在网络安全中我们经常会遇到很多的安全问题,我们抛去前端漏洞,来聊聊网络通信和网络协议方面的,很多时候都会听到https,加密解密等,遇到漏洞,安全解决方案很多也都是用安全通道传输,用对称加密,用非对称加密等等解决方案

我们就针对这些简单介绍下密码方面的知识.

来看这个场景:

有一天,Bob正在浏览网页的时候,遇到页面弹出一个框框,上面写着”老婆不在的时候玩的游戏哦”,bob很兴奋的打开开始玩游戏,为了看到你懂的的时候,已经花了上千元了,bob非常气愤,打电话给网站客服,说你们骗人,我都充了那么多钱了,客服来了句,我们没有这个游戏推广啊,这个发生了啥?Bob说这个在你们网站上弹出来的推广啊.

另一种场景,bob使用信用卡买东西,信用卡没有设置密码验证,输入了信用卡卡号和cvv2码之后支付成功了,隔了几天之后,bob收到了信用卡客服电话,说你的信用卡已经刷爆了,这个发生了什么事情?我只用过一次,只支付了100元啊.

这里遇到的两个问题:

1. 正常的网页中被插入了不正常的代码,或者登入到了一个假冒的页面网站
2. 信用卡信息被其他人利用了

那么来考虑解决方法:

1. 保证网页信息在传输过程中不被其他人篡改(完整性)
2. 保证个人敏感信息传输过程中不被其他人窃听(机密性)
3. 我们还得保证登入的站点是正确,可靠的网站(认证)

我们可以考虑下是不是可以通过加密来解决这些问题呢?

首先我们需要了解几个加密机制:对称加密,非对称加密,消息认证码,签名,证书

我们假设你和小伙伴分别是Alice和Bob,中间有个坏人叫Eve,他想要的就是获取你们之间的秘密信息

• 对称加密:

你们之间决定对信息进行了加密,你们之间商量好了一个密码,你可以想象成一个密码箱,秘密信息锁在密码箱中,只有你们两个知道密码,这样Eve拿到了密码箱,不知道密码,他就无法获取到你们之间的传递的信息了

在网络中传输信息就不能有密码箱存在了,那么可以可以协商一个密码,被成为密钥,比如一串数字:778279381038710238676,这串数字是只有你们之间才知道的.Alice使用这串密钥加密信息:”星期天在河边交易”.

我们暂时不考虑加密的具体实施,最终形成的信息是:”阿达色调的完全”,这个在网络中传输,Eve拿到的信息也只是这个,没有任何意义的,信息传递到blob那边,使用同样的密钥解密出字符串:”星期天在河边交易”.

这样就完成了信息的加密传输,这种方式就叫做对称加密.从例子来看,也就是加密和解密中使用的是同一套密钥

• 非对称

从非对称就可以看出和对称加密的不同,对称加密是使用同一套密钥,那么非对称加密就是使用的不是同一套密钥.

举例来说,Alice完成了信息的加密,但是她的密钥信息泄漏了,eve拿到了他的密钥信息和加密后的信息,在对称加密中这样eve就能直接拿到明文信息了,但是在这次Alice和Blob采用了非对称加密的方式,eve发现拿到的密钥去解密信息,发现还是无意义的字符串:”阿三大哇塞大锅饭”,以为不是啥敏感信息,传递到了Blob,blob使用自己的密钥成功解密了信息:”星期天在河边交易”

非对称加密就是加密密钥和解密密钥是不一样的

• 消息认证码和证书

消息认证码是一种域密钥相关联的单向散列函数,单向散列函数就是我们常说的hash,常见的包括了md5,sha1等等

证书:为公钥加上数字签名,和驾照相似,里面记录了姓名,组织,邮箱,地址等个人信息,以及属于此人的公钥,并由认证机构施加数字签名.确认该公钥确实属于此人.

证书也是在安全中用到最多的一种机制

• 签名数字

签名在安全中很重要,后面找个时间单独说说

要是了解非对称之后可以看下面这个:

非对称加密:解密密钥只能由解密的人持有,加密的密钥可以任何人持有
数字签名:签名密钥只有签名的人持有,验证密钥可以任何人持有

好了,下面我们来解决我们刚才遇到的问题:

保证机密性,可以考虑使用对称加密,我们生成随机密钥,通过非对称加密机制把密钥发送给通信对象

要保证完整性,可以考虑消息认证码,要保证认证问题,可以考虑使用证书

ok,我们只要把这三个方案放到一个框架中,就解决问题了,那么这个就是SSL/TLS协议

HTTPS

用SSL和TLS作为通信进行加密,然后再进行http的传输,这样url产生的就是https://开头的,大家可以访问baidu看看.

除了http,SSL/TLS也可以用保护其他的协议:smtp,pop3等等,这样收发邮件也有了安全的传输

SSL/TLS的区别

TLS的主要目标是使SSL更安全，并使协议的规范更精确和完善

1 更安全的MAC算法
2 更严密的警报
3 “灰色区域”规范的更明确的定义

使用SSL/TLS进行通信

握手协议

握手协议是TLS协议的一部分,复杂生成共享密钥和交换证书,其中,生成共享密钥是为了进行密码通信,交换证书是为了通信双方互相进行认证

客户端:”你好,我能理解的密码套件有RSA/3DES,或者DSS/AES”,请问我们使用哪一种进行通信呢?” (ClientHello 消息)

服务器:”你好,我们使用RSA/3DES来进行通信吧.” (ServerHello 消息)

服务器:”好,这个是我的证书” (Certificate消息:证书清单)

服务器:”我们用这些信息做密码交换吧”(ServerKeyExchange消息)

服务器:”还有请给我看下你的证书” (CertificateRequest消息)

服务器:”我到此结束” (ServerHelloDone消息)

客户端:”这个是我的证书”( Certificate证书消息)

客户端:”这个我进过加密的预备主密码”(ClientKeyExchange消息)

客户端:”我确实是客户端证书的持有者” (CertificateVerrify消息)

客户端:”好,现在我切换密码了” (ChangeCiperSpec)

客户端:”结束” (Finished)

服务器:”我要切换密钥了”(ChangeCiperSpec)

服务器:”握手结束”

经过这些流程:

客户端获取到服务器的合法公钥,完成服务器认证
服务器获取到客户端的合法公钥,完成后服务器认证
客户端和服务器生成了密码通信过程中的共享密钥
客户端和服务器生成了消息认证码中的使用的共享密钥

密码规格变更协议

用户密码切换的同步

警告协议

发生了错误异常后使用

应用数据协议

用于和通信对象之间传送应用数据

主密码

主密码是TLS客户端和服务器之间协商出来的一个秘密的数值

对SSL/TLS的已知攻击方式

1. OPENSSL的心脏出血
2. POODLE 攻击
3. FREAK攻击
4. 对伪随机数生成器的攻击
5. 利用证书的时间差进行攻击