安全加密.pptxVIP

安全加密 加密 SSL 数据安全 加密 通过数据加密实现，数据安全依赖加密算法和秘钥，现有应用层协议基本上是明文的。 加密算法和密钥安全 完整 通过单向加密，但易受中间人攻击。可通过加密特征值解决。 身份认证 通过非对称加密、数字签名等手段。 加密算法 对称加密 DES：Data Encrption Standard, 56bit 3DES：三重DES AES：Advanced AES192, AES256, AES512 Blowfish 单向加密： MD4 MD5 SHA1 SHA192, SHA256, SHA384 CRC-32：校验，如WINRAR 公钥加密：（加密/签名） 身份认证（数字签名） 数据加密 密钥交换 RSA: 加密、签名 DSA：签名 ElGamal：商业软件 密钥交换 IKE：internet key exchange 用于密钥交换 密钥交换算法Diffie-Hellman协议 A和B双方通信 p, g (大素数，生成数) A产生随机数 x B产生随机数y A: g^x%p -- B B: g^y%p -- A 通过网络交换4个参数：g, p, g^x%p, g^y%p A利用B传送的g^y%p计算出密钥 (g^y%p)^x=g^yx%p B同样利用A传送的 g^x%p计算出密钥 (g^x%p)^y=g^xy%p 密钥交换算法实例 p,g=(7,2) x=2,y=3 身份认证 公钥加密算法：非对称加密算法 密钥对： 公钥：p 私钥：s 发送方用自己的私钥加密数据，可以实现身份验正 发送方用对方的公钥加密数据，可以保证数据机密性 公钥加密算法很少用来加密数据：速度太慢 防中间人攻击 A和B通信，防止中间人C A产生明文消息和摘要，并使用自己私钥加密摘要后发给B； C截取信息，也可以用A的公钥解密摘要，但无法得到A的私钥后再加密窜改后的摘要，达到A与B安全通信 PKI PKI: Public Key Infrastructure CA: Certificate Authority 证书管理 颁发： 吊销：CRL，证书撤销列表 证书格式：x509, pkcs12 x509 公钥及期有效期限 证书的合法拥有者 证书该如何被使用 CA的信息 CA签名的校验码 SSL SSL，在https协议中使用443端口。netscape在应用层和传输层间引入安全套接字层SSL(Secure Socket Layer)，是一套相关库。 TLS(Tarnsport Layer Security)国际化标准组织继SSL V3制定的安全传输协议。 https协商SSL建立过程 客户端向服务器端发送连接请求； 服务器与客户端协商SSL版本、加密算法等，服务器端向客户端发送其证书，客户端验证其合法性、完整性； 客户端生成1个随机密钥，通过服务器端公钥签署后传给服务器 OpenSSL SSL的开源实现 OpenSSL构成 libcrypto: 加密库 libssl: TLS/SSL的实现，基于会话的、实现了身份认证、数据机密性和会话完整性的TLS/SSL库 openssl: 多用途命令行工具，实现私有证书颁发机构 Rpm –ql openssl检查上述构成部分 Openssl命令 Openssl version检查版本 Openssl ?查看支持的命令集 Openssl speed des测试本机DES算法速度 OpenSSl 加密 openssl enc Whatis enc;Man enc Openssl enc –des3 –salt –a –in 源文件 –out 加密文件 Openssl enc –des3 –d –salt –a –in 加密文件 –out 文件 摘要（单向加密）openssl dgst Openssl dgst –md5 文件等价于Md5sum 文件 Openssl dgst –sha1 文件等价于Sha1sum 文件 密码加密openssl passwd Whatis passwd;man sslpasswd Openssl passwd -1(带salt的md5加密） Openssl passwd -1 –salt xxxxxxxx 伪随机数openssl rand Openssl rand –base64 32生成32位伙随机数 OpenSSL 私有CA 1、生成一对密钥 2、将公钥生成自签署证书 生成私钥(1024位） (umask 077; Openssl genrsa –out server.key 1024) 从私钥生成公钥(可不用生成） openssl rsa -in server.key –pubout 自签证书 Openssl req –new –x509 –key server