自从掌握了网络安全,工资直接翻了番,真香警告!

共 2541字,需浏览 6分钟

 ·

2023-02-25 14:24

前言

早期的互联网 -- 1980年代,我们需要共享数据,传输数据;所传输或者共享的数据均为明文,随着互联网发展,安全成为了国家的一种战略资源。我们做的,比如编程,运维 -- 手工业安全属于一种科学研究--安全的算法都是需要以数学难题为基础来进行研究,每个国家都疯狂的去研究自己的加密算法,以及去破译别人的加密算法;美国--禁止出口长于256位的加密算法,DH算法 -- 密钥交换(交换对称密钥)。

为了保证数据安全,我们必须满足以下四点:

1、数据必须被加密;

2、完整性校验(哈希、单向加密、指纹);

3、源认证;

4、证书体系(openssl就是用来实现这个PKI证书体系架构的,它包含了前三点)

数据必须被加密

1、对称密钥加密

同一个密钥进行加密,同一个密钥进行解密

优点:效率高

缺点:密钥维护非常困难;密钥交换非常困难;

2、非对称密钥加密

密钥对(公钥加密,私钥解密;私钥加密,公钥解密)

  • A -- B

  • A就有自己的私钥      B就有A的公钥

  • B用A的公钥进行加密,然后把数据传给A,A用自己的私钥进行解密

  • B怎么拿到A的公钥:


优点:维护密钥方便,只需维护自己的私钥;数据比较安全

缺点:效率低(非常慢)

非对称加密的三个作用:

密钥交换、证书签发、数据加密

流加密

异或(相同为0,不同为1)

块加密0101 0100 1001 0101 1100 1001 0100 1010有一个VI值0000 0101 0001 10000101 0001 1000  1101

完整性校验

测试数据的完整性,保证数据没有被篡改 原理:获取B机器对数据的hash值,A机器对获取的数据在hash一次,A的hash值和B的hash值相互比较,相同说明数据完整,不同说明数据不可信。

  • hash的特点:不可逆性、雪崩效应

  • MAC信息认证代码

  • 随机生成密钥对,再将密钥对加上数据报文一起做HASH -- HMAC,这种方式即完成了源认证同时也完成了完整性校验


非对称密钥的另外一个作用:

  • 数字签名 (数据加密(太慢,不适用)、密钥交换)

  • 再做密钥交换的时候,我们使用了公钥加密私钥解密

  • 数字签名 私钥加密 -- 公钥解密

  • 只有自己拥有自己的私钥,用自己的私钥对数据进行加密,对端,使用自己的公钥进行解密,如果能解密说明数据源是正确的;否则不可信任

证书机制 -- PKI

  • 怎么去创建CA服务器

  • 颁发根证书 -- 认证CA服务的有效性

  • 我们通过PKI(公共密钥基础设施)架构,来实现上面提到的三点认证机制

PKI包括:

  • CA -- 证书服务器CA服务器,用来做证书签发

  • RA -- 搭建CA的机构,注册证书的机构

  • CRL -- 证书吊销列表

  • PKI证书体系架构原理

openssl

  • openssl管理工具

  • 两个加密程序调用接口--库文件

  • dh  --  非对称密钥算法(完成密钥交换)

常见文件:

/etc/pki/tls
  • 1995年由网景公司开发 ssh1.0

  • 1996年ssh2.0

  • 1999年把ssh交给了stl协议


/etc/pki/tls/openssl.cnf -- 默认主配置文件/usr/bin/openssl-- 命令文件/etc/pki/CA -- 证书服务器的证书服务根目录/etc/pki/CA/certs-- 证书存放目录/etc/pki/CA/crl/etc/pki/CA/privateindex.txt //证书索引信息文件serial // 证书序列号cakey.pem //ca证书申请文件cacert.pem //ca根证书文件ssl、tls协议连接过程

以https为例

实验:如何去使用openssl工具搭建https访问站点

1、客户:

yum install httpd -yiptables -t filter -A INPUT -d 192.168.94.128 -p tcp --dport 80 -j ACCEPTiptables -L -t --line-number -v -Z/etc/init.d/httpd startecho abc >/var/www/html/index.htmliptables -t filter -I INPUT 5 -d 192.168.94.128 -p tcp --dport 80 -j ACCEPT

curl http://localhostcurl https://localhost

需要搭建自己的CA服务器

服务:

touch /etc/pki/CA/index.txtecho 01 > /etc/pki/CA/serial生成根证书先修改host文件hostname ca.locallogout生成这个文件cakey.pem(umask 0777; openssl genrsa -out /etc/pki/CA/private/cakey.pem 2048)openssl的命令使用可是  openssl 子命令  openssl help  man 子命令 //查看到子命令的帮助信息用文件生成证书openssl req -new -x509 -key /etc/pki/CA/private/cakey.pem -days 7300 -out /etc/pki/CA/cacert.pem就会进入交互界面CNSDWFDFDFca.localadmin@df.comcd /etc/pki/CA/ls

客户:

(umask 0777; openssl genrsa -out http.key 2048)openssl req -new -key http.key -days 365 -out http.csr CNSDWFDFDFwwwadmin@df.comscp http.csr root@192.168.94.130:/root

服务:

openssl ca -in http.csr -days 365 -out http.crt  有了证书以后:scp httpd1.crt root@192.168.94.128:/root

2023年网络安全学习大礼包

获取方式↓↓↓

添加VX备注【XQ】即可免费获取


浏览 42
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报
评论
图片
表情
推荐
点赞
评论
收藏
分享

手机扫一扫分享

分享
举报