一,對稱加密
所謂對稱加密,就是它們在編碼時使用的金鑰e和解碼時一樣d(e=d),我們就將其統稱為金鑰k。
對稱加解密的過程如下:
傳送端和接收端首先要共享相同的金鑰k(即通訊前雙方都需要知道對應的金鑰)才能進行通訊。傳送端用共享金鑰k對明文p進行加密,得到密文c,並將得到的密文傳送給接收端,接收端收到密文後,並用其相同的共享金鑰k對密文進行解密,得出明文p。
一般加密和解密的演算法是公開的,需要保持隱秘的是金鑰k,流行的對稱加密演算法有:des,triple-des,rc2和rc4
對稱加密的不足主要有兩點:
1,傳送方和接收方首先需要共享相同的金鑰,即存在金鑰k的分發問題,如何安全的把共享金鑰在雙方進行分享,這本身也是乙個如何安全通訊的問題,一種方法是提前雙方約定好,不通過具體的通訊進行協商,避免被監聽和截獲。另外一種方式,將是下面我們介紹的通過非對稱加密通道進行對稱密碼的分發和共享,即混合加密系統。
2,金鑰管理的複雜度問題。由於對稱加密的金鑰是一對一的使用方式,若一方要跟n方通訊,則需要維護n對金鑰。
對稱加密的好處是:
加密和解密的速度要比非對稱加密快很多,因此常用非對稱加密建立的安全通道進行共享金鑰的分享,完成後,具體的加解密則使用對稱加密。即混合加密系統。
另外乙個點需要重點說明的是,金鑰k的長度對解密破解的難度有很重大的影響,k的長度越長,對應的密碼空間就越大,遭到暴力破解或者詞典破解的難度就更大,就更加安全。
二,非對稱加密
所謂非對稱加密技術是指加密的金鑰e和解密的金鑰d是不同的(e!=d),並且加密的金鑰e是公開的,叫做公鑰,而解密的金鑰d是保密的,叫私鑰。
非對稱加解密的過程如下:
加密一方找到接收方的公鑰e(如何找到呢?大部分的公鑰查詢工作實際上都是通過數字證書來實現的),然後用公鑰e對明文p進行加密後得到密文c,並將得到的密文傳送給接收方,接收方收到密文後,用自己保留的私鑰d進行解密,得到明文p,需要注意的是:用公鑰加密的密文,只有擁有私鑰的一方才能解密,這樣就可以解決加密的各方可以統一使用乙個公鑰即可。
常用的非對稱加密演算法有:rsa
非對稱加密的優點是:
1,不存在金鑰分發的問題,解碼方可以自己生成金鑰對,乙個做私鑰存起來,另外乙個作為公鑰進行發布。
2,解決了金鑰管理的複雜度問題,多個加密方都可以使用乙個已知的公鑰進行加密,但只有擁有私鑰的一方才能解密。
非對稱加密不足的地方是加解密的速度沒有對稱加密快。
綜上,分析了對稱加密和非對稱加密各自的優缺點後,有沒有一種辦法是可以利用兩者的優點但避開對應的缺點呢?答應是有的,實際上用得最多的是混合加密系統,比如在兩個節點間通過便捷的公開密碼加密技術建立起安全通訊,然後再用安全的通訊產生並傳送臨時的隨機對稱金鑰,通過更快的對稱加密技術對剩餘的資料進行加密。
ssl協議通訊過程
(1) 瀏覽器傳送乙個連線請求給伺服器;伺服器將自己的證書(包含伺服器公鑰s_pukey)、對稱加密演算法種類及其他相關資訊返回客戶端;
(2) 客戶端瀏覽器檢查伺服器傳送到ca證書是否由自己信賴的ca中心簽發。若是,執行4步;否則,給客戶乙個警告資訊:詢問是否繼續訪問。
(3) 客戶端瀏覽器比較證書裡的資訊,如證書有效期、伺服器網域名稱和公鑰s_pk,與伺服器傳回的資訊是否一致,如果一致,則瀏覽器完成對伺服器的身份認證。
(4) 伺服器要求客戶端傳送客戶端證書(包含客戶端公鑰c_pukey)、支援的對稱加密方案及其他相關資訊。收到後,伺服器進行相同的身份認證,若沒有通過驗證,則拒絕連線;
(5) 伺服器根據客戶端瀏覽器傳送到密碼種類,選擇一種加密程度最高的方案,用客戶端公鑰c_pukey加密後通知到瀏覽器;
(6) 客戶端通過私鑰c_prkey解密後,得知伺服器選擇的加密方案,並選擇乙個通話金鑰key,接著用伺服器公鑰s_pukey加密後傳送給伺服器;
(7) 伺服器接收到的瀏覽器傳送到訊息,用私鑰s_prkey解密,獲得通話金鑰key。
(8) 接下來的資料傳輸都使用該對稱金鑰key進行加密。
上面所述的是雙向認證 ssl 協議的具體通訊過程,伺服器和使用者雙方必須都有證書。由此可見,ssl協議是通過非對稱金鑰機制保證雙方身份認證,並完成建立連線,在實際資料通訊時通過對稱金鑰機制保障資料安全性
Tomcat處理乙個HTTP請求的過程
假設來自使用者的請求為 http localhost 8080 wsota wsota index.jsp 1 請求被傳送到本機埠8080,被在那裡偵聽的coyote http 1.1 connector獲得 2 connector把該請求交給它所在的service的engine來處理,並等待來自e...
乙個web請求的處理過程
1 客戶發起情況到伺服器網絡卡 2 伺服器網絡卡接受到請求後轉交給核心處理 3 核心根據請求對應的套接字,將請求交給工作在使用者空間的 web伺服器程序 4 web 伺服器程序根據使用者請求,向核心進行系統呼叫,申請獲取相應資源 如 index.html 5核心發現 web伺服器程序請求的是乙個存放...
Tomcat處理乙個http請求的過程
1 請求被傳送到本機埠8080,被在那裡偵聽的coyote http 1.1 connector獲得 2 connector把該請求交給它所在的service的engine來處理,並等待來自engine的回應 3 engine獲得請求localhost wsota wsota index.jsp,匹...