第四十二章 九析带你轻松完爆 Istio - 安全之加密三

系列文章:

总目录索引：九析带你轻松完爆 istio 服务网格系列教程

目录

1 前言

2 邀约

3 加密简介

4 非对称加密介绍

5 非对称加密原理

6 SSL / TLS 与非对称加密

---

1 前言

        如果你对博客有任何疑问，请告诉我。

---

2 邀约

        你可以从 b 站搜索 “九析”，获取免费的、更生动的视频资料：

---

3 加密简介

        加密是基础，是安全绕不开的话题。常用的加密方式有三种，分别为哈希、对称加密和非对称加密。上节我们重点介绍了 Hash 和对称密钥加密，这节介绍一下非对称密钥加密。

---

4 非对称加密介绍

        在上节中介绍了对称加密。在对称加密中，相同的密钥用于加密和解密，一旦密钥被偷，所有数据将无任何安全可言。因此新的加密算法需求被提出，所幸的是业界很快就有了解决方案。

        1976 年，Diffie、Hellman 首次提出非对称加密概念。

        1978 年，麻省理工三人组 Rivest、Shamir、Adleman 发布了 RSA 算法。

        自此，非对称加密开始正式走向历史舞台。

---

5 非对称加密原理

        非对称加密跟对称加密相比有两个关注点，而不是一个。除了加密算法本身，还需要一对公私钥。其中公钥用来加密、私钥用来解密。在启动通信过程中，首先生成一对公私钥，

公钥发送给对方，私钥则需要妥善保管。对方通过公钥对信息进行加密（加密算法会在公钥中指定），当你收到信息，就用保管好的私钥进行解密。

        加密过程如下图所示：

        解密过程如下图所示：

---

6 SSL / TLS 与非对称加密

        在本节介绍中，非对称加密显示出了它的安全优势，即：只要保持私钥安全，数据就是安全的。如果再结合前面的教程知道，SSL / TLS 是构建在传输层和应用层之间的虚拟层，这层主要负责数据安全。那么将非对称加密算法作为 SSL / TLS 的唯一性算法就是整个数据通路的安全解决方案了，但现实是这样的吗？答案是否定的。因为现实仍然是在 SSL / TLS 层主要使用对称加密，原因在于：双密钥架构的加密、解密开销非常高，与对称密钥相比，它需要更多的时间和 CPU 占有率，这就意味着在互联网使用非常频繁的今天，如果只通过非对称加密进行通信，那么浏览器和服务器之间数据通信会让用户等待更长的时间。

        因此在 SSL / TLS 层经常的做法是双密钥机制在客户端和服务器交换对称密钥时才使用，此过程建立之后，客户端和服务端通信就按照对称加密进行。至于整个操作如何进行，将在后续课程中一一指出。