解密算法和协议:

1.对称加密:【AES】DES,AES,BlowFish,TwoFish,IDEA,RC6,CAST5

(1)常见算法:

DES :Data Encryption Standard ,56bits,IBM研究出来的,

3DES :

AES :Advanced Encrpytion Standard,(128bits,192,256,384,512bits),超越现有计算能力

BlowFish :

TwoFish :

IDEA :

RC6 :

CAST5 :


保密性:数据保密性;隐私性;

2.完整性:数据完整性;系统完整性

3.可用性:数据与服务随时可用


(2)特性:

1. 加密、解密使用同一密钥

2. 加密原理:将明文分割成固定大小的块,并逐个进行加密。

3. 安全性依赖于密钥而非算法;因为算法可以公开

(3)缺陷:

1. 密钥过多,尤其是通信对象过多时,

2. 密钥分发,过程中的潜在风险

(4)加密工具:openssl enc,gpg


1.安全***

被动***:监听

主动***:报文伪装、重放、消息篡改、拒绝服务(将有限资源耗尽,使得正常资源无法访问DDOS)

2.安全机制

加密/解密,数字签名,访问控制,数据完整性保证,认证交换,数据填充,路由控制,人为公证

3.安全服务


Enc实现:

# openssl enc -e -CIPHERNAME -a -salt -in /PATH/FROM/SOMEFILE -out /PATH/TO/SOMEFILE

# openssl enc -d -CIPHERNAME -a -salt -in /PATH/FROM/SOMEIPHERFILE -out /PATH/TO/SOMEFILE

2.公钥加密(非对称加密):【RSA】,DSA,Algorithm,ELGamal

  常见算法:

1.RSA :即可做身份认证,也可做密钥交换

2.DSA :身份认证————数字签名,Digital Signature AlgorithmDigital Signature Standard


CA之间的交叉信任:

双方CA的互信,均从根证书机构拿到证书。

CA给每个证书的信息提取特征码,并用自己的私钥加密,附加到证书后面。用户验证时,用CA的公钥来提取特征码,并验证数据的完整性。

3.数字证书功能:

让通信的双方,都能够安全可靠的获得自己的身份认证标识,并且能够被通信的对方所认可。


使用OpenSSL建立私有CA:

(1)OpenSSL组成:

1)libcrypto:加密、解密库文件。各种加密算法。

2)libssl:ssl协议实现库

3)openssl:多用途命令行工具,每种功能都使用专门的子命令来实现。

子命令分类:

1.标准命令;制作证书,建立私有CA等都可以实现。

2.消息摘要命令:单向加密算法;

3.加密解密相关命令;

(2)配置文件: /etc/pki/tls/openssl.conf


节点申请证书:

在证书申请的主机上进行如下步骤:

a.生成私钥

b.生成证书签署请求

Tips:a. 其中的subject信息部分,要与CA的保持一致;正确与否无所谓

b. Common Name要使用此主机在通信正式使用的名字。

2. CA签发证书:

a.验证请求者信息;

b.签署证书:

# openssl ca -in /PATH/FROM/CSR_FILE -out /PATH/TO/CRT_FILE -days N

  吊销证书:

1.获取吊销证书的序列号:

# openssl x509 -in /PATH/FROM/CRT_FILE -noout -serial -subject

2.实现证书吊销

a.吊销证书

# openssl ca -revoke /PATH/FROM/CRT_FILE

b.生成吊销证书的编号

# echo 01 > /etc/pki/CA/crlnumber

c.更新证书吊销列表

# openssl crl -gencrl -out THISCA.crl