• 关于 策略模式概念解读 的搜索结果

回答

定位(Positioning),由美国著名营销专家艾·里斯(AlRies)与杰克·特劳特(Jack Trout)于70年代早期提出。   2001年,定位被美国营销学会评为有史以来对美国营销业影响最大的观念。   2007年,美国权威媒体评选“全球十大顶尖商业战略大师”,艾·里斯与彼得·德鲁克、杰克·韦尔奇等并列其中。   2009年,美国《财富》杂志(Fortune,2009年2月刊)推出“历史上百本最佳商业经典著作”前十位介绍,由艾·里斯与杰克·特劳特合著的《定位》名列首位。   当时,他们在美国《广告时代》发表了名为《定位时代》系列文章。只后,他们将这些观点和理论集中反映在他们合作的第一本著作《广告攻心战略》一书中。正如他们所言,这是一本关于传播沟通的教科书。   1996年,杰克·特劳特整理了25年来的工作经验,写出了《新定位》一书。也许是更加符合了时代的要求,但其核心思想却仍然源自于他们于1972年提出的定位论。定位理论的产生,源于人类各种信息传播渠道的拥挤和阻塞,可以归结为信息爆炸时代对商业运作的影响结果。科技进步和经济社会的发展,几乎把消费者推到了无所适从的境地。首先是媒体的爆炸:广播、电视、互联网,录音带、录像带、光盘使消费者目不暇接。其次是产品的爆炸:仅电视就有大屏幕的、小屏幕的,平面直角的、超平的、纯平的,从耐用消费品到日用品,都给人以眼花缭乱的感觉。再就是广告的爆炸:电视广告、广播广告、报刊广告、街头广告、楼门广告、电梯广告,真可谓无孔不入。因此,定位就显得非常必要。   定位是对产品在未来的潜在顾客的脑海里确定一个合理的位置。定位的基本原则不是去创造某种新奇的或与众不同的东西,而是去操纵人们心中原本的想法,去打开联想之结。定位的真谛就是“攻心为上”,消费者的心灵才是营销的终级战场。消费者有五大思考模式:消费者只能接收有限的信息、消费者喜欢简单,讨厌复杂、消费者缺乏安全感、消费者对品牌的印象不会轻易改变、消费者的想法容易失去焦点。掌握这些特点有利于以帮助企业占领消费者心目中的位置。而定位的方法有多种,如强化自己已有的定位、比附定位、单一位置策略、寻找空隙策略、类别品牌定位、再定位等。   按照艾·里斯与杰克·特劳特的观点:定位,是从产品开始,可以是一件商品,一项服务,一家公司,一个机构,甚至于是一个人,也可能是你自己。定位并不是要你对产品做什么事情,定位是你对产品在未来的潜在顾客的脑海里确定一个合理的位置,也就是把产品定位在你未来潜在顾客的心目中。定位可以看成是对现有产品的一种创造性试验。“改变的是名称、价格及包装,实际上对产品则完全没有改变,所有的改变,基本上是在作着修饰而已,其目的是在潜在顾客心中得到有利的地位”。   所谓定位,就是令你的企业和产品与众不同,形成核心竞争力;对受众而言,即鲜明地建立品牌。   ——杰克·特劳特   所谓定位,就是让品牌在消费者的心智中占据最有利的位置,使品牌成为某个类别或某种特性的代表品牌。这样当消费者产生相关需求时,便会将定位品牌作为首选,也就是说这个品牌占据了这个定位。   —— 特劳特(中国)品牌战略咨询有限公司总裁 邓德隆 编辑本段定位的前提   按照艾·里斯与杰克·特劳特的理论,我们目前已成为一个传播过多的社会,而消费者只能接受有限的信息,消费者抵御这种“信息爆炸”的最有力武器就是最小努力法则--痛恨复杂,喜欢简单。现有产品在顾客心目中都有一定的位置,例如,人们认为可口可乐是世界上最大饮料生产商,格兰仕是中国最大的微波炉生产商,北京同仁医院是中国最著名的眼科医院等,这些产品和服务的提供者在与消费者长期的交易中所拥有的地位,是其他人很难取代的。也就是说,消费者对品牌的印象不会轻易改变。定位的基本原则不是去创造某种新奇的或与众不同的东西,而是去操纵人们心中原本的想法,去打开联想之结,目的是要在顾客心目中,占据有利的地位。唯其如此,方能在市场上赢得有利的竞争地位。   一般说来,企业在营销中的失策表现为两大类:   一是在市场逐渐成熟后,如果企业不能及时构思新的定位,从而使其陷入困境。例如,在冰箱、电视机等已成为国内的成熟技术之时,再有一个厂家去宣传自己是第一个引进外国技术,就会让人笑掉大牙。而海尔、长虹等企业诉求“海尔,中国造”、“长虹,以振兴民族工业为已任”,则收到了极好的效果。   二是随着企业不断扩张和进行多元化角逐,而使消费者对产品的印象愈来愈模糊。美国雪佛莱汽车公司就经历过这样的事情。过去,雪佛莱汽车是美国家庭汽车的代名词,但在雪佛莱将生产线扩大到涵盖卡车、跑车等车型后,消费者心中原有的“雪佛莱就是美国家庭房车”的印象焦点反而模糊了,而让福特站上了第一品牌的宝座。在我国,“三九胃泰”曾是著名的胃药生产商,而后,又扩张到啤酒的生产,这无疑是为厂家出了个大难题:饮酒对胃肠道是一个不良刺激,自己生产的产品又是治疗胃病,是酒好还是胃药好。这不正是“矛盾”这一古代寓言的现代翻版吗。然而,这也正是“定位”理论的用武之地。   定位的真谛就是“攻心为上”,消费者的心灵才是营销的终级战场。从广告传播的角度来看定位,它不是要琢磨产品,因为产品已是生出来的孩子,已经定型,不大容易改变,而容易改变的是消费者的“心”。 编辑本段消费者五大思考模式   要抓住消费者的心,必须了解他们的思考模式,这是进行定位的前提。《新定位》一书列出了消费者的五大思考模式,以帮助企业占领消费者心目中的位置。 模式一:消费者只能接收有限的信息。   在超载的信息中,消费者会按照个人的经验、喜好、兴趣甚至情绪,选择接受哪些信息,记忆哪些信息。因此,较能引起兴趣的产品种类和品牌,就拥有打入消费者记忆的先天优势。例如,我国的杭州娃哈哈集团,最初是以生产“娃哈哈”儿童营养液而一举成名。它的成功就是由于,产品定位准确,而广告定位更是让人过目不忘,因为它源于一首人人熟知的儿歌,很容易引进儿童与家长的共鸣。 模式二:消费者喜欢简单,讨厌复杂。   在各种媒体广告的狂轰滥炸下,消费者最需要简单明了的信息。广告传播信息简化的诀窍,就是不要长篇大论,而是集中力量将一个重点清楚地打入消费者心中,突破人们痛恨复杂的心理屏障。在这一点上最令人称道是我国的一种驱虫药广告,只须服两片,治蛲虫是两片,治钩虫也是两片。人们也许记不住复杂的药品名称,但只需说“两片”,药店的售货员就知道你要的是什么药。反过来,如果厂家在广告中介绍它的产品如何如何先进,效果如何显著,其结果可想而知。 模式三:消费者缺乏安全感。   由于缺乏安全感,消费者会买跟别人一样的东西,免除花冤枉钱或被朋友批评的危险。所以,人们在购买商品前(尤其是耐用消费品),都要经过缜密的商品调查。而广告定位传达给消费者简单而又易引进兴趣的信息,正好使自己的品牌易于在消费者中传播。如果一位消费者要买驱虫药,必然先向朋友打听,一说“两片”,既满足了消费者安全感的需要,也无须记一些专业名词。   模式四: 消费者对品牌的印象不会轻易改变 。 虽然一般认为新品牌有新鲜感,较能引人注目,但是消费者真能记到脑子里的信息,还是耳熟能详的东西。比如,对可口可乐公司的员工而言,它是总部设在亚特兰大市的一个“公司”,一个“机构”,而在一般消费者心目中,可口可乐是一种甜美的、深色的、加了碳酸气的饮料,可口可乐是一个著名饮料品牌。如果,可口可乐公司哪天心血来潮,去生产热门的香烟或者是啤酒,也许正是可口可乐的可叹可悲之时。 模式五:消费者的想法容易失去焦点。   虽然盛行一时的多元化、扩张生产线增加了品牌多元性,但是却使消费者模糊了原有的品牌印象。美国舒洁公司在纸业的定位就是一例。舒洁原本是以生产舒洁卫生纸起家的,后来,它把自己的品牌拓展到舒洁纸面巾、舒洁纸餐巾以及其他纸产品,以至于在数十亿美元的市场中,拥有了最大的市场占有率。然而,正是这些盲目延伸的品牌,使消费者失去了对其注意的焦点,最终让宝洁公司乘虚而入。难怪一位营销专家以美国人幽默方式发问:舒洁餐巾纸,舒洁卫生纸,到底哪个牌子是为鼻子而设计的呢。   所以,企业在定位中一定要掌握好这些原则:消费者接受信息的容量是有限的,广告宣传“简单”就是美,一旦形成的定位很难在短时间内消除,盲目的品牌延伸会摧毁自己在消费者心目中的既有定位。所以,无论是产品定位,还是广告定位一定要慎之又慎。 编辑本段定位方法   在广告泛滥、信息爆炸,消费者必然要用尽心力筛选掉大部分垃圾。例如,尽管市场上饮料众多,人们只知道有可口可乐、娃哈哈、乐百氏等几种品牌,并且这些品牌在他们心目中还是有一定顺序的,不用说,可口可乐一定是第一,至于第二、第三就要看厂家的定位策略了。   人们总是容易记住第一名,如谁都知道世界第一高峰是珠穆拉玛峰,但极少有人能说出第二大高峰,人们能很快说出体育比赛的冠军,亚军则不易给人留下印象。所以,在具体操作中营销人员要善于找出自己品牌所拥有的令人信服的某种重要属性或利益。通过一定的策略和方法,让自己的品牌给人们留下深刻的印象。这些方法一般有: 强化自己已有的定位   既然现有的产品和服务在消费者心目中都有一定的位置,如果这种定位对企业有利的话,就要反复向人们宣传这种定位,强化本企业的产品在消费者心目的形象,也就是自己的特色,而这种强化必须是实事求是的。如,在我国的冰箱生产厂家中,海尔反复强调自己的“高品质”,新飞则宣传自己是节能冰箱,而美菱把文章做在了“保鲜”上。 比附定位   使定位对象与竞争对象(已占有牢固位置)发生关联,并确立与竞争对象的定位相反的或可比的定位概念。如美国一家处于第二位的出租汽车公司,在广告中反复宣传:我们是第二,所以我们更加努力啊。这样,既强化了自己与第一的关系,又表明了自己处于弱者的位置,更易引起人们“同情弱者”的共鸣。 第一定位   处于领导地位者,要以另外的新品牌来压制竞争者。因为每一个品牌都在其潜在顾客心目中安置了独自所占据的一个特定处所。这是作为市场领导者所要采取的策略。既然自己是老大,“卧榻之侧,岂容他人酣睡”,因此,在各种场合宣传自己第一的形象自然就在情理之中。 市场空白   寻求消费者心目中的空隙,然后加以填补。其中有价格(高低),性别,年龄,一天中的时段,分销渠道,大量使用者的位置等各种空隙。如,万宝路在美国是著名的香烟品牌,而一个叫窈窕牌的香烟品牌,就是以女性抽烟者为突破口挑战万宝路而大获成功。 品类   当一个强大的品牌名称成了产品类别名称的代表或代替物时,必须给公司一个真正成功的新产品以一个新的名称,而不能采用“搭便车”的做法,沿袭公司原有产品的名称。这像“跷跷板”原理,当一种上来时,另一种就下去。因为一个名称不能代表两个迥然不同的产品。宝洁公司的多品牌策略就大有可取之处。 再定位   也就是重新定位,意即打破事物(例如产品)在消费者心目中所保持的原有位置与结构,使事物按照新的观念在消费者心目中重新排位,调理关系,以创造一个有利于自己的新的秩序。这意味着必须先把旧的观念或产品搬出消费者的记忆,才能把另一个新的定位装进去。海尔在最初是以宣传自己冰箱的品质优良作为定位,而在产品延伸之后,很快就突出了“中国造”、“向国际营销商授权”等新的定位。   需要指出的是,由于艾·里斯与杰克·特劳特都是广告人出身,他们的定位理论往往局限于一种广告传播策略,强调让产品占领消费者心目中的空隙。目前,定位理论对营销的影响远远超过了原先把它作为一种传播技巧的范畴,而演变为营销策略的一个基本步骤。这反映在营销大师科特勒对定位下的定义中。他认为,定位是对公司的提供物(原文是offer)和形象的策划行为,目的是使它在目标消费者的心目中占据一个独特的有价值的位置。因此,“营销人员必须从零开始,使产品特色确实符合所选择的目标市场。”科特勒把艾尔·列斯与杰克·特罗的定位理论归结为“对产品的心理定位和再定位”。显然,除此之外,还有对潜在产品的定位。这就给定位理论留下了更为广阔的发展空间。 编辑本段定位理论在中国的发展   定位的一个中心、两个基本点   定位理论传入中国后,定位理论和中国实践相结合,取得中部定位第一人、著名品牌定位专家鲁建华首次提出:定位理论的核心是一个中心、两个基本点,以打造品牌为中心,以竞争导向和进入顾客心智为基本点。 以打造品牌为中心    从根本的角度思考,营销的过程就是创造顾客、打造品牌的过程,营销就是打造品牌;从更广义的角度讲,创建伟大企业的过程其实就是创造顾客、打造品牌的过程,做企业就是做品牌,企业运营的本质就是打造品牌。   定位理论所有的概念、观点、体系都服务于打造品牌这个目的,是围绕打造品牌而展开的。离开打造品牌这个中心,谈论定位理论,必然会误入歧途,不得要领。 以竞争导向为基本点   顾客重要还是竞争重要。传统的营销理论认为,顾客更重要,没有顾客就不会有竞争,营销就是满足顾客的需要和需求。“顾客是上帝”观念至高无上,广为流传。至今顾客导向的观念仍然深入人心。   从纯理论的角度讲,顾客确实比竞争重要;但从实战的角度看,解决竞争才是最重要的。从满足、服务顾客的角度看营销,营销必然走向趋同,没有差异,最终只有沦落到打价格战的深渊;而从竞争角度看营销,营销就会有活力,营销必然走向创造顾客、创造需求的新境界,不断引领企业开创新的未来。   竞争导向要求营销者首先考虑的问题是如何让自己的品牌与竞争品牌区分开来,实现差异化,把生意从竞争对手那里转换过来。这是定位思考的起点。   营销就是战争,商场就是战场。定位就是在与竞争对手正式开战之前进入和占据一个最有利的位置。定位是建立在竞争之上,随着竞争的发展而发展的。   竞争导向的观念是定位理论的第一个基本点。 以进入顾客心智为基本点   营销中没有事实,只有认知。   这是商业中最隐秘、最基本的真理,三个方面的原因导致了这一点:   一是从事实到认知有一个过程,你不能跨越这个过程。这个过程就是事实要经过大脑的过滤、解读,最终体现事实的认知。   二是人们已经形成既有的认知和观念,他们认为自己的这些既有认知、观念就是事实。而这些既有的认知、观念会影响人们对新事物的认知。这表现在两个方面:其一,心智中既有的认知、观念会让人们有选择地接收信息,你“看到”、“听到”、“尝到”的事物往往是你“希望看到”、“希望听到”、“希望尝到”的事物;其二,心智中既有的认知、观念有时会误导你,比如在一个装满自来水的瓶子上贴上某纯净水品牌的商标,你对这个品牌既有的认知(纯净水)会影响到你对事实(自来水)的判断。   三是顾客的认知逻辑与企业的认知逻辑往往相反。虽然他们都认为质量更好的产品一定会胜出,企业判断质量的标准是产品的技术指标、最好的检测仪器(他们很自然地认为自己的产品质量更好),而顾客判断质量的标准是哪一种产品得到更多顾客青睐哪一种产品的质量就更好,顾客没有能力也没有精力去理会那些所谓的技术指标。这就是心智认知规律所揭示的事实。   其实所有的广告都是要影响你的认知,如果没有影响你,广告就是失败的;影响了你,那它就是成功的。离开认知,就没有办法谈营销。   营销之战不是事实之战,不是产品之战,不是市场之战,而是认知之战。商战的地点不是事实,不是产品,不是市场,而是心智。   商战的目的其实就是设法进入心智认知并占据一席之地。定位就是选择、占据心智认知上最有利的位置,通过商战实现这一目的。商战在顾客的心智中进行,心智是你获胜的地方,也是你落败的地方,心智决定成败。商战中没有事实,只有认知,认知即事实,认知决定成败。   坚持占据顾客心智是定位理论的第二个基本点。 辩证关系   心智是竞争的内容,竞争是进入心智的手段。竞争在心智中展开,心智是竞争的战场。心智为竞争开辟了全新的内容、提供了一个差异化的竞争角度,竞争是进入、占据心智的必由之路。心智认知规律决定竞争规律,竞争发现和提升了心智认知的价值和作用。竞争导向与占据心智这两个基本点有机结合,相互运动,共同服务于打造品牌。这就是定位理论的核心─一个中心、两个基本点的辩证关系。

青衫无名 2019-12-02 01:17:12 0 浏览量 回答数 0

问题

【案例】从hadoop框架与MapReduce模式中谈海量数据处理

jack.cai 2019-12-01 21:00:28 15859 浏览量 回答数 3

回答

HTTPS基本原理 一、http为什么不安全。 http协议没有任何的加密以及身份验证的机制,非常容易遭遇窃听、劫持、篡改,因此会造成个人隐私泄露,恶意的流量劫持等严重的安全问题。 国外很多网站都支持了全站https,国内方面目前百度已经在年初完成了搜索的全站https,其他大型的网站也在跟进中,百度最先完成全站https的最大原因就是百度作为国内最大的流量入口,劫持也必然是首当其冲的,造成的有形的和无形的损失也就越大。关于流量劫持问题,我在另一篇文章中也有提到,基本上是互联网企业的共同难题,https也是目前公认的比较好的解决方法。但是https也会带来很多性能以及访问速度上的牺牲,很多互联网公司在做大的时候都会遇到这个问题:https成本高,速度又慢,规模小的时候在涉及到登录和交易用上就够了,做大以后遇到信息泄露和劫持,想整体换,代价又很高。 2、https如何保证安全 要解决上面的问题,就要引入加密以及身份验证的机制。 这时我们引入了非对称加密的概念,我们知道非对称加密如果是公钥加密的数据私钥才能解密,所以我只要把公钥发给你,你就可以用这个公钥来加密未来我们进行数据交换的秘钥,发给我时,即使中间的人截取了信息,也无法解密,因为私钥在我这里,只有我才能解密,我拿到你的信息后用私钥解密后拿到加密数据用的对称秘钥,通过这个对称密钥来进行后续的数据加密。除此之外,非对称加密可以很好的管理秘钥,保证每次数据加密的对称密钥都是不相同的。 但是这样似乎还不够,如果中间人在收到我的给你公钥后并没有发给你,而是自己伪造了一个公钥发给你,这是你把对称密钥用这个公钥加密发回经过中间人,他可以用私钥解密并拿到对称密钥,此时他在把此对称密钥用我的公钥加密发回给我,这样中间人就拿到了对称密钥,可以解密传输的数据了。为了解决此问题,我们引入了数字证书的概念。我首先生成公私钥,将公钥提供给相关机构(CA),CA将公钥放入数字证书并将数字证书颁布给我,此时我就不是简单的把公钥给你,而是给你一个数字证书,数字证书中加入了一些数字签名的机制,保证了数字证书一定是我给你的。 所以综合以上三点: 非对称加密算法(公钥和私钥)交换秘钥 + 数字证书验证身份(验证公钥是否是伪造的) + 利用秘钥对称加密算法加密数据 = 安全 3、https协议简介 为什么是协议简介呢。因为https涉及的东西实在太多了,尤其是一些加密算法,非常的复杂,对于这些算法面的东西就不去深入研究了,这部分仅仅是梳理一下一些关于https最基本的原理,为后面分解https的连接建立以及https优化等内容打下理论基础。 3.1 对称加密算法 对称加密是指加密和解密使用相同密钥的加密算法。它要求发送方和接收方在安全通信之前,商定一个密钥。对称算法的安全性依赖于密钥,泄漏密钥就意味着任何人都可以对他们发送或接收的消息解密,所以密钥的保密性对通信至关重要。 对称加密又分为两种模式:流加密和分组加密。 流加密是将消息作为位流对待,并且使用数学函数分别作用在每一个位上,使用流加密时,每加密一次,相同的明文位会转换成不同的密文位。流加密使用了密钥流生成器,它生成的位流与明文位进行异或,从而生成密文。现在常用的就是RC4,不过RC4已经不再安全,微软也建议网络尽量不要使用RC4流加密。 分组加密是将消息划分为若干位分组,这些分组随后会通过数学函数进行处理,每次一个分组。假设需要加密发生给对端的消息,并且使用的是64位的分组密码,此时如果消息长度为640位,就会被划分成10个64位的分组,每个分组都用一系列数学公式公式进行处理,最后得到10个加密文本分组。然后,将这条密文消息发送给对端。对端必须拥有相同的分组密码,以相反的顺序对10个密文分组使用前面的算法解密,最终得到明文的消息。比较常用的分组加密算法有DES、3DES、AES。其中DES是比较老的加密算法,现在已经被证明不安全。而3DES是一个过渡的加密算法,相当于在DES基础上进行三重运算来提高安全性,但其本质上还是和DES算法一致。而AES是DES算法的替代算法,是现在最安全的对称加密算法之一。分组加密算法除了算法本身外还存在很多种不同的运算方式,比如ECB、CBC、CFB、OFB、CTR等,这些不同的模式可能只针对特定功能的环境中有效,所以要了解各种不同的模式以及每种模式的用途。这个部分后面的文章中会详细讲。 对称加密算法的优、缺点: 优点:算法公开、计算量小、加密速度快、加密效率高。 缺点:(1)交易双方都使用同样钥匙,安全性得不到保证; (2)每对用户每次使用对称加密算法时,都需要使用其他人不知道的惟一钥匙,这会使得发收信双方所拥有的钥匙数量呈几何级数增长,密钥管理成为用户的负担。 (3)能提供机密性,但是不能提供验证和不可否认性。 3.2 非对称加密算法 在非对称密钥交换算法出现以前,对称加密一个很大的问题就是不知道如何安全生成和保管密钥。非对称密钥交换过程主要就是为了解决这个问题,使得对称密钥的生成和使用更加安全。 密钥交换算法本身非常复杂,密钥交换过程涉及到随机数生成,模指数运算,空白补齐,加密,签名等操作。 常见的密钥交换算法有RSA,ECDHE,DH,DHE等算法。涉及到比较复杂的数学问题,下面就简单介绍下最经典的RSA算法。RSA:算法实现简单,诞生于1977年,历史悠久,经过了长时间的破解测试,安全性高。缺点就是需要比较大的素数也就是质数(目前常用的是2048位)来保证安全强度,很消耗CPU运算资源。RSA是目前唯一一个既能用于密钥交换又能用于证书签名的算法。我觉得RSA可以算是最经典的非对称加密算法了,虽然算法本身都是数学的东西,但是作为最经典的算法,我自己也花了点时间对算法进行了研究,后面会详细介绍。 非对称加密相比对称加密更加安全,但也存在两个明显缺点: 1,CPU计算资源消耗非常大。一次完全TLS握手,密钥交换时的非对称解密计算量占整个握手过程的90%以上。而对称加密的计算量只相当于非对称加密的0.1%,如果应用层数据也使用非对称加解密,性能开销太大,无法承受。 2,非对称加密算法对加密内容的长度有限制,不能超过公钥长度。比如现在常用的公钥长度是2048位,意味着待加密内容不能超过256个字节。 所以公钥加密(极端消耗CPU资源)目前只能用来作密钥交换或者内容签名,不适合用来做应用层传输内容的加解密。 3.3 身份认证 https协议中身份认证的部分是由数字证书来完成的,证书由公钥、证书主体、数字签名等内容组成,在客户端发起SSL请求后,服务端会将数字证书发给客户端,客户端会对证书进行验证(验证查看这张证书是否是伪造的。也就是公钥是否是伪造的),并获取用于秘钥交换的非对称密钥(获取公钥)。 数字证书有两个作用: 1,身份授权。确保浏览器访问的网站是经过CA验证的可信任的网站。 2,分发公钥。每个数字证书都包含了注册者生成的公钥(验证确保是合法的,非伪造的公钥)。在SSL握手时会通过certificate消息传输给客户端。 申请一个受信任的数字证书通常有如下流程: 1,终端实体(可以是一个终端硬件或者网站)生成公私钥和证书请求。 2,RA(证书注册及审核机构)检查实体的合法性。如果个人或者小网站,这一步不是必须的。 3,CA(证书签发机构)签发证书,发送给申请者。 4,证书更新到repository(负责数字证书及CRL内容存储和分发),终端后续从repository更新证书,查询证书状态等。 数字证书验证: 申请者拿到CA的证书并部署在网站服务器端,那浏览器发起握手接收到证书后,如何确认这个证书就是CA签发的呢。怎样避免第三方伪造这个证书。答案就是数字签名(digital signature)。数字签名是证书的防伪标签,目前使用最广泛的SHA-RSA(SHA用于哈希算法,RSA用于非对称加密算法)数字签名的制作和验证过程如下: 1,数字签名的签发。首先是使用哈希函数对待签名内容进行安全哈希,生成消息摘要,然后使用CA自己的私钥对消息摘要进行加密。 2,数字签名的校验。使用CA的公钥解密签名,然后使用相同的签名函数对待签名证书内容进行签名并和服务端数字签名里的签名内容进行比较,如果相同就认为校验成功。 需要注意的是: 1)数字签名签发和校验使用的密钥对是CA自己的公私密钥,跟证书申请者提交的公钥没有关系。 2)数字签名的签发过程跟公钥加密的过程刚好相反,即是用私钥加密,公钥解密。 3)现在大的CA都会有证书链,证书链的好处一是安全,保持根CA的私钥离线使用。第二个好处是方便部署和撤销,即如果证书出现问题,只需要撤销相应级别的证书,根证书依然安全。 4)根CA证书都是自签名,即用自己的公钥和私钥完成了签名的制作和验证。而证书链上的证书签名都是使用上一级证书的密钥对完成签名和验证的。 5)怎样获取根CA和多级CA的密钥对。它们是否可信。当然可信,因为这些厂商跟浏览器和操作系统都有合作,它们的公钥都默认装到了浏览器或者操作系统环境里。 3.4 数据完整性验证 数据传输过程中的完整性使用MAC算法来保证。为了避免网络中传输的数据被非法篡改,SSL利用基于MD5或SHA的MAC算法来保证消息的完整性。 MAC算法是在密钥参与下的数据摘要算法,能将密钥和任意长度的数据转换为固定长度的数据。发送者在密钥的参与下,利用MAC算法计算出消息的MAC值,并将其加在消息之后发送给接收者。接收者利用同样的密钥和MAC算法计算出消息的MAC值,并与接收到的MAC值比较。如果二者相同,则报文没有改变;否则,报文在传输过程中被修改,接收者将丢弃该报文。 由于MD5在实际应用中存在冲突的可能性比较大,所以尽量别采用MD5来验证内容一致性。SHA也不能使用SHA0和SHA1,中国山东大学的王小云教授在2005年就宣布破解了 SHA-1完整版算法。微软和google都已经宣布16年及17年之后不再支持sha1签名证书。MAC算法涉及到很多复杂的数学问题,这里就不多讲细节了。 专题二--【实际抓包分析】 抓包结果: fiddler: wireshark: 可以看到,百度和我们公司一样,也采用以下策略: (1)对于高版本浏览器,如果支持 https,且加解密算法在TLS1.0 以上的,都将所有 http请求重定向到 https请求 (2)对于https请求,则不变。 【以下只解读https请求】 1、TCP三次握手 可以看到,我们访问的是 http://www.baidu.com/ , 在初次建立 三次握手的时候, 用户是去 连接 8080端口的(因为公司办公网做了代理,因此,我们实际和代理机做的三次握手,公司代理机再帮我们去连接百度服务器的80端口) 2、CONNECT 建立 由于公司办公网访问非腾讯域名,会做代理,因此,在进行https访问的时候,我们的电脑需要和公司代理机做 " CONNECT " 连接(关于 " CONNECT " 连接, 可以理解为虽然后续的https请求都是公司代理机和百度服务器进行公私钥连接和对称秘钥通信,但是,有了 " CONNECT " 连接之后,可以认为我们也在直接和百度服务器进行公私钥连接和对称秘钥通信。 ) fiddler抓包结果: CONNECT之后, 后面所有的通信过程,可以看做是我们的机器和百度服务器在直接通信 3、 client hello 整个 Secure Socket Layer只包含了: TLS1.2 Record Layer内容 (1)随机数 在客户端问候中,有四个字节以Unix时间格式记录了客户端的协调世界时间(UTC)。协调世界时间是从1970年1月1日开始到当前时刻所经历的秒数。在这个例子中,0x2516b84b就是协调世界时间。在他后面有28字节的随机数( random_C ),在后面的过程中我们会用到这个随机数。 (2)SID(Session ID) 如果出于某种原因,对话中断,就需要重新握手。为了避免重新握手而造成的访问效率低下,这时候引入了session ID的概念, session ID的思想很简单,就是每一次对话都有一个编号(session ID)。如果对话中断,下次重连的时候,只要客户端给出这个编号,且服务器有这个编号的记录,双方就可以重新使用已有的"对话密钥",而不必重新生成一把。 因为我们抓包的时候,是几个小时内第一次访问 https://www.baodu.com 首页,因此,这里并没有 Session ID. (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器,就无法恢复对话。session ticket就是为了解决这个问题而诞生的,目前只有Firefox和Chrome浏览器支持。 (3) 密文族(Cipher Suites): RFC2246中建议了很多中组合,一般写法是"密钥交换算法-对称加密算法-哈希算法,以“TLS_RSA_WITH_AES_256_CBC_SHA”为例: (a) TLS为协议,RSA为密钥交换的算法; (b) AES_256_CBC是对称加密算法(其中256是密钥长度,CBC是分组方式); (c) SHA是哈希的算法。 浏览器支持的加密算法一般会比较多,而服务端会根据自身的业务情况选择比较适合的加密组合发给客户端。(比如综合安全性以及速度、性能等因素) (4) Server_name扩展:( 一般浏览器也支持 SNI(Server Name Indication)) 当我们去访问一个站点时,一定是先通过DNS解析出站点对应的ip地址,通过ip地址来访问站点,由于很多时候一个ip地址是给很多的站点公用,因此如果没有server_name这个字段,server是无法给与客户端相应的数字证书的,Server_name扩展则允许服务器对浏览器的请求授予相对应的证书。 还有一个很好的功能: SNI(Server Name Indication)。这个的功能比较好,为了解决一个服务器使用多个域名和证书的SSL/TLS扩展。一句话简述它的工作原理就是,在连接到服务器建立SSL连接之前先发送要访问站点的域名(Hostname),这样服务器根据这个域名返回一个合适的CA证书。目前,大多数操作系统和浏览器都已经很好地支持SNI扩展,OpenSSL 0.9.8已经内置这一功能,据说新版的nginx也支持SNI。) 4、 服务器回复(包括 Server Hello, Certificate, Certificate Status) 服务器在收到client hello后,会回复三个数据包,下面分别看一下: 1)Server Hello 1、我们得到了服务器的以Unix时间格式记录的UTC和28字节的随机数 (random_S)。 2、Seesion ID,服务端对于session ID一般会有三种选择 (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) : 1)恢复的session ID:我们之前在client hello里面已经提到,如果client hello里面的session ID在服务端有缓存,服务端会尝试恢复这个session; 2)新的session ID:这里又分两种情况,第一种是client hello里面的session ID是空值,此时服务端会给客户端一个新的session ID,第二种是client hello里面的session ID此服务器并没有找到对应的缓存,此时也会回一个新的session ID给客户端; 3)NULL:服务端不希望此session被恢复,因此session ID为空。 3、我们记得在client hello里面,客户端给出了21种加密族,而在我们所提供的21个加密族中,服务端挑选了“TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256”。 (a) TLS为协议,RSA为密钥交换的算法; (b) AES_256_CBC是对称加密算法(其中256是密钥长度,CBC是分组方式); (c) SHA是哈希的算法。 这就意味着服务端会使用ECDHE-RSA算法进行密钥交换,通过AES_128_GCM对称加密算法来加密数据,利用SHA256哈希算法来确保数据完整性。这是百度综合了安全、性能、访问速度等多方面后选取的加密组合。 2)Certificate 在前面的https原理研究中,我们知道为了安全的将公钥发给客户端,服务端会把公钥放入数字证书中并发给客户端(数字证书可以自签发,但是一般为了保证安全会有一个专门的CA机构签发),所以这个报文就是数字证书,4097 bytes就是证书的长度。 我们打开这个证书,可以看到证书的具体信息,这个具体信息通过抓包报文的方式不是太直观,可以在浏览器上直接看。 (点击 chrome 浏览器 左上方的 绿色 锁型按钮) 3)Server Hello Done 我们抓的包是将 Server Hello Done 和 server key exchage 合并的包: 4)客户端验证证书真伪性 客户端验证证书的合法性,如果验证通过才会进行后续通信,否则根据错误情况不同做出提示和操作,合法性验证包括如下: 证书链的可信性trusted certificate path,方法如前文所述; 证书是否吊销revocation,有两类方式离线CRL与在线OCSP,不同的客户端行为会不同; 有效期expiry date,证书是否在有效时间范围; 域名domain,核查证书域名是否与当前的访问域名匹配,匹配规则后续分析; 5)秘钥交换 这个过程非常复杂,大概总结一下: (1)首先,其利用非对称加密实现身份认证和密钥协商,利用非对称加密,协商好加解密数据的 对称秘钥(外加CA认证,防止中间人窃取 对称秘钥) (2)然后,对称加密算法采用协商的密钥对数据加密,客户端和服务器利用 对称秘钥 进行通信; (3)最后,基于散列函数验证信息的完整性,确保通信数据不会被中间人恶意篡改。 此时客户端已经获取全部的计算协商密钥需要的信息:两个明文随机数random_C和random_S与自己计算产生的Pre-master(由客户端和服务器的 pubkey生成的一串随机数),计算得到协商对称密钥; enc_key=Fuc(random_C, random_S, Pre-Master) 6)生成 session ticket 如果出于某种原因,对话中断,就需要重新握手。为了避免重新握手而造成的访问效率低下,这时候引入了session ID的概念, session ID的思想很简单,就是每一次对话都有一个编号(session ID)。如果对话中断,下次重连的时候,只要客户端给出这个编号,且服务器有这个编号的记录,双方就可以重新使用已有的"对话密钥",而不必重新生成一把。 因为我们抓包的时候,是几个小时内第一次访问 https://www.baodu.com 首页,因此,这里并没有 Session ID. (稍会儿我们会看到隔了半分钟,第二次抓包就有这个Session ID) session ID是目前所有浏览器都支持的方法,但是它的缺点在于session ID往往只保留在一台服务器上。所以,如果客户端的请求发到另一台服务器,就无法恢复对话。session ticket就是为了解决这个问题而诞生的,目前只有Firefox和Chrome浏览器支持。 后续建立新的https会话,就可以利用 session ID 或者 session Tickets , 对称秘钥可以再次使用,从而免去了 https 公私钥交换、CA认证等等过程,极大地缩短 https 会话连接时间。 7) 利用对称秘钥传输数据 【半分钟后,再次访问百度】: 有这些大的不同: 由于服务器和浏览器缓存了 Session ID 和 Session Tickets,不需要再进行 公钥证书传递,CA认证,生成 对称秘钥等过程,直接利用半分钟前的 对称秘钥 加解密数据进行会话。 1)Client Hello 2)Server Hello

玄学酱 2019-12-02 01:27:08 0 浏览量 回答数 0

试用中心

为您提供0门槛上云实践机会,企业用户最高免费12个月

问题

【精品问答】Java必备核心知识1000+(附源码)

问问小秘 2019-12-01 22:00:28 870 浏览量 回答数 1
阿里云大学 云服务器ECS com域名 网站域名whois查询 开发者平台 小程序定制 小程序开发 国内短信套餐包 开发者技术与产品 云数据库 图像识别 开发者问答 阿里云建站 阿里云备案 云市场 万网 阿里云帮助文档 免费套餐 开发者工具 企业信息查询 小程序开发制作 视频内容分析 企业网站制作 视频集锦 代理记账服务 2020阿里巴巴研发效能峰会 企业建站模板 云效成长地图 高端建站 云栖号弹性计算 阿里云云栖号 云栖号案例 云栖号直播