week9:Security: Web Security
(一) Securing Web Connections(保护网络连接)
1.Security Public/Private Key-Secure Sockets(安全公钥/私钥-安全套接字)
- 术语
保密性:防止未经授权者查看私人信息
完整性:信息来自于真实的发送方,并且自发送以来没有被修改
- 公钥加密(Public-key cryptography,也称非对称密钥):
①发明者:由Whitfield Diffie和Martin Hellman于1976年提出。
②实现:需要两个密钥,一个是公开密钥,另一个是私有密钥;一个用作加密,另一个则用作解密。使用其中一个密钥把明文加密后所得的密文,只能用相对应的另一个密钥才能解密得到原本的明文;甚至连最初用来加密的密钥也不能用作解密。由于加密和解密需要两个不同的密钥,故被称为非对称加密;不同于加密和解密都使用同一个密钥的对称加密。
③特点:虽然两个密钥在数学上相关,但如果知道了其中一个,并不能凭此计算出另外一个;因此其中一个可以公开,称为公钥,任意向外发布;不公开的密钥为私钥,必须由用户自行严格秘密保管,绝不透过任何途径向任何人提供,也不会透露给被信任的要通信的另一方。
④其他功能:基于公开密钥加密的特性,它还提供数字签名的功能,使电子文件可以得到如同在纸本文件上亲笔签署的效果。公开密钥基础建设透过信任数字证书认证机构的根证书、及其使用公开密钥加密作数字签名核发的公开密钥认证,形成信任链架构,已在TLS实现并在万维网的HTTP以HTTPS、在电子邮件的SMTP以STARTTLS引入。
- Http和Https
①基本概念:
HTTP:是互联网上应用最为广泛的一种网络协议,是一个客户端和服务器端请求和应答的标准(TCP),用于从WWW服务器传输超文本到本地浏览器的传输协议,它可以使浏览器更加高效,使网络传输减少。
HTTPS:是以安全为目标的HTTP通道,简单讲是HTTP的安全版,即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
HTTPS协议的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
②区别:
1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
(二)Identity on the Web(网络上的身份)
1.Security-Integrity and Certificate Authorities(安全性-完整性和证书颁发机构)
- 证书颁发机构(CA)
证书颁发机构是颁发数字证书的实体。数字证书由证书的指定主体证明公钥的所有权。CA是受信任的第三方,它同时受到证书所有者和依赖证书的一方的信任。
- 数字证书
在密码学中,公钥证书(也称为数字证书或身份证书)是一种电子文档,它使用数字签名将公钥与身份(如个人或组织的名称、地址等信息)绑定在一起。证书可用于验证公钥是否属于特定个人或组织。