为了项目需要..学习了一下PKI..而且据说大三上也是要学这门课的..看了些许资料后大致了解了这个基本概念及实现方法和一些基本架构..
以下是自己的一些总结思考..不是严格的教学内容..
1)如果客户端和服务端之间的通讯是用明文传输的..那么黑客只要能够抓到你的通讯包..也就能获得你的所有信息了..所以明文通讯是非常不安全的..
2)对信息进行加密后再传输..如果用对称加密方式..简单说即加密解密的密钥都是相同的..这样的加解密的效率非常高..但也非常不安全..一个是这种方法的安全性取决于密钥..如果黑客能够猜解出你的密钥..那他也能获得你的信息了..如果每次都用相同的密钥..那黑客迟早能破解出来..所以密钥的分配是一个很大的问题..显然经常的更换密钥能够降低被猜解的可能性..但是每更换一次密码..在客户端和服务端都必须要同步..如何协商密码的更换..例如服务端更换后通知客户端也更换..能也必须要有可信的安全通道来传送这个密钥..所以还是没有解决问题..密钥分配的漏洞非常严重..
3)非对称加密方式..与对称加密的简单区别就是..对称加密用来加密和解密的密钥都是相同的..加密和解密就是一个相反的过程..而非对称加密的密钥是有一对的..分为私钥和公钥..对于这对密钥的基本安全性要求就是..通过私钥加密的密文能够通过公钥解成明文..反过来也应该是可以的..但是通过公钥加密的密文不能通过公钥来解出来..通过公钥也不能推断出私钥..有了这样的基础保障..就有了一种新的安全加密的方式..例如..服务端拥有私钥..而且也只有服务端有..是秘密的..然后该私钥相对应的公钥是公开的..任何信任该服务端的用户都能拥有该公钥..客户端用公钥将明文加密成密文后传给服务端..服务端可以用独有的私钥解出来..而黑客获得通信包后..虽然他也有公钥却不能解出来..他还是需要破解私钥..
4)对称加密和非对称加密的相同点是只要黑客能够破解通讯密码或者私钥..那通讯就是不安全的..换个角度说..只要密钥的强度足够..黑客破解密码所需要的代价大于信息的价值或者所需的时间大于信息的有效期..那么这种加密就是有效的成功的..比如像RSA..目前用1024位以上就足够了..在密码强度够大的情况下..黑客还可以通过其他手段来获取信息..比如replay攻击..虽然无法破解密钥..但通过截包和转发包也是可以通过服务端的验证的..特别是对对称加密的通讯非常好用..
5)所以现在SSL用的方法是..先使用非对称加密的方式协商出一个共享密钥..再用共享密钥来对数据进行对称加密后传输..这样既用非对称的方式解决了密钥分配的问题又用对称的方式解决了运行效率的问题..具体的一次SSL连接的过程大致如下:
1.客户端已经安装有服务端的证书..且信任该证书..若没有证书..则在连接服务器时会自动获得证书..证书中包含有公钥..
2.客户端向服务端发起连接请求..用证书中的公钥加密数据..先发送 商量密钥A..
3.服务端接受连接请求..用私钥解密..发送 商量密钥B..
4.客户端和服务端利用 商量密钥A和B 可以生成 共享密钥..
5.客户端和服务端利用 共享密钥 加解密数据进行安全通讯知道本次会话结束..
6.有时服务端会需要验证客户端..方法类似..这种双向认证的方法严格的限制了通信双方的身份..比较安全..
对于黑客来说..他无法破解私钥..所以最多能够获得 商量密钥A 但不能破解出来B..所以他无法计算出 共享密钥..也所以无法对通信的数据进行破解了..而每次加密数据用的共享密钥都是临时商量分配的..所以无法使用replay攻击等..所以目前看来..SSL这种连接是比较安全的..
6)PKI的作用或者说特点..
1.可以验证通讯双方的身份..
2.数据加密..通讯安全..
3.有通讯凭证..不可否认..
以上..
扫一扫
575
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
