關于數據傳輸中加密解密那點事兒（一）

  隨著互聯網的興起，越來越多的信息和資源要通過網絡傳輸完成；然而在這些數據傳輸中總有一些“無關人員”做一些竊聽、盜取、篡改等危害數據安全的行為，所以我們要對數據進行加密處理，以保證數據的安全傳輸；

  所以有了一下幾種加密方式：

  一、對稱加密:

    這種算法簡單來說就是 數據的發送方和接收方都必須要有同一種密鑰（加密數據所用到的密鑰），在數據的傳輸中 數據與密鑰都通過加密的方式傳送；

    特性：在數據加密中，數據被分成固定大的塊，逐個加密；加密和解密速度也快；

     缺陷：因為加密和解密使用同一種密鑰，所以需要發送方和傳送方都要保留密鑰，導致對于保存密鑰的數量也會越來越多；密鑰的分發的保密性也過于困難；

 二、單向加密：

    這種加密方式就是單純的加密過程，無法自己進行解密；所以不能用作直接進行加密數據信息。常用的算法有兩種：MD5和SHA算法，用這種方法對數據中的某一段進行加密處理，獲得一個叫“特征碼”的東西。 這種“特征碼”可以用來確定原數據真偽性和數據的完整性；

    特性：定長輸出；雪崩效應（更改原數據中任意一個字節，都會使得特征碼有截然不同的變化）

 三、公鑰加密算法:

    這種算法中所用到的密鑰有兩種：私鑰和公鑰（由私鑰抽取生成的）

    私鑰的大小：512bit、1024bit、2048bit、4096bit、8192bit、16384bit；

    這種加密方式對數據的加密安全等級較高；簡單來說就是使用私鑰加密數據，解密則必須用公鑰來解密；若使用公鑰加密，則必須使用私鑰來解密；

    由于私鑰的大小過大，對于數據的加密所消耗的系統資源和時間也會過多；所以就產生了缺陷；

    通常這種加密方式很少用來加密大批量的數據，所以它可以用來加密以下幾種：

     ⑴數字簽名的加密

        數字簽名是用來讓數據的接收方確認發送方的身份的；

     ⑵密鑰加密

        在對稱加密中的密鑰交換時，可以用公鑰加密法來加密密鑰；

     ⑶小段數據的加密

        當所需要傳送的數據是少量的情況下，可以使用公鑰加密；

    常用的公鑰加密算法：

     RSA：加密數字簽名

     DSA：數字簽名算法；只能實現數字簽名的功能；有時該算法被稱為DSS；

     ELgamal

  有了以上幾種加密方式，在數據傳輸中的聯合應用，就可以達到安全傳輸數據的目的；

    從公鑰加密方式可知，傳輸數據雙方都要有對方的公鑰才可以對數據進行解密；那么問題來了，這個公鑰如何獲得？所以這里產生了第三方機構，也就是CA（Certification Authority）。

    CA是認證身份的中心，是用來確認公鑰擁有者的真實身份的；類似于我們生活中的×××；

    CA機構的工作：

         1.通信雙方交換證書；

 2.雙方協商加密算法;

     3.雙方驗證證書的真偽；

 4.用CA的公鑰解密證書中CA的簽名，能解密說明證書來源可靠

 5.用通用的加密算法加密證書，取得特征值；與解密出來的特征值比較，如果相同，說明證書完整性可靠；

 6.檢查證書的有效期是否在合法時間范圍，如果過期則證書不被認可；

 7.檢查證書的主體名稱和此通信的目標是否能夠對應

     國際標準化組織(ISO)定義了證書的機構和認證標準，X.509協議標準

     證書里面主要包括：

  擁有者的名稱：

  擁有者所提交的公鑰

  有效期

  證書的版本號

  證書的序列號

  簽發算法ID

  簽發CA的名稱

  主體名稱

  發證者的唯一標識

  發證者的數字簽名；

  擴展信息；

  有了這個機構我們就能安心的在網絡中傳輸數據了；簡單的總結下數據是如何傳輸的：

      1.通信雙方互相交換證書，并到信任的CA進行證書驗證；

      2.發送方使用某種對稱加密算法對數據進行加密；對加密后的數據使用單向加密計算其特征值；發送方再用自己的私鑰加密此特征值，以證明數據來源的可靠；發送方使用接收方的證書加密對稱密鑰；

      3.接收方在收到數據之后，先使用自己的私鑰解密對稱密鑰；然后使用發送方的公鑰解密特征值，再利用相同的單向加密算法，重新結算加密數據的特征值；比較兩個特征值；如果特征值一致，則表明數據完整；再用解密出來的對稱密鑰解密出原始數據