数据安全传输——加密技术

加解密技术：
明文通过加解密技术，变为密文。

密码学基础：
• 从明文到密文的过程一般是通过加密算法加密进行的。
• 从变密文到明文，称为脱密（解密）变换。
• 主流加密算法分为：
 对称加密算法
 非对称加密算法（公钥加密算法）

对称加密过程：
A给B自己的公钥，让B用自己的公钥加密，传过来之后，自己用私钥解密。
数字签名：
B用自己的私钥加密，A用B的公钥解密，若能解开，证明信息确实为A发的。得到摘要之后，再查看摘要，证明消息未被篡改。

加密和解密使用的是不同的密钥（公钥、私钥），两个密钥之间存在着相互依存关系：用其中任一个密钥加密的信息只能用另一个密钥进行解密：
 即用公钥加密，用私钥解密就可以得到明文；
 如果用私钥加密，用公钥解密也可以得到原来的明文
这使得通信双方无需事先交换密钥就可进行保密通信。

数字签名：
Alice如何实现自己的数字签名呢？

1. Alice先用Hash函数，生成信件的摘要（digest）。
2. Alice再使用自己的私钥，对这个摘要加密，生成"数字签名"（signature）。
3. 3. Alice将这个签名，附在信件下面，一起发给Bob。
4. Bob收信后，取下数字签名，用Alice的公钥解密，得到信件的摘要。由此证明，这封信确实是Alice发出的。—完成身份的验证
   5.Bob再对信件本身使用Hash函数，将得到的结果，与上一步得到的摘要进行对比。如果两者一致，就证明这封信未被修改过。–完成数据完整性的验证。

复杂的情况出现了：张三想欺骗Bob，他偷偷使用了Bob的电脑，用自己的公钥换走了Alice的公钥。此时，Bob实际拥有的是张三的公钥，但是还以为这是Alice的公钥。
因此，张三就可以冒充Alice，用自己的私钥做成"数字签名"，写信给Bob，让Bob用假的Alice公钥进行解密。
Bob感觉不对劲，发现自己无法确定公钥是否真的属于Alice。
在现实生活中，我们存在仲裁机构，法院，公证处等比较可信的场所，用来解决我们一些有争议的事情。
所以他想到了一个办法，要求Alice去找可信的"证书中心"（certificate authority，简称CA），为公钥做认证。证书中心用自己的私钥，对Alice的公钥和一些相关信息一起加密，生成"数字证书"（Digital Certificate）。
之后Alice发信息给Bob时，只要附上CA给Alice下发的证书就可以了。

CA如何产生？为何可信？

PKI（公开密钥体系，Public Key Infrastructure）是一种遵循标准的利用非对称加密技术为电子商务的开展提供一套安全基础平台的技术和规范。
简单来说，PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。用户可利用PKI平台提供的服务进行安全的电子交易、通信和互联网上的各种活动。
PKI 技术采用证书管理公钥，通过第三方的可信任机构——CA认证中心把用户的公钥和用户的其他标识信息捆绑在一起放在用户证书中，在互联网上验证用户的身份。
目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。

CA中心：证书授权机构

数字证书一般包含：
• 用户身份信息
• 用户公钥信息
• 身份验证机构数字签名的数据
从证书用途来看，数字证书可分为签名证书和加密证书。
签名证书：主要用于对用户信息进行签名，以保证信息的真实性和不可否认性。
加密证书：主要用于对用户传送的信息进行加密，以保证信息的机密性和完整性。

数字证书：互联网通讯中标志通讯各方身份信息的一系列数据，它由CA机构中心发行，用来识别对方的身份。
根证书：根证书是CA认证中心给自己颁发的证书，是信任链的起始点。根证书是一份特殊的证书，它的签发者是它本身，下载根证书表示对该根证书以下所签发的证书都表示信任。
用户证书：由CA中心签发的个人证书，用于识别、鉴定终端用户，可存于USB-KEY等介质。
设备证书：也称服务器证书，该证书将安装在服务器端，向尝试建立连接的客户端提供服务器身份、证书和公钥信息，使用证书和公钥在客户端和服务端之间建立一条安全、加密的通道，将通信两端的数据进行加密传输。

数据传输案例：

用对称秘钥加密非对称秘钥产生的信息（对称加密传输快）