網路安全-pki
我們都知道,計算機網路上沒有絕對的安全,所以為咯實現資料安全傳輸,只有通過各種加密傳輸盡可能保證資料完整性和真實性。常見的加密演算法有單向加密,對稱加密,非對稱加密。單向加密一般用於資料完整性(提取特徵碼);對稱加密速度快,一般用於資料加密;非對稱加密速度慢,一般只用於身份驗證。現在網路應用最為廣泛的就是pki咯。
pki(public key infrastructure )是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平台的技術和規範。它能夠為所有網路應用
提供加密和數字簽名等密碼服務及所必需的金鑰和證書管理體系,
簡單來說,pki就是利用公鑰理論和技術建立的提供安全服務的基礎設施。使用者可利用pki平台提供的服務進行安全的電子交易,通訊和網際網路上的各種活動。
由netscape
公司開發的一套
internet
資料安全協議
。它已被廣泛地用於
web瀏覽器與伺服器之間的身份認證和加密資料傳輸。
ssl協議位於
tcp/ip
協議與各種應用層協議之間,為資料通訊提供安全支援
。準確來講,只是個半層協議,是可選擇的。
ssl通訊示意圖如圖1所示:
2 ssl通訊說明
在該部分,將對圖1所示的示意圖進行說明。為了說明的方便,在本文中稱客戶端為b,伺服器端為s。
step 1: b——〉s(發起對話,協商傳送加密演算法)
你好,s!我想和你進行安全對話,我的對稱加密演算法有des,rc5,我的金鑰交換演算法有rsa和dh,摘要演算法有md5和sha。
step2: s——〉b(傳送伺服器數字證書)
你好,b!那我們就使用des-rsa-sha這對組合進行通訊,為了證明我確實是s,現在傳送我的數字證書給你,你可以驗證我的身份。
step 3: b——〉s(傳送本次對話的金鑰)
(檢查s的數字證書是否正確,通過ca機構頒發的證書驗證了s證書的真實有效性後。生成了利用s的公鑰加密的本次對話的金鑰傳送給s)
s, 我已經確認了你的身份,現在將我們本次通訊中使用的對稱加密演算法的金鑰傳送給你。
step4: s——〉b(獲取金鑰)
(s用自己的私鑰解密獲取本次通訊的金鑰)。
b, 我已經獲取了金鑰。我們可以開始通訊了。
step5: sb(進行通訊)
說明:一般情況下,當b是保密資訊的傳遞者時,b不需要數字證書驗證自己身份的真實性,如
電子銀行的應用,客戶需要將自己的賬號和密碼傳送給銀行,因此銀行的伺服器需要安裝數字證書來表明自己身份的有效性。在某些b2b應用,伺服器端也需要對客戶端的身份進行驗證,這時客戶端也需要安裝數字證書以保證通訊時伺服器可以辨別出客戶端的身份,驗證過程類似於伺服器身份的驗證過程。
此外需要說明的是,在一些電子商務的應用中,可能還會使用到電子簽名,或者為了資訊交換的更加安全,會增加電子簽名和訊息校驗碼(mac)。
hash 編碼是使用hash演算法從任意長度的訊息中計算hash值的乙個過程,hash值可以說是訊息的指紋,因為對於任何不同的訊息,幾乎總有不同的hash值。因此在ssl通訊過程中,
可以對訊息的
hash
值進行加密,確保傳遞的訊息在傳輸過程中沒有被修改。
非對稱加密或稱之為公鑰加密使用數學上相關的兩個數值來對資訊進行編碼(加密),其中乙個數字稱為公鑰,另乙個稱為私鑰。公鑰加密的資訊可以用私鑰解密,私鑰加密的資訊可以用公鑰解密。由於公鑰可以大面積發放,因此公鑰加密在ssl加密通訊中應用於對金鑰的加密或者進行數字簽名。
對稱加密和非對稱加密相比的區別在於對稱加密中,加密資訊和解密資訊使用同樣的金鑰,因此該金鑰無法公開。
但是其具有加密、解密快速的特點。
在ssl通訊中,首先採用非對稱加密交換資訊,使得伺服器獲得瀏覽器端提供的對稱加密的金鑰,然後利用該金鑰進行通訊過程中資訊的加密和解密。為了保證訊息在傳遞過程中沒有被篡改,可以加密hash編碼來確保資訊的完整性。
internet
上解決"
我是誰"
的問題,就如同現實中我們每乙個人都要擁有一張證明個人身份的身份證或駕駛執照一樣,以表明我們的身份或某種資格。
數字證書是由權威公正的第三方機構即
ca中心簽發的,以數字證書為核心的加密技術可以對網路上傳輸的資訊進行加密和解密、數字簽名和簽名驗證,確保網上傳遞資訊的
機密性、
完整性,以及
交易實體身份的真實性
,簽名資訊的不可否認性
,從而保障網路應用的安全性。
數字證書採用公鑰密碼體制,即利用一對互相匹配的金鑰進行加密、解密。
每個使用者擁有一把僅為本人所掌握的私有金鑰(私鑰),用它進行解密和簽名;同時擁有一把公共金鑰(公鑰)並可以對外公開,用於加密和驗證簽名。當傳送乙份保密檔案時,傳送方使用接收方的公鑰對資料加密,而接收方則使用自己的私鑰解密,這樣,資訊就可以安全無誤地到達目的地了,即使被第三方截獲,由於沒有相應的私鑰,也無法進行解密。通過數字的手段保證加密過程是乙個不可逆過程,即只有用私有金鑰才能解密
。在公開金鑰密碼體制中,常用的一種是
rsa體制。
使用者也可以採用自己的私鑰對資訊加以處理,由於金鑰僅為本人所有,這樣就產生了別人無法生成的檔案,也就形成了數字簽名。採用數字簽名,能夠確認以下兩點:(1
)保證資訊是由簽名者自己簽名傳送的,簽名者不能否認或難以否認;(2
)保證資訊自簽發後到收到為止未曾作過任何修改,簽發的檔案是真實檔案。
最簡單的證書包含乙個公開金鑰、名稱以及證書授權中心的數字簽名。一般情況下證書中還包括金鑰的有效時間,發證機關(證書授權中心)的名稱,該證書的序列號等資訊,
PKI 技術實現網路安全
0 預備知識 對稱加密 加密金鑰和解密金鑰是同乙個金鑰,金鑰維護工作量大n個人就有n n 1 2個金鑰,加密效率高,不適合網際網路傳輸金鑰 非對稱加密 公鑰和私鑰成對出現 公鑰推導不出私鑰 公鑰加密私鑰解密,私鑰加密公鑰解密 公鑰不能解公鑰,私鑰不能解私鑰,每個使用者乙個非對稱金鑰,適合在網際網路上...
網路安全五 PKI技術基礎II
1.密碼演算法的分類 1 對稱密碼演算法 symmetric cipher 就是加密金鑰和解密金鑰相同,或實質上等同,即從乙個易於推出另乙個。又稱傳統密碼演算法 conventional cipher 或秘密金鑰演算法或單金鑰演算法。優點 運算速度快 金鑰短 歷史悠久 缺點 金鑰管理困難 分發 更換...
精通pki網路安全認證技術與程式設計實現(讀書筆記3)
第四章 openssl訊息摘要 1.訊息摘要 訊息摘要就是把不定長的資料通過數學變化為固定長度的短資料。原始訊息的任何一點改動都會使訊息摘要值發生很大變化。訊息摘要具有不可逆性。2.函式 常用的函式包括evp md ctx init evp digestinit ex evp digestupdat...