聊一聊 TLS/SSL

哈喽大家好,我是咸鱼

当我们在上网冲浪的时候,会在浏览器界面顶部看到一个小锁标志,或者网址以 “https://” 开头
在这里插入图片描述
这意味着我们正在使用 TLS/SSL 协议进行安全通信。虽然它可能看起来只是一个小小的锁图标和一个 “https” ,但实际上,这个协议在保护我们的在线隐私和安全方面扮演着至关重要的角色

那今天咸鱼就跟大家聊一聊 TLS/SSL 相关的一些知识

阅读文章之前,需要知道:

TLS(Transport Layer Security)和 SSL(Secure Sockets Layer)都是用于加密通信的协议

TLS 是 SSL 的升级版本,它修复了 SSL 中存在的一些安全漏洞,并提供了更高级的安全性

中间人攻击

一天中午,咸鱼在星巴克里打算上网冲浪一下,这时候有一个很坏很坏的人走进了星巴克

坏人建了一个跟星巴克 WI-FI 同名的接入点,当咸鱼上网的时候,稍微不注意连接到了坏人伪造的那个假的星巴克 WI-FI,这就导致咸鱼任何流量请求都在坏人的监控之下

又或者坏人跟咸鱼都连上了星巴克 WI-FI ,然后他通过伪造 DHCP 服务来告诉咸鱼的设备:【我就是网关,要上网的话,让我帮你转发就可以了】

当咸鱼要登陆银行进行转账开始访问银行网站的时候,坏人截获了咸鱼这个请求,并向银行的网站发送一个伪装请求,假装是咸鱼在请求

银行以为这个请求来自于咸鱼,于是返回响应;坏人把这个响应截获了,然后转发到咸鱼的设备上

咸鱼的设备认为这个响应来自于银行,于是咸鱼看到的是一个正常的银行网站登陆界面,便乖乖地输入了登录信息(用户名密码等)

坏人再次截获这些信息,然后将其发送给真正的银行网站,这时候坏人已经拿到了咸鱼的登录信息

同时,他也继续截获所有咸鱼与银行之间的通信,以便访问咸鱼的银行账户或者进行其他恶意活动

在这里插入图片描述
这便是中间人攻击(Man-in-the-Middle Attack,简称 MITM 攻击)

中间人攻击是一种计算机安全威胁,攻击者插入自己在通信的两端,窃取或篡改信息

这种攻击可以在不被察觉的情况下进行,因为通信的两方认为他们正在直接相互通信,而实际上信息经过了攻击者的处理

如何避免遭受中间人攻击呢?聪明的小伙伴很快就想到了——通过 HTTPS 来进行加密通信!这样即使信息被截获,坏人也无法轻易解密

TLS/SSL

非对称加密

HTTPS 通过 TLS/SSL 来实现加密传输数据,保证数据在传输的过程中中间人无法解密,这样就保证了数据的安全性

加密数据不是什么难题,通信的时候双方用密钥对数据加密就行了

但如果大家跟银行进行加密通信的时候用的密钥都是一样的,中间人依旧能够使用这个密钥去伪造网站然后截获你的加密数据。这样的话要不要密钥都没啥区别,甚至不还如不要密钥呢

所以最好的情况就是:我跟银行通信的时候协商好用什么密钥——用 A 密钥对数据加密(公钥),然后用 B 密钥对数据解密(私钥),而且:

  1. A 密钥加密的数据只能 B 密钥解密
  2. 这个 B 密钥只能我一个人拥有,别人是拿不到的

B 密钥的唯一性,既保证了数据的安全(A 密钥加密的数据只能 B 密钥解密),又能证明我是我(即 B 密钥只能我一个人拥有)

这便是非对称加密技术

非对称加密有两个秘钥,一个是公钥,一个是私钥:

  • 公钥会放在互联网上公开;私钥被自己保存,不能对外泄露
  • 公钥加密的数据,只有对应的私钥才可以解密
  • 只有你有私钥,我才相信你是你

举个例子,首先咸鱼和银行把自己的公钥互相给对方,在通信的时候,咸鱼用银行给的公钥去加密数据并发送给银行,银行拿到之后用自己的私钥解密数据

同理,银行用咸鱼提供的公钥进行数据加密,然后咸鱼拿到加密数据之后用自己的私钥进行解密

在这里插入图片描述
TLS/SSL 握手

我们在与银行通信的时候使用 TLS/SSL 加密传输数据,会有经过两个阶段:

  1. TLS/SSL 握手阶段:用于建立安全的连接通道(非对称加密)
  2. 数据传输阶段:通道建立好之后,开始传输数据(对称加密)

即在 TLS/SSL 握手阶段使用的是非对称加密技术,数据传输阶段用的是对称加密技术

首先网站会公开自己的公钥(也就是大家常说的“证书”,网站的公钥是通过数字证书公开的)

当浏览器连接到网站时,会先去下载网站的证书

那这里会有一个问题:既然网站的证书是公开的,阿猫阿狗也能下载。那浏览器如何知道这个证书的拥有者即对方就是该网站呢?

聪明的小伙伴肯定会想到:只要能证明对方有私钥就行了!也就是说浏览器用证书(即公钥)加密一个数据,然后发送给对方;如果对方有私钥,那就能解密这个数据并返回给浏览器,那浏览器就知道对方身份了

浏览器会验证证书的有效性(包括验证服务器的身份,检查证书是否过期,是否由受信任的证书颁发机构(CA)签发)

以此来确保正在与合法的网站通信

所以浏览器会生成一个随机数(client random),并使用服务器的公钥对其进行加密,然后将其发送回服务器

服务器使用自己的私钥解密此数据,并使用浏览器的公钥对另一个随机数(server random)进行加密并发送回客户端

这两个随机数将用于生成会话密钥,用于之后的对称加密通信

具体TLS/SSL 握手阶段请看:TLS 详解握手流程 - 掘金 (juejin.cn)

证书颁发机构 CA

前面我们提到:浏览器会去验证证书的有效性,其中包括验证证书是否由受信任的证书颁发机构(CA)签发

这个证书颁发机构(CA,Certification Authority)是一个权威的第三方机构,它的存在是为了告诉浏览器:有我做担保,你们只管信我;只有网站的拥有者,才能拥有网站的证书

即 CA 在这个过程中充当了一个【担保人】的角色,当浏览器拿到网站的证书的时候,会去问 CA :“这个证书是否合法?”

然后 CA 说:“这个证书是合法的!”,浏览器才会信任这个网站

网站需要向 CA 申请证书,CA 要对自己颁发的证书负责

最后

以上就是关于中间人攻击、TLS/SSL、CA 大致的原理和内容,这篇文章花了我较大精力去写,若是文中有不对的地方,欢迎指出

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/138767.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

记录一次错误---想让U-net网络输入大小不一致的图片

最近在看Deeplab系列的论文,文中提到了语义分割领域的一个难题是:将图片输入网络之前需要resize成统一大小,但是resize的话会造成细节信息的损失,所以想要网络处理任意大小的图片输入。我之前训练的U-net网络都是resize成224*224大…

Linux 本地 Docker Registry本地镜像仓库远程连接【内网穿透】

Linux 本地 Docker Registry本地镜像仓库远程连接 文章目录 Linux 本地 Docker Registry本地镜像仓库远程连接1. 部署Docker Registry2. 本地测试推送镜像3. Linux 安装cpolar4. 配置Docker Registry公网访问地址5. 公网远程推送Docker Registry6. 固定Docker Registry公网地址…

【CSS】画个三角形或圆形或环

首先通过调整边框&#xff0c;我们可以发现一些端倪 <!DOCTYPE html> <html><head><meta charset"utf-8"><title></title></head><style>.box{width: 150px;height:150px;border: 50px solid black;}</style&g…

【docker安装Mysql并配置主从复制】

Mysql主从复制 目的&#xff1a; 是为了后面naocs集群的服务配置做准备工作 准备工作 准备至少两台虚拟机或服务器&#xff0c;安装好了docker&#xff0c;找到他们的ip地址 后面操作都用xshell操作来代替 拉取并启动mysql镜像和容器 主机的命令为mysql01&#xff0c;对…

机器学习笔记:seq2seq attentioned seq2seq

1 Seq2Seq 1.1 介绍 对于序列对<X,Y>&#xff0c;我们的目标是给定输入序列X&#xff0c;期待通过Encoder-Decoder框架来生成目标序列Y Encoder对输入的序列X进行编码&#xff0c;将输入序列通过非线性变换转化为中间语义表示C&#xff1a; Decoder根据序列X的中间语义…

百度知道本地搭建环境无限制采集聚合【最新版】

本工具是本地php环境搭建&#xff0c;根据关键词进行采集聚合某度知道&#xff0c;不限制ip&#xff0c;最新版新添加了违规词过滤&#xff0c;样式处理&#xff0c;自动匹配优质标题等功能&#xff0c;只需要导入关键词可以无限采集&#xff0c;是养站的好帮手&#xff01; 功…

Golang代码漏洞扫描工具介绍——trivy

Golang代码漏洞扫描工具介绍——trivy Golang作为一款近年来最火热的服务端语言之一&#xff0c;深受广大程序员的喜爱&#xff0c;笔者最近也在用&#xff0c;特别是高并发的场景下&#xff0c;golang易用性的优势十分明显&#xff0c;但笔者这次想要介绍的并不是golang本身&a…

2023 Sui Builder House全球之旅圆满收官

2023年的最后一场Builder House于上周在新加坡举行&#xff0c;包括主题演讲、小组讨论和研讨会等聚焦Sui的现在和未来的活动。其中&#xff0c;zkLogin是本次活动的最大亮点。作为一种新的Sui原语&#xff0c;zkLogin允许用户使用Web2身份验证创建帐户&#xff0c;有望推动大规…

产品解读 | 分布式多模数据库:KaiwuDB

1.KaiwuDB 是什么&#xff1f; KaiwuDB 是由浪潮创新研发的一款分布式、多模融合&#xff0c;支持原生 AI 的数据库产品&#xff0c;拥有“就地计算”等核心技术&#xff0c;具备高速写入、极速查询、SQL 支持、随需压缩、智能预计算、订阅发布、集群部署等特性&#xff0c;具…

Arduino驱动 LCD1602/2004液晶屏转接板模块

目录 一、简介二、内部逻辑图三、引脚说明四、原理图五、器件地址六、使用方法 一、简介 点击图片购买 LCD1602/2004液晶屏转接板模块采用MCP2308芯片&#xff0c;通过IIC接口扩展8路通用双向IO口。可以为较少IO口的单片机扩展IO口&#xff0c;还可以作为LCD1602、LCD2004液晶屏…

北京智和信通亮相2023IT运维大会,共话数智浪潮下自动化运维新生态

2023年9月21日&#xff0c;由IT运维网、《网络安全和信息化》杂志社联合主办的“2023&#xff08;第十四届&#xff09;IT运维大会”在北京成功举办。大会以“以数为基 智引未来”为主题&#xff0c;北京智和信通技术有限公司&#xff08;下文简称&#xff1a;北京智和信通&…

成集云 | 金蝶云星空集成聚水潭ERP(金蝶云星空主管供应链)| 解决方案

源系统成集云目标系统 方案介绍 金蝶云星空是金蝶软件&#xff08;中国&#xff09;有限公司研发的新一代战略性企业管理软件&#xff0c;致力于为企业提供端到端的供应链整体解决方案&#xff0c;它可以帮助企业构建敏捷供应链体系&#xff0c;降低供应链成本&#xff0c;提…

spring boot 时间格式化输出

目录标题 一、spring boot 序列化二、 JsonFormat(pattern "yyyy-MM-dd HH:mm:ss")和JSONField(format "yyyy-MM-dd HH:mm:ss")区别三、在实体类中序列化时间&#xff08;格式化输出&#xff09;&#xff08;一&#xff09;使用JsonFormat&#xff08;二…

额外的迭代器

除了为每个容器定义的迭代器外&#xff0c;标准库在头文件iterator中还定义了额外几种迭代器&#xff1a; 插入迭代器&#xff1a; 插入器是一种迭代器适配器&#xff0c;它接受一个容器&#xff0c;生成一个迭代器&#xff0c;能实现向给定容器添加元素。 插入器有三种类型&a…

基于TensorFlow+CNN+协同过滤算法的智能电影推荐系统——深度学习算法应用(含微信小程序、ipynb工程源码)+MovieLens数据集(七)

目录 前言总体设计系统整体结构图系统流程图 运行环境模块实现1. 模型训练1&#xff09;数据集分析2&#xff09;数据预处理3&#xff09;模型创建4&#xff09;模型训练5&#xff09;获取特征矩阵 2. 后端Django3. 前端微信小程序1&#xff09;小程序全局配置文件2&#xff09…

动力节点老杜JavaWeb笔记(全)

Servlet 关于系统架构 系统架构包括什么形式? C/S架构B/S架构C/S架构? Client / Server(客户端 / 服务器)C/S架构的软件或者说系统有哪些呢? QQ(先去腾讯官网下载一个QQ软件,几十MB,然后把这个客户端软件安装上去,然后输入QQ号以及密码,登录之后,就可以和你的朋友聊…

Vim编辑器使用入门

目录 一、Vim 编辑器基础操作 二、Vim 编辑器进阶操作 三、Vim 编辑器高级操作 四、Vim 编辑器文件操作 五、Vim 编辑器文件管理 六、Vim 编辑器进阶技巧 七、Vim 编辑器增强功能 Vim的三种工作模式 一、Vim 编辑器基础操作 1.移动光标 - 光标的移动控制 移动光标有两…

【云服务器开放端口详细教程~来了】

你不知道我真的会哭 云服务器开放端口详细教程来了 前言 一、常见云服务器端口的认识 ● 云服务器端口一般是指 TCP/IP 协议中的端口&#xff0c;端口号的范围从 0 到 65535&#xff0c;比如用于浏览网页服务的 80 端口&#xff0c;用于 FTP 服务的 21 端口等等。 ● 当一…

VScode断点调试vue

VScode断点调试vue 1、修改launch.js文件&#xff08;没有这个文件就新建&#xff09;。 {// Use IntelliSense to learn about possible attributes.// Hover to view descriptions of existing attributes.// For more information, visit: https://go.microsoft.com/fwlin…

AI Studio星河社区生产力实践:基于文心一言快速搭建知识库问答

还在寻找基于文心一言搭建本地知识库问答的方案吗&#xff1f;AI Studio星河社区带你实战演练&#xff08;支持私有化部署&#xff09;&#xff01; 相信对于大语言模型&#xff08;LLM&#xff09;有所涉猎的朋友&#xff0c;对于“老网红”知识库问答不会陌生。自从大模型爆…