网络安全概要.pptVIP

HTTPS通讯原理 一、HTTPS简介 HTTPS（Hyper Text Transfer Protocol over Secure Socket Layer），简单来讲就是加了安全的HTTP，即HTTP+SSL；我们知道HTTP通讯时，如果客户端C请求服务器S，那么可以通过网络抓包的形式来获取信息，甚至可以模拟服务器S端，来骗取与C端的通讯信息；这对互联网应用在安全领域的推广非常不利；HTTPS解决了这个问题。 二、HTTPS与HTTP的区别： 1）HTTPS的服务器需要到CA申请证书，以证明自己服务器的用途； 2）HTTP信息是明文传输，HTTPS信息是密文传输； 3）HTTP与HTTPS的端口不同，一个是80端口，一个是443端口； 可以说HTTP与HTTPS是完全不同的连接方式，HTTPS集合了加密传输，身份认证，更加的安全。 HTTPS通讯原理 三、HTTPS通讯的步骤 HTTPS通讯原理 1）客户端请求服务器，发送握手消息 2）服务器返回客户端自己的加密算法、数字证书和公钥； 3）客户端验证服务器端发送来的数字证书是否与本地受信任的证书相关信息一致；如果不一致则客户端浏览器提示证书不安全如下图所示 HTTPS通讯原理 如果验证通过，则浏览器会采用自身的随机数算法产生一个随机数，并用服务器发送来的公钥加密；发送给服务器；这里如果有人通过攻击获取了这个消息，那也没用，因为他没有解密此段消息所需要私钥；验证通过的网站在浏览器地址栏的右边会有一安全锁的标识； 3）服务器解密得到此随机数，并用此随机数作为密钥采用对称加密算法加密一段握手消息发送给浏览器； 4）浏览器收到消息后解密成功，则握手结束，后续的信息都通过此随机密钥加密传输。 以上是服务端认证的情况，如果服务端对访问的客户端也有认证需求，则客户端也需要将自己的证书发送给服务器，服务器认证不通过，通讯结束；原理同上； 另外，一般在传输过程中为了防止消息窜改，还会采用消息摘要后再加密的方式，以此保证消息传递的正确性。 非对称加密实例 step8 苏珊收信后，取下数字签名，用鲍勃的公钥解密(验签)，得到信件的摘要。由此证明，这封信确实是鲍勃发出的。 非对称加密实例 step9 苏珊再对信件本身使用Hash函数，将得到的结果，与上一步得到的摘要进行对比。如果两者一致，就证明这封信未被修改过。 非对称加密实例 step10 复杂的情况出现了。道格想欺骗苏珊，他偷偷使用了苏珊的电脑，用自己的公钥换走了鲍勃的公钥。因此，他就可以冒充鲍勃，写信给苏珊。 非对称加密实例 step11 苏珊发现，自己无法确定公钥是否真的属于鲍勃。她想到了一个办法，要求鲍勃去找证书中心（certificate authority，简称CA），为公钥做认证。证书中心用自己的私钥，对鲍勃的公钥和一些相关信息一起加密，生成数字证书（Digital Certificate）。 非对称加密实例 step12 鲍勃拿到数字证书以后，就可以放心了。以后再给苏珊写信，只要在签名的同时，再附上数字证书就行了。 非对称加密实例 step13 苏珊收信后，用CA的公钥解开数字证书，就可以拿到鲍勃真实的公钥了，然后就能证明数字签名是否真的是鲍勃签的。 四、数字签名、验签 数字签名、验签 所谓“数字签名”就是通过某种密码运算生成一系列符号及代码组成电子密码进行签名，来代替书写签名或印章，对于这种电子式的签名还可进行技术验证。 数字签名有两种功效：一是能确定消息确实是由发送方签名并发出来的，因为别人假冒不了发送方的签名。二是数字签名能确定消息的完整性。 数字签名的应用过程是，数据源发送方使用自己的私钥对数据校验和或其他与数据内容有关的变量进行加密处理，完成对数据的合法“签名”，数据接收方则利用对方的公钥来解读收到的“数字签名”，并将解读结果用于对数据完整性的检验，以确认签名的合法性。数字签名技术是在网络系统虚拟环境中确认身份的重要技术，完全可以代替现实过程中的“亲笔签字”，在技术和法律上有保证。在数字签名应用中，发送者的公钥可以很方便地得到，但他的私钥则需要严格保密。 数字签名、验签 假设现在有通信双方A和B，两者之间使用两套非对称加密机制。 现在A向B发消息。 那么，如果在发送过程中，有人修改了里面密文消息，B拿到的密文，解密之后得到明文，并非A所发送的，信息不正确。 要解决两个问题：1. A的身份认证 2. A发送的消息完整性 那么就要用到上面所讲的基础知识。 数字签名、验签 数字签名的过程如下图： 简单解释： A：将明文进行摘要运算后得到