对于 TLS(传输层安全性协定)
由 SSL 倒退而来,处于应用层和传输层之间的表示层和会话层,与应用层协定互相独立且相互协作。
特点:其利用非对称加密实现身份认证和密钥协商,对称加密算法采纳协商的密钥对数据加密,基于散列函数验证信息的完整性。
秘钥体系:
公钥、私钥体系:多对一非对称加密信道,计算开销大,作用有:1. 数字签名 2. 替换对称秘钥
数字签名的特点:
- 不可伪造(报文甄别)
- 不可批改(保温完整性)
- 不可否认(发送者不能抵赖对报文的签名)
对称秘钥体系:对称秘钥体系开销小,次要问题是通信单方如何平安获取秘钥。
对于甄别:
甄别可分为两种,一种是报文甄别,避免伪造和篡改;一种是实体甄别,甄别发送报文的实体。
- 报文甄别能够通过明码散列函数进行性能上的优化,通过对散列后果签名而不是对原文进行签名。
- 实体甄别,单纯靠公钥明码体制是无奈平安进行实体甄别的(中间人攻打),因为公钥是公开的,因而当中间人截获信道时能够用本人的公钥代替 server 的公钥。这个问题实质上是,client 如何确认 server 端是真的 server 而不是中间人。
认证核心 CA,其自身的权威性和真实性只能人为保障(大家公认的几个机构),它有本人的公钥和私钥。应用私钥对数字证书加密,每个 server 会向认证核心申请数字证书(其中蕴含本人的公钥),当 client 连贯时传递给 client,client 应用 CA 的公钥(权威 CA 机构的公钥内嵌于各大浏览器中)解密取得 server 的公钥。这样确保了公钥调配的可靠性。
https://www.zhihu.com/questio…