可信网站验证 可信身份认证系统


可信网站验证 可信身份认证系统

文章插图
可信网站验证(可信身份认证系统)
为什么HTTPS协议就比HTTP安全呢?一次安全可靠的通信应该包含什么东西呢,这篇文章我会尝试讲清楚这些细节 。
Alice与Bob的通信 我们以Alice与Bob一次通信来贯穿全文,一开始他们都是用明文的形式在网络传输通信内容 。
嗅探以及篡改 如果在他们的通信链路出现了一个Hacker,由于通信内容都是明文可见,所以Hacker可以嗅探看到这些内容,也可以篡改这些内容 。
公众号的文章之前就遇到很多被挟持篡改了内容,插入广告 。
加密解密 既然明文有问题,那就需要对明文进行加密处理,让中间人看不懂内容,于是乎要对原来的内容变成一段看不懂的内容,称为加密,反之则是解密 。而本质其实就是一种数学运算的逆运算,类似加法减法,例如发送方可以将 abcd…xyz 每个字母+1映射成 bcd…yza,使得原文的字母变成看不懂的序列,而接收方只需要将每个字母-1就可以恢复成原来的序列,当然这种做法规律太容易被**了,后边会有个案例示意图 。
对称加密 如果对2个二进制数A和B进行异或运算得到结果C, 那C和B再异或一次就会回到A,所以异或也可以作为加密解密的运算 。
把操作数A作为明文,操作数B作为**,结果C作为密文 。可以看到加密解密运用同一个**B,把这种加解密都用同一个**的方式叫做对称加密 。
可以看到简单的异或加密/解密操作,需要**跟明文位数相同 。为了克服这个缺点,需要改进一下,把明文进行分组,每组长度跟**一致,分别做异或操作就可以得到密文分片,再合并到一起就得到密文了 。
但是这种简单分组的模式也是很容易发现规律,可以从下图看到,中间采用对原图进行DES的ECB模式加密(就是上边提到简单分组的模式)
很明显,原图一些特征在加密后还是暴露无遗,因此需要再改进一把 。一般的思路就是将上次分组运算的结果/中间结果参与到下次分组的运算中去,使得更随机混乱,更难** 。以下图片来自维基百科:
经过改良后,Alice与Bob如果能提前拿到一个对称加密的**,他们就可以通过加密明文来保证他们说话内容不会被Hacker看到了 。
非对称加密 刚刚还引发另一个问题,这个对称加密用到的**怎么互相告知呢?如果在传输真正的数据之前,先把**传过去,那Hacker还是能嗅探到,那之后就了无秘密了 。于是乎出现另外一种手段:
这就是非对称加密,任何人都可以通过拿到Bob公开的公钥对内容进行加密,然后只有Bob自己私有的钥匙才能解密还原出原来内容 。
RSA就是这样一个算法,具体数学证明利用了大质数乘法难以分解、费马小定理等数学理论支撑它难以** 。相对于前边的对称加密来说,其需要做乘法模除等操作,性能效率比对称加密差很多 。
由于非对称加密的性能低,因此我们用它来先协商对称加密的**即可,后续真正通信的内容还是用对称加密的手段,提高整体的性能 。
认证 上边虽然解决了**配送的问题,但是中间人还是可以欺骗双方,只要在Alice像Bob要公钥的时候,Hacker把自己公钥给了Alice,而Alice是不知道这个事情的,以为一直都是Bob跟她在通信 。
要怎么证明现在传过来的公钥就是Bob给的呢?在危险的网络环境下,还是没有解决这个问题 。
一般我们现实生活是怎么证明Bob就是Bob呢?一般都是政府给我们每个人发一个身份证(假设身份证没法伪造),我只要看到Bob身份证,就证明Bob就是Bob 。
网络也可以这么做,如果有个大家都信任的组织CA给每个人出证明,那Alice只要拿到这个证明,检查一下是不是CA制作的Bob证书就可以证明Bob是Bob 。所以这个证书里边需要有两个重要的东西:Bob的公钥+CA做的数字签名 。


以上关于本文的内容,仅作参考!温馨提示:如遇健康、疾病相关的问题,请您及时就医或请专业人士给予相关指导!

「四川龙网」www.sichuanlong.com小编还为您精选了以下内容,希望对您有所帮助: