常用的加密手段:对称加密,客户端和服务器持有相同的私钥,加解密效率高秘钥被窃取后果很严重,尤其是客户端的安全环境很难保证秘钥的绝对安全性;(http时期,APP和服务器常用的加密手段)
非对称加密,客户端将公钥加密后的数据传送给服务器,服务器用对应的私钥解密。安全性高,但是加解密的效率低。
HTTPS同时采用了非对称加密和对称加密的方法来保证通信信道的安全。注意这里有一个思维误区,HTTPS保证的是通信信道的安全,至于两端,这种通信模型本身就是假设两端是安全的。服务端通常不用担心,能攻进去的毕竟是少数。客户端的安全环境则很糟如果不加任何防护手段,密钥被提取是分分钟的事,https协议中客户端也是有自己的一个私钥的。防护手段一般有使用加密芯片,给软件加固加壳,混淆代码等手段,基本思想是把密码算法运行的不安全的环境转换成安全的运行环境。
以下的内容源于对guolin