背景:
早期的互联网---1960年代,我们共享数据,传输数据;所传输或者共享的数据均为明文;
随着互联网发展,安全称为了国家的一种战略资源;
我们做的,比如编程,运维-----手工业
安全属于一种科学研究----安全的算法都是需要,以数学难题为基础进行研究;
DH算法---------------秘钥交换(对称秘钥)
每个国家都疯狂去研究自己的加密算法,以及去破译别人的加密算法;美国---禁止出口长于256位的加密算法。
安全:
为了保证数据安全,我们必须满足以下四点:1、数据必须被加密;2、完整性校验(哈希、单向加密、指纹);3、源认证4、证书体系(OpenSSL就是用来实现这个歌证书架构体系的)
1.数据加密
数据必须被加密
1、对称秘钥加密
同一个秘钥进行加密,同一个秘钥进行解密
优点:效率高
缺点:秘钥维护非常困难,秘钥交换非常困难;
2、非对称秘钥加密
密钥对(公钥、私钥)
A B
A私钥 A公钥
B可以通过使用A的公钥对数据进行加密,再传输给A
优点; 维护秘钥方便;数据比较安全
缺点:效率低下(非常低下) 和对称加密相比,差距为1000倍左右;
二种加密形式:
1、流加密
0110101001000101011100100101001010
cisco 0101
0110101001000101011100100101001010
异或-----------------------------------------------------------
000000(相同为0 不同为1)
机密
000000000000000……
Cisco 0101
0110101001000101011100100101001010
0110101001000101011100100101001010
2、块加密
2、完整性校验
测试数据的完整性,保证数据没有被篡改;
原理:获取B机器对数据的hash值,A机器对获取到的数据再进行一次hash;拿A自己hash自己的结果,与获取到的B机器的hash进行比较
如果相同 ,则说明数据完整,否则,数据不信任。
hash特点:
1、不可逆性------单向加密
2、雪崩效应--------修改一个字符,输出的结果完全不同。
MAC 信息认证代码
随机生成秘钥对,在将秘钥对加上数据报文一起做HASH-------HMAC
这种方式即完成了原认证同时也完成完整性校验;
3、源认证
非对称秘钥的另外一个作用:
数字签名(数据加密,太慢,不使用,秘钥交换)
在做秘钥交换的时候,我们是用了---公钥加密私钥解密
数字签名 私钥加密----公钥解密
只有自己拥有自己的私钥,用自己的私钥对数据进行解密;
对端,使用自己的公钥进行解密,如果能解密说明数据源是正确的,否则,不可信任。
4、证书机制------PKI
我们通过PKI (公共秘钥基础设施)架构,来实现上面提到的三点认证机制
PKI包括:
CA---证书服务器 CA服务器,用来做证书签发;
RA----搭建CA的机构,注册证书的机构
VRL---整数吊销列表
OpenSSL
OpenSSL管理工具
二个加密程序调用接口----库文件
dh ---非对称秘钥算法
A B
pgx pgy
z z
到底有哪些算法:
常见文件:
/etc/pki/tls/OpenSS.cnf
/etc/pki/CA----证书服务器的证书服务根目录
/etc/pki/CA/certs---证书存放目录
/etc/pki/CA/crl---
/etc/pki/CA/crl---
怎么去创建CA服务器
颁发根证书-----认证CA服务的有效性
给别人去颁发个人证书
ssl 或者 tls 协议的连接过程;
以https为例 http---------》80
客户端----------》服务器端
tcp三次握手
http请求--》
《---http的响应
HTTPS-------》443
客户端----------------》服务器
tcp三次握手
ssl握手