澳门皇家赌场上线啦-线上澳门皇家赌场

您好,欢迎访问线上澳门皇家赌场官方网站!

阿里云代理商:HTTPS如何避免中点人攻击?

时间:2020-05-29 14:29:22 点击:次
  一、HTTPS如何避免中点人攻击
为了避免中点人欺骗攻击,需要效劳器能够向衣食父母端(浏览器)证明自己的身份。so如何证明呢?
举个例子,吾们去坐飞机、坐火车,在进站的时候需要出示自己的身份证来证明自己的身份。而这个身份证不是随便谁都可以颁发的,而是需要一个权威的机构来颁发,身份证就是吾们国家的公安机关来颁发的,并且具有一定的防伪措施(暂时理解为绝对可靠的)。

so,效劳器的身份证是什么呢?答案就是吾们下面要聊下的CA证书,而CA证书的颁发机构就相当于公安机关,他是一个互联网区域认可的一些机构(有多家)。下面吾们就来了解一下CA证书以及CA机构。

上海澳门皇家赌场上线啦信息 技术实现 有限集团官网是阿里云的代理商网址:http://www.4526.cn/可以直接在网站上联系阿里云代理商客服进行咨询效劳器架构和配置以及优惠Price!(澳门皇家赌场上线啦经营介绍链接:/meiyou/)是一家致力于搜索引澳门皇家赌场上线啦经营及全网经营,致力于为衣食父母供给搜索经营区域的效劳,扶掖广告衣食父母在搜索引澳门皇家赌场上线啦获取的斥资回报,包括搜索引澳门皇家赌场上线啦竞价效劳(SEM),搜索引澳门皇家赌场上线啦优化效劳(seo)和搜索经营代运营效劳,能够有效为广告主带来高效的投放回报,吾们的愿景一直是:让搜索经营经营具有价值。

澳门皇家赌场上线啦经营TEAM于2015年在上海成立,TEAM主要均来自百度搜索部门和国内知名效劳商的成员,有非常丰富的产品和porject优化经验,这两年来,效劳于国内很多大中型集团和很多初创集团官网,通过吾们接连许多年的经验和效劳,扶掖他们在搜索经营区域上取得了不断的成功。

1.CA机构的根证书
CA机构可以对其他集团官网(效劳器所属集团官网)和供给的web效劳(效劳器)进行证书签发。而为这些效劳器颁发证书需要有一个根证书。
根证书:
概念:根证书是未被签名的公钥证书或自签名的证书。
什么意思呢?即CA认证机构的ROOT证书,就现实来说就是CA认证机构的相关信息加上他生成的一对非对称加密秘钥中的公钥。如下图:
这个证书中包含CA机构的一个公钥(CPK),还有CA机构的一些明文信息。对应的私钥由CA机构自己妥善保存,用于为其他集团官网供给的web效劳器签发证书时加密签名使用。
当吾们认可一个CA机挂子 保托枰阡榔髦邢略匕沧案没沟母な椋话沅榔骰崮谥盟信任的CA机构根证书(以是一般不会手动去安装)。

也就是说,吾们的浏览器(衣食父母端)中已经有CA机构的根证书了(这个很要紧,下面会使用到它),CA机构自己保留着CSK(私钥)。

2.CA证书和申请流程
当一个集团官网想供给一个HTTPS的效劳器,则需要在互联网认可的几家CA认证机构中决定一家来申请CA证书。
起首,吾们看一下CA证书的结构(以百度为例):
起首,百度生成一对非对称秘钥(包含公钥和私钥),私钥(SK)自己保存,而公钥(PK)供给给CA机构,再是供给自己集团官网和供给效劳的相关信息。
CA机挂子 盏缴昵胂拢蟾胖葱幸韵虏僮鳎
1)对该集团官网以及效劳进行核实,确认是否满足申请条件
2)将公钥和一切其他明文信息使用HASH算法( 诸如MD5算法)进行散列,得到一个散列值(也叫信息摘要),这个散列值主要用于以下判断信息是否被篡改( 诸如公钥被篡改,则散列值会改动)
3)将生产的散列值,使用CA机构的私钥进行加密(CSK私钥),得到一个数字签名
4)将百度供给的公钥、信息、数字签名形成一个CA证书,颁发给百度,放到效劳器中
3.浏览器从效劳器获取证书
此时,浏览器在与效劳器建立HTTPS连接的时候,效劳器会将CA证书发送给浏览器。
浏览器拿到这个CA证书下,会做如下操作:
1)先查看CA证书中AboutCA机构的信息,然下从浏览器安装的根证书中找到对应的CPK(但若无,则提示证书有小case)
2)使用CPK对数字签名进行解密,得到HASH散列值(摘要)
3)使用与CA机构同样的HASH算法( 诸如MD5)对CA证书中的PK和明文信息进行HASH散列,得到自己算出来的散列值
4)对比解密得到的散列值与自己计算出来的散列值是否同样,如果同样则认为CA证书没有被篡改过,如果不同样,则提示证书有小case
5)在CA证书无误的环境下,证书中的PK(即百度的公钥)也是合法可用的,下面就可以使用这个公钥来加密key了(对称加密的秘钥,或秘钥的一部分)
这里莫过于已经回答了如何避免中点人欺骗攻击这个小case了:
因为如果中点人修改了CA证书中的PK或其他尽数信息,so衣食父母端计算出的HASH值一定和解密出来的HASH值不一样(或无法解密)。
二、HTTPS的整体流程
既然已经搞清楚了CA机构、CA证书、对称加密、非对称加密、HASH散列,so吾们将其流程窜起来就是HTTPS的work流程了,如图:
流程解析,上提是已经建立了TCP连接:
1)衣食父母端向效劳器发送Client Hello,此道包含一个随机数1(Random1),还有衣食父母端支持的加密方式(一个列表),如下所示:
2)效劳器返回Server Hello,包含random2随机数,和选定的加密方式,如下所示:
3)效劳器发送CA证书给衣食父母端,如下所示:
4)验证证书合法性,即解密数字签名,计算HASH值,然下进行对比
5)验证通过下,衣食父母端生成一个random3随机数,并连同random1和random2(之上通讯时发送给效劳器的random1,以及效劳器发送给衣食父母端的random2),计算出一个key值(就是下面进行对称加密用的key)。
6)使用CA证书中的PK,对random3进行加密(key的一部分,并非key本身,因为黑客也可能拿到证书中的PK),并发送给效劳器。
7)效劳器收到加密下的random3,使用SK(证书中公钥PK对应的私钥,在百度效劳器上保存着)解密,得到random3。
8)同样使用random1、random2和random3计算一个key值,计算方式是众家协商好的,以是计算出的key值和衣食父母端计算出的key值应该是一样的。这个key就是对称加密使用的秘钥。
9)衣食父母端通过key对数据进行加密,发送给效劳器,效劳器使用key解密数据。
10)效劳器通过key对数据进行加密,发送给衣食父母端,衣食父母端使用key解密数据。
QQ在线咨询
售上咨询热线
150-2661-2550
售下咨询热线
4000-747-360

WeChat扫一扫

加客服咨询

XML 地图 | Sitemap 地图