av人摸人人人澡人人超碰妓女,久久国产精品免费AV,国产的精品免费看,av少妇无码免费

您好,歡迎訪(fǎng)問(wèn)上海聚搜信息技術(shù)有限公司官方網(wǎng)站!

阿里云代理商:HTTPS如何避免中間人攻擊?

時(shí)間:2020-05-29 14:29:22 點(diǎn)擊:
  一、HTTPS如何避免中間人攻擊
為了避免中間人欺騙攻擊,需要服務(wù)器能夠向客戶(hù)端(瀏覽器)證明自己的身份。那么如何證明呢?
舉個(gè)例子,我們去坐飛機、坐火車(chē),在進(jìn)站的時(shí)候需要出示自己的身份證來(lái)證明自己的身份。而這個(gè)身份證不是隨便誰(shuí)都可以頒發(fā)的,而是需要一個(gè)權威的機構來(lái)頒發(fā),身份證就是我們國家的公安機關(guān)來(lái)頒發(fā)的,并且具有一定的防偽措施(暫時(shí)理解為絕對可靠的)。

那么,服務(wù)器的身份證是什么呢?答案就是我們下面要討論的CA證書(shū),而CA證書(shū)的頒發(fā)機構就相當于公安機關(guān),他是一個(gè)互聯(lián)網(wǎng)行業(yè)認可的一些機構(有多家)。下面我們就來(lái)了解一下CA證書(shū)以及CA機構。

上海聚搜信息技術(shù)有限公司是阿里云代理商網(wǎng)址:http://www.4526.cn/可以直接在網(wǎng)站上聯(lián)系阿里云代理商客服進(jìn)行咨詢(xún)服務(wù)器架構和配置以及優(yōu)惠價(jià)格?。ň鬯?a href="http://www.ysatjc.com/">營(yíng)銷(xiāo)介紹鏈接:http://www.ysatjc.com/meiyou/)是一家致力于搜索引聚搜營(yíng)銷(xiāo)及全網(wǎng)營(yíng)銷(xiāo),致力于為客戶(hù)提供搜索營(yíng)銷(xiāo)領(lǐng)域的服務(wù),幫助廣告客戶(hù)在搜索引聚搜獲取的投資回報,包括搜索引聚搜競價(jià)服務(wù)(SEM),搜索引聚搜優(yōu)化服務(wù)(seo)和搜索營(yíng)銷(xiāo)代運營(yíng)服務(wù),能夠有效為廣告主帶來(lái)高效的投放回報,我們的理念一直是:讓搜索營(yíng)銷(xiāo)營(yíng)銷(xiāo)具有價(jià)值。

聚搜營(yíng)銷(xiāo)團隊于2015年在上海成立,團隊核心均來(lái)自百度搜索部門(mén)和國內知名服務(wù)商的成員,有非常豐富的產(chǎn)品和項目?jì)?yōu)化經(jīng)驗,這兩年來(lái),服務(wù)于國內很多大中型企業(yè)和很多初創(chuàng )公司,通過(guò)我們多年的經(jīng)驗和服務(wù),幫助他們在搜索營(yíng)銷(xiāo)領(lǐng)域上取得了不斷的成功。

1.CA機構的根證書(shū)
CA機構可以對其他公司(服務(wù)器所屬公司)和提供的web服務(wù)(服務(wù)器)進(jìn)行證書(shū)簽發(fā)。而為這些服務(wù)器頒發(fā)證書(shū)需要有一個(gè)根證書(shū)。
根證書(shū):
概念:根證書(shū)是未被簽名的公鑰證書(shū)或自簽名的證書(shū)。
什么意思呢?即CA認證機構的ROOT證書(shū),實(shí)際上就是CA認證機構的相關(guān)信息加上他生成的一對非對稱(chēng)加密秘鑰中的公鑰。如下圖:
這個(gè)證書(shū)中包含CA機構的一個(gè)公鑰(CPK),還有CA機構的一些明文信息。對應的私鑰由CA機構自己妥善保存,用于為其他公司提供的web服務(wù)器簽發(fā)證書(shū)時(shí)加密簽名使用。
當我們認可一個(gè)CA機構時(shí),就需要在瀏覽器中下載安裝該機構的根證書(shū),一般瀏覽器會(huì )內置他所信任的CA機構根證書(shū)(所以一般不會(huì )手動(dòng)去安裝)。

也就是說(shuō),我們的瀏覽器(客戶(hù)端)中已經(jīng)有CA機構的根證書(shū)了(這個(gè)很重要,后面會(huì )使用到它),CA機構自己保留著(zhù)CSK(私鑰)。

2.CA證書(shū)和申請流程
當一個(gè)公司想提供一個(gè)HTTPS的服務(wù)器,則需要在互聯(lián)網(wǎng)認可的幾家CA認證機構中選擇一家來(lái)申請CA證書(shū)。
首先,我們看一下CA證書(shū)的結構(以百度為例):
首先,百度生成一對非對稱(chēng)秘鑰(包含公鑰和私鑰),私鑰(SK)自己保存,而公鑰(PK)提供給CA機構,同時(shí)提供自己公司和提供服務(wù)的相關(guān)信息。
CA機構收到申請后,大概執行以下操作:
1)對該公司以及服務(wù)進(jìn)行核實(shí),確認是否滿(mǎn)足申請條件
2)將公鑰和所有其他明文信息使用HASH算法(例如MD5算法)進(jìn)行散列,得到一個(gè)散列值(也叫信息摘要),這個(gè)散列值主要用于以后判斷信息是否被篡改(例如公鑰被篡改,則散列值會(huì )改變)
3)將生產(chǎn)的散列值,使用CA機構的私鑰進(jìn)行加密(CSK私鑰),得到一個(gè)數字簽名
4)將百度提供的公鑰、信息、數字簽名形成一個(gè)CA證書(shū),頒發(fā)給百度,放到服務(wù)器中
3.瀏覽器從服務(wù)器獲取證書(shū)
此時(shí),瀏覽器在與服務(wù)器建立HTTPS連接的時(shí)候,服務(wù)器會(huì )將CA證書(shū)發(fā)送給瀏覽器。
瀏覽器拿到這個(gè)CA證書(shū)后,會(huì )做如下操作:
1)先查看CA證書(shū)中關(guān)于CA機構的信息,然后從瀏覽器安裝的根證書(shū)中找到對應的CPK(如果沒(méi)有,則提示證書(shū)有問(wèn)題)
2)使用CPK對數字簽名進(jìn)行解密,得到HASH散列值(摘要)
3)使用與CA機構相同的HASH算法(例如MD5)對CA證書(shū)中的PK和明文信息進(jìn)行HASH散列,得到自己算出來(lái)的散列值
4)對比解密得到的散列值與自己計算出來(lái)的散列值是否相同,如果相同則認為CA證書(shū)沒(méi)有被篡改過(guò),如果不相同,則提示證書(shū)有問(wèn)題
5)在CA證書(shū)無(wú)誤的情況下,證書(shū)中的PK(即百度的公鑰)也是合法可用的,后面就可以使用這個(gè)公鑰來(lái)加密key了(對稱(chēng)加密的秘鑰,或秘鑰的一部分)
這里其實(shí)已經(jīng)回答了如何避免中間人欺騙攻擊這個(gè)問(wèn)題了:
因為如果中間人修改了CA證書(shū)中的PK或其他任何信息,那么客戶(hù)端計算出的HASH值一定和解密出來(lái)的HASH值不一樣(或無(wú)法解密)。
二、HTTPS的整體流程
既然已經(jīng)搞清楚了CA機構、CA證書(shū)、對稱(chēng)加密、非對稱(chēng)加密、HASH散列,那么我們將其流程竄起來(lái)就是HTTPS的工作流程了,如圖:
流程解析,前提是已經(jīng)建立了TCP連接:
1)客戶(hù)端向服務(wù)器發(fā)送Client Hello,其中包含一個(gè)隨機數1(Random1),還有客戶(hù)端支持的加密方式(一個(gè)列表),如下所示:
2)服務(wù)器返回Server Hello,包含random2隨機數,和選定的加密方式,如下所示:
3)服務(wù)器發(fā)送CA證書(shū)給客戶(hù)端,如下所示:
4)驗證證書(shū)合法性,即解密數字簽名,計算HASH值,然后進(jìn)行對比
5)驗證通過(guò)后,客戶(hù)端生成一個(gè)random3隨機數,并連同random1和random2(之前通訊時(shí)發(fā)送給服務(wù)器的random1,以及服務(wù)器發(fā)送給客戶(hù)端的random2),計算出一個(gè)key值(就是后面進(jìn)行對稱(chēng)加密用的key)。
6)使用CA證書(shū)中的PK,對random3進(jìn)行加密(key的一部分,并非key本身,因為黑客也可能拿到證書(shū)中的PK),并發(fā)送給服務(wù)器。
7)服務(wù)器收到加密后的random3,使用SK(證書(shū)中公鑰PK對應的私鑰,在百度服務(wù)器上保存著(zhù))解密,得到random3。
8)同樣使用random1、random2和random3計算一個(gè)key值,計算方式是大家協(xié)商好的,所以計算出的key值和客戶(hù)端計算出的key值應該是一樣的。這個(gè)key就是對稱(chēng)加密使用的秘鑰。
9)客戶(hù)端通過(guò)key對數據進(jìn)行加密,發(fā)送給服務(wù)器,服務(wù)器使用key解密數據。
10)服務(wù)器通過(guò)key對數據進(jìn)行加密,發(fā)送給客戶(hù)端,客戶(hù)端使用key解密數據。
阿里云優(yōu)惠券領(lǐng)取
騰訊云優(yōu)惠券領(lǐng)取

熱門(mén)文章更多>

QQ在線(xiàn)咨詢(xún)
售前咨詢(xún)熱線(xiàn)
133-2199-9693
售后咨詢(xún)熱線(xiàn)
4000-747-360

微信掃一掃

加客服咨詢(xún)