网络安全第一次作业（2）

DNS域名解析过程

1、检查本地DNS缓存，看缓存中是否有解析数据
2、查看本地hosts文件
3、本机固定的DNS服务器（即路由器）找13台根域服务器
4、根域服务器找到com域，com域找到baidu域，给路由器返回结果；
再返回结果给主机
5、和百度服务器建立tcp可靠连接，三次握手机制
6、最终通过浏览器实现解析页面

HTTPS的信息传输过程

HTTPS即加密的HTTP，HTTPS并不是一个新协议，而是HTTP+SSL（TLS）。原本HTTP先和TCP（假定传输层是TCP协议）直接通信，而加了SSL后，就变成HTTP先和SSL通信，再由SSL和TCP通信，相当于SSL被嵌在了HTTP和TCP之间。

HTTPS通过非对称加密来传递对称加密的密钥，然后通过对称加密进行数据传输：
1、客户端先从服务器获取到证书，证书中包含公钥
2、客户端将证书进行校验
3、客户端生成一个对称密钥，用证书中的公钥进行加密，发送给服务器
4、服务器得到这个请求后用私钥进行解密，得到该密钥
5、客户端以后发出后续的请求，都使用这个对称密钥进行加密。
6、服务器收到这个密文也用这个密钥进行解密。

对称加密
指的是明文在加密和暗文在解密过程中都使用同一个密钥。
比如：一个简单的对称加密, 按位异或
明文a=1314,密钥key=1314,
那么密文为a^1314 =b,在解密密文过程中也使用异或运算b^1314就获得了原来的明文1314
当明文引入对称加密后，即使黑客入侵网络设备，让数据被截获，但不知道密钥是什么，也无法进行准确的解密。

非对称加密
非对称加密：一般使用两个密钥，一个是称为‘公钥’，另一个叫做‘私钥’。
公钥和私钥是配对的，其最大的缺点就是运算速度慢，比对称加密慢许多。
私钥就可以对密文解密也可以对明文进行加密，公钥也一样。一般情况来说客户端可以获得公钥，而服务器一般使用私钥。

当客户端拥有公钥时，向服务器发送密钥时步骤如下：
客户端中先用公钥将密钥进行加密形成密文，再将密文发送给服务器
服务器接收到密文后，通过私钥对密文进行解密从而获取客户端给的密钥
再将收到密钥的信息发给客户端，让客户端知道自己已经收到密钥了
之后客户端就使用自己生成的密文进行对称加密来传递明文

注意：对称加密的效率比非对称加密高很多, 因此只是在开始阶段协商密钥的时候使用非对称加密, 后续的传输仍然使用对称加密.
不过这种方法也有一定问题：如果客户端获取的公钥是黑客伪造的，那么其后续的加密就没有用了。

为了解决这一问题：通常，在客户端和服务器建立的时候，服务器给客户端返回一个证书，该证书里面就包含公钥，也包含了网站的信息。

CA的概念及作用

CA机构，又称为证书授证(Certificate Authority)中心，作为电子商务交易中受信任和具有权威性的第三方，承担公钥体系中公钥的合法性检验的责任。CA中心为每个使用公开密钥的客户发放数字证书，数字证书的作用是证明证书中列出的客户合法拥有证书中列出的公开密钥。

作用：
1．自身密钥的产生、存储、备份/恢复、归档和销毁
2．为认证中心与各地注册审核发放机构的安全加密通信提供安全密钥管理服务
3．确定客户密钥生存周期，实施密钥吊销和更新管理
4．提供密钥生成和分发服务
5．提供密钥托管和密钥恢复服务
6．其他密钥生成和管理、密码运算功能