网络安全问题-防篡改、防劫持、防重放

网络不安全

首先我们要意识到网络是不安全的，在数据传输过程中可以被100%拦截到。

推荐一篇文章：写的简单易懂关键！

对称加密

概念：采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密 ，这种加密方法称为对称加密，也称为单密钥加密。
密钥：加密解密的钥匙。
安全问题：秘钥泄露或者被中间人劫持到密钥，凉凉！

非对称加密

基于对称加密存在的问题，非对称加密诞生了。
概念：公钥与私钥是一对，如果用公钥对数据进行加密，只有用对应的私钥才能解密。
公钥：公开密钥
私钥：私有密钥
工作原理：
1.A要向B发送信息，A和B都要产生一对用于加密和解密的公钥和私钥。
2.A的私钥保密，A的公钥告诉B；B的私钥保密，B的公钥告诉A。
3.A要给B发送信息时，A用B的公钥加密信息，因为A知道B的公钥。
4.A将这个消息发给B（已经用B的公钥加密消息）。
5.B收到这个消息后，B用自己的私钥解密A的消息。其他所有收到这个报文的人都无法解密，因为只有B才有B的私钥。

安全问题：非对称加密算法的保密性比较好，劫持者无法窃取报文信息。但是公钥还在网络间传输，劫持者依旧可以篡改数据，用劫持到的公钥再次加密。
总结：《码出高效：java开发手册》p40 言简意赅

https协议

https可以有效防止DNS劫持和放数据篡改！
签名：（数据+公钥）的再次加密。
CA证书：由专业机构下发浏览器，彼此信任。签名后的公钥。

1. 防篡改：在非对称加密中可以看出，劫持者伪造了私钥和公钥，https采用对数据的签名来解决。劫持者采用非对称加密的方式进行数据篡改，但是无法劫持到CA认证的私钥，此时浏览器已经有CA证书了，篡改后的数据是得不到浏览器认可的。
2. 防劫持：一旦NDS被劫持，那么跳转后的非法网站返回的数据是得不到CA的认证的。
   总结：数据是由服务器的公钥保持安全的；服务器的的公钥是由CA保证安全的。只要CA的私钥不丢失，中间人是不法修改签名的公钥的。
   

防重放

重放攻击：就是攻击者发送一个目的主机已接收过的包，来达到欺骗系统的目的，主要用于身份认证过程。
问题来了，以上解决方案可以解决Server到Client的相对安全，但是黑客就是劫持了你的请求。疯狂发送怎么办？
解决方案：timestamp + redis缓存唯一标识

		long uid = 12414355534252646L;String token = "huahfahhgehgowehg232j3jb2k5bbk2ljl";long time = new Date().getTime();String nonce = putRedisKey(time);String sign = MD5Utils.MD5Encode("uid=" + uid + "&time" + time + "&nonce" + nonce + token, "utf8");private static String putRedisKey(long time) {return "Redis60s-" + time;}

总结：超60 sreturn；篡改时间戳，签名认证失败；不超60s redis判断唯一标识key（固定60s寿命）