阿里二面的时候面试官问我在登陆的过程中密码学是如何保证密码安全,我当时回答:password传输前hash,数据库中也应保存的是password的hash,有可能的话还要加salt;在传输协议上使用https,因为https中有SSL保证加密安全。他再问我SSL中的公钥是怎么保护的,我回答通过可信第三方颁发的证书。 可以感觉出,他对我的回答还是比较满意的。
今天突然想了解下SSL细节的一些东西。找网上资料:
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。SSL位于传输层和HTTP层之间。
SSL提供的服务:
SSL证书操作
今天突然想了解下SSL细节的一些东西。找网上资料:
SSL(Secure Sockets Layer 安全套接层),及其继任者传输层安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。TLS与SSL在传输层对网络连接进行加密。SSL位于传输层和HTTP层之间。
SSL提供的服务:
1)认证用户和服务器,确保数据发送到正确的客户机和服务器;
2)加密数据以防止数据中途被窃取;
3)维护数据的完整性,确保数据在传输过程中不被改变。
SSL证书操作
--用户连接到Web站点,该Web站点受服务器证书所保护。(可由查看 URL的开头是否为"https:"来进行辩识,或浏览器会提供你相关的信息)。
--服务器进行响应,并自动传送网站的数字证书给用户,用于鉴别你的网站
(用户用CA公钥验证)。
--用户的网页浏览器程序产生一把唯一的"会话密钥",用以跟网站之间所有的通讯过程进行加密(RC4流加密算法)。
--使用者的浏览器以网站的公钥对会话密钥进行加密,以便只有让服务器才能解密出会话秘钥,从而解密出信息。
具有安全性的通讯过程已经建立。这个过程仅需几秒中时间,且使用者不需进行任何动作。依不同的浏览器程序而定,使用者会看到一个钥匙的图标变得完整,或一个门栓的图标变成上锁的样子,用于表示工作阶段具有安全性。
转自我的搜狐博客 http://jluhlh.blog.sohu.com/301796593.html
转自我的搜狐博客 http://jluhlh.blog.sohu.com/301796593.html