【.com快译】在当今的数字世界中,人们无论何时何地都在交换信息,而且每天都在呈指数级增长。跨系统交换的数据的安全性至关重要,因为它们容易受到网络攻击。随着世界走向数字化,建立安全连接并了解其工作原理变得更加重要。随着IT技术的发展,涌现出许多现代技术和产品,改变了人们的日常工作和生活。人们正在从零售购物转向在线购物,金融交易数字化,货币数字化,照片分享和列表名列其中。由于大多数人的活动都是在线进行的,您如何保证通过网络传输的数据安全?本文解释了幕后发生的事情及其工作原理。信息交换当人们交换信息时,他们通常使用诸如互联网之类的东西,但由于其共享的性质,任何人都可以拦截和查看交换的信息。在这种情况下,两个通信方可以采用加密策略以接收方可以读取的加密格式发送消息。早期系统交换共享密钥,发送方将使用该密钥进行加密,接收方将使用该密钥进行解密。由于两者使用相同的密钥,因此称为对称密钥。接收方使用密钥进行解码,只有双方使用相同的密钥才能进行解码。但如果中间有人知道这个密钥,就可以读取和更改消息。为了使用公共渠道进行有效的通信,可以利用使用两个密钥的公钥密码术。一个是公共的,另一个是私人的。这种技术称为非对称加密或公钥加密。Public-keycryptography在公钥密码学中使用两个密钥:一个称为公钥,另一个称为私钥。这两个密钥是链接在一起的,公钥不能与其他私钥一起使用,反之亦然,它们是绑定在一起的。这些密钥在哈希函数中用于生成数据的哈希值,该值使用公钥加密。消息的预期接收者使用相应的私钥对其进行解密,并且只有关联的私钥才能对其进行解密。如果中间人窃取了密钥,他会发送公钥进行加密,并使用私钥进行解密以更改原始消息,然后使用预期接收者的公钥对原始消息进行加密。这样,原来的发送方和接收方就不会知道有中间人改动了,他们会认为发送和接收的内容是准确的。由于公钥和私钥很容易落入中间人手中,因此应该有一种对服务器进行身份验证的方法,即通过出示其身份证书来验证其身份。服务器从受信任的第三方系统(通常是证书颁发机构(CA))获取其身份证书。CA类似于政府办公室或受信任的机构,它遵守公钥基础设施(PKI)标准和指南,以颁发作为CA的实体所遵循的证书。在验证预期用户的真实性后,CA颁发证书并使用其私钥签署证书。此签名称为证书的数字签名。使用的证书有很多种,每种都有自己的用途。例如,在当今客户端和服务器之间的Web交换世界中,使用X509证书,它遵循ASN.1(抽象语法符号一)标准。此证书通常以二进制数据的形式存储在文件系统中,通常会转换为称为PEM(隐私增强电子邮件)的Base64ASCII文件,其扩展名为.pem、.crt、.cer等。例如X509v3证书内容如下:PropertiesfilesData:Version:3(0x2)SerialNumberSignatureAlgorithmIssuerValidityNotBeforeNotAfterSubjectSubjectPublicKeyInfoPublicKeyAlgorithmPublic-KeyX509v3extensionsSignatureAlgorithmSignatureValueSignature值例如医生办公室允许患者通过他们的网站在线安排约会并注册他们的详细信息。服务器然后充当CA并证明其身份并获得以他的域名(医生办公室)为主题的证书。CA验证医生办公室的身份并向服务器颁发X509证书。请参阅下面的示例,了解使用OpenSSL命令生成的x509证书的内容。使用SSL/TLS的安全连接双方之间的安全连接是使用SSL/TLS协议标准建立的。虽然以前使用过SSL但由于安全漏洞而被弃用,但现在主要使用TLS。SSL/TLS层位于TCP/IP之上,在应用层之前。因此驻留在应用层的应用程序自动被安全协议覆盖。考虑在医生办公室进行在线预约的示例,其中服务器在部署应用程序之前向CA执行几个步骤。托管医生办公室网页的Web服务器向CA请求证书。CA审核医生办公室的申请并颁发证书;它还使用其私钥(数字签名)对其进行签名。由CA颁发的证书称为实体证书,它包含用于验证服务器的公钥。服务器端有对应的私钥,该私钥驻留在服务器端,即部署医生办公应用的服务器端。如前所述,证书的所有者或主题与医生办公室的域相匹配。例如,www.doctoroffice.com。SSL握手患者从浏览器访问医生办公室网页。它的请求通过不安全的通道到达服务器;浏览器发送它使用的SSL版本、密码设置以及服务器建立安全SSL通道所需的任何其他信息。服务器依次响应其SSL版本、密码设置,并发送它从CA收到的证书(也称为叶证书或实体证书)。客户端使用其信任库验证从服务器接收到的叶证书。浏览器和计算机都带有嵌入在信任库中的大多数第三方CA的中间证书和根证书。浏览器在其信任库中搜索签署叶证书的相应中间证书。然后使用中间证书的颁发者公钥来验证数字签名(因为公钥和私钥是成对的);如果能够验证数字签名,则验证进入中间,直到到达自签名根证书,最后结束。此验证称为证书路径验证或证书链接。一个证书可以有一个或多个中间证书,并且链必须被验证。服务器证书通过身份验证后,客户端会根据需要将其证书发送到服务器。在某些情况下,客户端请求资源并通过出示其证书来证明其身份。而在使用浏览器的情况下,没有使用证书的客户端身份验证(应用程序使用其他形式的身份验证,如用户名/密码)。如果客户端无法验证来自客户端信任库的服务器证书,它将终止连接并且浏览器将显示一条警告消息。此外,浏览器会根据域中的主题名称检查用户输入的域名,显示错误消息,并停止进一步的连接。身份验证成功后,客户端使用商定的密码为会话生成一个预主密钥,并使用服务器的公钥对其进行加密,这是叶证书的一部分。服务器用服务器的私钥解密预主密钥,然后生成主密钥。然后客户端和服务器都使用主密钥生成会话密钥,对称密钥用于加密和解密该会话的消息。证书链是什么样的?使用OpenSSL验证证书链:只使用中间人来验证证书。下面给出了不同中介签署的证书的验证。中间证书和根证书作为OpenSSL的一个文件。通过正确的中间证书和根证书链的验证。在找到正确的中间证书和根证书后,OpenSSL能够验证叶证书。结论了解密码学将使人们对他们每天访问的网站充满信心,并在与其他方握手期间出现任何异常情况时,更深入地了解浏览器试图与其他人通信的内容。关于凭证认证的力量将使人们能够更安全地上网。原标题:密码学和安全连接:工作原理,作者:JosephStephenSavariraj
