SSL/TLS原理

浅析SSL/TLS原理

  • 1.数字签名
    • 1.1概念
    • 1.2作用
    • 1.3使用的算法
    • 1.4怎么做
  • 2.网络加密
  • 3.为什么需要数字证书?
  • 4.SSL/TLS工作过程
  • 5.HTTPS

1.数字签名

1.1概念

也称为公钥数字签名

1.2作用

用来验证数据的真实性,防止被仿造和篡改

1.3使用的算法

非对称加密 和 数字摘要

1.4怎么做

是一套互补的运算,一个用来签名(加密),一个用来验证(解密)
每个人都有一对“钥匙”(数字身份),也就是私钥和公钥。私钥签名,公钥验证。

2.网络加密

SSL/TLS原理_第1张图片
即使使用非对称加密进行网络通信,但仍有被中间人攻击的可能性
SSL/TLS原理_第2张图片

3.为什么需要数字证书?

因为任何人都可以落款声称她/他就是你。

解决方案:公钥必须向接受者信任的人(身份认证机构)来注册。注册后身份认证机构给你发一数字证书。对文件签名后,你把此数字证书连同文件及签名一起发给接受者,接受者向身份认证机构求证是否真地是用你的密钥签发的文件。
SSL/TLS原理_第3张图片
为什么数字证书不能被劫持或伪造?

CA把自己的CA证书集成在了浏览器和操作系统里面。A拿到浏览器或者操作系统的时候,已经有了CA证书,没有必要通过网络获取,那自然也不存在劫持的问题。

4.SSL/TLS工作过程

由于非对称加密要比对称加密更加复杂,处理时间也相对较长,如果每次网络通信都使用非对称加密,则效率就会降低很多。

实际的网络通信中,非对称加密只用于加密通信的对称密钥来确保密钥的安全性,之后就通过对称加密进行网络通信。

SSL/TLS的基本工作过程:

通过CA体系交换公钥
非对称密钥加密:使用非对称加密,交换用于对称加密的密钥
对称内容交换:使用对称加密的密钥进行正常的网络通信

5.HTTPS

HTTPS全称是HTTP over SSL,也就是通过SSL/TLS加密HTTP数据,这或许是SSL最广泛的应用。

前面提到了CA作为一个公证机构,能确保数字证书的真实性。但是在实际使用中,CA认证一般是要收费的,普通人不会去做CA认证,进而获得属于自己的数字证书。更多的是,一些大的机构,例如银行,网店,金融机构,它们去获得自己的数字证书。

那这种情况如何保证网络通信的安全呢?

这些机构获取到CA授予的数字证书之后,将数字证书加到自己的web服务器上。当用户要去访问它们的网页,例如https://domain.com,会经过下图所示的步骤。
SSL/TLS原理_第4张图片
现在用户知道自己访问的网站是正规的网站,否则用户浏览器会报错说不能用CA证书解析。服务器通过CA授予的数字证书自证了身份。

那服务器怎么知道访问者就是真用户呢?

之前介绍的双向认证是可以通过数字证书验明用户的正身,现在用户为了省钱没有数字证书。这种情况下一般是通过用户名密码来确认用户。所以,大家要保管好自己的密码。

你可能感兴趣的:(知识百花园,ssl,https,网络,tls)