图解SSL和加密解密-原理篇

1.SSL原理

Secure Sockets Layer（安全的套接字层）位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。用于保障在Internet上数据传输之安全，利用数据加密技术，可确保数据在网络上之传输过程中不会被截取及窃听。

2.SSL的会话过程

SSL会话主要分为三步：

1.客户端向服务器端索要并验正证书；

2.双方协商生成“会话密钥”；对成密钥

3.双方采用“会话密钥”进行加密通信；

3.加密算法和协议

3.1 对称加密

加密和解密使用同一个密钥

常见的加密算法：

DES、3DES、AES、Blowfish、Twofish、IDEA、RC6、CAST5

特性：

1、加密、解密使用同一个密钥；

2、将原始数据分割成为固定大小的块，逐个进行加密；

缺陷：

1、密钥过多；

2、密钥分发困难；

3.2 公钥加密

密钥分为公钥与私钥

公钥：从私钥中提取产生；可公开给所有人；

私钥：通过工具创建，使用者自己留存，必须保证其私密性；

特点：用公钥加密的数据，只能使用与之配对儿的私钥解密；反之亦然；

用途：

数字签名：主要在于让接收方确认发送方的身份；

密钥交换：发送方用对方公钥加密一个对称密钥，并发送给对方；

数据加密：

3.3 单向加密

提取数据指纹（特征码）；只能加密，不能解密；

常见算法：md5、sha1

特性：定长输出、雪崩效应；

功能：完整性；

3.4 密钥交换

IKE（Internet Key Exchange互联网密钥交换）

1.公钥加密

2.DH（Deffie-Hellman地狱男爵）

4.PKI

PKI是Public Key Infrastructure的首字母缩写，翻译过来就是公钥基础设施；PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范

公钥基础设施主要包含以下四个：

签证机构：CA

注册机构：RA

证书吊销列表：CRL

证书存取库

5.openssl命令

openssl有众多子命令，基本可分为三类：

1.标准命令

2.消息摘要命令（dgst子命令）

3.加密命令（enc子命令）

5.1 对称加密

1 2	`加密：~]# openssl enc -e -des3 -a -salt -in fstab -out fstab.ciphertext` `解密：~]# openssl enc -d -des3 -a -salt -out fstab -in fstab.ciphertext`

5.2 单向加密

1	`~]# openssl dgst -md5 /PATH/TO/SOMEFILE`

5.3 生成用户密码

1	`~]# openssl passwd -1 -salt $(openssl rand -hex 5)`

5.4 生成随机数

1 2	`~]# openssl rand -hex NUM` `~]# openssl rand -base64 NUM`

5.5 公钥加密

1 2	`生成私钥：~]# (umask 077; openssl genrsa -out /PATH/TO/PRIVATE_KEY_FILE NUM_BITS)` `提取公钥：~]# openssl rsa -in /PATH/FROM/PRIVATE_KEY_FILE -pubout`

6.构建私有CA

（以下详细命令参考http://ch666.blog.51cto.com/10870222/1761516）

1.在CA的服务器上生成私钥

1	`[root@ch sysroot]# (umask 077;openssl genrsa -out /etc/pki/CA/private/cakey.pem 4096)`

2.生成自签证书

[root@ch sysroot]# openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem -days 365

3.为CA提供所需的目录及文件

[root@ch sysroot]# mkdir -pv /etc/pki/CA/{certs,crl,newcerts}

[root@ch sysroot]# touch /etc/pki/CA/{serial,index.txt}

[root@ch sysroot]# echo 01 > /etc/pki/CA/serial

以上步骤是在CA服务器端操作

http服务器向CA请求签署证书

a.主机生成私钥

b.生成证书签署请求

c.将请求通过可靠方式发送给CA服务器

以上操作是在http服务器端操作

4.在CA主机上签署证书

5.查看证书中的信息

(1)客户端获取要吊销的证书的serial

(2)CA服务器根据客户提交的serial和subject信息，对比其与本机数据库index.txt中存储的是否一致

(3)CA服务器吊销证书

(4)生成吊销证书的吊销编号（仅在第一次吊销证书时执行）

(5)更新证书吊销列表

查看crl文件

图解SSL和加密解密-原理篇相关推荐

java加密解密代码_base64位加密解密原理及js代码实现
base64位加密解密原理及js代码实现在网上找了很多关于Base64加密解密的原理以一个比较通俗易懂的方式理解整理了一下大致原理如下先上base64对照表 #加密 #1:将明文对照以acsii码 ...
图解HTTPS协议加密解密全过程
为什么80%的码农都做不了架构师?>>> 我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取.所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议. ...
laravel cookie加密解密原理
通过控制台的 cookie 信息我们会发现,每次请求之后,关键的 cookie,如PHPSESSID.XSRF-TOKEN 都会发生变化,并且都是很长的一串字符串. 其实这是一个 json 数组,其中 ...
【C 语言】文件操作 ( 文件加密解密 | 加密解密原理 | 对称加密 | 非对称加密 | 散列函数 )
文章目录一.加密类型二.加密解密三要素三.加密应用场景四.散列函数一.加密类型数据加密操作分为对称加密和非对称加密 ; 对称加密 : 加密密钥与解密密钥相同 ; 非对称加密 ...
rot13加密解密原理
ROT13(回转13位,rotate by 13 places,有时中间加了个连字符称作ROT-13)是一种简易的替换式密码.它是一种在英文网络论坛用作隐藏八卦(spoiler).妙句.谜题解答以及某 ...
【C 语言】文件操作 ( 文件加密解密 | 加密解密原理 | 对称加密原理 | 非密钥整数倍长度的数据加密处理 )
文章目录一.对称加密原理二.非密钥整数倍长度的数据加密处理一.对称加密原理给定一个密钥 , 密钥的长度不确定 , 可能是 323232 字节 , 也可能是 646464 字节 ; 将被加 ...
png图片结构分析与加密解密原理
PNG文件格式分为PNG-24和PNG-8,其最大的区别是PNG-24是用24位来保存一个像素值,是真彩色,而PNG-8是用8位索引值来在调色盘中索引一个颜色,因为一个索引值的最大上限为2的8次方既 ...
Windows系统EFS加密解密原理分析/无密码解密思路
EFS加密是windows系统自带的加密方式,一个系统用户对文件加密后,只有以该用户的身份登陆才能读取该文件.EFS加密的文件和文件夹名字颜色是绿色,或者在该文件或文件夹的高级属性是加密属性.这样做在 ...
探讨：网银数字证书加密解密原理
首先要先理解一些概念,这样才能更好的理解. 公钥和私钥在现代密码体制中加密和解密是采用不同的密钥(公开密钥),也就是非对称密钥密码系统,每个通信方均需要两个密钥,即公钥和私钥,这两把密钥可以互为加解 ...

图解SSL和加密解密-原理篇

SSL会话主要分为三步：

图解SSL和加密解密-原理篇相关推荐

最新文章

热门文章