數據加密
現在越來越多的應用是基於互聯網:傳輸文件,網上購物,收發郵件等。而在傳送任何東西的時候,其安全性是首先應該考慮的。然而我們現在最常使用的tcp/ip協議棧,由於其出現的時間很早,沒有考慮到其安全性,所以加密技術就顯的很重要了。
1. 單向加密
2. 對稱加密
3. 非對稱加密
單向加密:僅提取了一段數據的特徵碼,不論對於多長的數據,我們都可以得到相同長度的特徵碼。這樣只能保證數據的完整性,加密過程是不可逆的,有雪崩效應,即源數據有小的改變加密結果很很大的改變。常見的方法有MD5(120bit),SHA-1(160bit)
對稱加密:主要指加密和解密使用同樣的密鑰。其方法是將原文和密碼(自己設定的)通過某種算法得到一堆的密文,其安全性主要是通過對其密碼的保密來提供的,算法是大家公認的。在加密時爲了提高加密的速度通常將源數據分成長度相同的段,對每個塊分別加密。在分塊兒計算時有兩種方法(ECB,CBC)。對稱加密得到的密文解密時必須需要密碼。在設置密碼時儘可能的讓其隨即,或增加其長度,這樣可以增大破解的難度。常見的對稱加密算法有DES(已經廢棄),3DES,AES(密鑰是變長的),Blowfish,Twofish。對稱加密算法不能進行身份認證。
非對稱加密算法(公鑰加密算法):主要用於對用戶身份的確認,是電子商務應用的基礎,這種方法也被稱爲PKI(Public Key Instructure)。非對稱加密有一組Public key和Private key,通過公鑰加密的用私鑰可以解密,反之同理。在對網上銀行,等一些對安全性要求高的網站在訪問的時候都要求我們下載證書(Certificate),證書中存儲的其實就是公鑰和一些證書持有者的信息,有證書就需要證書頒發機構CA。CA的作用就是對用戶的公鑰就行認證並簽發證書。非對稱加密還解決了密碼分發的問題。由於非對稱加密的密鑰長度大於1024位加密速度非常慢,所以最長用作身份認證。
CA簡介:CA的作用主要是確定雙方的身份。CA首先是雙方都認可的機構。獲取證書的方法是將自己公鑰和一些必要的信息發送給證書頒發機構,然後又CA對公鑰進行簽名。
簽名:計算證書的特徵碼並用自己的私鑰加密特徵碼放在其後面
PKI公鑰基礎設施:其核心是CA,但還包括對其的管理,包括頒發,吊銷,等一些維護。
IKE互聯網密鑰交換,是雙發的密碼不在互聯網上傳送,而得到相同的密碼。主要通過DH算法
圖中以主機A向B發送數據爲例,發送數據DATA首先經過單行加密得到密碼,爲保證數據的來源,將密碼用A的私鑰加密得到S1附加到DATA的後面,爲了保證數據安全性同時有不至於佔用過長的時間,在使用對稱加密將前面的數據後加密的得到S2,同時將密碼用B的公鑰加密得到S3,然後再將以上說有數據數據傳送給B。B得到數據先使用自己的私鑰解密S3得到解密S2的密碼,對S2解密的到S1和DATA,將S1用A的公鑰解密得到對DATA加密的密碼,然後對DATA進行單向加密和對S1解密的密碼比較是否相同,如果相同則表示數據正確。
在傳送過程中CA的作用就是確定雙發的公鑰,如A向B傳送數據時需要的B的公鑰時怎樣確認B的公鑰就是B的呢,如果有人從中間更改了怎麼辦?這就需要CA了,CA對傳輸數據的雙發的公鑰進行確認,其過程就是用自己的私鑰對申請者的公鑰進行簽名。當傳輸時確認對方的公鑰時,從證書機構的到其證書,就可以對對方的證書進行解密,如果證書是正確的,就可以看到申請證書時提供的信息,進而就確認了傳輸方的身份了。但是對於怎樣得到CA的證書,這個看你個人的決定了,這也是現在的網絡唯一不能不能保證安全了。但是現在的系統都內置了全球的一些著名CA的證書了方便了使用。