【计算机网络】详解CA认证,预防中间者攻击!

最新推荐文章于 2024-08-09 12:46:53 发布
最新推荐文章于 2024-08-09 12:46:53 发布
阅读量462 收藏 15
点赞数 13
分类专栏: 计算机网络 文章标签: 计算机网络 iphone ios
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luhaoran814/article/details/141034088
版权

在这里插入图片描述

💐 🌸 🌷 🍀 🌹 🌻 🌺 🍁 🍃 🍂 🌿 🍄🍝 🍛 🍤
📃个人主页 阿然成长日记 👈点击可跳转
📆 个人专栏: 🔹数据结构与算法🔹C语言进阶🔹C++🔹Liunx
🚩 不能则学,不知则问,耻于问人,决无长进
🍭 🍯 🍎 🍏 🍊 🍋 🍒 🍇 🍉 🍓 🍑 🍈 🍌 🍐 🍍

文章目录

一、为什么需要CA认证

首先,在https一次连接过程我们学习了几种加密方法,最终我们选择了【对称加密+非对称加密】的方式,但是即便是这样,依然存在安全隐患,因为这个隐患可能发生在建立连接之前,在在最开始握⼿协商的时候就可能已经被攻击者入侵了,又叫中间人攻击
如下图:
在这里插入图片描述

那么我们得到的这个服务端可能是中间人伪造的,收到的公钥也成了中间人伪造的公钥。为了确保我们能够收到目标服务器的公钥,所以需要有人来对服务器进行一个认证,这个人便是CA机构,这个认证又叫CA认证

二、什么是CA?

CA代表"证书权威(Certificate Authority)",它是一种专门负责发放、管理和撤销数字证书专业机构,是一个可信赖的第三方。在互联网通信中,数字证书用于验证网络用户的身份,如HTTPS网站上显示的小锁图标就表明该网站通过了CA颁发的安全认证。当您浏览加密网站时,浏览器会向CA请求验证服务器身份,如果验证成功,就会得到一个证书,证明服务器是其所声称的那样。

三、什么是数字证书?

数字证书是一种包含证书持有者(也就是向CA机构申请的服务端)的信息、公钥以及由CA签名的数字签名的电子文档。它类似于现实生活中的身份证,用于在网络环境中验证实体的身份。

服务端的明文信息(服务端的公钥+域名+失效)+CA的签名

2.什么是明文信息

向CA机构申请的服务端的如下信息就叫明文信息。
在这里插入图片描述

2.什么又是数字签名?

就是把服务端明文信息利用哈希散列函数生成一个固定长度的数值,这个数值就叫做摘要。再把这个摘要使用CA的私钥进行加密就形成了数字签名。

在这里插入图片描述

3.生成数字证书

在这里插入图片描述

到这里我们的服务器就已经向CA机构申请到一份数字证书。这个过程也称作——签名

四、客户端认证

服务器已经取得了数字证书,那么此时客户端需要对证书进行一个验证。

  • 我们一开始引入CA认证就是为了确保收到的公钥是目标服务器发来的,也就是说服务器是我们想要访问的目标服务器,从而避免中间者攻击问题,所以,服务器向官方CA机构去申请一份证书来证明自己的合法性,但是服务器有了这份证书还不行,当客⼾端获取到这个证书之后,如何去证明你的证书是真的呢(防⽌证书是伪造的)?---------客户端认证

1.客户端认证如何去认证呢?

  • 判定证书的有效期是否过期
  • 判定证书的发布机构是否受信任(操作系统中已内置的受信任的证书发布机构).
  • 验证证书是否被篡改

接下来着重讲讲第三点

  • 第1步讲证书又拆分成明文信息+数字签名

  • 首先我们要明白CA机构的公钥是所有人都能拿到的,但是私钥只有CA机构自己拥有。我们第2步先从系统中拿到该证书发布机构的公钥

  • 第3步便是对数字签名解密,得到⼀个hash值(也就是数据摘要),前面讲签名操作时,是使用CA密钥加密形成数字签名,现在则是使用CA公钥解密,恢复成哈希值(摘要1)。

  • 第4步是对明文信息重新计算哈希值(摘要2

  • 最后一步:对比摘要1摘要2;相等则验证成功,说明证书是没有被篡改过的

流程图如下:
在这里插入图片描述

2. 再次理解签名和验证

在这里插入图片描述

五、补充知识:数据摘要(数字指纹)

    • 数据摘要(数字指纹),其基本原理是利⽤单向散列函数(Hash函数)对信息进⾏运算,⽣成⼀串固定⻓度 的数字摘要。数字指纹并不是⼀种加密机制,但可以⽤来判断数据有没有被窜改。

    • 摘要常⻅算法:有MD5、SHA1、SHA256、SHA512等,算法把⽆限的映射成有限,因此可能会有 碰撞(两个不同的信息,算出的摘要相同,但是概率⾮常低)

    • 摘要特征:和加密算法的区别是,数据摘要严格意义不是加密,因为没有解密,只不过从摘要很难反推 原信息,通常⽤来进⾏数据对⽐.也可以说数据摘要是不可逆的.

六、总结

一次完整的CA认证如下:
在这里插入图片描述

七、一次完整的https请求

在这里插入图片描述

面试题:一次https请求中涉及多少对密钥

答:HTTPS ⼯作过程中涉及到的密钥有三组.

第⼀组(⾮对称加密):就是上述校验证书是否被篡改时的一组CA机构的私钥与密钥。简单说就是服务器持有私钥对数据摘要进行加密形成了数字签名;客户端持有公钥,对分离出来的数字签名进行解密。对比两个摘要是否相等,来保证证书的合法性,进⼀步保证证书中携带的服务端公钥权威性。(得到的公钥确实来自目标服务器)

第⼆组(⾮对称加密):⽤证书中的公钥(服务器的公钥)对客户端生成的对称密钥进行加密,传输给服务器端,服务器端接收到后,再使用自己的私钥对公钥进行解密。从而双方都获得了一把钥匙。

第三组(对称加密):客⼾端和服务器后续传输的数据都通过这个客户端生成的对称密钥进行信息传输.

阿然成长日记
关注
  • 13
    点赞
  • 15
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
计算机网络常见面试真题详解
Redemption___的博客
01-06 3540
计算机网络大厂面试真题详解
计算机网络知识点
weixin_44705725的博客
01-03 1284
1518,头信息有14字节,尾部校验和FCS占了4字节,所以真正留给上层协议传输数据的大小就是:1518 - 14 - 4 = 1500,那么,1518这个值又是从哪里来的呢?MSL(最大分段寿命),即一个 TCP 分段可以存在于互联网系统中的最大时间,TCP允许不同的实现可以设置不同的MSL值。通常为4分钟。
计算机网络知识点详解及面试深入
开发猫
10-30 7689
计算机网络主要知识点和面试题   1.TCP报头格式 端口号:用来标识同一台计算机的不同的应用进程。计算机网络通过端口号实现复用/分用 1)源端口:源端口和IP地址的作用是标识报文的返回地址。 2)目的端口:端口指明接收方计算机上的应用程序接口。 TCP报头中的源端口号和目的端口号同IP数据报中的源IP与目的IP唯一确定一条TCP连接。 序号和确认号:是TCP可靠传输的关...
2W字!梳理50道经典计算机网络面试题(收藏版)
Java笔记虾
08-07 3288
前言金九银十即将来临啦,我梳理了50道计算机网络面试题,每一道题目都特别经典,大厂也非常喜欢问。相信大家看完,会有新的收获滴~1. 说说HTTP常用的状态码及其含义?思路: 这道面试题主要...
计算机网络常用知识总结!
m0_67698950的博客
07-08 320
「物理层」首先解决两台物理机之间的通信需求,具体就是机器A往机器B发送比特流,机器B能收到比特流。物理层主要定义了物理设备的标准,如网线的类型,光纤的接口类型,各种传输介质的传输速率。主要作用是传输比特流(二进制数据),将比特流转化为电流强弱传输,到达目的后再转化为比特流,即常说的数模转化和模数转换。这层数据叫做比特。「网卡工作在这层」。物理层是OSI七层模型的物理基础,没有它就谈不上数据传输了物理层就是由实物所承载的,所以作比喻的话,公路、汽车和飞机等承载货物(数据)的交通工具,就是物理层的象征「数据链路
[面试题]计算机网络
春暖花开的日子
06-27 817
这个我们就不在本文中多写,感兴趣的胖友,可以看看《维基百科 —— 网关》文章。这个问题,一般面试应该不问,主要是为了大家扩充下知识面吧。单播(unicast): 是指封包在计算机网络的传输中,目的地址为单一目标的一种传输方式。它是现今网络应用最为广泛,通常所使用的网络协议或服务大多采用单播传输,例如一切基于TCP的协议。组播(multicast): 也叫多播, 多点广播或群播。指把信息同时传递给一组目的地址。
Windows认证机制详解
Canterlot的博客
09-04 2658
windows各种认证机制详解,包括本地认证、ntlm认证、Kerberos域认证、token令牌、SPN与Kerberoast等
【面向校招】计算机网络全总结
胡毛毛的博客
04-03 6476
0. 什么是网络协议,为什么要对网络协议分层 ? 网络协议是计算机在通信过程中要遵循的一些约定好的规则。 网络分层的原因: 易于实现和维护,因为各层之间是独立的,层与层之间不会收到影响。 有利于标准化的制定 1. 说说 HTTP 常用的状态码及其含义? 思路: 这道面试题主要考察候选人,是否掌握 HTTP 状态码这个基础知识点。 不管是不是面试需要,我们都要知道,日常开发中的这几个状态码的含义哈: 2. HTTP 常用的请求方式,区别和用途? 思路: 这道题主要考察候选人,是否掌握HTTP
计算机网络(非常全,建议收藏)
qq_25934055的博客
03-07 4025
基础学习
计算机网络复习题答案详解).pdf
11-16
计算机网络复习题答案详解).pdf
计算机网络--期末精彩试题问题详解.pdf
03-23
计算机网络--期末精彩试题问题详解.pdf
计算机网络知识点详解
03-01
最详细的计算机网络知识点总结,不用看课本,看这个就够了。彩色版突出重点,重要的图都有。。。。。。。。。。。。。。。。。
TCP-IP详解卷一:协议_ip_tcp/ip详解_tcp_计算机网络_超清晰_
10-03
tcp-ip详解卷一,堪称程序员的必读书目。让你对计算机网络深入学习。
计算机网络 数据链详解
08-05
计算机网络 数据链详解 ,详细介绍可数据链路层的结构组成,以及分析
苹果手机清理软件:让你的iPhone保持最佳状态
2401_85240355的博客
08-05 1270
利用如CleanMyPhone这样的苹果手机清理软件,不仅可以帮助你有效管理和优化存储空间,还能提升整体的设备性能,确保iPhone始终保持在最佳状态。选择一款合适的清理软件,让你的iPhone远离“存储空间已满”的困扰,轻松享受科技带来的便利。幸运的是,市场上提供了多种苹果手机清理软件,帮助用户有效管理手机空间,提升设备性能。此外,Umate Pro还包括一键清理垃圾、压缩照片、删除大文件及完全擦除已删除文件的功能,这对于希望彻底清理其设备的用户来说是一个极好的选择。
手写Redis缓存系统,第一章:基于http协议实现的缓存系统
最新发布
lixiemang8887的博客
08-09 1060
手写redis系列, 第一章 基于 http协议
如何实现若干子任务一损俱损--浅谈errgroup
shulu的专栏
08-05 433
errgroup是 Go 语言官方扩展库x/sync中的一个包,它提供了一种方式来并行运行多个 goroutine,并在所有 goroutine 都完成时返回第一个发生的错误(如果有的话)。这对于需要并行处理多个任务并等待它们全部完成,同时需要处理其中任何一个可能发生的错误的场景非常有用。errgroup是 Go 语言中用于管理多个 goroutine 的同步和错误处理的库。使用errgroup可以简化并发代码的编写,使得错误处理更加简洁和一致。
如何在不丢失数据的情况下绕过IPhone密码?
Geeker55的博客
08-05 720
重要的是要记住,密码应该是唯一的,其他人很难猜到,因此请避免使用容易猜到的数字,如生日或周年纪念日。从这里,您可以通过点击“根据手机的类型和您的运营商,可能有不同的方法来解锁它。最后,可能存在硬件故障问题,因此,如果这些方法都不起作用,那么最好将其交给经过认证的技术人员,他们可以诊断设备的任何潜在问题。请务必记住,如果您无法使用这些步骤访问您的设备,那么您可能需要联系客户支持以获得解锁设备的进一步帮助。4. 按照屏幕上提供的所有说明操作,直到完成,然后将您的设备设置为新设备并使用安全密码以备将来使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

阿然成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值