对称加密和非对称加密
对称加密:客户端和服务器共用同一个密钥,该密钥可以用于加密一段内容,同时也可以用于解密这段内容。
对称加密的优点: 加解密效率高,但是在安全性方面可能存在一些问题,因为密钥存放在客户端有被窃取的风险。
对称加密的代表算法有:AES、DES等。
非对称加密:将密钥分成了两种:公钥和私钥。公钥通常存放在客户端,私钥通常存放在服务器。使用公钥加密的数据只有用私钥才能解密,反过来使用私钥加密的数据也只有用公钥才能解密。
非对称加密的优点:安全性更高,因为客户端发送给服务器的加密信息只有用服务器的私钥才能解密,因此不用担心被别人破解,但缺点是加解密的效率相比于对称加密要差很多。
非对称加密的代表算法有:RSA、ElGamal等。
http和https
http传输数据时信息都是明文的,因此很容易出现数据被监听和窃取以及篡改的现象。
https运用了非对称加密和对称加密相结合的方式:在浏览器和网站首次商定密钥的时候需要使用非对称加密,一旦网站收到了浏览器随机生成的密钥之后,双方就可以都使用对称加密来进行通信了。
https工作流程
首先客户端浏览器随机生成一个密钥(用于之后的对称加密),然后将密钥用网站提供的公钥进行加密后传输到服务器,网站收到消息后使用私钥解密得到密钥,之后浏览器和网站使用该密钥以对称加密的方式进行通信。
如何保证浏览器得到正确的网站提供的公钥而不是被篡改过的?
制作网站时,网站管理员需要向CA机构申请证书,将自己的公钥提交给CA机构,CA机构使用网站管理员提交的公钥然后加上一些辅助验证的数据来制作证书, 证书制作完成后,CA机构用自己的私钥将证书加密,然后返回给网站管理员,网站管理员将CA机构返回的加密数据配置到网站服务器(这个时候无需将证书解密);
浏览器访问网站时会先获取到CA机构加密的证书数据,利用CA机构的公钥(全球CA机构总共就100多家,操作系统(正版)一般都会将所有主流CA机构的公钥内置到操作系统中)解密证书就可以得到网站的公钥了(如果无法解密成功说明此段加密数据并不是由一个合法的CA机构使用私钥加密而来的,有可能是被篡改了,于是会中止访问请求并在浏览器上显示异常界面。即使解密成功,为了防止CA机构证书在传输过程中被攻击者替换为自己申请的相同CA机构的证书,证书里包含了网站域名信息,如果浏览器发现请求的网站跟网站返回的证书里的网站不同,就中止访问请求并在浏览器上显示异常界面。),之后就是上文的https工作流程了。
1505
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
