域名频道资讯站10月17日报道,在网络安全中我们经常会遇到很多的安全问题,我们抛去前端漏洞,来聊聊网络通信和网络协议方面的。很多时候都会听到https,加密解密等,遇到漏洞,安全解决方案很多也都是用安全通道传输,用对称加密,用非对称加密等等解决方案。
我们就针对这些简单介绍下密码方面的知识。
来看这个场景:
有一天,Bob正在浏览网页的时候,遇到页面弹出一个框框,上面写着“老婆不在的时候玩的游戏哦”,Bob很兴奋的打开开始玩游戏。为了看到你懂的的时候,已经花了上千元了,Bob非常气愤,打电话给网站客服,说你们骗人,我都充了那么多钱了!客服来了句:我们没有这个游戏的推广啊,这个发生了啥?Bob说这个在你们网站上弹出来的推广啊!
另一种场景,Bob使用信用卡买东西,信用卡没有设置密码验证,输入了信用卡卡号和cvv2码之后支付成功了。隔了几天之后,Bob接到了信用卡客服电话,说你的信用卡已经刷爆了。这个发生了什么事情?我只用过一次,只支付了100元啊!
这里遇到的两个问题:
1、正常的网页中被插入了不正常的代码,或者登入到了一个假冒的页面网站
2、信用卡信息被其他人利用了
那么来考虑解决方法:
1、保证网页信息在传输过程中不被其他人篡改(完整性)
2、保证个人敏感信息传输过程中不被其他人窃听(机密性)
3、我们还得保证登入的站点是正确,可靠的网站(认证)
我们可以考虑下是不是可以通过加密来解决这些问题呢?
首先我们需要了解几个加密机制:对称加密,非对称加密,消息认证码,签名,证书。
对称加密
你们之间决定对信息进行加密,你们之间商量好了一个密码,你可以想象成一个密码箱,秘密信息锁在密码箱中,只有你们两个知道密码。这样Eve拿到了密码箱,不知道密码,他就无法获取到你们之间传递的信息了。
在网络中传输信息就不能有密码箱存在了,那么可以协商一个密码,被称为密钥。比如一串数字:778279381038710238676,这串数字是只有你们之间才知道的。Alice使用这串密钥加密信息:“星期天在河边交易”。
我们暂时不考虑加密的具体实施,最终形成的信息是:“阿达色调的完全”,在网络中传输,Eve拿到的信息也只是这个,没有任何意义。信息传递到Blob那边,使用同样的密钥解密出字符串:“星期天在河边交易”。
这样就完成了信息的加密传输,这种方式就叫做对称加密。从例子来看,也就是加密和解密中使用的是同一套密钥。
非对称加密
从非对称就可以看出和对称加密的不同,对称加密是使用同一套密钥,那么非对称加密就是使用的不是同一套密钥。
举例来说,Alice完成了信息的加密,但是她的密钥信息泄漏了。Eve拿到了她的密钥信息和加密后的信息,在对称加密中Eve就能直接拿到明文信息了。但是这次Alice和Blob采用了非对称加密的方式,Eve用拿到的密钥去解密信息,发现还是无意义的字符串:“阿三大哇塞大锅饭”,以为不是啥敏感信息,传递到了Blob,Blob使用自己的密钥成功解密了信息:“星期天在河边交易”。
非对称加密就是加密密钥和解密密钥是不一样的。
消息认证码和证书
消息认证码是一种域密钥相关联的单向散列函数,单向散列函数就是我们常说的hash,常见的包括了md5、sha1等等。
证书:为公钥加上数字签名,和驾照相似,里面记录了姓名、组织、邮箱、地址等个人信息,以及属于此人的公钥,并由认证机构施加数字签名,确认该公钥确实属于此人。
证书也是在安全中用到最多的一种机制。
签名数字
签名在安全中很重要,后面找个时间单独说说。
要是了解非对称之后可以看下面这个:
非对称加密:加密密钥只能由解密的人持有,加密的密钥可以任何人持有。
数字签名:签名密钥只有签名的人持有,验证密钥可以任何人持有。
好了,下面我们来解决我们刚才遇到的问题:
保证机密性,可以考虑使用对称加密,我们生成随机密钥,通过非对称加密机制把密钥发送给通信对象。
要保证完整性,可以考虑消息认证码;要保证认证问题,可以考虑使用证书。
ok,我们只要把这三个方案放到一个框架中,就解决问题了,那么这个就是SSL/TSL协议(这时候你就需要SSL证书了,上SSL.22.cn,1元购买安装SSL证书,轻松实现互联网加密)
补充环节:HTTPS
用SSL和TSL作为通信进行加密,然后再进行http的传输,这样url产生的就是https://开头的,大家可以访问baidu看看。
除了http,SSL/TSL也可以用保护其他的协议:smtp,pop3等等。这样收发邮件也有了安全的传输。
SSL/TSL的区别
TLS的主要目标是使SSL更安全,并使协议的规范更精确和完善。
1 、更安全的MAC算法
2 、更严密的警报
3 、“灰色区域”规范的更明确的定义
使用SSL/TSL进行通信
握手协议
握手协议是TLS协议的一部分,复杂生成共享密钥和交换证书,其中,生成共享密钥是为了进行密码通信,交换证书是为了通信双方互相进行认证。
客户端:“你好,我能理解的密码套件有RSA/3DES,或者DSS/AES,请问我们使用哪一种进行通信呢?” (ClientHello 消息)
服务器:“你好,我们使用RSA/3DES来进行通信吧。” (ServerHello 消息)
服务器:“好,这个是我的证书。” (Certificate消息:证书清单)
服务器:“我们用这些信息做密码交换吧。”(ServerKeyExchange消息)
服务器:“还有请给我看下你的证书。” (CertificateRequest消息)
服务器:“我到此结束。” (ServerHelloDone消息)
客户端:“这个是我的证书。”( Certificate证书消息)
客户端:“这个我进过加密的预备主密码。”(ClientKeyExchange消息)
客户端:“我确实是客户端证书的持有者。” (CertificateVerrify消息)
客户端:“好,现在我切换密码了。” (ChangeCiperSpec)
客户端:“结束。” (Finished)
服务器:“我要切换密钥了。”(ChangeCiperSpec)
服务器:“握手结束。”
经过这些流程:
客户端获取到服务器的合法公钥,完成服务器认证
服务器获取到客户端的合法公钥,完成后服务器认证
客户端和服务器生成了密码通信过程中的共享密钥
客户端和服务器生成了消息认证码中使用的共享密钥
经过上述的学习了解,是不是对SSL协议和证书有了进一步的了解呢?个人,要尽量访问https开头的网站,即按照了SSL证书的网站平台,企业用户呢,最后尽快安装部署SSL证书(立即购买),保证用户信息安全。
本文章素材来自互联网
