为何弃用http协议

在十几年前，我们的传输协议是http协议，为何到了如今改成了https协议呢？为了安全的考虑。

在http协议中，我们的内容是透明的，不被保护的，在黑客等恶意分子的面前，信息极其任意被破译

让我们看看客户端如果使用http发送账户信息

使用http协议的port

客户端以get方式提交数据。

在url时就会暴露我们的账户密码数据 

我们客户端改用post提交信息

不会在url暴露我们的账户信息，但是真的安全吗，使用《fiddler》抓包工具

在fiddler中，我们捕获了，这台从这台机器发送给目标服务器的一条报文，截获了账户数据。

fiddler的工作原理是：在client和server之间，加了个中间层。

让我们看看post方式发送的账户信息被截获的情况。

在被捕捉后，在fiddler中，我们可以查看到账户的信息情况，这种传递数据的发送依旧是不安全的。

https可以看成http+加密数据

使用我们的https协议就会对数据进行数据加密，保护了我们的数据流动的安全性。

如何加密呢？密钥的出现。

密钥   

在加密算法中，传入正确的密钥参数对明文数据进行加密处理，返回密文。

在解密算法中，传入正确的密钥参数对密文数据进行解密处理，返回明文。

这里的Secret_key1与Secret_key2，可能相同也可能不同，不同场景不同使用。

        密钥的意义：控制密码处理过程的关键因素,密码技术中需要保密的只有密钥。 为了安全,可以定期更换密钥,而无须改变密码的处理过程,也就是不用更换密码算法,这样既安全又节省成本。 实际上，密钥是一系列不可预测的随机数，用于控制加密操作

密钥功能种类

对称型密钥

双方都使用同一把密钥对数据加密解密操作，加密效率较高。

同用X密钥加密解密，效率高，不用区分密钥，程序编写容易。

服务端与客户端用同样的密钥加密解密数据。

非对称密钥

加密解密算法的

• A钥加密的数据A钥无法解密，必须由B钥解密。
• B钥加密的数据B钥无法解密，必须由A钥解密。

在被攻击时，如何使用密钥起到保护

在第一次交流后遭受攻击

在第一次交流时候就遭受攻击，第一种攻击类型

但是正所谓不怕贼偷，就怕贼惦记，黑客一直在server前蹲守client做三次握手动作。

这个时候client一旦对server发起请求，就会被发现黑客截获，发现你开始第一次交流开始了。

对对称密钥的攻击

如果我们是以对称密钥加密数据下，在server发回数据时会携带X密钥数据，这个时候就会被黑客得知X密钥信息。

对非对称密钥的攻击

双端非对称密钥

客户端和服务器都有一对公钥密钥。

非对称密钥+对称密钥

这个方法效率要优于双端非对称密钥。

在第一次交流时候就遭受攻击，第二种攻击类型

别忘了，黑客不仅仅可以看数据，还可以改数据！！！！！

在第一种攻击中，第三和第四看似安全，但在第二种攻击中加密就消失了。

拿第四个防护用第二种攻击方式攻击。

哪我们怎么办呢？？那我们的信息岂不是随随便便被人看见，还有安全可言吗？

在防范之前先介绍两个东西，数据摘要于数字签名

数据摘要和数字签名

数据摘要

一篇文章经过一个hash算法形成一段固定的数字，这就是数据摘要.

不论文章字数长度，100w字和1个标点符号生产的数据摘要是一样长的。

一个文章只要有一点点哪怕一个符号的改变，经过同一个哈希函数生成的数据摘要都相差甚远。

数据签名

数据签名是对数据摘要做非对称加密算法生成的一串密文，这种签名必须是政府机构发行的签名，解密也必须只能用政府机构的公钥解密。

铺垫结束

CA机构给的证书

客户端与服务器建立链接的时候，服务器发送的并不是只有公钥这么简单的东西，而是发送了一份由CA机构承认的证书。

什么意思呢？就是类似于我们开店需要政府发行的经营资格证，公司在创立早期时候，会向国际CA组织申请CA证书，需要我们提交各种各样的信息。

什么是证书呢？

为什么CA证书可以有效抵挡中间者伪造密钥

让我们模拟中间人第二种攻击模式，攻击证书吧。

不仅篡改服务器公钥也篡改数字签名

没有人会用黑客的公钥来解密数字签名，所以伪造的数字签名+CA公钥生成的数据摘要无法和hash算法的算出的数据摘要配对。保证了证书的合法性。

---

大千世界无奇不有，有攻有防，没有绝对的安全再计算机领域，我们做个假设，如果有个黑客特别牛皮，可以逆推出，伪数据摘要+CA公钥=>得出了应该的数字签名，那可就完蛋了，证书也不管用了,时刻小心提防才是正确的。