一、为什么有了HTTP还要有HTTPS?
https是安全版的http,因为http协议的数据都是明文进行传输的,所以对于一些敏感信息的传输就很不安全,https就是为了解决http的不安全而生的。
二、HTTPS是如何保证安全的?
首先得理解两个概念:
1.对称加密:
①即通信的双方都使用同一个密钥进行加密,比如特务接头的暗号,就属于对称加密
2.非对称加密:
①私钥+公钥=密钥对
②即用私钥加密的数据,只有对应的公钥才能解密,用公钥加密的数据,只有对应的私钥才能解密
③因为通信双方的手里都有一套自己的密钥对,通信之前双方会把自己的公钥都先发给对方
④然后对方再拿着这个公钥来加密数据响应给对方,等到到了对方那边,对方再用自己的私钥进行解密
3.区别和优缺点
①对称加密虽然简单性能也好,但是无法解决首次把密钥发给对方的问题,很容易被黑客拦截密钥
②非对称加密虽然安全性更高,但是带来的问题就是速度很慢,影响性能。
4.解决方案
那么结合两种加密方式,将对称加密的密钥使用非对称加密的公钥进行加密,然后再发送出去,接受方使用私钥进行解密,得到对称加密的密钥,然后双方可以使用对称加密来进行沟通。
此时又带来一个问题,中间人问题:
如果此时在客户端和服务器之间存在一个中间人,这个中间人只需把原本双方通信互发的公钥换成自己的公钥,这样中间人就可以轻松解密通信双方所发的所有数据。
所以这时候需要一个安全的第三方颁发证书(CA),证明身份的身份证,防止被中间人攻击。
证书中包括:签发者、证书用途、使用者公钥、使用者私钥、使用者的HASH算法、证书到期时间等
但是问题来了,如果中间人篡改了证书,那么身份证明是不是无效了?这个证明就白买了,这个时候需要一个新的技术,数字签名。
数字签名就是用AC自带的HASH算法对证书的内容进行HASH得到一个摘要,再用CA的私钥加密,最终组成数字签名。
当别人把他的证书发过来的时候,我再用同样的HASH算法,再次生成消息摘要,然后用CA的公钥对数字签名解密,得到CA这个时候就能最大程度保证通信的安全了。
3696
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
