文章目录
1.加密方式
1.1对称加密
对称加密的秘钥只有一个:
data^x=result;
result^x=data;
将data使用x进行加密得到result,再使用x进行解密得到data。称x为对称加密的秘钥。
1.2非对称加密
非对称加密的秘钥有两个,一个称为公钥,一个称为私钥。公钥是公开的在网络中进行传输的,私钥是不公开的。
可以用公钥加密私钥解密,也可以使用私钥加密公钥解密。不能使用公钥加密,公钥解密,或者私钥加密,私钥解密。
1.3防止文本内容被篡改
首先将文本内容使用哈希散列形参一个字符序列(对文本有任何修改,哪怕一个标点,都会形成差异非常大的哈希结果),然后使用加密算法对字符序列进行加密形成一个数字签名。
当传输文本的时候,会将文本和数字签名一起传输出去,对方收到后将文本和数字签名进行拆分,文本按照哈希散列的形式生成字符序列,数字签名使用解密算法形成字符序列,然后对该字符序列进行比较即可,若一样则文本没有被修改,若不同则文本被修改了。
字符序列我们有时称之为数据摘要。
2.https的加密
2.1若使用对称加密
可以看到这是一个相当不安全的数据加密形式,一旦被拦截数据就会流失,对方可以使用公钥X来解密数据。
2.2若使用非对称加密
当客户端向服务端发送数据传输申请的时候,服务端会给客户端发送一个公钥,客户端使用该公钥对数据进行加密,并将加密之后的数据发送给服务端,服务端接收到数据使用与该公钥配对的私钥进行解密,从而拿到数据。
注意,使用这种方式进行通信,一对公钥私钥只能保证单向数据的可靠性,如果保证双向通信,需要有两对公钥和私钥。即服务端和客户端分别有自己的公钥和私钥,在通信阶段互换公钥即可。
同时,这种方式依旧有被非法窃取的风险,非对称加密特别浪费时间,没有对称加密效率高。
2.3对称与非对称加密结合
首先客户端发出通信申请,服务端将非对称公钥发给客户端,客户端使用非对称公钥对对称公钥X进行加密,再发送回服务端,服务端使用非对称私钥对其进行解密,拿到对称公钥X,从而来进行通信,这就避免了对称公钥X在网络中的非加密传输。而且使用对称加密进行数据传输,大大提高了效率。
3.中间人攻击
3.1中间人攻击原理
就算是使用对称与非对称加密结合,也不能保证数据的安全的,因为存在被中间人攻击的风险。
当用户端发起通信请求的时候,服务端将公钥S发送给客户端的过程中被拦截,中间人将公钥S替换为非对称公钥M,然后发给客户端,客户端将使用收到的M公钥来对对称公钥X进行加密,并发送给服务端,此时中间人再进行拦截,使用M’进行解密拿到公钥X,再使用S对X进行加密,并发送给服务端,服务端使用S’进行解密,此时客户端和服务端都不知道X已经被泄漏了,它们之后的通信中间人都可以使用X进行解密并获取。
3.2解决方案
中间人攻击的本质问题就是,客户端无法判断发来的秘钥协商报文是不是从合法的服务方发来的。因此引入CA证书机构来解决这一问题。
CA证书机构是一个合法的服务商,企业会向CA证书机构来申请证书:
CA机构也有自己的公钥和私钥,它会将企业的基本信息(包括服务器公钥)转化为数据摘要,并使用CA机构自己的私钥来进行加密,形成该企业信息的数字签名。
并将该信息以及数字签名作为一个整体进行发送,客户端收到之后,会将信息生成数据摘要,将数字签名使用CA机构的公钥进行解密得到数据摘要,将两份数据摘要进行对比,判断信息是否被修改。
如果中间人拦截到了数据,对服务器公钥进行了修改,但由于数据签名是由CA机构的私钥生成的,拿不到CA机构的私钥就无法生成修改之后的数据签名,客户端进行对比一定会发现问题。
客户端在解密时如何得到CA机构的公钥信息呢?一般是浏览器内置的,或者会提示你下载。