摘要:公開密鑰加密處理起來(lái)比共享密鑰加密更為復(fù)雜��,因此若在通信時(shí)使用公開密鑰加密的方式��,效率就很低���。在交換密鑰環(huán)節(jié)使用公開密鑰加密方式���,之后建立的通信交換報(bào)文階段則使用共享密鑰加密方式�。
HTTP+加密+認(rèn)證+完整性保護(hù)=HTTPS
最近在看《圖解HTTP》總結(jié)了一下HTTPS��。
基礎(chǔ)決定你可能達(dá)到的高度��,而業(yè)務(wù)決定了你的最低瓶頸��,兩者不可偏頗�����?��!夹g(shù)最前沿
加密
通常�, HTTP協(xié)議承載于TCP協(xié)議之上����,HTTPS則在HTTP和TCP之間添加一個(gè)安全協(xié)議層SSL(Secure Socket Layer)、TSL(Transport Layer Security)����。當(dāng)使用SSL時(shí)�����,則變成先和SSL通信���,再由SSL和TCP通信。
非對(duì)稱加密
SSL使用兩把密鑰進(jìn)行加密����。公開密鑰隨意發(fā)布。發(fā)送密文的一方使用對(duì)方公開的密鑰進(jìn)行加密處理���,對(duì)方收到被加密的信息后,再使用自己的私有密鑰進(jìn)行解密����。利用這種方式,不需要發(fā)送用來(lái)解密的私有密鑰����,也不必?fù)?dān)心密鑰被攻擊者竊聽而盜走。
總結(jié):這種加密比較復(fù)雜不容易被破解�����,但是需要復(fù)雜的通信方式。無(wú)法證明公開密鑰本身就是貨真價(jià)實(shí)的公開密鑰(后面會(huì)介紹https解決方案)
對(duì)稱加密
共享密鑰:加密解密使用共同的一套秘鑰�。
總結(jié):這種加密簡(jiǎn)單但是特別容易被破解。如果攻擊者使用“中間人攻擊”即在通信的時(shí)候監(jiān)聽你的攔截你的通信信息���,就可以知道你發(fā)送的秘鑰����。
公開密鑰加密處理起來(lái)比共享密鑰加密更為復(fù)雜�,因此若在通信時(shí)使用公開密鑰加密的方式,效率就很低���。
HTTPS采用混合加密����。在交換密鑰環(huán)節(jié)使用公開密鑰加密方式��,之后建立的通信交換報(bào)文階段則使用共享密鑰加密方式����。
示例:https->(驗(yàn)證時(shí)期)采用公共秘鑰加密->(通信時(shí)期)采用共享秘鑰加密通信
認(rèn)證
上面說(shuō)道了公開加密的缺點(diǎn):使用公開密鑰存在一個(gè)問(wèn)題:無(wú)法證明公開密鑰本身就是貨真價(jià)實(shí)的公開密鑰。
為了解決此問(wèn)題����,可以使用由數(shù)字證書機(jī)構(gòu)CA和其相關(guān)機(jī)構(gòu)頒發(fā)的公開密鑰證書�。
在申請(qǐng)到數(shù)字證書之后�,服務(wù)器在收到通過(guò)HTTPS的訪問(wèn)請(qǐng)求時(shí),會(huì)將這份由認(rèn)證機(jī)構(gòu)頒發(fā)的公鑰證書發(fā)送給客戶端�。
接到證書的客戶端可以使用數(shù)字證書認(rèn)證機(jī)構(gòu)的公開密鑰,對(duì)那張證書上的數(shù)字簽名進(jìn)行驗(yàn)證����,一旦驗(yàn)證通過(guò),客戶端便可明確兩件事:一�,認(rèn)證服務(wù)器的公開密鑰是真實(shí)有效的數(shù)字證書認(rèn)證機(jī)構(gòu)。二���,服務(wù)器公開密鑰是值得信賴的�����。
為了保認(rèn)證機(jī)構(gòu)的公開密鑰安全轉(zhuǎn)交給客戶端,多數(shù)瀏覽器選擇在內(nèi)部植入常用認(rèn)證機(jī)關(guān)的公開密鑰����,問(wèn)題得以解決。
完整性保護(hù)
HTTPS的通信步驟較HTTP復(fù)雜很多��,在完整性保護(hù)方面,應(yīng)用層發(fā)送數(shù)據(jù)時(shí)會(huì)附加MAC(Message Authentication Code)的報(bào)文摘要����。MAC能夠查知報(bào)文是否遭到篡改,從而保護(hù)報(bào)文的完整性�。
文章版權(quán)歸作者所有,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為��,您可以聯(lián)系管理員刪除���。
轉(zhuǎn)載請(qǐng)注明本文地址:http://systransis.cn/yun/87995.html
