1.對稱加密
一個明文數(shù)據(jù)弃榨,使用對稱算法(DES菩收、3DES、)對明文數(shù)據(jù)加密鲸睛,得到密文數(shù)據(jù)和一個56bit的共享密鑰娜饵,對端先收到共享密鑰,然后用共享密鑰對密文數(shù)據(jù)解密官辈,得到明文數(shù)據(jù)箱舞。
2.非對稱加密
一個明文數(shù)據(jù)遍坟,使用對端公鑰對數(shù)據(jù)進行(RSA)加密,得到密文數(shù)據(jù)晴股,對端收到后愿伴,使用自己的私鑰進行解密得到明文數(shù)據(jù)。不存在明文傳輸电湘、不存在密鑰生成和管理的問題隔节、支持數(shù)字簽名和不可否認性。
3.數(shù)據(jù)信封
實質(zhì)是對稱加密+非對稱加密
一個明文數(shù)據(jù)寂呛,先使用對稱加密得到密文數(shù)據(jù)和56bit的共享密鑰怎诫,再使用對端公鑰對共享密鑰進行RSA加密,得到一個密鑰包贷痪,對端收到密鑰包和加密數(shù)據(jù)幻妓,使用私鑰對密鑰包進行解密,得到共享密鑰劫拢,使用共享密鑰對密文數(shù)據(jù)解密肉津,得到明文數(shù)據(jù)。
4.數(shù)字簽名
目的為了驗證數(shù)據(jù)的完整性尚镰、源認證阀圾、不可否認性哪廓。
明文數(shù)據(jù)狗唉,使用散列函數(shù)(HASH)計算出一個HASH(MD5值)值,使用對端私鑰加對這個HASH值加密涡真,得到的即是數(shù)字簽名分俯。對端收到后,使用自己公鑰解密哆料,得到這個HASH值缸剪,再和已經(jīng)得到的明文數(shù)據(jù)計算出的另一個HASH值進行比較,相等則表明數(shù)據(jù)完整东亦,又是私鑰加密杏节,可保證源認證和不可否認性;否則丟棄典阵。
5.數(shù)字證書
是一個CA數(shù)字簽名的文件奋渔,包含公鑰和身份信息。
自簽名證書(根證書)壮啊、CA證書嫉鲸、本地證書,設(shè)備本地證書歹啼。
6.PKI(公鑰基礎(chǔ)設(shè)施)工作流程
目的驗證公鑰的真實性
先向CA申請根證書玄渗,并安裝根證書(驗證對端發(fā)送的設(shè)備證書)座菠。然后申請自己的設(shè)備證書,并安裝藤树。再和對端進行交換設(shè)備證書浴滴,使用CA證書驗證對端設(shè)備證書,成功后也榄,可證明公鑰的真實性巡莹。
