TCP/IP:安全
A–>B
机密性:明文传输(ftp/http/smtp/telent)
完整性:
身份验证:
机密性:
plaintext–>转换规则–>ciphertext
ciphertext–>转换规则–>plaintext
转换算法:密钥
对称加密:算法(加密和解密密钥是同一个)
优点:加密解密快
缺点:无法对密钥有效管理
完整性:
单向加密算法:提取数据特征码
输入一样:输出必然一样
雪崩效应:输入的微小改变,将会引起结果的巨大改变
定长输出:无论原始数据是多长,结果大小都是相同的
不可逆:无法根据特征码还原原来的数据
A:plaintext:footprint –>B
因为以明文进行传输,中间人获取内容后修改数据然后重新进行生成特征码传给B,B并不能知道数据被篡改过。
中间人攻击:plaintext2:footprint2–>B
将特征码进行加密,就能完成数据的完整性。
协商生成密码:互联网密钥交换 ( Internet Key Exchange)
Diffie-Hellman协议:
A:
p,g(大素数,生成数)
A:x
B:y
A:g^x%p –>B
B:g^y%p –>A
g,p,g^x%p,g^y%p
A:(g^y%p)^x=g^yx%p
B:(g^x%p)^y=g^xy%p
密钥交换算法
g=2
p=7
x=2
y=3
公钥加密算法:非对称加密算法
密钥对:
公钥:p
私钥:s
发送方用自己的私钥加密数据,可以实现身份验证
发送方用对方的公钥加密数据,可以保证数据机密性
公钥加密算法很少用来加密数据:速度太慢(至少3个数量级)
身份验证:
第三方机构(当然不止一个):
对公钥进行公正,发证机关先去计算特征码,并用自己的私钥加密特征码。
收费的,人家给你认证,需要收费的。。而且不便宜
很多只要单方面对身份验证即可;
例如,在淘宝上买东西,只要验证淘宝是淘宝即可,淘宝不需要验证你的身份,(当然也难或者没必要),
既然不能验证你的身份,就无法保证交易是可靠的,所以出现了支付宝,你把钱存我这,然后我发货给你。
自己的钱怎么转到支付宝上,那怎么保证是你把钱转到支付宝,银行保证,银行通过U盾等工具验证是你
进行的交易。
a和b进行通信,先拿到对方的公钥,通过ike协议来实现,a发送b一段数据,生成校验码,然后通过对称加密对数据和校验码进行加密,然后a生成一个随机密码,然后a利用b的公钥来加密a的随机密码;
b收到时,利用b自身的私钥来解密a的随机密码,然后通过对称加密来解密数据;
但是这样能保证数据的保密性和完整性,但是无法保证身份验证;
所以引入证书,来确保你是你;
但是这里又有一个问题,证书的颁发机构就要确保证书是有效的;
如果证书丢了,意味着私钥丢了,私钥要机密存放。
密钥管理工具。
PKI(Public Key Infrastructure)
http://baike.baidu.com/link?url=1gQ7_WjM25DCN2V0o5D6zo7GySukl2QpGbJYjIXbRh9GSQXm1DvFr_Y3i3-oEnF9yysmVClCFxJZQQrIGrTlda
为解决这些Internet 的安全问题,世界各国对其进行了多年的研究,初步形成了一套完整的Internet 安全解决方案,即时下被广泛采用的PKI 技术(Public Key Infrastructure-公钥基础设施),PKI(公钥基础设施)技术采用证书管理公钥,通过第三方的可信任机构–认证中心CA(Certificate Authority),把用户的公钥和用户的其他标识信息(如名称、e-mail、身份 证号等)捆绑在一起,在Internet 网上验证用户的身份。眼下,通用的办法是采用基于PKI 结构结合数字证书,通过把要传输的数字信息进行加密,保证信息传输的保密性、完整性,签名保证身份的真实性和抗抵赖。
IKE(Internet Key Exchange):
Internet密钥交换协议(IKE)是用于交换和管理在VPN中使用的加密密钥的.到目前为止,它依然存在安全缺陷.基于该协议的重要的现实意义,简单地介绍了它的工作机制,并对它进行了安全性分析;对于抵御中间人攻击和DoS攻击,给出了相应的修正方法;还对主模式下预共享密钥验证方法提出了新的建议;最后给出了它的两个发展趋势:JFK和IKEv2.
http://baike.baidu.com/link?url=8aRGYrrnt0-rlxlCmJJumAMAouhOYE4ml369SRLANQwdzmcptVBN95VBPgsR9C8dEGCCE6ViaHMKf6yfzs4QHa
http://zh.wikipedia.org/wiki/%E7%B6%B2%E9%9A%9B%E7%B6%B2%E8%B7%AF%E9%87%91%E9%91%B0%E4%BA%A4%E6%8F%9B
