一、前言

      前一段的项目中，在传输的数据的时候基本使用的都是相应的Json报文，在Json报文中会有一些比较重要的信息，不方便被用户看到，所以需要对这个Json的数据进行加密，然而加密就这么简单吗？加密后的报文也会被检测出来

二、看图说话

      先看看登录的时序图：



      在这个时序图中，有两处的加密和解密，使用的是3Des算法，且这两处的加密解密使用的key值是不一样的。第一次使用的是用户名+密码，对密码进行加密，得到加密的Json登录报文，然后传入后台，在后台根据用户名查数据库中的密码，然后根据用户名+查出的密码作为key，来对查出的密码进行加密，如果两处的加密结果相同。那么就可以认定为是正确的密码，如果不相同，那么密码或者用户名错误。成功的时候，后台会产生一个uuid作为key来对以后的操作进行加密解密操作。这个key可以在返回的报文中做明文显示。

三、自己的思考

      通过这次的学习，发现加密解密在我们的生活中用到的很多，很值得我们去研究，所以在以后的开发中，我们会有这种意识来对自己的信息，对系统的每一个环节进行加密，这个就是我们要做的地方。

简介


IPSec不是一个单独协议，而是由一组协议组成的。能够对IP包进行加密和验证。使用认证头AH（Authentication Header）和封装安全载荷ESP（Encapsulating Security Payload）对报文进行加密和验证，其中AH只能用来验证，ESP既可以验证也可以加密。有了加密、验证，报文就可以安全地在Internet上传输。


基本概念

SA安全联盟：IPSec两端需要先协商并建立安全联盟SA，之后才能在IPSec隧道中安全地传输数据。SA两端协商加密和验证使用的算法，例如相同的封装模式、加密算法、加密密钥、验证算法、验证密钥。
安全协议：就是开篇提到的AH和ESP，一般使用ESP，因为同时具备加密和验证功能。
封装模式：是指AH或ESP对IP包的封装方式。分为传输模式和隧道模式。传输模式一般用于两个终端通信，封装见下图



隧道模式在企业网中更为常用，一般用于两个网关之间，封装见下图


数据加密：IPSec采用对称密钥对报文进行加解密，如图

常用的加密算法有：DES、3DES、AES，一般采用AES-128就可以满足安全需求，DES和3DES的安全性不如AES。
验证：是指接收方在收到数据时，通过验证算法，对数据的完整性以及数据来源进行验证。IPSec采用了HMAC（Keyed-Hash Message Authentication Code）功能进行验证，发送方使用HMAC算法，生成数字签名，接收方收到携带数字签名的报文，也使用HMAC计算数字签名，然后比对数字签名是否一致，一致则接受并解密报文，不一致则直接丢弃。过程如图

http是超文本传输协议。

http在传输报文数据时没有安全措施，是明文传输可能被人轻易修改而且没有服务器信息，这意味着服务器根本直接筛选发送过来的信息。

https是在http的基础上弄的更加安全

https = http + SSL/TCL（数字证书）

https就是使用密钥和公钥对报文进行加密，使用https这种协议要去CA机构（电子认证服务）申请证书

公钥是可以共享的

私钥只有在服务器上有

一把私钥可以对应 N个特定的公钥
数字签名
就是公钥对传输数据进行加密的过程
https传输比http传输多3个算法：
1.非对称算法
使用两个密钥进行加密，一个是公钥一个是私钥。
2.对称算法
加密和解密都使用一个公钥
3. 散列算法
在客户端发出请求时 ，会从服务器上申请一个公钥，客户端会使用服务器上发放来的公钥对要传输的数据进行加密，这个过程是非对称算法，无法使用公钥对数据进行解析，上发到服务器后使用私钥对其解密
大概意思就是两个人用信件交流一些小密码，A给B写信

B给了A一个暗号写法，B给自己留下暗号的解法，A按照B给的暗号把信写完，在信传递的时候就算有人要看也看不懂

（1）数字签名的基本原理
报文的发送方用自己的私钥加密从报文文本中生成的一个散列值（或报文摘要），来形成发送方的数据签名。然后，这个数据签名将作为报文的附件和报文一起发送给报文的接收方。
报文的接收方：
计算从接收到的原始报文的散列值（或报文摘要），
用发送方的公钥来对报文附加的数字签名进行解密。
如果两个散列值相同，那么接收方就能确认该数字签名是发送方的
在数字签名中有重要作用的数字指纹是通过一类特殊的散列函数（HASH函数）生成的，对这些HASH函数的特殊要求是：
1. 接受的输入报文数据没有长度限制； 
2. 对任何输入报文数据生成固定长度的摘要（数字指纹）输出 
3. 从报文能方便地算出摘要； 
4. 难以对指定的摘要生成一个报文，而由该报文反推算出该指定的摘要； 
5. 两个不同的报文难以生成相同的摘要 
数字签名 
数字签名是一种电子签名，可以用来验证消息或文档的发件人的身份。数字签名使我们能够确认消息或文档的原始内容没有被改变。数字签名的其它好处包括便于传输以及能够自动打上时间标记。另外，数字签名不允许其他人随便拒绝接受消息。 
数字签名可与不同种类的消息一起使用，而不论这种消息是否具有加密能力。下面更详细地说明数字签名的过程。这一过程的技术术语是不对称密钥加密/公钥基本结构 (PKI) 。 
数字签名需要同时使用两个密钥。其中一个密钥总是保密的或“私有的”，而另一个密钥是“公用的”。您可以使用每一个密钥进行加密和解密。加密算法从数学上将输入明文 数据与加密密钥 结合起来，生成加密数据（暗文）。 
有了好的加密算法，从计算的角度来讲，仅有暗文是无法逆推加密过程并导出明文数据的；进行这种转换需要解密密钥。 
传统上，密钥（或对称密钥） 加密、加密与解密密钥是相同的，因而可以共享敏感数据。对于想要使用密钥加密进行通信的双方，只有安全地交换加密/解密密钥后，才能相互交换加密数据。 
而公钥加密的基本属性则是，加密和解密使用不同的密钥。 
用公钥加密密钥进行的加密是单向 功能；明文转变为暗文，但加密密钥却与解密过程无关。 
要将暗文转换回明文，则需要不同的解密密钥（与加密密钥有关，但不相同）。因此，对于公钥加密，每一方都有一对密钥，即一个公 钥和一个私钥。 
在公钥可用的前提下，可以让其他人将加密数据发给您，而该数据只能用您的私钥来解密。相似地，可用您的私钥来转换数据，这样，其他人就会验证出该数据是由您发送的。这种能力是数字签名的基础。 
验明身份加密提供了强有力的分布式身份验证服务。实体身份验证 保证数据的发件人就是收件人所认为的那个实体。 
如果 Alice 收到了 Bob 发来的数据，然后给 Bob 发送用他的公钥加密的质询，Bob 随后解码该质询并将它发回给 Alice，证明他拥有与 Alice 用来发出质询的公钥相关的私钥。Alice 也可以发送一个明文质询给 Bob。 
Bob 随后将该质询与其他信息（已有数字签名）结合起来。然后，Alice 就用 Bob 的公钥来验证该签名，并证实 Bob 有与此关联的私钥。该质询能够确保该消息是唯一的，并可防止有敌意的第三方进行重放攻击。这两种情况都称为证明所有权协议，因为发件人在此过程中证明自己有特定的私钥。 
数字证书 
数字证书的作用与“信用卡”十分相似。当客户在 Web 上做生意或进行其它交易时，数字证书能够建立客户凭据。数字证书由第三方颁发。为了保证用户身份及其密钥的真实性，公钥系统要求有一个通信双方都信任的且独立于双方的第三方。 
该第三方叫做证书颁发机构 (CA) ，因为证明公钥的所有者名副其实是 CA 的职责。为了证明公钥，CA（如 VeriSign）创建一个由用户标识的详细资料的一部分和该用户公钥组成的证书。然后，该 CA 用其自己的私钥在该证书上进行数字签名，以创建一个公钥证书。 
用户可以通过使用该 CA 的公钥验证证书上的 CA 签名，来检查另一个用户身份的真实性，CA 的公钥对公众是公开的。 
对消息进行解密后，收件人验证发件人的数字签名。为此，需要使用与创建原始签名相同的散列算法创建该文档的摘要。同时，使用发件人的公钥对附加到该文档的数字签名进行解密。这样就创建了该数字签名的摘要。 
然后，比较文档和数字签名的摘要。即使两者之间存在最微小的差别，该签名也会被拒绝。如果两个摘要完全匹配，收件人即可知道该文档在传输过程中没有被改变，并确信发件人的身份。 
由于发件人是唯一知道用来签名该邮件的私钥的人，所以发件人不能拒绝承认其发送了该邮件。 
而公钥加密的基本属性则是，加密和解密使用不同的密钥。 
用公钥加密密钥进行的加密是单向 功能；明文转变为暗文，但加密密钥却与解密过程无关。 
要将暗文转换回明文，则需要不同的解密密钥（与加密密钥有关，但不相同）。因此，对于公钥加密，每一方都有一对密钥，即一个公 钥和一个私钥。 
在公钥可用的前提下，可以让其他人将加密数据发给您，而该数据只能用您的私钥来解密。相似地，可用您的私钥来转换数据，这样，其他人就会验证出该数据是由您发送的。这种能力是数字签名的基础。 
验明身份加密提供了强有力的分布式身份验证服务。实体身份验证 保证数据的发件人就是收件人所认为的那个实体。 
如果 Alice 收到了 Bob 发来的数据，然后给 Bob 发送用他的公钥加密的质询，Bob 随后解码该质询并将它发回给 Alice，证明他拥有与 Alice 用来发出质询的公钥相关的私钥。Alice 也可以发送一个明文质询给 Bob。 
Bob 随后将该质询与其他信息（已有数字签名）结合起来。然后，Alice 就用 Bob 的公钥来验证该签名，并证实 Bob 有与此关联的私钥。该质询能够确保该消息是唯一的，并可防止有敌意的第三方进行重放攻击。这两种情况都称为证明所有权协议，因为发件人在此过程中证明自己有特定的私钥。 
而公钥加密的基本属性则是，加密和解密使用不同的密钥。 
用公钥加密密钥进行的加密是单向 功能；明文转变为暗文，但加密密钥却与解密过程无关。 
要将暗文转换回明文，则需要不同的解密密钥（与加密密钥有关，但不相同）。因此，对于公钥加密，每一方都有一对密钥，即一个公 钥和一个私钥。 
在公钥可用的前提下，可以让其他人将加密数据发给您，而该数据只能用您的私钥来解密。相似地，可用您的私钥来转换数据，这样，其他人就会验证出该数据是由您发送的。这种能力是数字签名的基础。 
验明身份加密提供了强有力的分布式身份验证服务。实体身份验证 保证数据的发件人就是收件人所认为的那个实体。 
如果 Alice 收到了 Bob 发来的数据，然后给 Bob 发送用他的公钥加密的质询，Bob 随后解码该质询并将它发回给 Alice，证明他拥有与 Alice 用来发出质询的公钥相关的私钥。Alice 也可以发送一个明文质询给 Bob。 
Bob 随后将该质询与其他信息（已有数字签名）结合起来。然后，Alice 就用 Bob 的公钥来验证该签名，并证实 Bob 有与此关联的私钥。该质询能够确保该消息是唯一的，并可防止有敌意的第三方进行重放攻击。这两种情况都称为证明所有权协议，因为发件人在此过程中证明自己有特定的私钥。 
数字证书 
数字证书的作用与“信用卡”十分相似。当客户在 Web 上做生意或进行其它交易时，数字证书能够建立客户凭据。数字证书由第三方颁发。为了保证用户身份及其密钥的真实性，公钥系统要求有一个通信双方都信任的且独立于双方的第三方。 
该第三方叫做证书颁发机构 (CA) ，因为证明公钥的所有者名副其实是 CA 的职责。为了证明公钥，CA（如 VeriSign）创建一个由用户标识的详细资料的一部分和该用户公钥组成的证书。然后，该 CA 用其自己的私钥在该证书上进行数字签名，以创建一个公钥证书。 
用户可以通过使用该 CA 的公钥验证证书上的 CA 签名，来检查另一个用户身份的真实性，CA 的公钥对公众是公开的。 
对消息进行解密后，收件人验证发件人的数字签名。为此，需要使用与创建原始签名相同的散列算法创建该文档的摘要。同时，使用发件人的公钥对附加到该文档的数字签名进行解密。这样就创建了该数字签名的摘要。 
然后，比较文档和数字签名的摘要。即使两者之间存在最微小的差别，该签名也会被拒绝。如果两个摘要完全匹配，收件人即可知道该文档在传输过程中没有被改变，并确信发件人的身份。 
由于发件人是唯一知道用来签名该邮件的私钥的人，所以发件人不能拒绝承认其发送了该邮件。 
而公钥加密的基本属性则是，加密和解密使用不同的密钥。 
用公钥加密密钥进行的加密是单向 功能；明文转变为暗文，但加密密钥却与解密过程无关。 
要将暗文转换回明文，则需要不同的解密密钥（与加密密钥有关，但不相同）。因此，对于公钥加密，每一方都有一对密钥，即一个公 钥和一个私钥。 
在公钥可用的前提下，可以让其他人将加密数据发给您，而该数据只能用您的私钥来解密。相似地，可用您的私钥来转换数据，这样，其他人就会验证出该数据是由您发送的。这种能力是数字签名的基础。 
验明身份加密提供了强有力的分布式身份验证服务。实体身份验证 保证数据的发件人就是收件人所认为的那个实体。 
如果 Alice 收到了 Bob 发来的数据，然后给 Bob 发送用他的公钥加密的质询，Bob 随后解码该质询并将它发回给 Alice，证明他拥有与 Alice 用来发出质询的公钥相关的私钥。Alice 也可以发送一个明文质询给 Bob。 
Bob 随后将该质询与其他信息（已有数字签名）结合起来。然后，Alice 就用 Bob 的公钥来验证该签名，并证实 Bob 有与此关联的私钥。该质询能够确保该消息是唯一的，并可防止有敌意的第三方进行重放攻击。这两种情况都称为证明所有权协议，因为发件人在此过程中证明自己有特定的私钥。 
数字证书 
数字证书的作用与“信用卡”十分相似。当客户在 Web 上做生意或进行其它交易时，数字证书能够建立客户凭据。数字证书由第三方颁发。为了保证用户身份及其密钥的真实性，公钥系统要求有一个通信双方都信任的且独立于双方的第三方。 
该第三方叫做证书颁发机构 (CA) ，因为证明公钥的所有者名副其实是 CA 的职责。为了证明公钥，CA（如 VeriSign）创建一个由用户标识的详细资料的一部分和该用户公钥组成的证书。然后，该 CA 用其自己的私钥在该证书上进行数字签名，以创建一个公钥证书。 
用户可以通过使用该 CA 的公钥验证证书上的 CA 签名，来检查另一个用户身份的真实性，CA 的公钥对公众是公开的。 
对消息进行解密后，收件人验证发件人的数字签名。为此，需要使用与创建原始签名相同的散列算法创建该文档的摘要。同时，使用发件人的公钥对附加到该文档的数字签名进行解密。这样就创建了该数字签名的摘要。 
然后，比较文档和数字签名的摘要。即使两者之间存在最微小的差别，该签名也会被拒绝。如果两个摘要完全匹配，收件人即可知道该文档在传输过程中没有被改变，并确信发件人的身份。 
由于发件人是唯一知道用来签名该邮件的私钥的人，所以发件人不能拒绝承认其发送了该邮件。 
（2）java为数字签名提供的支持
 （3）数字签名主要任务
（4）实践：前台要求用微软capicom控件激发数字签名，在后台用java进行数据完整性验证和证书有效性验证
（5）实践中的摸索
（6）解决方法
（7）思考