数据的加密和解密

 当前网络环境中，数据的来往是十分密切，面对着海量的信息集合，很少有人去考虑如何去保证，或者说数据是怎么被保证安全的到达目的地的，在默认情况下，数据的发送是明文发送的，也就是说，数据的发送可以被除发送方和接收方的第三方所截获，读取信息，或者通过长年累月的数据量分析得出发送方的某些重要信息，这对于用户来说都是不可接受的，所以随着网络数据的不断发展，人们不断对数据加密进行更新换代，由一开始的传统加密，通过替换的方式加密信息，到后来的块加密算法；

  现在的加密算法，如对称加密，公钥加密，作为一段时期的主要加密方式；对称加密，通过双方所拥有的相同的密钥，进行比对，若相同则确认对方身份，同时利用这对密钥进行加密解密，但这样容易被第三方截获这个密钥并且冒充接收方进行接收；而公钥加密，数据经过公钥加密后，只能由这个衍生出公钥的私钥进行解密，反之，数据经过私钥加密后，只能由其对应的公钥进行解密；由于加密长度比较大，所以其安全级别也比较高；其加密的时候消耗的资源和时间都比较高，所以很少用于加密大批量的数据；公钥加密常用于数字签名，密钥交换，数据加密等；在数据传输过程中，当发送方需要对数据加密，然后需要获取接收方的公钥，如果这时候获取的公钥不是接收方的，而是第三者的公钥，数据就会被第三者的私钥解密，那么，如何去保证这类型数据传输的安全，就是我们要说的一个重点；

  数字签名：发送方利用自己的私钥加密数据，发送给接收方，接收方只能使用发送方的公钥进行解密操作，这个时候，就能知道是否为该发送方发送，相当于一个标识；

  密钥交换：发送方将对称密钥用接收方的公钥加密，接受方就可以用它的私钥解密，获取对称密钥；

  数据加密：对小数据进行加密；

  单向加密算法：如md5，sha等，只能进行加密，不能解密，可以通过单向加密哈希算法，获取特征值，进行比对，查看数据是否有出入；

  密钥交换算法：

    公钥算法

    DH算法：

      发送方具有p g，发送方对应的具有一个x值，x随机，第三方无法获取x值，也就无法破译，因      为结果不唯一，无法确定x值；

      接收方具有p g，接收方对应的具有一个y值，原理如上；

      发送方发送p^x%g给接收方，接收方再对其进行p^xy%g操作

      接受方发送p^y%g给发送方，发送方再对其进行p^xy%g操作

  这几种加密方式就是目前比较常用的加密方式；在之前有讲到的无法确定公钥是否为接收方的问题，这个时候我们就需要有一个有公信力度的机构来为我们进行认证，这就是CA；

  有公信力度的CA，可以颁发证书，给接收方，发送方，当发送方或接受发需要检查公钥是否正确时，可以检查由CA颁发的证书；证书里面包含的内容有拥有者的名称，拥有者所提交的公钥，有效期，证书的版本号，证书的序列号，签发算法ID，签发CA的名称，主体名称，发证者的唯一标识，发证者的数字签名，扩展信息等；发送方可以根据所拥有的CA机构的公钥去解密证书的数字签名，判断其真假；而不论是哪一方，想要获取证书，就必须经过一段时间的等待，让CA收集信息进行判断，这样才能保证其公信力度；

  加密算法的联合应用：

  通信双方互换证书，并到信任的CA进行证书验证；验证正确后发送方将数据用对称密钥加密，使用单向加密的哈希算法加密出数据的特征值，特征值使用发送方的密钥进行加密，发送给接收方，接收方先用发送方的公钥对特征值进行解密，在使用单向加密哈希算法算出特征值，二者比对，若相同，则表示数据在发送过程中未被改动，则读取数据，若改动，则丢弃数据，接收方用自己的私钥解密对称密钥，再用对称密钥去解密数据，读取数据内容；

  CA如何发挥其作用的：

  1.通信双方交换证书；

  2.双方协商加密算法；

  3.双方验证证书的真伪；

  4.用CA的公钥解密证书中CA的签名，能解密说明证书来源可靠；

  5.用通用的加密算法加密证书，取得特征值；与解密出来的特征值比较，如果相同，说明证书完整性   可靠；

  6.检查证书的有效期是否在合法时间范围，如果过期则证书不被认可；

  7.检查证书的主体名称和此次通信的目标是否能够对应；

  客户端与服务器握手的四个阶段：

   1.第一阶段，获取服务器证书进行检验；客户端打招呼，Cliect Hello，发送客户端所支持的协议的版本，在hello阶段，以免客户端或服务器无法使用对方的加密的方式；如客户端只能使用md5，服务器只能使用AES，DES等，要判断是否能支持；服务器将自己的证书发给客户端，客户端进行验证，到CA核实证书信息，若核实错误，则没有后续操作；服务器检验客户端发送来的证书，使用客户端的公钥进行检验；

   2.第二阶段，证书合法后，双方协商生成会话密钥，如用DH算法生成；Sever Hello，服务器发送Hello，，确认加密算法版本号，生成一个随机数，用于生成会话密钥；

   3.第三阶段，利用已经生成的会话密钥进行安全加密的通信；验证服务证书后，取出公钥，以便下次服务器接收数据，能用自己的私钥解除；

   客户端发送一个信息给服务器；告诉服务器，编码是否变更，即加密方式，若无，则采用之前商量好的方式进行传输；生成一个随机数，用于服务器端的公钥加密；

   验证服务器证书需要验证下述内容：

      验证发证机构(CA)； 

      验证证书的完整性；

      验证证书的持有者信息；

      验证证书的有效期；

      验证证书的吊销列表；

   4.第四阶段，双方互相通告握手结束，say goodbye；

本文转自 wujunqi1996 51CTO博客，原文链接:http://blog.51cto.com/12480612/1953696