吴忠门户网站建设,wordpress博客设置主题方法,网站建设中企,杭州比较有名的设计院文章目录 前言1. 防止报文泄露 —— 加密体系的出现1.1 理解非对称加密体系的实施难点1.2 加密体系的实际应用 2. 防止报文被篡改 —— 数字签名的出现2.1 数字签名的原理2.2 数字签名的实施难点2.2 数字签名的实际应用 —— 引入摘要算法 3. 实体鉴别 —— CA证书 后记 前言
… 文章目录 前言1. 防止报文泄露 —— 加密体系的出现1.1 理解非对称加密体系的实施难点1.2 加密体系的实际应用 2. 防止报文被篡改 —— 数字签名的出现2.1 数字签名的原理2.2 数字签名的实施难点2.2 数字签名的实际应用 —— 引入摘要算法 3. 实体鉴别 —— CA证书 后记 前言
工作中重新接触了 【公钥、私钥、签名】的概念。抽空重新看了《计算机网络》和国外的小黑书把这块基础知识再收敛一下。基于小黑书的叙事结构把网络安全解决的实际问题拆解成
防止报文泄露防止报文被篡改实体鉴别端点鉴别防止重放攻击
1. 防止报文泄露 —— 加密体系的出现
网络丢包是常见的事情丢包意味着报文可能被截获。怎样能够减少丢包造成的损失呢两个思路
物理隔绝 —— 内网通信保护信息 —— 报文加密
如果两家公司在公网上通信涉密信息的报文一定要经过加密。加密又有两种形式这个网上资料很多不再赘述
对称加密非对称加密 NOTE: 非对称加密算法复杂消耗的资源多所以实际应用是【非对称加密 对称加密】旨在确保通信安全的前提下兼顾效率。 1.1 理解非对称加密体系的实施难点
以 RSA 非对称算法为例比DES慢 2~4个数量级多对多的网络模式下密钥的管理和交换比对称加密复杂
1.2 加密体系的实际应用
A与B用RSA非对称加密交换会话密钥对称密钥A和B在一段时间内都使用会话密钥进行通信。 2. 防止报文被篡改 —— 数字签名的出现
上文提到报文加密可以减少丢包的损失。简单来说就是截获网络报文的人看不懂双方在讲什么。只加密就完了吗我们把攻击者想象得太简单了有一些攻击者会做这些事
从发送方中把报文密文篡改了再丢给接收方。接收方从密文中还原的明文也就成了乱码。从发送方中获取明文和密钥修改明文加密后再发给接收方。接收方就被误导了。
有没有办法证明报文本身没被篡改呢大体思路是这样的
报文中确保有发送者的签名 签名一定要与内容进行绑定内容变了签名失效。完成这种机制的就是数字签名 值得注意的是“签名” 一词在中文里面表达一种不变量比如小明本人签字内容一定是“小明”。而在计算机世界中这个 “签名” 是被计算出来的根据内容实时变化的。 2.1 数字签名的原理
数字签名以非对称加密为基础。 “公钥加密私钥解密” 这个是大多数人的共识但是这里存在容易混淆概念的地方。 因为中文的“解密”一定出现在“加密”之前。实际上把 “加密” 和 “解密” 都换成 “运算”更合理些。 因为运算是可以满足交换律的数字签名就是使用的运算的交换律
A 生成密文后用自己的私钥 全宇宙只有自己持有对密文进行X运算生成数字签名。把密文和数字签名一起发送给 BB 收到密文后先用 A 的 公钥 对数字签名进行D运算。由于X运算和D运算满足交换律所以对数字签名进行D运算会解析出密文。如果这个密文和A给的密文不一致则报文被篡改。以上的 D运算 实际上就是验签由于A的私钥是全宇宙唯一的所以A的签名不可伪造也不可抵赖A说自己没发过这个报文但是世界不会承认他没发过
2.2 数字签名的实施难点
非对称加密比较消耗资源特别是对大报文进行运算。
2.2 数字签名的实际应用 —— 引入摘要算法
既然大报文消耗性能能不能把报文弄小? 思路其实就是摘要算法常见的 md5、sha-1 就是摘要算法也叫散列算法。
程序中的应用
// 把签名拼接到密文后面接收者再解析出签名验签即可
密文.签名3. 实体鉴别 —— CA证书
上文提到现实的通信基础是对称和非对称加密结合。那么自然就引出了两个议题
如何交换密钥如何证明 “A的公钥属于A”
这块内容是密钥管理的内容内容多的可以单独开个专题来讲了。对于通信双方只需要知道CA证书的存在即可他是作为密钥管理的第三方CA Certification Authority (认证中心)。具体的管理方式
A 在认证中心上注册了自己的公钥获得了CA证书。B 要与 A 通信前先用 A 给的 CA 证书去认证中心确认公钥来自于 A
后记
理解报文加密、数字签名就写到这里。下面的三个话题主要是防止中间人攻击
实体鉴别端点鉴别防止重放攻击 实际开发中暂时还接触不到这些等有实际的工作体验后再来补充这部分的内容。 最后值得一提的是理解了上述概念再看看jwt的报文组成就显得合理多了。
