web加密、解密學習筆記本

還記得第一次注冊taobao帳號后在網上購買付款的情景。在選購好商品后，點擊付款，瀏覽器會跳轉到以“https”開頭的網頁鏈接，然后輸入銀行卡的付款密碼完成商品的付款。那時只知道以https開頭的鏈接是一個經過加密后的安全鏈接，自己在此網頁中輸入的密碼是經過加密后以密文的方式進行傳輸的，所以密碼是無法被窺視的。

如今，對https這種安全鏈接所涉及到的計算知識和工作原理也有了一定的了解，但從未進行過系統的整理，現通過學習與記錄的的方式，好好梳理一下這方面的知識。

一、安全網絡的目標

1.1 數據的機密性

    機密性就是為了防止數據被未授權的讀取。所以數據的發送方和接收方要以某種加密的機制來對數據進行加密處理，雙方傳輸的數據是被處理后的密文。

1.2 數據的完整性

    完整性是為了防止數據被未授權的修改，或至少要有機制能檢測出數據被修改過。

1.3  數據的可用性

    可用性主要針對提供服務的一方，當服務器受到拒絕服務（dos）***時，使用得資源的可獲得性降低或者根本無法獲得信息。

二、安全協議

2.1 SSL

    SSL(Secure SocketLayer)安全套接字層協議是web瀏覽器與服務器間安全交換數據的協議。有V1、V2、V3三個版本，V3版目前常用。

2.2 TLS

    TLS(Transport LayerSecurity)傳輸層安全協議。有V1版本，功能與SSL V3相似。

    在互聯網模型中SSL/TLS協議工作于應用層和TCP層間，應用層的數據不再直接發往傳輸層，而是發送給SSL層，通過SSL加密后再進行下一步的處理。

三、加密方法

3.1 對稱加密(保證數據的機密性，也就是把明文轉換成不易讀取的密文)

    加密解密使用同一個密碼，也就是加密密鑰與解密的密鑰相同，得到了加密密鑰也就得到解密密鑰。主要用于保證數據的機密性。密鑰的安全性成為此種加密的關鍵。

3.1.1 DES（Data Encryption Standard）數據加密標準，也稱為數據加密算法，此種加密算法的原理是由循環移位思想而來。

3.1.2 3DES 三重DES是DES的變體，這是DES的一種加強版，它增長了加密密鑰的長度，由DES的56位增加到了168位。

3.1.3 AES（Advanced Encryption Standard）高級加密標準，也是一種高級加密算法

3.2 非對稱加密（非對稱加密算法用公鑰加密對稱密鑰，保證進行密鑰交換時密鑰的安全）

    非對稱加密系統中會涉及到一組密鑰對，一個公開的密鑰，叫公鑰（publickey）；一個私有的，叫私鑰（privatekey）。公鑰是一個可公開的，私鑰則是隱密性，不可被未授權用戶的訪問。公鑰是從私鑰中提取出來的，用私鑰加密的數據只能用與之配對的公鑰來解密，這實現了驗證身份的目的；用公鑰加密的數據只能用與之配對的私鑰來解密，這實現了數據的機密性。因非對稱加密基于數字函數實現，算法復雜，較于對稱加密，非對稱加密速度慢，不適合用于加密交換的大量數據，它主要的目的是用于交換對稱加密算法的密鑰，密鑰交換后雙方就可用密鑰以對稱加密方式交換數據，而此密鑰在傳輸到對方時是經過非對稱加密算法進行加密的，安全性得到保障。

3.2.1 非對稱加密算法

RSA

DSA

DSS

ECC

3.3 單向加密（保證數據的完整性）

   單向加密只能是從明文加密成密文，并不能從密文解密成明文。

3.3.1 加密算法

MD5

SHA1、SHA256、SHA512、SHA3

HMAC

3.3.2 單向加密特性

定長輸出：無論加密的數據有多大，加密后輸出都是一個定長的數據。

雪崩效應：即使原源數據發生細微的變化，加密后的輸出會發生巨大的變化。

    在實際的運用中，這三種加密方法往往不會單獨使用，一般都是結合起來實現數據的安全傳輸。數據在網絡中一次完整的數據通信過程是怎樣的呢？簡單的描述如下：

發送方：

1、  發送方使用選定的單向加密算法計算源數據的特征碼；

2、  發送方使用自己的私鑰加密此特征碼，并把加密后的密文數據附加在源數據后面；

3、  發送方生成一次性對稱密鑰，并使用此密鑰加密數據（源數據+加密特征碼后的密文數據）

4、  發送方使用接收方的公鑰加密一次性對稱密鑰，并附加于已加密的數據后面；

5、  數據已準備妥當，開始發送數據。

接收方：

1、  接收方使用與公鑰配對的私鑰解密數據，可得到一次性對稱密鑰；

2、  用一次性對稱密鑰解密數據，可得到源數據和加密特征碼后的密文數據；

3、  用發送方的公鑰解密數據，得到源數據和源數據的特征碼；

4、  使用與發送方相同的單向加密算法重新計算源數據的特征碼，并與解密出的特征碼進行比較，如果特征碼相同，那得到的源數據可信，否則，源數據不可信。

PS：文字性的東西總是讓人不好記憶，現上傳用xmind做的筆記，見附件！