HTTPS的加密問(wèn)題
上海聚搜信息技術(shù)有限公司是阿里云的代理商網(wǎng)址:http://www.4526.cn/可以直接在網(wǎng)站上聯(lián)系阿里云代理商客服進(jìn)行咨詢服務(wù)器架構(gòu)和配置以及優(yōu)惠價(jià)格?。ň鬯?a href="http:///">營(yíng)銷介紹鏈接：http:///meiyou/）是一家致力于搜索引聚搜營(yíng)銷及全網(wǎng)營(yíng)銷，致力于為客戶提供搜索營(yíng)銷領(lǐng)域的服務(wù)，幫助廣告客戶在搜索引聚搜獲取的投資回報(bào)，包括搜索引聚搜競(jìng)價(jià)服務(wù)(SEM)，搜索引聚搜優(yōu)化服務(wù)（seo）和搜索營(yíng)銷代運(yùn)營(yíng)服務(wù)，能夠有效為廣告主帶來(lái)高效的投放回報(bào)，我們的理念一直是：讓搜索營(yíng)銷營(yíng)銷具有價(jià)值。
聚搜營(yíng)銷團(tuán)隊(duì)于2015年在上海成立，團(tuán)隊(duì)核心均來(lái)自百度搜索部門和國(guó)內(nèi)知名服務(wù)商的成員，有非常豐富的產(chǎn)品和項(xiàng)目?jī)?yōu)化經(jīng)驗(yàn)，這兩年來(lái)，服務(wù)于國(guó)內(nèi)很多大中型企業(yè)和很多初創(chuàng)公司，通過(guò)我們多年的經(jīng)驗(yàn)和服務(wù)，幫助他們?cè)谒阉鳡I(yíng)銷領(lǐng)域上取得了不斷的成功。
1.加密相關(guān)的幾個(gè)概念
1）對(duì)稱加密
概念：采用單鑰密碼系統(tǒng)的加密方法，同一個(gè)密鑰可以同時(shí)用作信息的加密和解密，這種加密方法稱為對(duì)稱加密，也稱為單密鑰加密。
使用一個(gè)公式來(lái)描述：
加密：f(key,data) = X
解密：g(key,X) = data
data為我們想要加密的內(nèi)容，key就是對(duì)稱加密使用的單秘鑰，X為加密后的內(nèi)容。f為加密，g為解密。
常見(jiàn)的對(duì)稱加密算法有DES、3DES、AES等，目前用得比較多的是AES加密。

2）非對(duì)稱加密
概念：非對(duì)稱加密算法需要兩個(gè)密鑰來(lái)進(jìn)行加密和解密，這兩個(gè)密鑰是公開(kāi)密鑰（public key，簡(jiǎn)稱公鑰）和私有密鑰（private key，簡(jiǎn)稱私鑰）。
使用一個(gè)公式來(lái)描述：
A-->B方向：
加密：f(pk,data) = X
解密：g(sk,X) = data
B-->A方向：
加密：f(sk,data) = Y
解密：g(pk,Y) = data
假設(shè)A是客戶端，B是服務(wù)器。
當(dāng)A向B發(fā)數(shù)據(jù)時(shí)，A使用公鑰（pk）加密，得到加密后的數(shù)據(jù)X。
B收到X后，使用私鑰（sk）解密。
當(dāng)B向A發(fā)數(shù)據(jù)時(shí)，B使用私鑰（sk）加密，得到加密后的數(shù)據(jù)Y。
A收到Y(jié)后，使用公鑰（pk）解密。
注意：所有能夠與B服務(wù)器交換數(shù)據(jù)的客戶端都可以持有公鑰，而服務(wù)器持有私鑰（只有服務(wù)端B有私鑰）?？梢詤⒖糞SH協(xié)議中的私鑰和公鑰。
常見(jiàn)的非對(duì)稱加密算法有：RSA、DSA、ECDSA等。
3）HASH散列
概念：HASH散列是把任意長(zhǎng)度的輸入（又叫做預(yù)映射pre-image）通過(guò)散列算法變換成固定長(zhǎng)度的輸出，該輸出就是散列值。這種轉(zhuǎn)換是一種壓縮映射，也就是，散列值的空間通常遠(yuǎn)小于輸入的空間，不同的輸入可能會(huì)散列成相同的輸出，所以不可能從散列值來(lái)確定唯一的輸入值。簡(jiǎn)單的說(shuō)就是一種將任意長(zhǎng)度的消息壓縮到某一固定長(zhǎng)度的消息摘要的函數(shù)。
hash散列有什么作用？
我們一般使用哈希值來(lái)比較一個(gè)文件或一段內(nèi)容是否被篡改。例如在我們使用迅雷或其他下載工具下載了一個(gè)軟件，我們想驗(yàn)證是否下載完整則可以使用它的散列值進(jìn)行比對(duì)，如果一致則下載完整，如果不一致則內(nèi)容有問(wèn)題。
常用的Hash散列算法有：MD4、MD5、SHA1、SHA-256等。
2.只使用對(duì)稱加密的情況
我們?cè)贖TTP的基礎(chǔ)上讓客戶端（瀏覽器）和服務(wù)器只使用對(duì)稱加密，如下圖所示：
從圖中可以看出，客戶端和服務(wù)器之間如果只使用對(duì)稱加密技術(shù)，則始終需要商議一個(gè)加密用的秘鑰（key，例如一個(gè)隨機(jī)字符串）。在這個(gè)商議的過(guò)程中，黑客就可以介入進(jìn)行截取，只要黑客獲取到這個(gè)key，那么后面的對(duì)稱加密就完全失效了。
3.只使用非對(duì)稱加密的情況
在HTTP上只使用非對(duì)稱加密的技術(shù)，如下圖所示：
可以看到，黑客可以截取到公鑰以及之后傳輸?shù)臄?shù)據(jù)，并可以解密服務(wù)器發(fā)給客戶端的數(shù)據(jù)，同樣存在數(shù)據(jù)安全的問(wèn)題。（這里只討論數(shù)據(jù)加密的安全問(wèn)題，中間人攻擊在后面討論）
4.同時(shí)使用對(duì)稱加密和非對(duì)稱加密的情況
既然只使用對(duì)稱加密和只使用非對(duì)稱加密都無(wú)法避免數(shù)據(jù)被黑客截取，那么我們可以將對(duì)稱加密和非對(duì)稱加密結(jié)合起來(lái)使用，如下圖：
從圖中可以看到，我們使用非對(duì)稱加密算法來(lái)協(xié)商對(duì)稱加密的秘鑰key。客戶端拿到服務(wù)器的公鑰后，產(chǎn)生一個(gè)隨機(jī)的key，然后使用公鑰對(duì)其進(jìn)行加密，并發(fā)送給服務(wù)器。
由于公鑰加密的內(nèi)容只有私鑰才能解密，也就是說(shuō)黑客即便截取到了公鑰，也無(wú)法獲取到key。
所以之后的數(shù)據(jù)使用key進(jìn)行對(duì)稱加密是絕對(duì)安全的。
從以上過(guò)程我們可以看到，使用對(duì)稱加密+非對(duì)稱加密的方式可以使黑客無(wú)法通過(guò)截取的方式來(lái)獲取數(shù)據(jù)，看似已經(jīng)很安全了，但是我們還要討論一種情況，就是中間人欺騙攻擊。
5.中間人欺騙攻擊
在第4節(jié)的基礎(chǔ)上，可能出現(xiàn)以下情況，如圖：
黑客在中間充當(dāng)一個(gè)中間人，讓客戶端以為自己是服務(wù)器，讓服務(wù)器以為自己是客戶端。
他使用一套假的非對(duì)稱加密秘鑰來(lái)與客戶端進(jìn)行通訊，而使用服務(wù)器給的真的公鑰與服務(wù)器進(jìn)行通訊，從中將數(shù)據(jù)解密并重新加密，起到兩邊欺騙的效果。
那么，如何防范這種中間人欺騙的攻擊呢？
那就需要服務(wù)器能夠證明自己的身份?？蛻舳藦姆?wù)器拿到公鑰的同時(shí)，還要能夠確定當(dāng)前通訊的服務(wù)器的身份是正確的（從而才能確保拿到的公鑰是正確的，使用該公鑰加密，只有正確的服務(wù)器才能解密）。