還記得第一次注冊taobao帳號后在網(wǎng)上購買付款的情景。在選購好商品后，點擊付款，瀏覽器會跳轉(zhuǎn)到以“https”開頭的網(wǎng)頁鏈接，然后輸入銀行卡的付款密碼完成商品的付款。那時只知道以https開頭的鏈接是一個經(jīng)過加密后的安全鏈接，自己在此網(wǎng)頁中輸入的密碼是經(jīng)過加密后以密文的方式進行傳輸?shù)模悦艽a是無法被窺視的。

創(chuàng)新互聯(lián)公司主營張家川回族自治網(wǎng)站建設(shè)的網(wǎng)絡(luò)公司,主營網(wǎng)站建設(shè)方案,成都app軟件開發(fā)公司,張家川回族自治h5小程序開發(fā)搭建,張家川回族自治網(wǎng)站營銷推廣歡迎張家川回族自治等地區(qū)企業(yè)咨詢

如今，對https這種安全鏈接所涉及到的計算知識和工作原理也有了一定的了解，但從未進行過系統(tǒng)的整理，現(xiàn)通過學(xué)習(xí)與記錄的的方式，好好梳理一下這方面的知識。

一、安全網(wǎng)絡(luò)的目標(biāo)

1.1 數(shù)據(jù)的機密性

    機密性就是為了防止數(shù)據(jù)被未授權(quán)的讀取。所以數(shù)據(jù)的發(fā)送方和接收方要以某種加密的機制來對數(shù)據(jù)進行加密處理，雙方傳輸?shù)臄?shù)據(jù)是被處理后的密文。

1.2 數(shù)據(jù)的完整性

    完整性是為了防止數(shù)據(jù)被未授權(quán)的修改，或至少要有機制能檢測出數(shù)據(jù)被修改過。

1.3  數(shù)據(jù)的可用性

    可用性主要針對提供服務(wù)的一方，當(dāng)服務(wù)器受到拒絕服務(wù)（dos）***時，使用得資源的可獲得性降低或者根本無法獲得信息。

二、安全協(xié)議

2.1 SSL

    SSL(Secure SocketLayer)安全套接字層協(xié)議是web瀏覽器與服務(wù)器間安全交換數(shù)據(jù)的協(xié)議。有V1、V2、V3三個版本，V3版目前常用。

2.2 TLS

    TLS(Transport LayerSecurity)傳輸層安全協(xié)議。有V1版本，功能與SSL V3相似。

    在互聯(lián)網(wǎng)模型中SSL/TLS協(xié)議工作于應(yīng)用層和TCP層間，應(yīng)用層的數(shù)據(jù)不再直接發(fā)往傳輸層，而是發(fā)送給SSL層，通過SSL加密后再進行下一步的處理。

三、加密方法

3.1 對稱加密(保證數(shù)據(jù)的機密性，也就是把明文轉(zhuǎn)換成不易讀取的密文)

    加密解密使用同一個密碼，也就是加密密鑰與解密的密鑰相同，得到了加密密鑰也就得到解密密鑰。主要用于保證數(shù)據(jù)的機密性。密鑰的安全性成為此種加密的關(guān)鍵。

3.1.1 DES（Data Encryption Standard）數(shù)據(jù)加密標(biāo)準(zhǔn)，也稱為數(shù)據(jù)加密算法，此種加密算法的原理是由循環(huán)移位思想而來。

3.1.2 3DES三重DES是DES的變體，這是DES的一種加強版，它增長了加密密鑰的長度，由DES的56位增加到了168位。

3.1.3 AES（Advanced Encryption Standard）高級加密標(biāo)準(zhǔn)，也是一種高級加密算法

3.2 非對稱加密（非對稱加密算法用公鑰加密對稱密鑰，保證進行密鑰交換時密鑰的安全）

    非對稱加密系統(tǒng)中會涉及到一組密鑰對，一個公開的密鑰，叫公鑰（publickey）；一個私有的，叫私鑰（privatekey）。公鑰是一個可公開的，私鑰則是隱密性，不可被未授權(quán)用戶的訪問。公鑰是從私鑰中提取出來的，用私鑰加密的數(shù)據(jù)只能用與之配對的公鑰來解密，這實現(xiàn)了驗證身份的目的；用公鑰加密的數(shù)據(jù)只能用與之配對的私鑰來解密，這實現(xiàn)了數(shù)據(jù)的機密性。因非對稱加密基于數(shù)字函數(shù)實現(xiàn)，算法復(fù)雜，較于對稱加密，非對稱加密速度慢，不適合用于加密交換的大量數(shù)據(jù)，它主要的目的是用于交換對稱加密算法的密鑰，密鑰交換后雙方就可用密鑰以對稱加密方式交換數(shù)據(jù)，而此密鑰在傳輸?shù)綄Ψ綍r是經(jīng)過非對稱加密算法進行加密的，安全性得到保障。

3.2.1 非對稱加密算法

RSA

DSA

DSS

ECC

3.3 單向加密（保證數(shù)據(jù)的完整性）

   單向加密只能是從明文加密成密文，并不能從密文解密成明文。

3.3.1 加密算法

MD5

SHA1、SHA256、SHA512、SHA3

HMAC

3.3.2 單向加密特性

定長輸出：無論加密的數(shù)據(jù)有多大，加密后輸出都是一個定長的數(shù)據(jù)。

雪崩效應(yīng)：即使原源數(shù)據(jù)發(fā)生細(xì)微的變化，加密后的輸出會發(fā)生巨大的變化。

    在實際的運用中，這三種加密方法往往不會單獨使用，一般都是結(jié)合起來實現(xiàn)數(shù)據(jù)的安全傳輸。數(shù)據(jù)在網(wǎng)絡(luò)中一次完整的數(shù)據(jù)通信過程是怎樣的呢？簡單的描述如下：

發(fā)送方：

1、 發(fā)送方使用選定的單向加密算法計算源數(shù)據(jù)的特征碼；

2、 發(fā)送方使用自己的私鑰加密此特征碼，并把加密后的密文數(shù)據(jù)附加在源數(shù)據(jù)后面；

3、 發(fā)送方生成一次性對稱密鑰，并使用此密鑰加密數(shù)據(jù)（源數(shù)據(jù)+加密特征碼后的密文數(shù)據(jù)）

4、 發(fā)送方使用接收方的公鑰加密一次性對稱密鑰，并附加于已加密的數(shù)據(jù)后面；

5、 數(shù)據(jù)已準(zhǔn)備妥當(dāng)，開始發(fā)送數(shù)據(jù)。

接收方：

1、 接收方使用與公鑰配對的私鑰解密數(shù)據(jù)，可得到一次性對稱密鑰；

2、 用一次性對稱密鑰解密數(shù)據(jù)，可得到源數(shù)據(jù)和加密特征碼后的密文數(shù)據(jù)；

3、 用發(fā)送方的公鑰解密數(shù)據(jù)，得到源數(shù)據(jù)和源數(shù)據(jù)的特征碼；

4、 使用與發(fā)送方相同的單向加密算法重新計算源數(shù)據(jù)的特征碼，并與解密出的特征碼進行比較，如果特征碼相同，那得到的源數(shù)據(jù)可信，否則，源數(shù)據(jù)不可信。

PS：文字性的東西總是讓人不好記憶，現(xiàn)上傳用xmind做的筆記，見附件！