日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷解決方案
聊一聊TLS/SSL

哈嘍大家好,我是咸魚(yú)

成都創(chuàng)新互聯(lián) - BGP機(jī)房服務(wù)器托管,四川服務(wù)器租用,成都服務(wù)器租用,四川網(wǎng)通托管,綿陽(yáng)服務(wù)器托管,德陽(yáng)服務(wù)器托管,遂寧服務(wù)器托管,綿陽(yáng)服務(wù)器托管,四川云主機(jī),成都云主機(jī),西南云主機(jī),BGP機(jī)房服務(wù)器托管,西南服務(wù)器托管,四川/成都大帶寬,機(jī)柜大帶寬租用·托管,四川老牌IDC服務(wù)商

當(dāng)我們?cè)谏暇W(wǎng)沖浪的時(shí)候,會(huì)在瀏覽器界面頂部看到一個(gè)小鎖標(biāo)志,或者網(wǎng)址以 "https://" 開(kāi)頭

圖片

這意味著我們正在使用 TLS/SSL 協(xié)議進(jìn)行安全通信。雖然它可能看起來(lái)只是一個(gè)小小的鎖圖標(biāo)和一個(gè) “https” ,但實(shí)際上,這個(gè)協(xié)議在保護(hù)我們的在線隱私和安全方面扮演著至關(guān)重要的角色

那今天咸魚(yú)就跟大家聊一聊 TLS/SSL 相關(guān)的一些知識(shí)

閱讀文章之前,需要知道:

TLS(Transport Layer Security)和 SSL(Secure Sockets Layer)都是用于加密通信的協(xié)議

TLS 是 SSL 的升級(jí)版本,它修復(fù)了 SSL 中存在的一些安全漏洞,并提供了更高級(jí)的安全性

中間人攻擊

一天中午,咸魚(yú)在星巴克里打算上網(wǎng)沖浪一下,這時(shí)候有一個(gè)很壞很壞的人走進(jìn)了星巴克

壞人建了一個(gè)跟星巴克 WI-FI 同名的接入點(diǎn),當(dāng)咸魚(yú)上網(wǎng)的時(shí)候,稍微不注意連接到了壞人偽造的那個(gè)假的星巴克 WI-FI,這就導(dǎo)致咸魚(yú)任何流量請(qǐng)求都在壞人的監(jiān)控之下

又或者壞人跟咸魚(yú)都連上了星巴克 WI-FI ,然后他通過(guò)偽造 DHCP 服務(wù)來(lái)告訴咸魚(yú)的設(shè)備:【我就是網(wǎng)關(guān),要上網(wǎng)的話,讓我?guī)湍戕D(zhuǎn)發(fā)就可以了】

當(dāng)咸魚(yú)要登陸銀行進(jìn)行轉(zhuǎn)賬開(kāi)始訪問(wèn)銀行網(wǎng)站的時(shí)候,壞人截獲了咸魚(yú)這個(gè)請(qǐng)求,并向銀行的網(wǎng)站發(fā)送一個(gè)偽裝請(qǐng)求,假裝是咸魚(yú)在請(qǐng)求

銀行以為這個(gè)請(qǐng)求來(lái)自于咸魚(yú),于是返回響應(yīng);壞人把這個(gè)響應(yīng)截獲了,然后轉(zhuǎn)發(fā)到咸魚(yú)的設(shè)備上

咸魚(yú)的設(shè)備認(rèn)為這個(gè)響應(yīng)來(lái)自于銀行,于是咸魚(yú)看到的是一個(gè)正常的銀行網(wǎng)站登陸界面,便乖乖地輸入了登錄信息(用戶名密碼等)

壞人再次截獲這些信息,然后將其發(fā)送給真正的銀行網(wǎng)站,這時(shí)候壞人已經(jīng)拿到了咸魚(yú)的登錄信息

同時(shí),他也繼續(xù)截獲所有咸魚(yú)與銀行之間的通信,以便訪問(wèn)咸魚(yú)的銀行賬戶或者進(jìn)行其他惡意活動(dòng)

圖片

這便是中間人攻擊(Man-in-the-Middle Attack,簡(jiǎn)稱 MITM 攻擊)

中間人攻擊是一種計(jì)算機(jī)安全威脅,攻擊者插入自己在通信的兩端,竊取或篡改信息

這種攻擊可以在不被察覺(jué)的情況下進(jìn)行,因?yàn)橥ㄐ诺膬煞秸J(rèn)為他們正在直接相互通信,而實(shí)際上信息經(jīng)過(guò)了攻擊者的處理

如何避免遭受中間人攻擊呢?聰明的小伙伴很快就想到了——通過(guò) HTTPS 來(lái)進(jìn)行加密通信!這樣即使信息被截獲,壞人也無(wú)法輕易解密

TLS/SSL

非對(duì)稱加密

HTTPS 通過(guò) TLS/SSL 來(lái)實(shí)現(xiàn)加密傳輸數(shù)據(jù),保證數(shù)據(jù)在傳輸?shù)倪^(guò)程中中間人無(wú)法解密,這樣就保證了數(shù)據(jù)的安全性

加密數(shù)據(jù)不是什么難題,通信的時(shí)候雙方用密鑰對(duì)數(shù)據(jù)加密就行了

但如果大家跟銀行進(jìn)行加密通信的時(shí)候用的密鑰都是一樣的,中間人依舊能夠使用這個(gè)密鑰去偽造網(wǎng)站然后截獲你的加密數(shù)據(jù)。這樣的話要不要密鑰都沒(méi)啥區(qū)別,甚至不還如不要密鑰呢

所以最好的情況就是:我跟銀行通信的時(shí)候協(xié)商好用什么密鑰——用 A 密鑰對(duì)數(shù)據(jù)加密(公鑰),然后用 B 密鑰對(duì)數(shù)據(jù)解密(私鑰),而且:

  1. A 密鑰加密的數(shù)據(jù)只能 B 密鑰解密
  2. 這個(gè) B 密鑰只能我一個(gè)人擁有,別人是拿不到的

B 密鑰的唯一性,既保證了數(shù)據(jù)的安全(A 密鑰加密的數(shù)據(jù)只能 B 密鑰解密),又能證明我是我(即 B 密鑰只能我一個(gè)人擁有)

這便是非對(duì)稱加密技術(shù)

非對(duì)稱加密有兩個(gè)秘鑰,一個(gè)是公鑰,一個(gè)是私鑰:

  • 公鑰會(huì)放在互聯(lián)網(wǎng)上公開(kāi);私鑰被自己保存,不能對(duì)外泄露
  • 公鑰加密的數(shù)據(jù),只有對(duì)應(yīng)的私鑰才可以解密
  • 只有你有私鑰,我才相信你是你

舉個(gè)例子,首先咸魚(yú)和銀行把自己的公鑰互相給對(duì)方,在通信的時(shí)候,咸魚(yú)用銀行給的公鑰去加密數(shù)據(jù)并發(fā)送給銀行,銀行拿到之后用自己的私鑰解密數(shù)據(jù)

同理,銀行用咸魚(yú)提供的公鑰進(jìn)行數(shù)據(jù)加密,然后咸魚(yú)拿到加密數(shù)據(jù)之后用自己的私鑰進(jìn)行解密

TLS/SSL 握手

我們?cè)谂c銀行通信的時(shí)候使用 TLS/SSL 加密傳輸數(shù)據(jù),會(huì)有經(jīng)過(guò)兩個(gè)階段:

  1. TLS/SSL 握手階段:用于建立安全的連接通道(非對(duì)稱加密)
  2. 數(shù)據(jù)傳輸階段:通道建立好之后,開(kāi)始傳輸數(shù)據(jù)(對(duì)稱加密)

即在 TLS/SSL 握手階段使用的是非對(duì)稱加密技術(shù),數(shù)據(jù)傳輸階段用的是對(duì)稱加密技術(shù)

首先網(wǎng)站會(huì)公開(kāi)自己的公鑰(也就是大家常說(shuō)的“證書(shū)”,網(wǎng)站的公鑰是通過(guò)數(shù)字證書(shū)公開(kāi)的)

當(dāng)瀏覽器連接到網(wǎng)站時(shí),會(huì)先去下載網(wǎng)站的證書(shū)

那這里會(huì)有一個(gè)問(wèn)題:既然網(wǎng)站的證書(shū)是公開(kāi)的,阿貓阿狗也能下載。那瀏覽器如何知道這個(gè)證書(shū)的擁有者即對(duì)方就是該網(wǎng)站呢?

聰明的小伙伴肯定會(huì)想到:只要能證明對(duì)方有私鑰就行了!也就是說(shuō)瀏覽器用證書(shū)(即公鑰)加密一個(gè)數(shù)據(jù),然后發(fā)送給對(duì)方;如果對(duì)方有私鑰,那就能解密這個(gè)數(shù)據(jù)并返回給瀏覽器,那瀏覽器就知道對(duì)方身份了

瀏覽器會(huì)驗(yàn)證證書(shū)的有效性(包括驗(yàn)證服務(wù)器的身份,檢查證書(shū)是否過(guò)期,是否由受信任的證書(shū)頒發(fā)機(jī)構(gòu)(CA)簽發(fā))

以此來(lái)確保正在與合法的網(wǎng)站通信

所以瀏覽器會(huì)生成一個(gè)隨機(jī)數(shù)(client random),并使用服務(wù)器的公鑰對(duì)其進(jìn)行加密,然后將其發(fā)送回服務(wù)器

服務(wù)器使用自己的私鑰解密此數(shù)據(jù),并使用瀏覽器的公鑰對(duì)另一個(gè)隨機(jī)數(shù)(server random)進(jìn)行加密并發(fā)送回客戶端

這兩個(gè)隨機(jī)數(shù)將用于生成會(huì)話密鑰,用于之后的對(duì)稱加密通信

具體TLS/SSL 握手階段請(qǐng)看:TLS 詳解握手流程 - 掘金 (juejin.cn)

證書(shū)頒發(fā)機(jī)構(gòu) CA

前面我們提到:瀏覽器會(huì)去驗(yàn)證證書(shū)的有效性,其中包括驗(yàn)證證書(shū)是否由受信任的證書(shū)頒發(fā)機(jī)構(gòu)(CA)簽發(fā)

這個(gè)證書(shū)頒發(fā)機(jī)構(gòu)(CA,Certification Authority)是一個(gè)權(quán)威的第三方機(jī)構(gòu),它的存在是為了告訴瀏覽器:有我做擔(dān)保,你們只管信我;只有網(wǎng)站的擁有者,才能擁有網(wǎng)站的證書(shū)

即 CA 在這個(gè)過(guò)程中充當(dāng)了一個(gè)【擔(dān)保人】的角色,當(dāng)瀏覽器拿到網(wǎng)站的證書(shū)的時(shí)候,會(huì)去問(wèn) CA :“這個(gè)證書(shū)是否合法?”

然后 CA 說(shuō):“這個(gè)證書(shū)是合法的!”,瀏覽器才會(huì)信任這個(gè)網(wǎng)站

網(wǎng)站需要向 CA 申請(qǐng)證書(shū),CA 要對(duì)自己頒發(fā)的證書(shū)負(fù)責(zé)

最后

以上就是關(guān)于中間人攻擊、TLS/SSL、CA 大致的原理和內(nèi)容。


分享名稱:聊一聊TLS/SSL
文章路徑:http://m.5511xx.com/article/copjehg.html