一、HTTP通信存在的安全隐患
http在通讯的过程中,以明文的形式进行传输,容易被黑客进行信息劫持和篡改:
二、加密算法
http通信隐患主要因为传输信息是明文,解决方案就是加密。那应该使用什么加密算法呢?
(1)对称加密:信息的加密和解密都是通过同一个秘钥进行的,速度快,典型的对称加密算法有DES、AES,RC5,3DES等;
(2)非对称加密:进行对称加密算法协商过程,速度慢,典型的非对称加密算法有RSA、DSA等;
私钥加密后的密文,只要是公钥,都可以解密,但是反过来公钥加密后的密文,只有私钥可以解密。私钥只有一个人有,而公钥可以发给所有的人。
https采用混合加密:结合非对称加密和对称加密技术。客户端使用对称加密生成密钥对传输数据进行加密,然后使用非对称加密的公钥再对秘钥进行加密,所以网络上传输的数据是被秘钥加密的密文和用公钥加密后的秘密秘钥,因此即使被黑客截取,由于没有私钥,无法获取到加密明文的秘钥,便无法获取到明文数据。
三、SSL 证书(需要购买)和CA机构
服务端向客户端发送公钥的过程,会有中间人劫持公钥问题:
那就产生新的问题:如何安全的获取公钥,并确保公钥的获取是安全的?
如上图所示,在第 ② 步时服务器发送了一个SSL证书给客户端,SSL 证书中包含的内容有证书的颁发机构、有效期、公钥、证书持有者、签名,通过第三方的校验保证了身份的合法,解决了公钥获取的安全性。
以浏览器为例说明如下整个的校验过程:
(1)首先浏览器读取证书中的证书所有者、有效期等信息进行一一校验
(2)浏览器开始查找操作系统中已内置的受信任的证书发布机构CA,与服务器发来的证书中的颁发者CA比对,用于校验证书是否为合法机构颁发
(3)如果找不到,浏览器就会报错,说明服务器发来的证书是不可信任的。
(4)如果找到,那么浏览器就会从操作系统中取出颁发者CA的公钥,然后对服务器发来的证书里面的签名进行解密
(5)浏览器使用相同的hash算法计算出服务器发来的证书的hash值,将这个计算的hash值与证书中签名做对比
(6)对比结果一致,则证明服务器发来的证书合法,没有被冒充
(7)此时浏览器就可以读取证书中的公钥,用于后续加密了
原文:https://www.cnblogs.com/cac2020/p/11859105.html