作者:风泽
出处:[CGI] [EST]
Internet上发邮件,谈话,电子交易……都是一些很普遍的事情,而这些信息也是很容易就会泄露,被窃取的。如何让这些信息有安全性呢?目前最好的办法就是对这些信息进行加密处理。
今天我们就来简单的谈谈加密。
首先来学习一下几个名词:
PKI:
全名(Public Key Infrastructure) ,它是一种密码管理机制,在电子交易时,可确认下单的安全性,仅有通过公钥机制授权的使用者才可以电子化下单或者个方面商业行为。
CA:
全名(Certificate Authority) ,是在先交易的监督者和担保人,主要进行电子证书管理、电子贸易伙伴关系建立和确认、密钥管理、为支付系统中的各参与方提供身份人证。
密钥:
在PGP里密钥是一个很长的数字,一般用途可以用576位的密钥,商业用途可以用712位,1024位的密钥用于军事领域。PGP供用户选择从576位到2048位。
密钥证书:
一种用来交换密钥的数据块,包含密钥主人的USER ID,生成密钥对的时间,密钥标识,还有密钥本身。
密钥对:
公钥和私钥同时使用才能完成加密解密全过程,密钥产生时由用户随机生成一对密钥分别作为自己的公钥和私钥。这两个密钥称为一个密钥对。
PGP采用公钥加密体系,用加密算法生成两个密钥,分别做为公钥和私钥。公钥是公开的,用来加密。私钥是由用户自己保存的,用来解密。就象黑客帝国中的理念一样,同一个门用不同的钥匙打开,会出现不同的房间。如果我们用的密钥正确的话就可以得到正确的信息,相反的话就的不到。
PGP的主要用途:
1.使用PGP对邮件进行加密,可防止非法阅读
2.能够加密各类文件
3.利用PGP代替Uuencode生成BASE64的编码文件。
4.可是显示只签名不加密,适用于发表公开声明时证实声明人身份,也可以防止声明人抵赖。
5.能给加密邮件追加数字签名,从而使收信人进一步确信邮件的发送者,而事先不需要任何保密的渠道用来传递密钥。
PGP密钥体系的加密算法:
1.对称加密算法
2.非对称加密算法
3.单向散列算法以及随机书产生器
怎样实现加密?不知道各位有没有听说过PKI系统,网上支付的银行用的就是这个系统。
在PKI系统中,由一个大家普遍信任的人或机构担当中立的第三方。这个第三方被称为“认证机构”,也就是CA中心。CA中心就是发放和管理用户的数字安全证书。
PKI的组成:
1.证书颁布机构(CA)
企业级权威认证机构,可执行证书签发,证书发放和撤消,证书归档的功能职责。用户通过在线WEB方式向CA提交证书申请请求。CA通过策略设置颁发或拒绝相应的数字证书给用户,作为用户的身份标识。
2.密钥管理机构(KM)
密钥存储、恢复、更新和公钥查询等职责。通过密钥管理机构,用户可获得CA签名的用户合法公钥,通过公钥体系进行各种运用程序的加密。
3.身份验证机制(IDV)和用户应用接口(API)
身份验证机制:域用户帐号与用户证书对应,用户登陆域出示合法证书,则可以在域中使用企业内部各种运用程序
用户应用接口:用户可以通过用户应用接口实现邮件密文传输、签名文件、自身密钥及证书管理、重要数据加密和密钥恢复策略等多种安全工作业务。
PKI结构实现
首先,用户通过密钥生成程序为自己创建一公私密钥对,并基于公钥的内容生成证书内容,提交的申请内容包括申请机构,地址位置,联系方法和公钥等数据信息。信息内容生成后,经过BASE64编码,于是就可以向CA机构或者自建的机构提交证书申请文件。
通过web授权访问方式,用户使用SSL等加密通道在线访问CA机构,交付自己的申请内容。CA根据自身定义策略制度检测证书申请中的内容,允许或拒绝用户的申请要求,并根据CA机构中设置的证书安全模版颁发不同类型数字证书。用户获得CA颁发的证书后通过PGP的公钥上载程序,把含有CA签名的公钥上载到公钥管理服务器。公钥管理服务器验证接收公钥的同时,检测是否喊有权威CA或者自建CA机构的正确签名。如果签名合法并且证书日期没有失效,则收录于公钥管理数据库,并使用公钥服务器,以提供其他人下载公钥,方便应用。
用户通过在线WEB方式或者邮件方式获得证书,此证书与郁中的帐户形成对应关系。在用户与应用服务器,诸如WEB等进行交互操作时,服务器通过查询证书和帐户对应关系给予相应的授权访问或拒绝通过。
好了,今天就说到这里,大概的分析了网络的加密机制,希望对大家有点帮助,大家进行讨论吧,由于个人水平有限,有错的地方还请指出。
