、對(duì)稱加密：加密和解密使用同一個(gè)密鑰；

    特性：（1）加密和解密使用同一個(gè)密鑰；（2）將原始數(shù)據(jù)分割成為固定大小的塊，逐個(gè)進(jìn)行加密；

    功能：加密性好，加密速度快；

    缺陷：（1）密鑰過多；（2）密鑰分發(fā)困難；

    常用算法：3DES（Triple DES）、AES(128bits, 192bits, 256bits, 384bits)、Blowfish、RC6...

  3、公鑰加密：密鑰分為公鑰與私鑰；

    私鑰：secret key，通過工具創(chuàng)建，使用者自己留存，必須保證其私密性；

    公鑰：pubkey,從私鑰中提取產(chǎn)生,可公開給所有人；

    特性：用公鑰加密的數(shù)據(jù)，只能使用與之配對(duì)兒的私鑰解密；反之亦然；

    功能：

     數(shù)字簽名：主要在于讓接收方確認(rèn)發(fā)送方的身份；

     密鑰交換：發(fā)送方用對(duì)方公鑰加密一個(gè)對(duì)稱密鑰，并發(fā)送給對(duì)方；

     數(shù)據(jù)加密：不常用，比對(duì)稱加密要慢3個(gè)數(shù)量級(jí)；

    常用算法：RSA（即可簽名，也可加解密）、DSA（只能簽名，不可加解密）、ELGamal...

  介紹了以上三種加密算法，下面來具體說一下加密和解密的過程：

    加密過程：

      1、數(shù)字簽名：

       （1）發(fā)送者使用單向加密技術(shù)，提取原數(shù)據(jù)特征碼；

       （2）發(fā)送者使用自己私鑰加密特征碼，并附加于原數(shù)據(jù)后方；

      2、密鑰交換：

       （1）發(fā)送者使用對(duì)稱加密技術(shù)對(duì)附有數(shù)字簽名的數(shù)據(jù)進(jìn)行加密，并生成一個(gè)臨時(shí)對(duì)稱密鑰；

       （2）發(fā)送者使用接收者的公鑰加密生成的臨時(shí)對(duì)稱密鑰，并附加于加了密的數(shù)據(jù)后方；

    解密過程：

     1、密鑰交換：

       （1）接收者用自己私鑰解密加了密的對(duì)稱密鑰，得到臨時(shí)密鑰；

       （2）接收者使用得到的臨時(shí)對(duì)稱密鑰，解密數(shù)據(jù)，得到附有數(shù)字簽名的數(shù)據(jù)；

     2、身份認(rèn)證：接收者使用發(fā)送者的公鑰解密數(shù)字簽名，驗(yàn)證發(fā)送者身份，并得到原特征碼；

     3、數(shù)據(jù)完整性驗(yàn)證：接收者用單向加密技術(shù)，提取數(shù)據(jù)特征碼，并與原特征碼比較，驗(yàn)證數(shù)據(jù)完整性

這種加密和解密的過程即能保證數(shù)據(jù)的安全性與完整性，也能保證通信雙方身份的認(rèn)證。但由于公鑰是所有人可以拿到的，所有這樣的安全機(jī)制還是有安全隱患，即中間人欺騙。不過別擔(dān)心，有CA機(jī)構(gòu)可以解決此問題，CA機(jī)構(gòu)將在后面再做詳細(xì)介紹。下面我們繼續(xù)介紹最后一種加密協(xié)議：密鑰交換。

  4、密鑰交換：IKE：Internet Key Exchange

    實(shí)現(xiàn)方法有兩種：

     （1）公鑰加密，在講公鑰加密與加密、解密過程已說到過，不再多說；

     （2）DH：Deffie-Hellman 

       通信雙方無需在網(wǎng)絡(luò)上傳送公鑰，通過協(xié)商生成隨機(jī)數(shù)并在網(wǎng)絡(luò)上傳送隨機(jī)數(shù)，

      通過計(jì)算隨機(jī)數(shù)生成密鑰。下面舉例說明：

       （1）A和B為通信雙方，雙方先協(xié)商生成兩個(gè)隨機(jī)數(shù)m和n，并在網(wǎng)絡(luò)上傳送；

         現(xiàn)在狀態(tài)：A和B同時(shí)擁有兩個(gè)隨機(jī)數(shù)m和n；

       （2）A和B再各自生成一個(gè)私有的隨機(jī)數(shù)，不在網(wǎng)絡(luò)上傳送，只有自己知道自己私有隨機(jī)數(shù)；

     比如：A生成x隨機(jī)數(shù)，B生成y隨機(jī)數(shù)，且只有自己知道自己的私有隨機(jī)數(shù)；

        現(xiàn)在狀態(tài)：A擁有3個(gè)隨機(jī)數(shù)：m、n、x，其中x只有自己知道，m和n和B共享；

             B擁有3個(gè)隨機(jī)數(shù)：m、n、y，其中y只有自己知道，m和n和B共享；

       （3）計(jì)算隨機(jī)數(shù)，并將結(jié)果發(fā)送對(duì)方。

        A: --> m^x%n ==> B

        B: --> m^y%n ==> A

       (4)收到對(duì)方的結(jié)果，再用自己私有的隨機(jī)數(shù)和結(jié)果計(jì)算，得到相同的密鑰；

        A: (m^y%n)^x = m^xy%n 

        B: (m^x%n)^y = m^xy%n

        m^xy%n即為雙方協(xié)商后計(jì)算出的密鑰，提高了安全性，即使別人獲取了m和n兩個(gè)數(shù)值，

       也無法計(jì)算出x和y的數(shù)值。

接下來我們?cè)俳榻B一下防止中間人欺騙CA機(jī)構(gòu)，CA機(jī)構(gòu)是一個(gè)第三方可信機(jī)構(gòu)，為通信方頒發(fā)證書，可讓通信方可靠獲取對(duì)方公鑰的基礎(chǔ)保證機(jī)制。他是由PKI一套架構(gòu)體系來完成的。

PKI：Public Key Infrastructure

  公鑰基礎(chǔ)設(shè)施，以CA為核心生成的一套架構(gòu)體系，提供證書服務(wù)，保證證書的合法性。組成部分如下：

    簽證機(jī)構(gòu)：CA

    注冊(cè)機(jī)構(gòu)：RA

    證書吊銷列表：CRL

    證書存取庫：CB

  通過X.509v3定義了證書的結(jié)構(gòu)以及認(rèn)證協(xié)議標(biāo)準(zhǔn)，結(jié)構(gòu)及標(biāo)準(zhǔn)如下：

   版本號(hào)

   序列號(hào)

   簽名算法ID

   發(fā)行者名稱

   有效期限

   主體名稱

   主體公鑰

   發(fā)行者的惟一標(biāo)識(shí)

   主體的惟一標(biāo)識(shí)

   擴(kuò)展

   發(fā)行者的簽名

那么CA是如何來保證通信雙方證書的合法性及通信雙方可靠獲取對(duì)方公鑰的呢？CA工作過各如下：

  1、自簽證書：CA先給自己頒發(fā)一個(gè)證書，證書內(nèi)容如X.509v3所規(guī)定，并將證書發(fā)送給有需要的通信方。取得通信方對(duì)CA的信任，通信方并可從證書中獲取CA的公鑰；

  2、CA頒發(fā)證書：通信方向CA申請(qǐng)注冊(cè)證書，CA將簽署好證書并在證書后方加數(shù)字簽名，再將證書頒給申請(qǐng)方；

  3、通信方獲取并驗(yàn)證證書：

   （1）通信方獲取自己證書或獲取對(duì)方證書后，可用CA公鑰解密證書后方數(shù)字簽名，確認(rèn)證書確實(shí)是自己所信任的CA所頒發(fā)；

   （2）用同樣的單向加密算法計(jì)算證書特征碼，對(duì)比原特征碼，驗(yàn)證證書完整性；

    （3）檢查證書有效期，看證書是否在有效期內(nèi)；

    （4）驗(yàn)證證書內(nèi)主體名稱，是否是通信對(duì)方的名稱；

    （5）檢查證書是否被吊銷；

至此我們?cè)賮砜偨Y(jié)一下通信雙方通信過程：

  1、通信方獲取CA證書，并申請(qǐng)取得自己證書；

  2、通信雙方協(xié)商各加密算法；

  3、通信雙方協(xié)商獲取對(duì)方公鑰并驗(yàn)證證書；

  4、發(fā)送方加密數(shù)據(jù)，并發(fā)送；

  5、接收方接收數(shù)據(jù)，并解密驗(yàn)證；

具體過程以上都介紹過，此處不再詳細(xì)說明了。

至此有關(guān)安全加密解密基礎(chǔ)的內(nèi)容就結(jié)束了。只是個(gè)人總結(jié)，希望相互學(xué)習(xí)！

 

網(wǎng)站標(biāo)題：加密解密基礎(chǔ)
轉(zhuǎn)載注明：http://aaarwkj.com/article4/igdpoe.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站導(dǎo)航、軟件開發(fā)、網(wǎng)站收錄、定制網(wǎng)站、標(biāo)簽優(yōu)化、網(wǎng)站制作

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)