首先我们需要了解几个概念
-
对称加密
在编码时使用的密钥和解码时使用的是一样的,我们就将其统称为密钥。即加密解密用的是同样的“钥匙”。
对称加密的不足主要有两点:
- 发送方和接收方首先需要共享相同的密钥,即存在密钥的分发问题,如何安全的把共享密钥在双方进行分享,这本身也是一个如何安全通信的问题,一种方法是提前双方约定好,不通过具体的通信进行协商,避免被监听和截获。另外一种方式,将是下面我们介绍的通过非对称加密信道进行对称密码的分发和共享,即混合加密系统。
- 密钥管理的复杂度问题。由于对称加密的密钥是一对一的使用方式,若一方要跟n方通信,则需要维护n对密钥。
对称加密的好处是:
-
加密和解密的速度要比非对称加密快很多,因此常用非对称加密建立的安全信道进行共享密钥的分享,完成后,具体的加解密则使用对称加密。即混合加密系统。
-
另外一个点需要重点说明的是,密钥k的长度对解密破解的难度有很重大的影响,k的长度越长,对应的密码空间就越大,遭到暴力破解或者词典破解的难度就更大,就更加安全。
-
非对称加密
加密的密钥和解密的密钥是不同的,并且加密的密钥是公开的,叫做公钥,而解密的密钥d是保密的,叫私钥即加密解密用的是不同的“钥匙”。
非对称加密的优点是:
-
不存在密钥分发的问题,解码方可以自己生成密钥对,一个做私钥存起来,另外一个作为公钥进行发布。
-
解决了密钥管理的复杂度问题,多个加密方都可以使用一个已知的公钥进行加密,但只有拥有私钥的一方才能解密。
非对称加密不足的地方是加解密的速度没有对称加密快
-
-
在https中的应用
https=http+ssl,两种协议的合体,ssl协议升级版为tls,ssl位于http应用层与tcp中间,注意ssl只保证安全(不被破解),并不保证可靠(即消息是否送达),这一点有tcp保证。
SSL (Secure Sockets Layer) 是用来保障你的浏览器和网站服务器之间安全通信,免受网络“中间人”窃取信息。
SSL原理:当你的浏览器向服务器请求一个安全的网页(通常是 https://)
SSL协议通信过程
-
(1)浏览器发送一个连接请求给服务器;服务器将自己的证书(包含服务器公钥S_PuKey)、对称加密算法种类及其他相关信息返回客户端;
-
(2)客户端浏览器检查服务器传送到CA证书是否由自己信赖的CA中心签发。若是,执行4步;否则,给客户一个警告信息:询问是否继续访问。
-
(3) 客户端浏览器比较证书里的信息,如证书有效期、服务器域名和公钥S_PK,与服务器传回的信息是否一致,如果一致,则浏览器完成对服务器的身份认证。
-
(4) 服务器要求客户端发送客户端证书(包含客户端公钥C_PuKey)、支持的对称加密方案及其他相关信息。收到后,服务器进行相同的身份认证,若没有通过验证,则拒绝连接;
-
(5) 服务器根据客户端浏览器发送到密码种类,选择一种加密程度最高的方案,用客户端公钥C_PuKey加密后通知到浏览器;
-
(6) 客户端通过私钥C_PrKey解密后,得知服务器选择的加密方案,并选择一个通话密钥key,接着用服务器公钥S_PuKey加密后发送给服务器;
-
(7) 服务器接收到的浏览器传送到消息,用私钥S_PrKey解密,获得通话密钥key。
-
(8) 接下来的数据传输都使用该对称密钥key进行加密。
-