Skip to content

1.非/对称加密及数字证书

1).对称加密

  • 什么是对称加密?
    • 只有一个密钥用它进行加密,也要用它进行解密

传输过程:主机A ====网络==== 》》 主机B

  1. 主机A 使用密钥加密文件
  2. 网络传送加密后的文件(主机B没有密钥解密不了)
  3. 主机A需要再把密钥传给李四(但只要网络传输密钥,就有被截取的可能)
  4. 如果加密后的文件和密钥被都被截取了,则被破解的风险就大了。

2).非对称加密

  • 什么是非对称加密?
    • 使用一对密钥(公钥和私钥)。公钥用于加密私钥用于解密

传输过程:主机A =====网络===== 》》 主机B

  1. 主机B使用软件产生一对密钥。
  2. 主机B把公钥公钥给张三导入(放到公网给任何人下载),但私钥自己保留。
  3. 主机A用主机B的公钥加密数据。
  4. 主机A通过网络将加密的数据传输给主机B。
  5. 主机B使用自己的私钥解密数据。

3).数字证书

  • 什么是数字签名?
    • 在生活中有很多地方需要签字,盖章,按手印,如签订合同,贷款等,这么做的目的就是为了证明。在计算机领域,也有些场景需要签名来证明发信人的身份,数据的完整性等,这时候就要用到数字签名技术了。总的来说:就是利用计算机技术实现的签名,盖章,按手印。
    • 数字签名主要分为签名和验证两部分.私钥用于签名(因为私钥是不公开的,所以能做为拥有者的身份标识,可以用于签名),公钥用于验证签名
  • 数字证书是如何实现安全的传输?
    • 双方都产生一对密钥,并把公钥给对方导入。然后用自己的私钥签名对方的公钥。最终就可以双方互相安全传输数据。

4).SSL与CA认证

1.什么是SSL/TLS?

  • SSL/TLS是: 一组安全协议

  • SSL(secure socket layer)安全套接层及其继任者TLS(transport layer security)传输层安全简单来说就是一组安全协议,使用非对称加密和数字签名等技术实现网络传输的安全。

2.SSL有哪些应用?

  • https的应用: 对http协议加上安全传输的功能。

  • https(http+ssl)就是最常见的一种应用。现在的网站很多都涉及到交付或者为了保护用户的隐私,所以做成加密的传输方式是必要的。最近几年,很多大网站都改成了全站https模式,如淘宝,百度,京东等。除了https外,SSL还有些应用场景,如smtps,pop3s,ftps,vpn加密,远程监控加密等。总之一句话: 只要是涉及到网络通讯安全的,一般都会支持SSL。

3.https相对于http有什么优缺点?

  • https的优缺点:
    • 优点:安全
    • 缺点:性能下降,证书费用问题,额外人力和时间成本

1)).优点

  • 增加了安全保障

2)).缺点

  • 访问速度受到了一定的影响造成性能下降(加密解密,http跳转https等都需要时间,而且CA一般都是国外的,浏览器还要根据证书的序列号去国外服务器查询状态,这个消耗的时间更多); 网站所有的页面都要转成https的(这对于大网站要转的话是很大的工作量);

  • 证书需要一定的费用等(大网站不差这点钱)免费的证书也有,比如Let’s Encrypt;。

  • 搭建或转换https需要额外的时间和人力成本。对于已经运行很久的网站转成https需要很大的工作量,尤其是大型网站。

    因为上述原因,所以有些网站仍然是部分转https,不是全站https(如部分银行网站等) 。

4.网站的证书标识显示。

  • 为什么有些https网站访问时有绿色标识(有些是一个绿色锁标识,有些是绿色导航条) ,而有些https网站却报错说不信任的连接呢(如下图所示)?

  • 绿色导航条的网站说明它的证书经过了CA认证,报错不信任连接的https网站可能是自签的证书,也就是没有经过CA认证的证书(以前12306的购票界面就是自签证书,现在也是绿色了)

5.CA认证介绍

1).什么是CA认证?

  • 简单来说,就是被权威机构认证过

  • 假设现在有一个A银行网站,现在有一真一假两个网站,域名非常类似(第一次访问此网站的人无法通过域名辨认真假)。那么客户不知道谁真谁假,就需要一个权威的公司(CA)去认证它们,然后来告诉我们真假(通过浏览器来的锁标识就可以告诉我们,不同的浏览器标识会有不同)

2).什么是自签证书?

  • 自签证书就是用开源软件产生的证书,没有经过CA机构认证。但在某些小众场景还是有一定的应用。比如测试环境或者内部应用等。
Published in非/对称加密及数字证书

Be First to Comment

发表评论

电子邮件地址不会被公开。 必填项已用*标注