加密與解密

客戶端和服務端公用一套金鑰，客戶端使用的加密演算法是公開的，客戶端向服務端傳送請求後，服務端返回對應金鑰，服務端解密和客戶端加密都是用的同一金鑰。

無法確認公鑰是安全的。

解決方法：ca、ssh

ca沒有解決本質問題，引入了第三方，增加了通訊成本，安全問題本質是人與人之間不信任導致的，所以才需要引入第三方。這樣沒有根本解決問題，安全本質是由通訊雙方相互不信任或者說資訊不對稱引起的，引入第三方存在通訊成本，比如去銀行借貸、存款，如果雙方直接進行交易的話，利率會更低，在計算機網路中，引入了第三方是會增加效能消耗的。解決安全問題可以從人性考慮，比如安全領域的社會工程就是利用人性弱點完成不法操作；做產品也是，比如頭體系的產品。

區塊鏈：去中心化。

ssh

ssh -p 22 [email protected]

比如token、使用者簽名，具體時間根據業務場景確認。從兩方面理解：

一方面，安全本質是為了資料安全，只要資料庫資訊洩露或者有誤就是安全事故，資料儲存到資料庫之前需要結果服務端，因此服務端需要有防護措施，對認證資訊要有一定的掌控力度。給客戶端的認證許可權一旦發放出去了，就不好收回了。當然也有例外，比如支付寶免密支付，認證資訊相當於永久，認證資訊作為資料庫表的某一欄位，使用者進行支付操作時，客戶端需要將該引數作為入參傳遞給服務端。如果使用者不主動取消，支付寶方面不能夠取消認證資訊，雖然技術上可以，但是侵害使用者權益，支付寶之所以敢這麼做，一方面是因為業務需求，另一方面是對自己的安全體系足夠自信，也並不是有這個業務需求的所有企業敢這麼做。

另一方面從生活中找案例，身份證也相當於個人認證資訊，身份證是有過期時間的，期限到了，需要重新認證；驗證碼也是。

加密與解密

加密與解密

加密與解密

加密與解密

相關推薦