前提知识
1、对称加密只有一个秘钥,同一个秘钥加密同一个秘钥解密,优点是效率高,缺点是服务器和客户端(也可称作浏览器)没法商定秘钥,如果明文发送秘钥容易泄露。
2、非对称加密有有一个公钥和一个私钥,公钥加密只能私钥解密,同时私钥加密只能公钥解密,缺点是效率低,优点是不需要商定秘钥,即使明文发送公钥也没有安全问题。
3、http不安全的地方在于两处:报文文明文传输,截获就能知晓内容;黑客可能冒充服务器。
https的原理
一、解决明文传输问题
显而易见,如果使用非对称加密,浏览器生成一对公钥和私钥,把公钥明文发给客户端,之后通过公私钥传递信息即可。但是非对称加密效率低,于是可以综合两者的使用:服务器先用非对称加密和客户端建立联系,之后传输对称加密的秘钥,此后的通信全部通过对称加密。简单思考可知,黑客无法截获对称加密的秘钥。
二、解决假冒服务器
一阶段的实现有一个致命的缺点:黑客一开始就冒充服务器,导致客户端发送的信息全部发给黑客并被解密。单纯的加解密机制无法解决假冒身份的问题,需要引入第三方认证机构提供帮助,即CA:CA机构有自己的CA公钥和CA私钥,CA私钥自己存储,CA公钥内置在客户端或者操作系统中(彻底消灭网络黑客的操作空间),服务器也有自己的服公钥和服私钥,服务器把服公钥和服务器的一些信息交给CA机构,CA机构用CA私钥生成一个加密签名,服务器把带有加密签名的证书发给客户端,客户端用内置的CA公钥解密签名进行确认,无误后取出服公钥,再执行一阶段的步骤。
590
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
