网络通讯中的4种 安全问题

网络层- ARP欺骗

ARP欺骗的防护原理

DoS，DDoS 攻击

应用层 DNS 劫持

HTTP 协议的安全问题

单向散列函数，不可逆 MD4,MD5,SHA全家桶

可逆，对称加密 DES,3DES,AES

DES,已经被破解，不建议使用

3DES

AES 目前都使用的一种

密钥配送问题

实际开发中，用的比较多的是 非对称加密 方法

可逆，非对称加密 RSA

非对称加密解密 大致流程如下：

A 和 B,C,D 三个通讯。

B,C,D可以给A发信息

那么 A 会 生成 一对密钥，一对密钥的意思就是一个公钥，一个私钥

A 会把 公钥 公布，或者发送给 B,C,D

那么 B,C,D拿到公钥后，将自己的的信息使用 公钥 加密，发送出去。

这时候即使  E 这个黑客 拦截了 B,C,D 发送给A的 信息，由于E 没有私钥（即使E有公钥），也无法解密。

 A 想给 C 发信息

C会生成  一对密钥，

C将 公钥 公布，或者发送给A

那么 A 拿到公钥后，将自己的的信息使用 公钥 加密，发送出去。

只能C 解密，完成通讯

也就是说：在我们目前学习的认知里面，一般都是 公钥加密，私钥解密就可以了

但是实际上，使用私钥加密，公钥解密 的场景也有，比如在数字签名的时候也能用到

混合密码系统

实际开发中的如何使用的？是非对称加密 和 对称加密 结合起来一起完成的。

实际上完全使用 非对称加密 就可以完成，那么为啥还需要对称加密呢？

因为 非对称加密的 效率低，因此要结合 对称加密一起来完成

数字签名

我们来看一个问题

如下是 数字签名的 过程

我们会将要发送的消息 通过发送者的私钥 加密，变成签名，然后将消息和签名一起发过去。接受者 收到后，通过 发送者的公钥 解密，就知道发送者发送的消息是啥了。

实际上我们在发送者的步骤的时候，除了发送被发送者的私钥加密后的信息外，还应该明文的发送消息本身。

因为数字签名本身的应用场景：就是发送一些 让大家都可以看的消息，但是又要让大家知道这个消息确实是我发送的，不是别人发送的。

从上面看到：我们会发两个内容，一个是明文的消息本身，一个是消息加密后的 签名。为什么要发两个呢？只是发一个 消息加密后的 签名，行不行呢？

由于发送方使用的私钥加密的，那么理论上 中间窃取者  也能收到该消息并成功解密，收到后，可以改动消息内容，但是由于 中间窃取者 没有 发送者的私钥，没有办法使用发送者的私钥 加密，但是 中间窃取者 可以随便用个密钥加密（注意，这里是随便一个密钥） ，然后发送给接受者。接受者在收到加密后的消息后，使用 发送方的公钥解密，发现解出来是乱码，但是接受者这个乱码是不是就是发送方想发送的真正的内容呢？因此还要发送 明文的消息本身。

这里还有一个问题，就是我们是把 整个消息都加密了，但是这个消息有可能很大，直接加密浪费的资源太大了。

数字签名改进

证书

到这里，前面的加密 和 数字签名 实际上还有一个问题没有解决，就是公钥的传播问题，我们回头去看一下，不管是 加密 还是 数字签名，实际上都存在着，对方要先知道 另外一方的公钥 问题，但是这个公钥 是可以被篡改的，如下图 ：为了解决此问题，因此有了 证书 。