https提供安全的web通訊1.原理部分:1)了解加密演算法:加密演算法的分類:對稱加密和非對稱加密a.對稱加密:加密和解密使用同乙個金鑰,優點是速度快,缺點是金鑰的共享困難。典型的對稱加密演算法有des/aes/rc5/3des等。b.非對稱加密:生成乙個秘密對(公鑰和私鑰),加密過程中可以是私鑰加密公鑰解密;也可以是公鑰加密私鑰解密;一般情況下私鑰由伺服器儲存,公鑰共享給客戶端,採用公加私解的方式。它的特徵是不論你得到公鑰還是私鑰都是無法逆推金鑰對的另一半,這保證了金鑰的安全性。缺點是加密速度極慢,不適合加密資料量大的流量。典型的非對稱加密演算法有rsa/dsa.如何選擇加密演算法?如果選擇對稱加密,密碼的共享(傳輸)過程不安全;如果選擇非對稱加密,加密速度慢。乙個完美的解決方案:用對稱加密的金鑰用於加密資料,使用者非對稱加密來保護對稱加密的金鑰,實現又快又安全的資料加密。保證了資料的私密性。
2)證書伺服器:ca在上述方案中還存在這樣乙個問題:如何確認公鑰是由真正的金鑰對擁有者所共享(傳輸)的。解決該問題的方案是證書認證,ca伺服器提供證書認證服務。證書認證的過程:a.伺服器生成金鑰對(公鑰和私鑰)和認證請求,b.ca伺服器根據認證請求為伺服器頒發根證書,c.伺服器獲取根證書並共享給客戶機,客戶匯入根證書.d.通訊過程中,客戶機依據根證書確認公鑰的合法性.證書伺服器分為:公共證書伺服器(如微軟、google等)和企業自建的私有證書伺服器(openssl實現)。證書認證伺服器提供了資料的不和否認性。
3)數字簽名:hash在上述的方案中,依然還存在乙個問題:無法判斷資料在傳輸過程中的完整性(是否被篡改過)。典型的hash演算法:md5,sha1,sha256,sha512等。
伺服器使用hash演算法對所需傳輸的資料進行hash計算的出一串數字,並將這串數字公布,資料從伺服器上傳輸到客戶機後,客戶機使用相同的hash演算法計算hash值,如果和伺服器公布的數字簽名一致,則資料沒有被篡改,反之亦然。這樣就保證了資料的完整性。
4)了解https的工作原理:https(hypertext transfer protocol over secure socket layer),即http下加入了ssl,埠預設為443.ssl:安全套接字層,是netscape公司設計的主要用於安全傳輸。https通訊過程:a.客戶端請求https鏈結(通過https://實現),服務端返回證書(攜帶了公鑰、證書的頒發機構、選擇一組加密演算法和hash演算法等資訊)給客戶端。b.客戶端收到證書後:驗證證書的合法性,生成隨機密碼(使用協商好的對稱加密演算法)並使用公鑰加密,使用約定的hash計算握手訊息並使用隨機密碼對訊息進行加密。c.客戶端將由公鑰加密的隨機密碼和由隨機密碼加密過的hash數字簽名發給伺服器。d.伺服器(**)收到隨機密碼和數字簽名後:用私鑰解密得到隨機密碼,用隨機密碼解密得到數字簽名,用數字簽名驗證握手訊息的完整性。並使用隨機密碼加密一段握手訊息發給客戶端(瀏覽器)。e.瀏覽器解密握手並計算握手hash,確保資料的完整性。之後的通訊資料使用隨機密碼進行加密(對稱演算法)。
更安全的Web通訊HTTPS
在網購過程中,如果使用純粹的http協議,那麼使用者的賬號密碼,信用卡,銀行卡資訊都將在資訊傳輸過程中直接裸奔。從例子中我們可以看到信用卡資訊直接被明文傳輸了。除了明文傳輸之外,還存在著以下兩個問題 無法驗證通訊方身份的真實性,即無法確認對方是否是真正的商家。無法確認資訊是否被篡改,即無法確認傳輸過...
確保Web安全的HTTPS
http主要又如下幾點不足 http 加密 認證 完整性保護 https https並非是應用層的一種新協議,只是http通訊介面部分用ssl secure socket layer 和tls transport layer security 協議代替而已。https其實就是身披ssl協議這層外殼的...
確保Web安全的HTTPS
證明身份 無法證明報文的完整性 證明公開金鑰正確性地證書 按tcp ip協議族的工作機制,通訊內容在所有的通訊線路上都有可能遭到窺視.為防止竊聽並保護資訊,有如下幾種加密方式 通訊加密 http協議沒有加密機制,但可以通過ssl或tls的組合使用,加密http通訊內容.與ssl組合使用的http被稱...