一.常見的加密方式
對稱加密和非對稱加密
二.對稱加密演算法
特點:加密和解密的金鑰相同
問題:網路是不安全的,如何實現金鑰的安全傳輸?
三. 非對稱加密演算法
特點:傳送方和接收方各持有一對鑰匙(公鑰 和私鑰),用公鑰(私鑰)加密的資料只有對用的私鑰(公鑰)才能解密。
四.非對稱加密 + 對稱加密
(1)傳送方或接收方事先生成乙個對稱加密演算法的金鑰,用rsa方式安全的傳送給對方;
(2)對方接受到這個金鑰,以後傳送的資料就採用對稱加密的方式傳輸;
五.中間人攻擊
假設a發訊息給b,採用上面的非對稱加密+對稱加密的方式,首先,a要獲取b的公鑰,如果b在傳送給a公鑰時,有個中間人,截獲了b的公鑰,然後把自己的公鑰發給了a,冒充b,那麼a發的訊息就用中間人的公鑰加了密,中間人不就可以解密看到訊息了?
六.你到底是誰?
如何安全的分發公鑰?公鑰是不用保密的,那如何宣告這個公鑰確實是服務端傳送的,而不是別人的?
數字簽名
可以效仿現實中的公證處,服務端把他的公鑰和基本資訊用乙個hash演算法生成乙個資訊摘要,這個hash演算法有個極好的特性,只要輸入資料有一點點變化,那生成的訊息摘要就會有巨變,這樣就可以防止別人修改原始內容。
可是作為攻擊者的中間人笑了: 「雖然我沒辦法改公鑰,但是我可以把整個原始資訊都替換了, 生成乙個新的訊息摘要, 你不還是辨別不出來?」
這時就要搬出有公信力的認證中心ca來了,用它的私鑰對訊息摘要加密,形成簽名,這還不算,還把原始資訊和資料簽名合併, 形成乙個全新的東西,叫做「數字證書」。
當服務端把他的數字證書發給客戶端的時候,客戶端會用同樣的hash演算法再次生成訊息摘要,然後用ca的公鑰對數字簽名解密, 得到ca建立的訊息摘要, 兩者一比,就知道有沒有人篡改了!如果沒人篡改, 客戶端就可以安全的拿到服務端的公鑰嘍,有了公鑰, 後序的加密工作就可以開始了。雖然很費勁, 但是為了防範**者,實在是沒辦法啊。
中間人惡狠狠地說: 「算你小子狠! 等著吧,我還有別的招。 對了,我且問你, 你這個ca的公鑰怎麼拿到? 難道不怕我在你傳輸ca公鑰的時候發起中間人攻擊嗎? 如果我成功的偽裝成了ca,你這一套體系徹底玩完。」
折騰了半天,又回到了公鑰安全傳輸的問題!
不過轉念一想,想解決雞生蛋,蛋生雞的問題必須得打破這個怪圈才行,服務端必須得信任ca,並且通過安全的的方式獲取他們的公鑰,這樣才能把遊戲玩下去。
這些ca本身也有證書來證明自己的身份,並且ca的信用是像樹一樣分級的,高層的ca給底層的ca做信用背書,而作業系統/瀏覽器中會內建一些頂層的ca的證書,相當於你自動信任了他們。這些頂層的ca證書一定得安全地放入作業系統/瀏覽器當中,否則世界大亂。
七.https如何實現安全傳輸
乙個簡化的(例如下圖沒有包含pre-master secret)https流程圖是這樣的, 如果你理解了前面的原理,這張圖就變得非常簡單:
八.數字證書
物聯網安全架構的分層處理
物聯網的實現涉及多個層次,沒有一種解決方案能夠應對針對物聯網的所有威脅,為了給予物聯網最適合的保護措施,需要對物聯網安全進行分層處理。不同的權威機構在不同的時間會對物聯網安全架構劃分不同的層次,下面記錄三種分層方式 1 2016年,權威物聯網研究機構 iot analytics 將物聯網安全架構劃分...
「內部人」的資訊保安架構 信任體系
內部人 的資訊保安架構 信任體系 jack zhai 安全架構的 花瓶 模型把資訊保安分為 防護 監控 信任 三維體系,其中防護與監控體系主要是面對外部 者的,信任體系則是針對內部使用者的安全管理。區別 的 是因為內部使用者是可溯源的 可控制的,企業可以明確要求員工在內部網路上使用什麼 不使用什麼,...
系統安全架構設計的問答
資訊保安系統架構的簡述 資訊保安的現狀和威脅是什麼樣的 系統安全體系架構規劃框架簡介 系統安全體系架構規劃方法是怎麼進行的 網路安全體系架構設計有哪些,怎麼用 資料庫系統完整性設計原則 作用有哪些 1.資訊保安系統架構的簡述 答 資訊保安的特徵是為了保證資訊的機密性 完整性 可用性 可控性 不可抵賴...