认识达内从这里开始

    HTTPS协议有什么关键技术点?在互联网行业的大背景下,HTTPS技术诞生了.潍坊达内培训能够解决HTTPS协议的关键技术点,依赖于TLS/SSL协议,提供了身份验证、信息加密和完整性校验的功能,可以解决HTTP存在的安全问题.HTTPS协议的几个关键技术点.

    (1) 加密技术

    加密算法一般分为两种:

    对称加密:加密与解密的密钥相同.以DES算法为代表;非对称加密:加密与解密的密钥不相同.以RSA算法为代表;对称加密强度非常高,一般破解不了,但存在一个很大的问题就是无法安全地生成和保管密钥,假如客户端和服务器之间每次会话都使用固定的、相同的密钥加密和解密,肯定存在很大的安全隐患.在非对称密钥交换算法出现以前,对称加密一个很大的问题就是不知道如何安全生成和保管密钥.非对称密钥交换过程主要就是为了解决这个问题,使密钥的生成和使用更加安全.但同时也是HTTPS性能和速度严重降低的"罪魁祸首".HTTPS采用对称加密和非对称加密两者并用的混合加密机制,在交换密钥环节使用非对称加密方式,之后的建立通信交换报文阶段则使用对称加密方式.

    (2) 身份验证–证明公开密钥正确性的证书

    非对称加密最大的一个问题,就是无法证明公钥本身就是货真价实的公钥.比如,正准备和某台服务器建立公开密钥加密方式下的通信时,如何证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥.或许在公开密钥传输途中,真正的公开密钥已经被攻击者替换掉了.如果不验证公钥的可靠性,至少会存在如下的两个问题:中间人攻击和信息抵赖.为了解决上述问题,可以使用由数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密钥证书.潍坊达内培训教你解决这类问题。

    CA使用具体的流程如下:

    (1) 服务器的运营人员向数字证书认证机构(CA)提出公开密钥的申请;

    (2) CA通过线上、线下等多种手段验证申请者提供信息的真实性,如组织是否存在、企业是否合法,是否拥有域名的所有权等;

    (3) 如果信息审核通过,CA会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将该公开密钥放入公钥证书后绑定在一起. 证书包含以下信息:申请者公钥、申请者的组织信息和个人信息、签发机构CA的信息、有效时间、证书序列号等信息的明文,同时包含一个签名; 签名的产生算法:首先,使用散列函数计算公开的明文信息的信息摘要,然后,采用CA的私钥对信息摘要进行加密,密文即签名;

    (4) 客户端在HTTPS握手阶段向服务器发出请求,要求服务器返回证书文件;

    (5) 客户端读取证书中的相关的明文信息,采用相同的散列函数计算得到信息摘要,然后,利用对应CA的公钥解密签名数据,对比证书的信息摘要,如果一致,则可以确认证书的合法性,即公钥合法;

    (6) 客户端然后验证证书相关的域名信息、有效时间等信息;

    (7) 客户端会内置信任CA的证书信息(包含公钥),如果CA不被信任,则找不到对应CA的证书,证书也会被判定非法.

    在这个过程注意几点:

    (1) 申请证书不需要提供私钥,确保私钥永远只能被服务器掌握;

    (2) 证书的合法性仍然依赖于非对称加密算法,证书主要是增加了服务器信息以及签名;

    (3) 内置CA对应的证书称为根证书;颁发者和使用者相同,自己为自己签名,叫自签名证书;

    (4) 证书=公钥+申请者与颁发者信息+签名;

    扫一扫下方二维码,关注潍坊达内培训.