1. 顶峰蝈蝈首页
  2. 顶峰杂谈

互联网安全基础知识(2)

上篇文章主要讲了网络安全技术的责任和界限,还有作为用户和开发者应该注意的一些问题。今天想和大家说说密码学基础和它在网络安全中的应用原理。

一、基础概念:

密码学基础概念

1.    明文:未经过加密的信息
2.    密文:经过加密后的信息
3.    加密:将明文通过某种加密算法变成密文的过程
4.    解密:将密文通过某种解密算法还原成明文的过程
5.    密钥:它就相当于加密解密的那把开关门的钥匙
6.    公共密钥(公钥):发布后所有的人都可以使用的密钥
7.    私有密钥(私钥):只有密钥持有者才可使用的密钥

二、加密算法分为三类:
1.对称加密算法:用一种密钥完成加密解密
2.非对称加密算法:需要两种密钥,一种密钥专门负责加密,而另一种密钥专门负责解密
3.不可逆加密算法:只能加密不能解密也不需要解密,短时间内不可解,并不是完全不可解(感觉上奇葩,其实它用处很大哦)

三、原理及应用
1.银行或者其他权威的网站,在与用户发生网上交易之前一定会先确保数据发送到正确的客户端和服务器。它是如何认证的?(非对称加密的应用)
非对称加密的原理及应用

(1)    用户先登录
(2)    服务器生成不对称的两种密钥,唯一的那把私钥留给服务器自己加密用。公钥发送给用户解密用。
(3)    服务器把网址的权威证书用唯一的那把私钥加密,然后发送给用户。
(4)    用户用之前获得的公钥解密,查看证书是否是权威机构的有效证书。
因为权威证书不可伪造,而且又是用唯一的私钥加密的,用户端用公钥解密后获得该证书,就可以确认自己是在和权威机构交易,而不是和钓鱼网站交易。不用担心被钓鱼网站骗走账户密码和钱。这就证书的基本工作原理。
2.电子邮件、即时聊天消息的私密性是如何保证的?(非对称加密的应用)
非对称加密的原理及应用

(1)    发送消息的一方在正式发送内容之前,一定要先通知接收消息的一方
(2)    收到通知后接收消息的一方生成两把钥匙:私钥留给自己解密用,公钥发给消息发送方加密用
(3)    发送消息的一方使用公钥把此次消息加密,加密后的消息发送给接收方。
(4)    消息接收方用自己的那把私钥给消息解密,看到正常内容。
整个通信过程即使被人截获,私密性依然有保证。因为截获内容的人没有解密用的私钥,所有看不到真实的内容。这只是基本原理,实际聊天通信中,其实是用这种方式来传递一把对称加密解密的钥匙,然后用这把对称密钥来完成加密解密。因为对称加密的计算开销比不对称加密的要低很多。
3.只能加密但不能解密的不可逆加密算法到底能有什么用途呢?它用途真的很大,比如交易过程的完整性、不可抵赖性,还有用户登录密码的全性都要靠它。
非对称加密的原理及应用

(1)    消息的发送方和接收方需要先行约定好,我们需要传递那些参数?我们需要以何种算法生成不可逆的数字签名?
(2)    发送方把需要传递的参数(用户名、购买产品名称、数量、价格等信息),和按照约定生成好的不可逆数字签名以前发送给接收放。
(3)    接收方用并按照之前双方的约定方式将对方传过来的参数再进行一次不可逆加密,然后比较受到的数字签名和这次自己生成的数字签名是否一致。如果两次数字签名一致,说明这次通信是完整的、没有被篡改、可信的。因为只有中间修改过价格、数量、用户名等任何一个参数,两次的数字签名肯定不一致。
最近帮朋友写了一个自建网上商城用支付宝收钱的接口,给大家看一个淘宝给的demo例子,一看便便懂。
支付宝收钱接口demo

用户选好商品下单付费时,我们系统会自动给支付宝发送上图这样一条请求,请求的内容中包含了本次交易几乎所有的信息。比如商品ID、价格、收获人、收获地址、邮编、电话等等。大家试想一下,这么多的信息要暴露上互联网传输过程中,如果买方本人或其他人蓄意截获并修改此条信息,比如修改价格、数量、收获人等,这样是否会对交易产生不良影响呢?不会的,因为交易双方约定好了数字签名的生成方式,所以不论是消息不完整、还是有人蓄意篡改内容、只要传来的参数有任何变化,两次生成的数字签名肯定不一致,即可判断此时交易失败。不会造成任何一方的经济损失。
在线交易中的签名比较

不可逆加密算法应用到保护用户登录密码上,更有奇效。比如上图数据库表里的一条记录,我叫”大梦Zz”,登录密码是111111,保存的密码是经过不可逆加密生成的32位数字签名:267bfad…………………..094eb24,每次登录时都要将用户输入的密码111111经过不可逆加密生成数字签名,然后比对生成的签名和数据库里存的签名是否一致,一致才能登录。这样一来,就连网站的管理员都不能知道用户的密码到底是什么,即便数据库被泄露,恶意的人依然无法知道用户们的真正密码,而且用加密后的签名是无法登录网站的。只有用户心里面才知道自己的密码到底是什么。

不可逆加密只能加密不可解密,看似没有价值的特性才是它真正价值所在!本次话题讲的只是基础概念和简单应用,感兴趣的同学可以自行深入学习。文中提及的加密解密算法都是人类智慧的结晶。它们作为人类思维的游戏,如果能将此思维方式融入到工作和生活中,也许又有一番新天地!

原创文章,作者:大梦,如若转载,请注明出处:https://www.crazytop.cn/255/

发表评论

电子邮件地址不会被公开。 必填项已用*标注

QR code