周志明的软件架构课
周志明
博士,远光软件研究院院长,《深入理解 Java 虚拟机》《凤凰架构》等书作者
54203 人已学习
免费领取
课程目录
已完结/共 74 讲
开篇词 (2讲)
开篇词 | 如何构建一个可靠的分布式系统?
时长 09:39
导读 | 什么是“The Fenix Project”?
时长 14:51
演进中的架构 (6讲)
01 | 原始分布式时代:Unix设计哲学下的服务探索
时长 15:45
02 | 单体系统时代:应用最广泛的架构风格
时长 15:17
03 | SOA时代:成功理论与失败实践
时长 16:44
04 | 微服务时代:SOA的革命者
时长 18:21
05 | 后微服务时代:跨越软件与硬件之间的界限
时长 13:37
06 | 无服务时代:“不分布式”云端系统的起点
时长 11:05
架构师的视角 (24讲)
07 | 远程服务调用(上):从本地方法到远程方法的桥梁
时长 17:11
08 | 远程服务调用(下):如何选择适合自己的RPC框架?
时长 23:54
09 | RESTful服务(上):从面向过程编程到面向资源编程
时长 28:41
10 | RESTful服务(下):如何评价服务是否RESTful?
时长 21:30
11 | 本地事务如何实现原子性和持久性?
时长 16:55
12 | 本地事务如何实现隔离性?
时长 15:56
13 | 全局事务和共享事务是如何实现的?
时长 21:29
14 | 分布式事务之可靠消息队列
时长 17:49
15 | 分布式事务之TCC与SAGA
时长 18:46
16 | 域名解析系统,优化HTTP性能的第一步
时长 14:53
17 | 客户端缓存是如何帮助服务器分担流量的?
时长 17:42
18 | 传输链路,优化HTTP传输速度的小技巧
时长 26:27
19 | 如何利用内容分发网络来提高网络性能?
时长 18:08
20 | 常见的四层负载均衡的工作模式是怎样的?
时长 27:36
21 | 服务端缓存的三种属性
时长 22:49
22 | 分布式缓存如何与本地缓存配合,提高系统性能?
时长 21:22
23 | 认证:系统如何正确分辨操作用户的真实身份?
时长 30:57
24 | 授权(上):系统如何确保授权的过程可靠?
时长 25:08
25 | 授权(下):系统如何确保授权的结果可控?
时长 13:15
26 | 凭证:系统如何保证与用户之间的承诺是准确完整且不可抵赖的?
时长 20:38
27 | 保密:系统如何保证敏感数据无法被内外部人员窃取滥用?
时长 15:56
28 | 传输(上):传输安全的基础,摘要、加密与签名
时长 15:08
29 | 传输(下):数字证书与传输安全层
时长 20:03
30 | 验证:系统如何确保提交给服务的数据是安全的?
时长 12:24
春节特别放送 (3讲)
春节特别放送(上)| 有的放矢,事半功倍
时长 01:31
春节特别放送(下)| 积累沉淀,知行合一
时长 00:30
用户故事 | 詹应达:持续成长,不惧未来
时长 00:50
分布式的基石 (14讲)
31 | 分布式共识(上):想用好分布式框架,先学会Paxos算法吧
时长 26:17
32 | 分布式共识(下):Multi Paxos、Raft与Gossip,分布式领域的基石
时长 17:49
33 | 服务发现如何做到持续维护服务地址在动态运维中的时效性?
时长 19:33
34 | 路由凭什么作为微服务网关的基础职能?
时长 17:41
35 | 如何在客户端实现服务的负载均衡?
时长 17:29
36 | 面对程序故障,我们该做些什么?
时长 12:25
37 | 要实现某种容错策略,我们该怎么做?
时长 20:15
38 | 限流的目标与模式
时长 25:03
39 | 如何构建零信任网络安全?
时长 16:23
40 | 如何实现零信任网络下安全的服务访问?
时长 20:26
41 | 分布式架构中的可观测到底说的是什么?
时长 10:05
42 | 分析日志真的没那么简单
时长 21:38
43 | 一个完整的分布式追踪系统是什么样子的?
时长 16:36
44 | 聚合度量能给我们解决什么问题?
时长 20:19
不可变基础设施 (17讲)
45 | 模块导学:从微服务到云原生
时长 08:39
46 | 容器的崛起(上):文件、访问、资源的隔离
时长 08:03
47 | 容器的崛起(下):系统、应用、集群的封装
时长 20:44
48 | 以容器构建系统(上):隔离与协作
时长 15:31
49 | 以容器构建系统(下):韧性与弹性
时长 12:09
50 | 应用为中心的封装(上):Kustomize与Helm
时长 13:36
51 | 应用为中心的封装(下):Operator与OAM
时长 18:23
52 | Linux网络虚拟化(上):信息是如何通过网络传输被另一个程序接收到的?
时长 19:54
53 | Linux网络虚拟化(下):Docker所提供的容器通讯方案有哪些?
时长 34:08
54 | 容器网络与生态:与CNM竞争过后的CNI下的网络插件生态
时长 23:34
55 | 谈谈Kubernetes的存储设计理念
时长 28:03
56 | Kubernetes存储扩展架构:一个真实的存储系统如何接入或移除新存储设备?
时长 15:24
57 | Kubernetes存储生态系统:几种有代表性的CSI存储插件的实现
时长 16:17
58 | Kubernetes的资源模型与调度器设计
时长 31:58
59 | 透明通讯的涅槃(上):通讯的成本
时长 12:34
60 | 透明通讯的涅槃(下):控制平面与数据平面
时长 22:19
61 | 服务网格与生态:聊聊服务网格的两项标准规范
时长 21:15
探索与实践 (6讲)
62 | Fenix's Bookstore的前端工程
时长 13:22
63 | 基于Spring Boot的单体架构
时长 14:41
64 | 基于Spring Cloud的微服务架构
时长 22:20
65 | 基于Kubernetes的微服务架构
时长 19:33
66 | 基于Istio的服务网格架构
时长 20:20
67 | 基于云计算的无服务架构
时长 09:18
结束语 (2讲)
结束语 | 程序员之路
时长 13:28
结课测试 | 一套习题,测出你的掌握程度
时长 00:52
周志明的软件架构课
15
15
1.0x
00:00/00:00
登录|注册

29 | 传输(下):数字证书与传输安全层

周志明
你好,我是周志明。
上节课,我们花了很多时间来学习传输安全层中的摘要、加密和签名的主要用途和差别,在最后,我给你留了一个问题:数字签名需要分发公钥,但在网络世界里,“公开”具体是一种什么操作?如何保证每一个获取公钥的服务,拿到的公钥就是授权服务器所希望它拿到的呢?在网络中一切皆不可信任的假设前提下,任何传输都有可能被篡改,那这个问题能够解决吗?
答案其实是可以的,这就是数字证书要解决的问题。
所以接下来,我们就先从数字证书如何达成共同信任开始说起,一起来了解下在传输安全的过程中,数字证书与传输安全层的相关实现细节。

如何通过数字证书达成共同信任?

有了哈希摘要、对称和非对称加密之后,签名还是无法保证负载中的信息不可篡改、不可抵赖。所以,当我们无法以“签名”的手段来达成信任时,就只能求助于其他途径。
现在,你不妨想想真实的世界中,我们是如何达成信任的。其实不外乎以下这两种:
基于共同私密信息的信任
比如某个陌生号码找你,说是你的老同学,生病了要找你借钱。你能够信任他的方式是向对方询问一些你们两个应该知道,而且只有你们两个知道的私密信息,如果对方能够回答上来,他有可能真的是你的老同学,否则他十有八九就是个诈骗犯。
基于权威公证人的信任
如果有个陌生人找你,说他是警察,让你把存款转到他们的安全账号上。你能够信任他的方式是去一趟公安局,如果公安局担保他确实是个警察,那他有可能真的是警察,否则他也十有八九就是个诈骗犯。
确认放弃笔记?
放弃后所记笔记将不保留。
新功能上线,你的历史笔记已初始化为私密笔记,是否一键批量公开?
批量公开的笔记不会为你同步至部落
公开
同步至部落
取消
完成
0/2000
荧光笔
直线
曲线
笔记
复制
AI
  • 深入了解
  • 翻译
    • 英语
    • 中文简体
    • 中文繁体
    • 法语
    • 德语
    • 日语
    • 韩语
    • 俄语
    • 西班牙语
    • 阿拉伯语
  • 解释
  • 总结

数字证书在网络安全中扮演着关键角色,通过建立共同信任的方式解决了数字签名的可信性问题。本文详细介绍了数字证书的内容和PKI的概念,强调了数字签名体系的复杂性和自动化应用的重要性。同时,文章深入解析了传输安全层的发展历程和技术特点,包括SSL 1.0到TLS 1.3的演进过程以及TLS 1.2的握手过程和安全性保障机制。通过对TLS 1.2握手过程的详细解读,读者可以了解到在传输安全层中如何保障信息的加密传输、防篡改和身份验证。文章还强调了HTTPS的安全性,指出启用HTTPS并非保证安全,不同的协议版本、密码学套件和证书有效性都会影响站点的安全强度。因此,读者需要更深入地了解HTTPS的相关内容,以确保信息的安全传输。文章内容全面而深入,为读者提供了有益的技术信息,让他们能够快速了解数字证书和传输安全层的作用、实现细节以及技术特点。

该试读文章来自《周志明的软件架构课》,如需阅读全部文章,
请先领取课程
免费领取
© 版权归极客邦科技所有,未经许可不得传播售卖。 页面已增加防盗追踪,如有侵权极客邦将依法追究其法律责任。
登录 后留言

全部留言(11)

  • 最新
  • 精选
  • Free
    老师好,我用Wireshark抓包查看了测试环境的tsl的握手过程,发现握手过程的第三步开始和本节略有差异,请问有差异的原因是在我抓包的场景里,服务器选择的密码学套件和本节讲的密码学套件不一样造成的吗? 另外下面的③是属于②的一部分,只是因为包大小的关系被分成了两个吗? 以下是抓包得到的流程: ①客户端-->服务器:Client Hello (含第一个随机数、可选的密码学套件16个) ②服务器-->客户端:Server Hello (含第二个随机数、选择的密码学套件:ECDHE_RSA_WITH_AES_128_GCM_SHA256) ③服务器-->客户端:Certificate、Server Key Exchange、Server Hello Done ④客户端-->服务器:Client Key Exchange、ChangeCipher Spec、Encrypted Handshake Message ⑤服务器-->客户端:Change Cipher Spec、Encrypted Handshake Message

    作者回复: 2和3都被认为是Server Hello的过程。

    2021-05-14
    9
  • zhanyd
    关于数字证书,有一篇我觉得非常经典的文章: http://www.youdzone.com/signature.html
    2021-01-22
    21
  • 文进
    TLS是安全应用层面的,需要建立在TCP传输层已经连接上的基础上,即通常情况下,TCP三次握手已经完成,再进行TSL四次握手。
    2022-06-16
    6
  • 我相信很多人看到这里,一个头俩大,我这里有一个讲的挺不错的加密签名的,可以对照着一起看 https://www.zhihu.com/question/52493697/answer/1600962734
    2022-06-13
    5
  • null
    原文:如果协商出的加密算法组合是依赖证书认证的,服务端还要发送出自己的 X.509 证书,而证书中的公钥是什么,也必须根据协商的加密算法组合来决定。 【而证书中的公钥是什么,也必须根据协商的加密算法组合来决定】,需要根据协商的加密算法组合,动态生成公钥么?那证书是动态实时生成的?证书不是提前申请好的么
    2022-11-23归属地:广东
  • Allen
    数字证书可以用来做签名,防抵赖,例如电子合同签约等
    2022-01-11
  • return
    老师,请教一下, 如果根证书被修改为一个冒充者的证书, 或者使用盗版系统 盗版浏览器, 其实还是有风险, 对吗
    2021-12-29
  • 要做个读书人
    老师是怎么学了这么多东西的。 感觉计算机各个方面的知识都很有体系,了解各个细节和技术的由来,以及技术的优缺点(是解决了哪部分问题,而不能解决哪部分)。 感觉自己学习的时候看了就忘。
    2021-11-04
  • CA颁发的证书,我怎么感觉和授权中心颁发的TOKEN一样,只是验证证书来源可靠性,可以直接在本机依赖根证书去验证
    2021-07-05
  • neohope
    1、机构、网站、身份认证 2、APP开发者认证 3、可执行程序开发者认证 4、控件开发者认证 5、API认证 6、文档的电子签章证书 7、大家自己搭建开发环境时有时需要自签名证书 其实还有很多咯。 除了顶级CA之外,其实CA也分等级的,这就涉及到了证书链。 此外,CA还要维护黑名单,吊销一些还在有效期之内的证书。
    2021-04-05
收起评论
显示
设置
留言
11
收藏
沉浸
阅读
分享
手机端
快捷键
回顶部