|
|
|
联系客服020-83701501

用谈恋爱的方式来解释一下HTTPS

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约

  还记得小时候那段青春朦胧的初恋吗?即使在学习压力非常大的高考下,情窦初开的我们,还是用着最青涩的方式去表达对异性的好感。那是一个没有电子产品存在的学校里,我们通常都是用最原始的方式——传小字条,来向对方表达自己的心意。可能现在很多人床底下那个月饼盒里,还藏着当年和小情侣的情书。

用谈恋爱的方式来解释一下HTTPS

  但是小纸条上所有的信息都是明文公开的,要是被老师或者同学看到了会非常尴尬,而且这是属于两人独家的记忆,而这是万万不可让第三者监听或偷窥了去的。

  在加密协议的发展史里,最初,小情侣传纸条这样的方式我们称之为http1.0的协议,这还是1996年的学长们制定的一种规范。

  虽然这套协议满足了校园中情侣们日常的纸条传递需求,但是很明显有很大的纰漏,因为http是明文传输的,传递每张纸条都要重新建立起tcp连接,这十分消耗时间,也考验着同学们的耐心,非常低效。

  半年后,在1997年,学长们终于忍受不了这种折磨了,于是对http1.0进行完善。首先http1.1设计了一种长连接,在一次通信中,可以保持tcp连接不断开,这样就为多次传递纸条提供了一个稳定的通道。此外,在这个tcp通道里,学长可以向学姐发出多张纸条,而不用像以前那样只能发一张收一张了。更加激动人心的是,以前只能在纸条上写文字,现在可以附上照片、视频等内容,这简直是小情侣们的一大福音。

  而到了2015年,字节高中里一位学长决定要创新与推动协议的发展,为了让同学们能够更愉快和高效地传纸条,他发布了http2。

  在这个新版本中,他实现了“多工”的方式,即双方可以同时实时地向对方发送纸条,不需要像以前那样一一对应了。

  比如学姐现在收到了两张纸条,一张是“你中午吃了什么?”,第二张是“周末准备去哪玩?”她想详细地规划一下周末去哪玩(耗时任务),但又不想让对方久等,于是她现在可以先简短回复第二张纸条——“周末我想去电影院,然后和你一起去图书馆”。然后完全回复第一张纸条——“中午吃的食堂,难吃死了。”接下来她可以慢慢构思周末想看哪部电影,看完电影再去哪个书店,然后再发送对第二张纸条的完整回复。同时,http2将所有的信息格式都定义为二进制,为了将来能直接发送更高级的应用而方便解码。

  可是好景不长。近年来学校里的不良少年竟渐渐多了起来。

  他们偷窃纸条,将其篡改再发送,引起情侣间的矛盾;监听情侣间的对话,然后将其报告给教导主任或匿名张贴在校门口,利用纸条上有价值的信息大发横财,赚的盆满钵满。一时间,校园内风声鹤唳,草木皆兵。同学们都不再敢使用http来传纸条了。

  由于http是明文传输,这确实很容易让不良少年截获,那么,怎么才能有效地对信息进行加密呢?

  小A和小B是校园中一对令人艳羡的情侣,现在他们准备亲身开创并尝试一种新的传纸条方式,以此来造福大家,也为了打击学校里的不良少年。

  首先,他们是这么设想的:

  看上去是可行的,但其实too young,不良少年只要截获KEY,发送伪造的KEY,那么之后的所有消息都将被监听。

  问题的核心在于,直接传输密钥是不安全的,需要对密钥进行加密。我们的目的是:即使中间人截获了密钥,也无法对密钥解密。

  那么,密钥要怎么进行加密?

  如果使用对称加密来加密密钥,那么密钥的密钥在传输过程中仍然是不安全的,需要再对密钥的密钥加密。这将无限叠加,最终仍是不安全的,而且显然不合理。

  如果使用非对称加密,首先服务器生成一对公钥和私钥,将公钥发送出去;对方收到公钥后,本地使用对称加密生成一个密钥KEY,然后使用公钥加密这个密钥KEY,发送;服务器收到公钥加密的数据后,使用私钥解密,得到KEY。这时,双方可以使用KEY来加密数据,开始安全地交流。(即使中间人截获了公钥加密的数据,但是由于没有私钥(私钥只有签发公钥的服务器保管,不会用于传输)所以无法解密出KEY。)

  设想图如下:

  但其实还是too simple。假如小B(服务器)在传输公钥给小A(客户端)时,公钥被截获,小C(中间人)自己生成一对公钥私钥,并将伪造的公钥传到小A,这样一来,又被完全监听了。

  此时,产生了这种情况:客户端使用的是KEY1,服务器使用的是中间人伪造的KEY2,而中间人拥有KEY1,KEY2。所以中间人可以无限篡改数据。

  小A和小B又陷入了沉思,虽然新的方案解决了密钥被截获的问题,但是产生了新的难点,现在的问题域缩小为:如何加密并安全传输公钥?

  如果只是给公钥再对称加密或非对称加密的话,必定还是会衍生出鸡生蛋,蛋生鸡的问题。这该怎么办呢?此时,需要一个权威机构来主持大局。于是同学们决定推选班长CADY(CA)来担此重任。

  CADY是这样来操作的:

  首先,每个同学在入学的时候,都会收到由班长颁发的公钥A,而这个公钥A是绝对可信任的。以后,哪个同学谈恋爱了,需要串小纸条了,就到班长CADY处申请证书,证书将用于对你的公钥B进行加密,然后你将你的公钥B加密后传输给你的对象,因为他/她在开学之初已经收到了CA的颁发的公钥A,只要用这个公钥A来解密数据,若能解开,便能取出你的公钥B。

  流程如下:


  此时还有一个问题,因为不良少年也是学校里的学生,图一中可以看到,CADY给不良少年也颁发了CA公钥,不良少年也是可以去向CADY申请证书的。若不良少年截获服务器发送的证书,改成自己的,那岂不是又出现了不安全的问题?如下图:

  可以发现有可能出现两个问题:

  1、证书被中间人截获,使用CA公钥篡改

  2、中间人将自己的证书伪造成源服务器发送的

  但这两个问题其实不会出现,CADY早就考虑过这个问题,在证书的设计之初就解决了。其中引入了“数字签名”的概念。

  到此为止,不良少年再也无法利用信息传输中的空子了。而https即在SSL之上的http,正是使用了这种方式来保证传输的安全。

  时代在进步在发展,我们的生活越来越离不开网络,可以说网络承载着我们大部分的生活,这些稍不注意就会裸露在不法分子手上,而今天所讲的几个关键词,都是为了保护我们的信息安全而衍生出来的成果。为网站部署SSL证书进程已势不可挡,数安时代建议广大站长或企业网站负责人尽早为网站部署合适的SSL证书,为保护用户信息尽一份力。

  数安时代有15年的技术沉淀,技术应用核心行业50多,技术应用业务领域300多处,自适应128-256位加密,SHA256签名算法,秘钥长度高达2048-4096位,且一直致力于促进我国信息安全保护的进程。我国经过国际Webtrust标准认证的CA机构仅有3家,而数安时代就是其中之一,除了自主品牌GDCA,还有SymantecGlobalsignGeoTrust等品牌,多种选择,一次对比,有需要可以联系客服咨询。

数安新闻+更多

证书相关+更多