這裡給大家分享我在網上總結出來的一些知識,希望對大家有所幫助 一、安全特性 在上篇文章中,我們瞭解到HTTP在通信過程中,存在以下問題: 通信使用明文(不加密),內容可能被竊聽 不驗證通信方的身份,因此有可能遭遇偽裝 而HTTPS的出現正是解決這些問題,HTTPS是建立在SSL之上,其安全性由SSL ...
這裡給大家分享我在網上總結出來的一些知識,希望對大家有所幫助
一、安全特性
在上篇文章中,我們瞭解到HTTP在通信過程中,存在以下問題:
- 通信使用明文(不加密),內容可能被竊聽
- 不驗證通信方的身份,因此有可能遭遇偽裝
而HTTPS的出現正是解決這些問題,HTTPS是建立在SSL之上,其安全性由SSL來保證
在採用SSL後,HTTP就擁有了HTTPS的加密、證書和完整性保護這些功能
SSL(Secure Sockets Layer 安全套接字協議),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通信提供安全及數據完整性的一種安全協議
二、如何做
SSL的實現這些功能主要依賴於三種手段:
- 對稱加密:採用協商的密鑰對數據加密
- 非對稱加密:實現身份認證和密鑰協商
- 摘要演算法:驗證信息的完整性
- 數字簽名:身份驗證
對稱加密
對稱加密指的是加密和解密使用的秘鑰都是同一個,是對稱的。只要保證了密鑰的安全,那整個通信過程就可以說具有了機密性
非對稱加密
非對稱加密,存在兩個秘鑰,一個叫公鑰,一個叫私鑰。兩個秘鑰是不同的,公鑰可以公開給任何人使用,私鑰則需要保密
公鑰和私鑰都可以用來加密解密,但公鑰加密後只能用私鑰解 密,反過來,私鑰加密後也只能用公鑰解密
混合加密
在HTTPS通信過程中,採用的是對稱加密+非對稱加密,也就是混合加密
在對稱加密中講到,如果能夠保證了密鑰的安全,那整個通信過程就可以說具有了機密性
而HTTPS採用非對稱加密解決秘鑰交換的問題
具體做法是發送密文的一方使用對方的公鑰進行加密處理“對稱的密鑰”,然後對方用自己的私鑰解密拿到“對稱的密鑰”
這樣可以確保交換的密鑰是安全的前提下,使用對稱加密方式進行通信
舉個例子:
網站秘密保管私鑰,在網上任意分發公鑰,你想要登錄網站只要用公鑰加密就行了,密文只能由私鑰持有者才能解密。而黑客因為沒有私鑰,所以就無法破解密文
上述的方法解決了數據加密,在網路傳輸過程中,數據有可能被篡改,並且黑客可以偽造身份發佈公鑰,如果你獲取到假的公鑰,那麼混合加密也並無多大用處,你的數據扔被黑客解決
因此,在上述加密的基礎上仍需加上完整性、身份驗證的特性,來實現真正的安全,實現這一功能則是摘要演算法
摘要演算法
實現完整性的手段主要是摘要演算法,也就是常說的散列函數、哈希函數
可以理解成一種特殊的壓縮演算法,它能夠把任意長度的數據“壓縮”成固定長度、而且獨一無二的“摘要”字元串,就好像是給這段數據生成了一個數字“指紋”
摘要演算法保證了“數字摘要”和原文是完全等價的。所以,我們只要在原文後附上它的摘要,就能夠保證數據的完整性
比如,你發了條消息:“轉賬 1000 元”,然後再加上一個 SHA-2 的摘要。網站收到後也計算一下消息的摘要,把這兩份“指紋”做個對比,如果一致,就說明消息是完整可信的,沒有被修改
數字簽名
數字簽名能確定消息確實是由發送方簽名併發出來的,因為別人假冒不了發送方的簽名
原理其實很簡單,就是用私鑰加密,公鑰解密
簽名和公鑰一樣完全公開,任何人都可以獲取。但這個簽名只有用私鑰對應的公鑰才能解開,拿到摘要後,再比對原文驗證完整性,就可以像簽署文件一樣證明消息確實是你發的
和消息本身一樣,因為誰都可以發佈公鑰,我們還缺少防止黑客偽造公鑰的手段,也就是說,怎麼判斷這個公鑰就是你的公鑰
這時候就需要一個第三方,就是證書驗證機構
CA驗證機構
數字證書認證機構處於客戶端與伺服器雙方都可信賴的第三方機構的立場
CA 對公鑰的簽名認證要求包括序列號、用途、頒發者、有效時間等等,把這些打成一個包再簽名,完整地證明公鑰關聯的各種信息,形成“數字證書”
流程如下圖:
- 伺服器的運營人員向數字證書認證機構提出公開密鑰的申請
- 數字證書認證機構在判明提出申請者的身份之後,會對已申請的公開密鑰做數字簽名
- 然後分配這個已簽名的公開密鑰,並將該公開密鑰放入公鑰證書後綁定在一起
- 伺服器會將這份由數字證書認證機構頒發的數字證書發送給客戶端,以進行非對稱加密方式通信
接到證書的客戶端可使用數字證書認證機構的公開密鑰,對那張證書上的數字簽名進行驗證,一旦驗證通過,則證明:
- 認證伺服器的公開密鑰的是真實有效的數字證書認證機構
- 伺服器的公開密鑰是值得信賴的
三、總結
可以看到,HTTPS與HTTP雖然只差一個SSL,但是通信安全得到了大大的保障,通信的四大特性都以解決,解決方式如下:
- 機密性:混合演算法
- 完整性:摘要演算法
- 身份認證:數字簽名
- 不可否定:數字簽名
同時引入第三方證書機構,確保公開秘鑰的安全性
參考文獻
- https://zhuanlan.zhihu.com/p/100657391
- https://juejin.cn/post/6844903830987997197#heading-7
- https://cloud.tencent.com/developer/article/1748862
