概念一:
- 公鑰:顧名思義婶熬,大家都有的鑰匙两疚,當(dāng)然不適合解密,但適用于加密
- 私鑰:不能被別人知道的鑰匙弯囊,適合解密
概念二:單向加密
客戶端發(fā)送給服務(wù)器的數(shù)據(jù)痰哨,加密后,只能被服務(wù)器解密匾嘱;服務(wù)器相應(yīng)給客戶端的信息斤斧,加密后,可以被所有人解密(其實就是不加密)霎烙;也就是單向加密
非對稱加密流程
- 客戶端向服務(wù)發(fā)起請求撬讽,獲取公鑰
- 服務(wù)器返回公鑰
- 客戶端,使用公鑰加密數(shù)據(jù)悬垃,發(fā)送給服務(wù)器
- 服務(wù)收到加密數(shù)據(jù)游昼,用私鑰加密,得到數(shù)據(jù)
- 服務(wù)用私鑰加密數(shù)據(jù)盗忱,返回給客戶端
- 客戶端收到加密的數(shù)據(jù)酱床,用公鑰解密,得到數(shù)據(jù)
概念三:(看起來和概念一沖突趟佃,但結(jié)合概念二扇谣,理解加密的意義本質(zhì),就懂了)
- 公鑰加密闲昭,私鑰解密
- 私鑰加密罐寨,公鑰解密
不安全的 非對稱加密流程
- 客戶端向服務(wù)發(fā)起請求,獲取公鑰
- 經(jīng)過網(wǎng)關(guān)(路由器或者服務(wù)器序矩,都可以是網(wǎng)關(guān))鸯绿,請求被惡意用途的服務(wù)器代理
- 惡意用途的服務(wù)器,去請求 真實服務(wù)器 公鑰,得到公鑰瓶蝴,返回 惡意用途的服務(wù)器 的公鑰
- 客戶端 用 惡意用途的服務(wù)器的公鑰加密毒返,發(fā)送數(shù)據(jù) 給真實服務(wù)器,請求依然被惡意用途的服務(wù)器代理
- 惡意用途的服務(wù)器 用 自己的私鑰解密舷手,得到數(shù)據(jù)拧簸,再用 真實服務(wù)器 公鑰加密,去請求 真實服務(wù)器男窟;
- 真實服務(wù)器 用私鑰解密成功盆赤,認為是合法請求。開始操作數(shù)據(jù)庫等其他行為歉眷。(轉(zhuǎn)賬成功等等)
安全的 非對稱加密流程
一牺六、CA機構(gòu) 和 操作系統(tǒng)
-
CA機構(gòu),把自己的公鑰汗捡,植入到操作系統(tǒng)淑际;
image.png
image.png
二、服務(wù)器 與 CA機構(gòu)
- 服務(wù)器開發(fā)人員把公鑰上傳到CA機構(gòu)凉唐,并且填寫一些信息庸追,網(wǎng)站域名,身份證台囱,手機號,等等
- CA機構(gòu) 要求 服務(wù)器開發(fā)人員读整,在服務(wù)器某個文件夾下簿训,新建一個文件,填寫一些信息米间;用于校驗强品,確保這個公鑰真的是這個服務(wù)器的。
- CA機構(gòu)請求 服務(wù)器上的文件屈糊,得到信息 和 自己要求的一致的榛,認證通過;用自己的私鑰加密逻锐,生成"數(shù)字證書"夫晌,發(fā)送給 服務(wù)器開發(fā)人員
- 服務(wù)器開發(fā)人員,把"數(shù)字證書"存到服務(wù)器上
三昧诱、客戶端 與 服務(wù)器
- 客戶端向服務(wù)發(fā)起請求晓淀,獲取"數(shù)字證書"(CA機構(gòu)私鑰加密過的,服務(wù)器的公鑰)
- 服務(wù)器 返回 "數(shù)字證書"
- 客戶端使用操作系統(tǒng) CA機構(gòu)的公鑰盏档,解密得到 服務(wù)器的公鑰凶掰,如果"數(shù)字證書"是 惡意用途的服務(wù)器代理返回的,解密會失敗。這就是 CA機構(gòu) 的作用懦窘,它的公鑰是安全的前翎,不在網(wǎng)絡(luò)上傳輸,植入到操作系統(tǒng)畅涂。和 私鑰一樣安全鱼填,放在服務(wù)器上,不傳輸毅戈。
- 客戶端 拿到 真實服務(wù)器 公鑰苹丸,解密數(shù)據(jù),發(fā)送給你服務(wù)器
- 服務(wù)器用自己的私鑰解密苇经,再用自己的私鑰加密數(shù)據(jù)赘理,發(fā)送給客戶端
- 客戶端拿 公鑰解密。完成一次請求
