openssl與數據傳輸安全
數據安全服務的幾個方面:web
一、認證 訪問控制 阻止對資源的未受權訪問 二、數據保密性 三、數據完整性 要保證發送方所發送的數據沒有被修改。。。 四、不能否認性
1、怎麼驗證數據的完整性。也就怎麼知道數據在傳輸的過程當中沒有被修改過。這就要使用到單向加密算法,提取數據的指紋(特徵碼)。算法
數據的傳輸雙方爲:甲、乙安全
甲:在數據傳輸以前,提取該數據的「指紋」而後,把數據指紋附加在數據中一塊兒發送給乙。bash
乙:接收到該數據之後,再提取數據的「指紋」。與附加在數據中的數據指紋做比較,若是同樣,服務器
就證實,該數據在是完整的,在傳輸的過程當中沒有被修改過。網絡
例:session
一、使用【md5sum】單向加密算法提取文件secure的數據指紋ssh
[root@server test]# md5sum secure 1f66b7c25cd47ba8dbe78ee4c28dfd36 secure
二、在secure文件中新增空白行ide
增長前工具
[root@server test]# tail -2 secure Aug 2 09:48:27 stu13 sshd[2231]: pam_unix(sshd:session): session opened for user admin by (uid=0) Aug 2 09:48:33 stu13 su: pam_unix(su-l:session): session opened for user root by admin(uid=
使用重定向增長空白行
[root@server test]# echo "" >> secure [root@server test]# tail -2 secure Aug 2 09:48:33 stu13 su: pam_unix(su-l:session): session opened for user root by admin(uid=502)
三、再提取文件secure的指紋
[root@server test]# md5sum secure ffc2cd02fa9e936c29302c802131e629 secure
說明:
從上面的事例能夠看出,文件secure新增空白行以後,該文件的數據指紋已經發生了翻天腹地的改變了。相似於「蝴蝶效應」,在單向加密算法中被稱爲:」雪崩效應「。這也正是經過數據指紋能夠檢驗數據的完整性的緣由。
若是,在甲與乙的數據傳輸鏈路中,丙截獲了數據包。上面的方法也不能確保數據在傳輸的過程沒有被篡改過的。
通信雙方:甲、乙
***: 丙
甲:在發送數據包給乙以前,先提取數據指紋並把它附加在數據中一塊兒發送給乙
丙:在數據包的傳輸鏈路中,使用某工具截獲了甲發送給乙的數據包。修改數據內容,並從新生成數據
指紋,再發送給乙
乙:接收到數據包之後,提取數據指紋。作數據指紋比較,是相同的。乙就認爲該數據在傳輸的過程當中
沒有被篡改過。事實上,數據已經被篡改過。
緣由:接收數據方乙,無從考證附加在數據包中的數據指紋是不是甲提取的。那麼,乙怎麼樣才能夠驗證該數據指紋必定是甲提取的呢,還有數據指紋在傳輸的過程當中沒有被修改過。這就使用到非對稱加密的功能了。
非對稱加密的密鑰是成對出現的,分爲:公鑰(public key)和私鑰(secret key)。
這種加密方式有個特色:
公鑰是公開的,私鑰是本身保留的。 公鑰是從私鑰中提取而來的。 公鑰加密的數據,使用私鑰才能解密。 私鑰加密的數據,使用公鑰才能解密。
前提:
通信雙方爲:甲、乙
在數據交互以前,通信雙方都各自生成密鑰對,都把公鑰給對方,私鑰本身保留。
數據傳輸:
甲:提取數據的指紋,並使用接收者乙的公稱加密數據指紋,而後再與數據一塊兒發送給乙。
乙:在接收到數據以後,使用本身的私鑰對數據指紋進行解密,若是可以解密成功,
證實提取數據指紋的必定是甲。再提取數據的指紋。作數據指紋比較,若是它們同樣的話。
就說明,該數據在傳輸的過程當中沒有被篡改過。
若是,丙在數據的傳輸鏈路上截獲了數據,篡改了數據,從新提取數據的指紋。可是丙沒有數據發送者甲的私鑰,接收者乙使用甲的公鑰作數據指紋的製做者身份覈實的時候就會發現數據指紋已經被修改了。這樣就能檢測數據在傳輸的過程當中是否被修改過。即便某人截獲了數據,接收者也能正確無誤的判斷數據在傳輸的過程當中是否被人篡改過。也就是數據的完整性。
可是,甲發送給乙的數據是明文傳輸的,只保證了數據的完整性,沒有知足數據的保密性的要求。若是它們傳送的數據是機密性的內容,在數據鏈路上的竊聽者就會截獲到數據就能夠看到數據包中的絕密內容。因此,咱們的數據要加密以後,再傳送的。
2、數據的保密性是如何實現的呢?
數據的加密方式有兩種:
一、對稱加密 二、非對稱加密
非對稱加密的密鑰很是長,對數據加密的速度比對稱加密的速度慢得多。速度最少相差上百倍。若是web服務器傳輸的數據使用非對稱加密的話,會影響用戶的體驗效果的。因此對稱加密通常是用做數據加密的。
可是,使用單向加密數據,通信雙方密鑰交換也是個問題,怎麼辦呢?
非對稱加密可以實現密鑰的交換,對稱加密加密數據的速度又很快,那麼它們聯合起來就能夠解決:數據的加密和密鑰的交換了。
甲:使用對稱加密方法,一塊兒加密數據和數據指紋。再使用乙的公鑰加密對稱加密的密鑰。
把它們一塊兒發送給乙。
乙:接收到數據包之後:
使用本身的私鑰解密對稱加密的密鑰(甲使用乙的公鑰加密了密鑰) -----> 獲取到了明文的對稱加
密的密鑰
使用密鑰解密,數據與數據指紋。 ---------------> 分別獲取到使用乙公鑰加密的數據指紋
和明文的數據
使用本身的私鑰解密數據指紋 -------------------> 獲取到明文的數據指紋
提取數據的數據指紋 -------------------> 作數據指紋的比較。
前面的甲乙雙方數據通信中: 數據的保密性,使用對稱加密。 密鑰交換是依靠非對稱加密完成的。 數據的完整性,使用單向加密。 加密數據指紋、驗證數據指紋的製做者的身 份都是非對稱加密完成的。
都涉及到了數據通信雙方的公鑰。假如通信雙方在公鑰交換的過程當中,丙在數據的鏈路中,截取到了乙發給甲的公鑰,丙本身生成密鑰對把本身的公鑰發給了甲。這樣丙就冒充乙與甲進行通信。也就是所謂」中間人***「。那麼甲怎麼確保與本身通信的必定是乙呢?或者說本身獲取到的公鑰必定是乙的呢?這就要使用到數據證書了。
3、如何辨別公鑰的真僞?
這就須要一個第三方機構,認證中心CA。作個證實,這個證實就是所謂的數據證書。這個數據證書包含了用戶的部分信息(如:主機名稱、郵件地址)和公鑰信息。甲經過查這個數據證書,就知道這個公鑰必定是乙的。這樣甲就能夠放心地和乙進行數據交換了。
可是,甲怎麼知道乙這個這個數據證書必定是合法的公證的CA機構頒發的呢?
這就須要身份驗證了,像公安局對***蓋章同樣,CA利用本身的私鑰在乙的數字證書加上數據簽名。甲利用CA的公鑰就能夠辨別數據證書的真僞了。
Linux 中是使用:Openssl 可以實現單向加密、對稱加密、非對稱加密、證書的發放製做以及簡單構建一個PKI(公鑰基礎設施),是一種開源的實現。
openssl它由三個主件:
一、libcrypto 這是一個加密庫,專門爲其它軟件調用的加密功能的加密庫。 二、libssl 用於實現ssl協議的一個庫。不少網絡應用均可以使用ssl進行加密數據。如:web 服務器 Apache 三、命令行工具:openssl 能夠實現數據的完整性校驗、加密、解密、證書的生成,還包括生成證書請求、頒發證書等等。
查看openssl工具的使用
[root@server ~]# openssl -h openssl:Error: '-h' is an invalid command. ##openssl 命令的子命令。 ## dgst 表示提取數據的特徵碼(數據指紋)。 ## enc 表示使用對稱加密算法加密數據 ## getrsa 生成私鑰 ## req 從私鑰中提取公鑰,要求輸入公司的名稱、主機、郵箱、公司地址等。生成證書籤署請求 ## ca CA機構審覈證書籤署請求後,使用該子命令發證 ## passwd 加密明文的密碼 Standard commands asn1parse ca ciphers cms crl crl2pkcs7 dgst dh dhparam dsa dsaparam enc engine errstr gendh gendsa genpkey genrsa nseq ocsp passwd pkcs12 pkcs7 pkcs8 pkey pkeyparam pkeyutl prime rand req rsa rsautl s_client s_server s_time sess_id smime speed spkac ts verify version x509 ##所支持的提取數據指紋的算法 Message Digest commands (see the `dgst' command for more details) md2 md4 md5 rmd160 sha sha1 ##所支持的對稱加密的算法 Cipher commands (see the `enc' command for more details) aes-128-cbc aes-128-ecb aes-192-cbc aes-192-ecb aes-256-cbc aes-256-ecb base64 bf bf-cbc bf-cfb bf-ecb bf-ofb camellia-128-cbc camellia-128-ecb camellia-192-cbc camellia-192-ecb camellia-256-cbc camellia-256-ecb cast cast-cbc cast5-cbc cast5-cfb cast5-ecb cast5-ofb des des-cbc des-cfb des-ecb des-ede des-ede-cbc des-ede-cfb des-ede-ofb des-ede3 des-ede3-cbc des-ede3-cfb des-ede3-ofb des-ofb des3 desx rc2 rc2-40-cbc rc2-64-cbc rc2-cbc rc2-cfb rc2-ecb rc2-ofb rc4 rc4-40 seed seed-cbc seed-cfb seed-ecb seed-ofb zlib
若是使用openssl進行對稱加密的:
[root@server ~]# openssl enc -des3 -salt -a -in fstab -out fstab.des3 enter des-ede3-cbc encryption password: -----> 輸入密碼 Verifying - enter des-ede3-cbc encryption password:
查看加密後的文件類型
[root@server ~]# file fstab.des3 ----> 文件類型跟加密前同樣的。可是打開是亂碼。 fstab.des3: ASCII text
解密fatab.des3
[root@server ~]# openssl enc -d -des3 -salt -a -in fstab.des3 -out fstab enter des-ede3-cbc decryption password: --------> 輸入密碼
單向加密 使用命令dgst
[root@server ~]# openssl dgst -md5 fstab MD5(fstab)= 53b4962a89e6eb77a83cb7592ee7f783
加密明文密碼
[root@server ~]# openssl passwd -1 Password: ---> 輸入明文的密碼 Verifying - Password: $1$CgFeVKbO$8.KGlawM.3vHADcOS1VZT.
- 1. 網絡安全傳輸系統(3)—OpenSSL加密傳輸
- 2. 加密與安全傳輸
- 3. 數據單向安全傳輸方案
- 4. Linux下數據傳輸安全與加密
- 5. 網絡數據傳輸安全及SSH與HTTPS工做原理
- 6. 數據庫安全性之網絡傳輸安全性.十九
- 7. 安全 - 淺談數據傳輸安全性
- 8. Openssl安全與認證
- 9. 數據採集與傳輸
- 10. 計網:數據傳輸率與平均數據傳輸率
- 更多相關文章...
- • ASP.NET MVC - 安全 - ASP.NET 教程
- • 如何幹擾TCP數據傳輸? - TCP/IP教程
- • Flink 數據傳輸及反壓詳解
- • Composer 安裝與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. 網絡安全傳輸系統(3)—OpenSSL加密傳輸
- 2. 加密與安全傳輸
- 3. 數據單向安全傳輸方案
- 4. Linux下數據傳輸安全與加密
- 5. 網絡數據傳輸安全及SSH與HTTPS工做原理
- 6. 數據庫安全性之網絡傳輸安全性.十九
- 7. 安全 - 淺談數據傳輸安全性
- 8. Openssl安全與認證
- 9. 數據採集與傳輸
- 10. 計網:數據傳輸率與平均數據傳輸率