HTTP协议默认是采取明文传输的,容易被中间人窃听、拦截、篡改,存在安全隐患。
常见提高安全性的方法是对通信内容进行加密,再进行传输,常见的加密方式有
不可逆加密:单向散列函数
可逆加密:对称加密、非对称加密
其它组合加密:混合密码、数字签名、证书
单向散列函数
单向散列函数是一种不可逆的加密方式,加密后不能再解密将数据恢复原样,通过单向散列函数根据根据消息内容计算出散列值,无论消息的长度、大小是多少,最终生成的散列值长度都是固定值。
常见的散列函数有 MD5、SHA,虽然说具备单向性,但仍然有些网站可以暴力破解较为简单的内容。
但加密的原始内容更为复杂的话,破解的可能性就会较为小一些,比如开启大小写+字符的方式。
不可逆的加密方式可用于保存一些不需要还原的敏感信息,比如用户的密码,如果明文存放无论是开发者、网络维护人员看到、或者被黑客攻击都会存在信息泄露的问题,那么加密保存便是一种比较合适的方式。
比如当用户注册时,保存的密码是经过单向散列函数加密存放在数据库的,当用户登录时,将输入的密码加密后和数据库中保存的进行比较。即使用户忘记密码,也无需考虑还原原密码,让用户重新设置新密码即可。
对称加密
在对称加密中,加密、解密时使用的是同一个密钥。
对称加密算法常用 DES、3DES、AES
对称加密密钥如何配送仍然会存在问题,除非私下共享,只要经过网络明文传输,都存在被拦截窃取的可能。
我们换个思路,是否存在一种加密方式,即使配送密钥的被窃取了,也不用担心,因为单单只用一个密钥不会影响数据传递。非对称加密就是这样,加密和解密都需要公钥和私钥两个密钥共同协作。
非对称加密
在非对称加密中,密钥分为加密密钥和解密密钥,两者并不相同,加密密钥一般是公开的,因此也称为公钥,解密密钥由消息接收者自己保管,不能公开,也称为私钥。
公钥和私钥是一一对应的,不能单独生成,一堆公钥和私钥统称为密钥对,由公钥加密的密文,必须使用与该公钥对应的私钥才能解密,由私钥加密的密文,必须使用与该私钥对应的公钥才能解密。
这样,使用非对称加密便可以解决密钥配送问题,由接收者生成密钥对,将公钥配送给消息发送者,发送者通过公钥加密消息后,发送密文给接收者,接收者再通过私钥解密消息。
在这个过程中,即使消息、公钥被中间人窃听也没关系,因为公钥加密的消息只可通过对应的私钥解密,而私钥是保存在接收者处的。
非对称加密比较安全,解决了密钥的配送问题,但它的加密速度比对称加密要更慢一些,如果所有内容都采用非对称加密,那网络上通信将变得非常慢。
混合密码
混合密码是将对称加密和非对称加密优势相结合的方法,解决了对称加密的密钥配送,非对称加密速度慢的问题。
使用对称加密将消息加密,再通过非对称加密算法加密对称加密的密钥,这样就能保证复杂的内容使用加密较快的对称加密,而重要的信息通过非对称加密。
数字签名
以上方式从接收者的角度,可以保证消息的在传输过程的安全,但如何能保证来源的可靠性呢?如果被窃听,中间人也是可以通过公钥加密伪造消息发送给接收者的。
数字签名就是一种保障来源的方式,与以上混合加密不同,是由消息发送者的私钥生成签名,由消息接收者通过公钥验证签名。
消息是明文传输不安全,并且使用非对称加密所有的消息会比较耗时,可以改进为使用散列函数将消息加密,再通过私钥对散列函数加密,因为散列函数不可逆可以解决安全问题,并且散列函数处理过的数据长度是一个比较短的固定值,能解决耗时的问题。
证书
公钥的配送仍然可能存在问题,如果存在中间人窃听了公钥,可以自己生成一套密钥对,并将自己的公钥传递给消息发送方。
为了保证公钥的安全性,可以依靠于认证机构来颁发数字签名。
总结
- 单向散列函数不可逆,加密后长度固定
- 对称加密解密使用的是相同的密钥,加密速度较快,但密钥的配送存在安全问题
- 非对称加密存在密钥对,分为加密密钥公钥和解密密钥私钥,加密速度较慢
- 混合密码结合对称加密和非对称加密,同时做到安全和较快的加密速度
- 数字签名用于确认消息的完整性,识别消息是否被篡改
- 证书保证公钥的安全
以上就是各种加密方式,以解决HTTP协议带来的安全问题。更多有关 前端、网络协议的内容可以参考我其它的博文,持续更新中~
