1.結合實例具體說下網絡安全加密-數字信封-完整性驗證-數字簽名-數據加解密及身份認證流程:
在說之前我們首先要明白兩個概念數字信封和數字簽名
數字信封:明文用對稱加密 私鑰用非對稱加密,它結合了對稱加密速度快和非對稱加密安全性高的優點
數字簽名:數字指紋 明文用hash函數-獲得一個摘要-——用私鑰加密摘要
上圖就是A B兩用戶安全通信的示意圖,我們通過它來了解加密技術在通訊中的具體應用;
1.用戶要發一封秘密郵件給B用戶,首先A用戶的明文通過hash函數得到一個信息摘要,在用A的私鑰對摘要進行簽名得到一個數字信封,我們中的數字信封又稱數字指紋,具有不可否認性,就是說我們可以根據數字信封來確認這封郵件是A發過來的,這個數字簽名有什么用途,下面我們就知道了
2.明文 A的數字簽名 A的公鑰鑰三者和三惟一用對稱加密密鑰進行加密,通常這步對用戶來說是透明的,換句話來說就是系統自動用對稱加密算法對數據進行加密處理,來防止網上有人的信息監聽
3.用用戶B的公鑰對對稱加密的密鑰進行加密,得到一個數字信封,我們知道對於非對稱加密算法,用B的公鑰進行加密,只有B用戶的私鑰才可以解密,而用戶B的私鑰是存儲在B的個人pc機上的,這樣即使在傳輸過程中信息被人截獲,由於無法得知用戶B的私鑰根本上是打不開的,
4.A用戶把信息發送到公網
對於B用戶來說,他需要做的也有4步
1.先對數字信封用B的私鑰進行解密,因為我們發送的文件使用對稱加密算法得出的,對於對稱加密算法鑰匙就有一個,而B用戶是不知對稱加密的密鑰的,ok,B用戶首先用自己的私鑰對數字信封進行解密,從而得到對稱加密的密鑰
2.用對稱加密的密鑰對密文進行解密,這時候B用戶才可以看到文件的明文,通過解密B用戶也同時得到了三個文件,分別是明文,A的數字簽名,A的公鑰,這時候有人要問了,那么我們不可以偽造A的公鑰嗎?首先A的公鑰是在我們通過非對稱加密用B的私鑰和對稱加密算法揭開的,要得到A的公鑰我們就是和對稱加密和非對稱加密為敵,即使是可以偽造A的公鑰,可A的私鑰是偽造不出來的,我們知道對於非對稱加密算法,密鑰是成對出現的,用私鑰加密只能公鑰解開,二者是相互關聯的,即使有人偽造了A的公鑰,同樣解不開密文。這步對於用戶來說同樣是透明的。
3.下面我們就說到數字簽名了,我們用A的公鑰對數字簽名進行解密,如果能解得開說明文件就是A用戶發過來的,具有不可抵賴性,這樣我們也就知道了為什么數字簽名又叫數字指紋了。這樣我們得到一個信息摘要,同樣我們對明文進行HASH運算同樣能得到一個信息摘要.
4.我們通過對二者進行對比,一樣說明信息傳遞無誤,不一樣則說明文件別人篡改了。
我們通過這樣一個例子就可以了解加密算法,如何在網絡通信的應用,下面有個問題就是關於證書的了,什么是正書,證書有什么用?如何頒發的?為什么可信?
CA為電子政務,電子商務等網絡環境中的各個實體頒發數字證書,以證明身份的真實性,並負責在交易中檢驗和管理證書
CA對數字證書的簽名使得第三方不能偽造和篡改證書,證書是由可信賴的機構頒發的,如微軟 ,互聯網中心等
證書的作用 允許加密磁盤上的數據 保護電子郵件消息 向遠程計算機證明您的身份 基於ssl完整的web訪問
證書的頒發可以有效緩解我們在操作中的復雜性,因為證書中是包含公鑰的,說白了證書就是證明我們就是我,不是別人,現在的釣魚網站我們就可以通過證書驗證真偽,這個問題下篇文章我們在討論。
----------------------------------------------------------
二、數字簽名與數字信封
公鑰密碼體制在實際應用中包含數字簽名和數字信封兩種方式
1) 數字簽名
指用戶用自己的【私鑰】對原始數據的哈希摘要進行加密所得的數據。數字簽名定義兩種互補的運算:一個用於簽名,另一個用於驗證。"私鑰簽名,公鑰驗證"
簽名:發送方用特殊的hash算法,由明文中產生固定長度的【摘要】,然后利用自己的私鑰對形成的摘要進行加密,這里加密后的數據就是數字簽名。
驗證:接受方利用發送方的公鑰解密被加密的摘要得到結果A,然后對明文也進行hash操作產生摘要B.最后,把A和B作比較。此方式既可以保證發送方的身份正確性,又可以保證數據在傳輸過程中不會被篡改。
數字簽名(Digital Signature)技術是不對稱加密算法的典型應用。保證信息傳輸的完整性、發送者的身份認證、防止交易中的抵賴發生。
2) 數字信封
數字信封的功能類似於普通信封。普通信封在法律的約束下保證只有收信人才能閱讀信的內容;數字信封則采用密碼技術保證了只有規定的接收人才能閱讀信息的內容。
數字信封中采用了單鑰加密體制和公鑰密碼體制。信息發送者首先利用隨機產生的【對稱密碼】加密信息(因為非對稱加密技術的速度比較慢),再利用接收方的【公鑰】加密對稱密碼,被公鑰加密后的對稱密鑰被稱之為數字信封。在傳遞信息時,信息接收方要解密信息時,必須先用自己的私鑰解密數字信封,得到對稱密碼,才能利用對稱密碼解密所得到的信息。
數字信封既發揮了對稱加密算法速度快、安全性好的優點,又發揮了非對稱加密算法密鑰管理方便的優點。
三、應用示例
- 為了保證信息傳送的真實性、完整性和不可否認性,需要對要傳送的信息進行數字加密和數字簽名。其傳送過程如下:
發送者A:
1) A准備要傳送的數字信息(明文)
2) A對數字信息(明文)進行哈希(hash)運算,得到一信息摘要。
3) A用自己的【私鑰(SK)】對信息摘要進行加密得到A的數字簽名,並將其附在數字信息上。(數字簽名)
4) A隨機產生一個加密鑰(DES密鑰),並用此密鑰對要發送的信息(明文)進行加密,形成密文。(對稱加密)
5) A用B的【公鑰(PK)】對剛才隨機產生的加密密鑰進行加密,將加密后的DES密鑰連同密文一起傳送給B。(數字信封)
接收者B:
1) B收到A傳送過來的密文和加過密的DES密鑰,先用自己的私鑰(SK)對加密的DES密鑰進行解密,得到DES密鑰。
2) B然后用DES密鑰對受到的密文進行解密,得到明文的數字信息,然后將DES密鑰拋棄(即DES密鑰作廢)。
3) B用A的公鑰(PK)對A的數字簽名進行解密,得到信息摘要。
4) B用相同的has算法對收到的明文再進行一次hash運算,得到一個新的信息摘要。
5) B將收到的信息摘要和新生成的信息摘要進行比較,如果一致,說明收到的信息沒有被修改過。
本文出自 “cisco network” 博客,請務必保留此出處http://liangrui.blog.51cto.com/1510945/373006