自从掌握了网络安全,工资直接翻了番,真香警告!
前言
早期的互联网 --
1980年代,我们需要共享数据,传输数据;所传输或者共享的数据均为明文,随着互联网发展,安全成为了国家的一种战略资源。我们做的,比如编程,运维
--
手工业安全属于一种科学研究--安全的算法都是需要以数学难题为基础来进行研究,每个国家都疯狂的去研究自己的加密算法,以及去破译别人的加密算法;美国--禁止出口长于256位的加密算法,DH算法
-- 密钥交换(交换对称密钥)。
为了保证数据安全,我们必须满足以下四点:
1、数据必须被加密;
2、完整性校验(哈希、单向加密、指纹);
3、源认证;
4、证书体系(openssl就是用来实现这个PKI证书体系架构的,它包含了前三点)
数据必须被加密
1、对称密钥加密
同一个密钥进行加密,同一个密钥进行解密
优点:效率高
缺点:密钥维护非常困难;密钥交换非常困难;
2、非对称密钥加密
密钥对(公钥加密,私钥解密;私钥加密,公钥解密)
A -- B
A就有自己的私钥 B就有A的公钥
B用A的公钥进行加密,然后把数据传给A,A用自己的私钥进行解密
B怎么拿到A的公钥:
优点:维护密钥方便,只需维护自己的私钥;数据比较安全
缺点:效率低(非常慢)
非对称加密的三个作用:
密钥交换、证书签发、数据加密
流加密
异或(相同为0,不同为1)
块加密0101 0100 1001 0101 1100 1001 0100 1010有一个VI值0000 0101 0001 10000101 0001 1000 1101
完整性校验
测试数据的完整性,保证数据没有被篡改 原理:获取B机器对数据的hash值,A机器对获取的数据在hash一次,A的hash值和B的hash值相互比较,相同说明数据完整,不同说明数据不可信。
hash的特点:不可逆性、雪崩效应
MAC信息认证代码
随机生成密钥对,再将密钥对加上数据报文一起做HASH -- HMAC,这种方式即完成了源认证同时也完成了完整性校验
非对称密钥的另外一个作用:
数字签名 (数据加密(太慢,不适用)、密钥交换)
再做密钥交换的时候,我们使用了公钥加密私钥解密
数字签名 私钥加密 -- 公钥解密
只有自己拥有自己的私钥,用自己的私钥对数据进行加密,对端,使用自己的公钥进行解密,如果能解密说明数据源是正确的;否则不可信任
证书机制 -- PKI
怎么去创建CA服务器
颁发根证书 -- 认证CA服务的有效性
我们通过PKI(公共密钥基础设施)架构,来实现上面提到的三点认证机制
PKI包括:
CA -- 证书服务器CA服务器,用来做证书签发
RA -- 搭建CA的机构,注册证书的机构
CRL -- 证书吊销列表
PKI证书体系架构原理
openssl
openssl管理工具
两个加密程序调用接口--库文件
dh -- 非对称密钥算法(完成密钥交换)
常见文件:
/etc/pki/tls
1995年由网景公司开发 ssh1.0
1996年ssh2.0
1999年把ssh交给了stl协议
/etc/pki/tls/openssl.cnf -- 默认主配置文件/usr/bin/openssl-- 命令文件/etc/pki/CA -- 证书服务器的证书服务根目录/etc/pki/CA/certs-- 证书存放目录/etc/pki/CA/crl/etc/pki/CA/privateindex.txt //证书索引信息文件serial // 证书序列号cakey.pem //ca证书申请文件cacert.pem //ca根证书文件ssl、tls协议连接过程
以https为例
实验:如何去使用openssl工具搭建https访问站点
1、客户:
yum install httpd -yiptables -t filter -A INPUT -d 192.168.94.128 -p tcp --dport 80 -j ACCEPTiptables -L -t --line-number -v -Z/etc/init.d/httpd startecho abc >/var/www/html/index.htmliptables -t filter -I INPUT 5 -d 192.168.94.128 -p tcp --dport 80-j ACCEPT
curl http://localhostcurl https://localhost
需要搭建自己的CA服务器
服务:
touch /etc/pki/CA/index.txtecho 01 > /etc/pki/CA/serial生成根证书先修改host文件hostname ca.locallogout生成这个文件cakey.pem(umask 0777; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)openssl的命令使用可是openssl 子命令openssl helpman 子命令 //查看到子命令的帮助信息用文件生成证书openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem就会进入交互界面CNSDWFDFDFca.localadmin@df.comcd /etc/pki/CA/ls
客户:
(umask 0777; openssl genrsa -out http.key 2048)openssl req -new -key http.key -days 365 -out http.csrCNSDWFDFDFwwwadmin@df.comscp http.csr root@192.168.94.130:/root
服务:
openssl ca -in http.csr -days 365 -out http.crt有了证书以后:scp httpd1.crt root@192.168.94.128:/root
【2023年网络安全学习大礼包】
获取方式↓↓↓
添加VX备注【XQ】即可免费获取