首页  

https知识点     所属分类 architecture 浏览量 227
明文 密文  密钥 
对称加密和非对称加密

对称加密
明文 + 加密算法 + 私钥 => 密文 
密文 + 解密算法 + 私钥 => 明文
常用对称加密算法 DES 3DES TDEA Blowfish RC5 IDEA

非对称加密  公钥和私钥  成对
明文 + 加密算法 + 私钥 => 密文
密文 + 解密算法 + 公钥 => 明文

常用的非对称加密算法
RSA Elgamal Rabin D-H ECC(椭圆曲线加密算法)

HTTPS协议 = HTTP协议 + SSL/TLS协议

SSL Secure Sockets Layer

HTTPS 兼顾安全与效率  对称加密和非对称加密
对数据进行对称加密,对称加密所要使用的密钥使用非对称加密算法加密

HTTPS 传输过程涉及三个密钥
服务器端的公钥和私钥,用来进行非对称加密
客户端生成的随机密钥,用来进行对称加密


一个HTTPS请求包含两次HTTP传输,可以细分为8步。


1 客户端向服务器发起HTTPS请求,连接到服务器的443端口。
2 服务器端密钥对,公钥和私钥,用来进行非对称加密,服务器端保存私钥,不能泄露,公钥可以发送给任何人。
3 服务器把数字证书(包含公钥)发送给客户端。
4 客户端验证服务器数字证书合法性,客户端会生成一个随机密钥用于对称加密数据

5 客户端会发起HTTPS中的第二个HTTP请求,将加密之后的客户端密钥发送给服务器。
6 服务器接收到客户端发来的密文之后,会用自己的私钥对其进行非对称解密,解密之后的明文就是客户端密钥,然后用客户端密钥对数据进行对称加密
7 服务器将加密后的密文发送给客户端。
8 客户端收到密文,用客户端密钥对其进行对称解密


SSL/TLS握手
SSL连接识别号

交换协议版本号 
选择一个两端都了解的密码
对两端的身份进行认证 
生成临时的会话密钥,以便加密信道




中间人攻击
数字证书  公钥保护

数字证书通常还包括所用签名算法的描述性信息


证书认证中心(Certificate Authority) CA

CA是专门对公钥进行认证,进行担保的 。 
全球知名的CA 100多个,比如VeriSign、GlobalSign等,国内知名的CA有WoSign。

CA也有一对公钥和私钥,CA用自己的私钥对要进行认证的公钥进行非对称加密,加密完之后,得到的密文再加上证书的过期时间、颁发给、颁发者等信息,就组成了数字证书。

设备的操作系统中都会内置100多个全球公认的CA

客户端 验证数字证书 过程

用设备中内置的CA的公钥尝试解密数字证书,如果所有内置的CA的公钥都无法解密该数字证书,客户端不信任该服务器的数字证书。
检查当前访问的服务器的域名是与数字证书中提供的“颁发给”是否吻合,检查数字证书是否过期等。

上一篇     下一篇
redis高可用架构之哨兵

zookeeper不适合用于服务注册与发现

lua特性

中年人应该知道的10个事业潜规则

kafka listeners 和 advertised.listeners

寒冬里说经济周期