網路安全 學習之 https

2021-10-05 13:07:54 字數 2322 閱讀 7466

通過對 羅劍鋒的《 透視http協議》 進行了學習之後,記錄相關知識點

更多關於http 以及 https 握手的,可以看這裡 關於http 的知識總結

乙個安全的協議是基於

機密性(secrecy/confidentiality)是指對資料的「保密」,只能由可信的人訪問,對其他人是不可見的「秘密」,簡單來說就是不能讓不相關的人看到不該看的東西。

完整性(integrity,也叫一致性)是指資料在傳輸過程中沒有被篡改,不多也不少,「完完整整」地保持著原狀。

身份認證(authentication)是指確認對方的真實身份,也就是「證明你真的是你」,保證訊息只能傳送給可信的人。

不可否認

對稱加密

「對稱加密」就是指加密和解密時使用的金鑰都是同乙個,是「對稱」的。只要保證了金鑰的安全,那整個通訊過程就可以說具有了機密性。

但是如何保證 傳輸的 金鑰的安全,就成了乙個問題

非對稱加密

它有兩個金鑰,乙個叫「公鑰」(public key),乙個叫「私鑰」(private key)。

兩個金鑰是不同的,「不對稱」,公鑰可以公開給任何人使用,而私鑰必須嚴格保密,預設只有持有人知道。

公鑰和私鑰有個特別的「單向」性,雖然都可以用來加密解密,但公鑰加密後只能用私鑰解密,反過來,私鑰加密後也只能用公鑰解密。

但是公私鑰 加密、解密的過程實在是太複雜,計算機計算需要相對較長的時間,對於效能上不太友好

混合加密

在通訊剛開始的時候使用非對稱演算法

然後用隨機數產生對稱演算法使用的「會話金鑰」(session key),再用公鑰加密

對方拿到密文後用私鑰解密,取出會話金鑰。這樣,雙方就實現了對稱金鑰的安全交換,後續就不再使用非對稱加密,全都使用對稱加密。

摘要演算法

實現完整性的手段主要是摘要演算法(digest algorithm),也就是常說的雜湊函式、雜湊函式(hash function)。

加密後的資料無法解密,不能從摘要逆推出原文。

將原文 加密 後的 摘要 和原文是完全 等價的,但是摘要由於 無法解密,也就無法修改

只要對原文進行同樣的摘要演算法之後,通過對比 傳輸過來的摘要,就能夠知道 原文有沒有被篡改了

但是這個加密方法不具有機密性,也就是說,黑客可以把原本改了之後,自己加密乙份,然後再傳輸給客戶端或者服務端

真正的完整性必須要建立在機密性之上,在混合加密系統裡用會話金鑰加密訊息和摘要,這樣黑客無法得知明文,也就沒有辦法動手腳了

加密像之前說的那樣,在傳輸過程中已經是比較完全的了,但是如果遇到了 伺服器 的偽裝,或者客戶端的偽裝呢?也就是說,不修改中間的傳輸過程,直接修改資訊傳輸的源頭

數字簽名

想要對伺服器的身份做驗證,最妥善的方法,就是使用誰都不能冒充的東西,那就是 服務端的 私鑰

使用 私鑰 對 原文的摘要 進行加密,這樣客戶端使用 公開的 公鑰進行解密,然後通過上面講的 摘要演算法,確認 原文完整性,就能夠確認這個,就是對的 伺服器

上面的加密和解密的過程,就叫做簽名驗籤

這裡就會誕生乙個新的問題,那就是 公鑰 怎麼證明是正確的呢?

中間人攔截了 傳輸過來的資訊,裡面包括了 公鑰和 原文、摘要,然後使用 公鑰解密,再使用自己的私鑰 加密,修改原文,摘要演算法重新算一遍,然後把這個再傳給 客戶端

客戶端傻乎乎地拿到了東西之後,加密、解密、完整性 都沒問題,那麼就會完全信任 這個中間人,這樣加密就變成了乙個笑話

ca(certificate authority,證書認證機構)

它就像網路世界裡的公安局、教育部、公證中心,具有極高的可信度,由它來給各個公鑰簽名,用自身的信譽來保證公鑰無法偽造,是可信的

包含序列號、用途、頒發者、有效時間、公鑰等等,把這些打成乙個包再簽名,完整地證明公鑰關聯的各種資訊,形成「數字證書」

作業系統和瀏覽器都內建了各大 ca 的根證書,上網的時候只要伺服器發過來它的證書,就可以驗證證書裡的簽名,順著證書鏈(certificate chain)一層層地驗證,直到找到根證書,就能夠確定證書是可信的,從而裡面的公鑰也是可信的。

伺服器會在握手的時候返回整個證書鏈,瀏覽器自下向上層層解析到根證書

網路安全學習

小記1.1.1網路安全的目的及保護範圍 網路安全主要包括以下4點 網路安全具體包括如下內容 1.1.2現有的網路攻擊 防禦手段 常用的攻擊手段主要包括5個方面 常用的防禦技術,通常包括以下4個方面 1.1.3網路安全的四大方面 物理安全 防火 防盜 防靜電 防雷擊 防電磁洩露 邏輯安全 計算機的邏輯...

https對網路安全的好處

https其實就是對於http容易被竊取資訊 無法辨認請求和響應時的物件的真實性這些缺點的乙個解決方案。https是http ssl tls,主要是給在http協議傳輸資訊時對資訊進行加密,ssl證書就是可以對http協議資訊傳輸時進行加密變為https,同時還可以分辨資訊傳輸物件。1.https是...

網路安全通訊https工作原理

https其實是有兩部分組成 http ssl tls,也就是在http上又加了一層處理加密資訊的模組。服務端和客戶端的資訊傳輸都會通過tls進行加密,所以傳輸的資料都是加密後的資料 1.客戶端發起https請求 這個沒什麼好說的,就是使用者在瀏覽器裡輸入乙個https 然後連線到server的44...