HTTPS的加密问题上海信息技术有限公司是阿里云的代理商网址:http://www.4526.cn/可以直接在网站上联系阿里云代理商客服进行咨询服务器架构和配置以及优惠价格!(营销介绍链接:http://www/m
HTTPS的加密问题
上海信息技术有限公司是的商网址:http:///可以直接在上联系客服进行咨询架构和配置以及优惠价格!(介绍链接:http://www/meiyou/)是一家致力于引营销及,致力于为客户提供搜索营销领域的服务,帮助客户在搜索引获取的投资回报,包括搜索引服务(),搜索引服务()和搜索营销代运营服务,能够有效为广告主带来高效的投放回报,我们的理念一直是:让搜索营销营销具有价值。
营销团队于2015年在上海成立,团队核心均来自搜索部门和国内知名服务商的成员,有非常丰富的产品和项目优化经验,这两年来,服务于国内很多大中型企业和很多初创公司,通过我们多年的经验和服务,帮助他们在搜索营销领域上取得了不断的成功。
1.加密相关的几个概念
1)对称加密
概念:采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称为对称加密,也称为单密钥加密。
使用一个公式来描述:
加密:f(key,data) = X
解密:g(key,X) = data
data为我们想要加密的,key就是对称加密使用的单秘钥,X为加密后的内容。f为加密,g为解密。
常见专业全网营销的对称加密算法有DES、3DES、AES等,目前用得比较多的是AES加密。
2)非对称加密
概念:非对称加密算法需要两个密钥来进行加密和解密,这两个密钥是公开密钥(public key,简称公钥)和私有密钥(ivate key,简称私钥)。
使用一个公式来描述:
A-->B方向:
加密:f(pk,data) = X
解密:g(sk,X) = data
B-->A方向:
加密:f(sk,data) = Y
解密:g(pk,Y) = data
假设A是客户端,B是服务器。
当A向B发数据时,A使用公钥(pk)加密,得到加密后的数据X。
B收到X后,使用私钥(sk)解密。
当B向A发数据时,B使用私钥(sk)加密,得到加密后的数据Y。
A收到Y后,使用公钥(pk)解密。
注意:所有能够与B服务器交换数据的客户端都可以持有公钥,而服务器持有私钥(只有服务端B有私钥)。可以参考SSH协议中的私钥和公钥。
常见的非对称加密算法有:RSA、DSA、ECDSA等。
3)HASH散列
概念:HASH散列是把任意长度的输入(又叫做预映射pre-image)通过散列算法变换成固定长度的输出,该输出就是散列值。这种转换是一种压缩映射,也就是,散列值的空间通常远小于输入的空间,不同的输入可能会散列成相同的输出,所以不可能从散列值来确定唯一的输入值。简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。
hash散列有什么作用?
我们一般使用哈希值来比较一个文件或一段内容是否被篡改。例如在我们使用迅雷或其他下载工具下载了一个软件,我们想验证是否下载完整则可以使用它的散列值进行比对,如果一致则下载完整,如果不一致则内容有问题。
常用的Hash散列算法有:MD4、MD5、SHA1、SHA-256等。
2.只使用对称加密的情况
我们在HTTP的基础上让客户端(浏览器)和服务器只使用对称加密,如下图所示:
从图中可以看出,客户端和服务器之间如果只使用对称加密技术,则始终需要商议一个加密用的秘钥(key,例如一个随机字符串)。在这个商议的过程中,黑客就可以介入进行截取,只要黑客获取到这个key,那么后面的对称加密就完全失效了。
3.只使用非对称加密的情况
在HTTP上只使用非对称加密的技术,如下图所示:
可以看到,黑客可以截取到公钥以及之后传输的数据,并可以解密服务器发给客户端的数据,同样存在数据安全的问题。(这里只讨论数据加密的安全问题,中间人攻击在后面讨论)
4.同时使用对称加密和非对称加密的情况
既然只使用对称加密和只使用非对称加密都无法避免数据被黑客截取,那么我们可以将对称加密和非对称加密结合起来使用,如下图:
从图中可以看到,我们使用非对称加密算法来协商对称加密的秘钥key。客户端拿到服务器的公钥后,产生一个随机的key,然后使用公钥对其进行加密,并发送给服务器。
由于公钥加密的内容只有私钥才能解密,也就是说黑客即便截取到了公钥,也无法获取到key。
所以之后的数据使用key进行对称加密是绝对安全的。
从以上过程我们可以看到,使用对称加密+非对称加密的方式可以使黑客无法通过截取的方式来获取数据,看似已经很安全了,但是我们还要讨论一种情况,就是中间人欺骗攻击。
5.中间人欺骗攻击
在第4节的基础上,可能出现以下情况,如图:
黑客在中间充当一个中间人,让客户端以为自己是服务器,让服务器以为自己是客户端。
他使用一套假的非对称加密秘钥来与客户端进行通讯,而企业宣传片视频制作使用服务器给的真的公钥与服务器进行通讯,从中将数据解密并重新加密,起到两边欺骗的效果。
那么,如何防范这种中间人欺骗的攻击呢?
那就需要服务器能够证明自己的身份。客户端从服务器拿到公钥的同时,还要能够确定当前通讯的服务器的身份是正确的(从而才能确保拿到的公钥是正确的,使用该公钥加密,只有正确的服务器才能解密)。
|