知识屋:更实用的电脑技术知识网站
所在位置:首页 > 网络安全 > 安全资讯

网络安全之加密类型及举例

发布时间:2012-08-06 16:00:57作者:知识屋

数据加密类型
 对称加密(传统加密算法)
 首先必须将待加密的数据,以及加密时所使用的密钥提供给加密算法进行加密,而加密之后的内容就变成一堆无法阅读的数据;阅读这些数据时,需要将加密过的数据及解密时所需要的密钥提供给解密算法,这样才能还原出数据。
 优点:
 加密速度快,占用的CPU运算资源较少。
 缺点:
 对称加密的最大缺点是密钥传输不便。若加密者和数据接受者位于不同的地理位置,则密钥的传输很有可能被别人截获。
  
 非对称加密(公钥加密算法)
    公钥系统中,文件的接受者必须拥有一对密钥,分别是公钥(Public Key)和私钥(Private Key)。这两种密钥有一个很重要的特性,就是都可以用来加密数据,而且解密后的数据就只能使用另一半来解密。例如,使用公钥加密后的数据,就只有私钥能解密;而使用十月加密后的数据,就只有公钥才能解密。所以从公钥的字面意义看,它应该是可以让他人轻易获得的,但是私钥就改严密保管。
 优点:
 非对称加密不存在密钥传送问题,比对称式更安全。
 缺点:
 消耗的CPU资源比较多。
  
 下面以SSL握手过程中加密方式的使用进行说明。
  
 SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。
  
 SSL协议提供的服务主要有:
 1.认证用户和服务器,确保数据发送到正确的客户机和服务器
 2.加密数据以防止数据中途被窃取
 3.维护数据的完整性,确保数据在传输过程中不被改变
  
 SSL协议的握手过程
  
   为了便于更好的认识和理解SSL 协议,这里着重介绍SSL 协议的握手协议。SSL 协议既用到了公钥加密技术又用到了对称加密技术,对称加密技术虽然比公钥加密技术的速度快,可是公钥加密技术提供了更好的身份认证技术。SSL 的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:
   ①客户端的浏览器向服务器传送客户端SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。
   ②服务器向客户端传送SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。(下文有注释)
   ③客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。
 ④用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。
  
 客户端利用非对称加密(公钥加密)算法的公钥将用于对称加密算法(传统加密)的密钥(即“对称密码”)进行加密后传送到服务器端。
  
   ⑤如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。
 ⑥如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。
  
 服务器端再用非对称加密算法的私钥(只有服务器端才有)进行解密得到对称加密算法的密钥(即“对称密码”)。
  
   ⑦服务器和客户端用相同的主密码即“通讯密码”,一个对称密钥用于SSL 协议的安全数据通讯的加解密通讯。同时在SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。
   ⑧客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。
   ⑨服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。
 ⑩SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。
  
 客户端服务器端最终达成协议,双方使用对称密钥和对称加密算法(传统加密)进行数据通讯。
 注释:
 ②中服务器端传输的证书的内容
 证书内容包括:公钥和真实身份识别信息,包括个人,服务器或其他实体。如表1所示,主题信息包括身份识别信息(DN)和公钥。它还包括认证和签发的CA签发这个证书的有效期,还可能有一些其他的信息(或者成为扩展信息),一般由CA自行定义使用的管理信息,譬如序列号等。
  
 证书信息
 主题(证书所有人)   识别名,公钥 
  签发者  识别名,签名
  有效期  不早于,不晚于
  管理信息       版本,序列号
  扩展信息     基本限制, Netscape标记等
  
 ⑥中客户端的证书内容(以建行网银盾为例)
 在网上银行客户签约之前,建行已经制作好,并将“数字证书”下载到USB Key中。
 目前,多数银行向客户发放的USB Key中,事先并没有保存数字证书。
 这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码,还有一个CA 认证过的身份。因为个人证书一般来说是别人无法模拟的,所有这样能够更深的确认自己的身份。
(免责声明:文章内容如涉及作品内容、版权和其它问题,请及时与我们联系,我们将在第一时间删除内容,文章内容仅供参考)
收藏
  • 人气文章
  • 最新文章
  • 下载排行榜
  • 热门排行榜