对称加密:
缺点:通信双方都使用同样钥匙,安全性得不到保证;用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量成几何级数增长,密钥管理成为用户的负担。
非对称加密:
优点:非对称加密算法的保密性比较好,它消除了最终用户交换密钥的需要;
缺点:但加密和解密花费时间长、速度慢,因此它不适合于对文件加密而只适用于对少量数据进行加密。常见的非对称加密有:DSA、RSA等。
单向加密:
MD5:MD5 -- message-digest algorithm 5 (信息-摘要算法)缩写,广泛用于加密、解密技术和数据的校验。
SHA1:(Secure Hash Algorithm,安全散列算法),数字签名等密码学应用中重要的工具,被广泛地应用于电子商务等信息安全领域。他们都具有定长输出的特点,md5的输出长度为128位,sha1的输出长度为160位。
PKI
PKI(Public Key Infrastructure)。是基于公开密钥理论和技术建立起来的安全体系,是提供信息安全服务具有普遍性的安全基础设施。该体系在统一的安全认证标准和规范基础上提供了在线身份认证,是CA认证、数字证书、数字签名以及相关的安全应用组件的集合。PKI的核心是解决信息网络空间中的信任问题,确定信息网络、信息空间中各种经济、军事、和管理行为行为主体(包括组织和个人)身份的唯一性、真实性和合法性。是解决网上身份认证、信息完整性和抗抵赖等安全问题的技术保障体系。管理PKI的机构即为CA中心。
作为一个安全基础设施的全功能的PKI由一系列组件和服务构成:
1. 证书机构
2. 证书库
3. 证书撤消
4. 密钥备份和恢复
5. 自动密钥更新
6. 密钥文档管理
7. 交差认证
8. 支持不可否认
9. 时间戳
10. 客户端软件
最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。一般情况下证书中还包括密钥的有效时间,发证机关(证书授权中心)的名称,该证书的序列号等信息,证书的格式遵循ITUT X.509国际标准。
在linux服务器上实现CA功能需要使用到Openssl,Openssl是一个基于密码学的安全开发包,囊括了主要的密码算法、常用的密钥和证书封装管理功能以及SSL协议,并提供了丰富的应用程序供测试或其它目的使用。
1.在服务器生成供CA使用的openssl证书cd /etc/pki/CA
(umask 66; open; openssl genrsa 2048 > private/cakey.pem)
#先生成CA的密钥
openssl req –new –x509 –key –days 3650 private/cakey.pem –out cacert.pem
#向自己提出发证请求2.配置CACA的配置文件位于/etc/pki/CA/openssl.conf中mkdir certs crl newcert
touch index.txt
echo “01” > serial
#创建几个CA配置文件中要用到的目录3.将收到的签名请求(.csr)做成证书openssl ca –in web.csr –out web.crt
1.针对需要证书的服务建立对应目录mkdir /etc/httpd/ssl2.生成httpd的公钥(umask 66; openssl genrsa 2048 > web.key)3.生成签名(.csr)文件openssl req –new –key web.key –out web.csr4. 将生成的签名.csr文件发送给CA