【计算机网络】深度学习HTTPS协议

news2024/11/16 3:22:50

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述
💓 博客主页:从零开始的-CodeNinja之路

⏩ 收录文章:【计算机网络】深度学习HTTPS协议
🎉欢迎大家点赞👍评论📝收藏⭐文章

目录

    • 一:HTTPS是什么
    • 二:HTTPS的工作过程
    • 三:对称加密
    • 四:非对称加密
    • 五:中间人攻击
      • 1.证书
      • 2.数据签名
      • 3.通过证书解决中间人攻击
      • 4.中间人有没有可能篡改该证书?
    • 六:完整流程

一:HTTPS是什么

HTTPS也是⼀个应用层协议.是在HTTP协议的基础上引入了⼀个加密层.
HTTP协议内容都是按照文本的方式明文传输的.这就导致在传输过程中出现⼀些被篡改的情况.
在互联网上,明文传输是比较危险的事情!!!
HTTPS就是在HTTP的基础上进行了加密,进⼀步的来保证用户的信息安全~
"加密"是什么
加密就是把明文(要传输的信息)进行⼀系列变换,生成密文
解密就是把密文再进行⼀系列变换,还原成明文
在这个加密和解密的过程中,往往需要⼀个或者多个中间的数据,辅助进行这个过程,这样的数据称为密

二:HTTPS的工作过程

既然要保证数据安全,就需要进行"加密".
网络传输中不再直接传输明文了,而是加密之后的"密文".
加密的方式有很多,但是整体可以分成两大类:对称加密和非对称加密
在这里插入图片描述

三:对称加密

对称加密其实就是通过同⼀个"密钥",把明文加密成密文,并且也能把密文解密成明文.
就是能在客户端和服务器建立连接的时候,双方协商确定这次的密钥是啥~
在这里插入图片描述

如果直接把密钥明文传输,那么黑客也就能获得密钥了~~此时后续的加密操作就形同虚设了.
因此密钥的传输也必须加密传输!
但是要想对密钥进行对称加密,就仍然需要先协商确定⼀个"密钥的密钥".此时密钥的传输再用对称加密就行不通了.
就需要引入非对称加密.

四:非对称加密

非对称加密要用到两个密钥,⼀个叫做"公钥",⼀个叫"私钥".
公钥和私钥是配对的.最大的缺点就是运算速度非常慢,比对称加密要慢很多.

  • 通过公钥对明文加密,变成密文
  • 通过私钥对密文解密,变成明文

也可以反着用

  • 通过私钥对明文加密,变成密文
  • 通过公钥对密文解密,变成明文

在这里插入图片描述

  • 客户端在本地生成对称密钥,通过公钥加密,发送给服务器.
  • 由于中间的网络设备没有私钥,即使截获了数据,也无法还原出内部的原文,也就无法获取到对称密 钥
  • 服务器通过私钥解密,还原出客户端发送的对称密钥.并且使⽤这个对称密钥加密给客户端返回的响 应数据.
  • 后续客户端和服务器的通信都只用对称加密即可.由于该密钥只有客户端和服务器两个主机知道,其 他主机/设备不知道密钥即使截获数据也没有意义.

由于对称加密的效率比非对称加密高很多,因此只是在开始阶段协商密钥的时候使用非对称加密,后续
的传输仍然使用对称加密.
那么接下来问题又来了:

  • 客户端如何获取到公钥?
  • 客户端如何确定这个公钥不是黑客伪造的?

五:中间人攻击

⿊客可以使用中间人攻击,获取到对称密钥.

  1. 服务器具有非对称加密算法的公钥S,私钥S’
  2. 中间人具有非对称加密算法的公钥M,私钥M’
  3. 客户端向服务器发起请求,服务器明文传送公钥S给客户端
  4. 中间⼈劫持数据报文,提取公钥S并保存好,然后将被劫持报文中的公钥S替换成为自己的公钥M,
    并将伪造报文发给客户端
  5. 客户端收到报文,提取公钥M(自己当然不知道公钥被更换过了),自己形成对称秘钥X,用公钥M加
    密X,形成报文发送给服务器
  6. 中间人劫持后,直接用自己的私钥M’进行解密,得到通信秘钥X,再用曾经保存的服务端公钥S加
    密后,将报文推送给服务器
  7. 服务器拿到报文,用自己的私钥S’解密,得到通信秘钥X
  8. 双方开始采用X进行对称加密,进行通信。但是⼀切都在中间人的掌握中,劫持数据,进行窃听甚
    ⾄修改,都是可以的
    ⿊客可以使用中间人攻击,获取到对称密钥.

1.证书

服务端在使用HTTPS前,需要向CA机构申领⼀份数字证书,数字证书里含有证书申请者信息、公钥信
息等。服务器把证书传输给浏览器,浏览器从证书里获取公钥就行了,证书就如⾝份证,证明服务端
公钥的权威性
在这里插入图片描述
这个证书可以理解成是⼀个结构化的字符串,里面包含了以下信息:

  • 证书发布机构
  • 证书有效期
  • 公钥
  • 证书所有者
  • 签名

需要注意的是:申请证书的时候,需要在特定平台生成查,会同时生成⼀对儿密钥对儿,即公钥和私
钥。这对密钥对儿就是用来在网络通信中进行明文加密以及数字签名的。

2.数据签名

签名的形成是基于非对称加密算法的,注意,目前暂时和https没有关系,不要和https中的公钥私钥搞
混了
在这里插入图片描述
当服务端申请CA证书的时候,CA机构会对该服务端进行审核,并专门为该网站形成数字签名,过程如
下:

  1. CA机构拥有非对称加密的私钥A和公钥A’
  2. CA机构对服务端申请的证书明文数据进行hash,形成数据摘要
  3. 然后对数据摘要用CA私钥A’加密,得到数字签名S
    服务端申请的证书明文和数字签名S共同组成了数字证书,这样⼀份数字证书就可以颁发给服务端了

3.通过证书解决中间人攻击

在客户端和服务器刚⼀建立连接的时候,服务器给客户端返回⼀个证书.
这个证书包含了刚才的公钥,也包含了网站的⾝份信息.
在这里插入图片描述

当客户端获取到这个证书之后,会对证书进行校验(防止证书是伪造的).

  • 判定证书的有效期是否过期
  • 判定证书的发布机构是否受信任(操作系统中已内置的受信任的证书发布机构).
  • 验证证书是否被篡改:从系统中拿到该证书发布机构的公钥,对签名解密,得到⼀个hash值(称为数
    据摘要),设为hash1.然后计算整个证书的hash值,设为hash2.对比hash1和hash2是否相等.如
    果相等,则说明证书是没有被篡改过的.

4.中间人有没有可能篡改该证书?

  • 中间人篡改了证书的明文
  • 由于他没有CA机构的私钥,所以⽆法hash之后用私钥加密形成签名,那么也就没法办法对篡改后 的证书形成匹配的签名
  • 如果强行篡改,客户端收到该证书后会发现明文和签名解密后的值不⼀致,则说明证书已被篡改,
    证书不可信,从而终止向服务器传输信息,防止信息泄露给中间人

中间人整个掉包证书?

  • 因为中间人没有CA私钥,所以无法制作假的证书(为什么?)
  • 所以中间人只能向CA申请真证书,然后用自己申请的证书进行掉包
  • 这个确实能做到证书的整体掉包,但是别忘记,证书明文中包含了域名等服务端认证信息,如果整 体掉包,客户端依旧能够识别出来。
  • 永远记住:中间人没有CA私钥,所以对任何证书都无法进行合法修改,包括自己的

六:完整流程

左侧都是客户端做的事情,右侧都是服务器做的事情
在这里插入图片描述
总结
HTTPS工作过程中涉及到的密钥有三组.

  • 第一组(非对称加密):用于校验证书是否被篡改.服务器持有私钥(私钥在注册证书时获得),客户端持有
    公钥(操作系统包含了可信任的CA认证机构有哪些,同时持有对应的公钥).服务器使用这个私钥对证书
    的签名进行加密.客户端通过这个公钥解密获取到证书的签名,从而校验证书内容是否是篡改过.
  • 第二组(非对称加密):用于协商生成对称加密的密钥.服务器生成这组私钥-公钥对,然后通过证书把公 钥传递给客户端.然后客户端用这个公钥给生成的对称加密的密钥加密,传输给服务器,服务器通过私钥 解密获取到对称加密密钥.
  • 第三组(对称加密):客户端和服务器后续传输的数据都通过这个对称密钥加密解密. 其实⼀切的关键都是围绕这个对称加密的密钥.其他的机制都是辅助这个密钥工作的. 第⼆组非对称加密的密钥是为了让客户端把这个对称密钥传给服务器. 第⼀组非对称加密的密钥是为了让客户端拿到第⼆组非对称加密的公钥.
    在这里插入图片描述
    如果觉得文章不错,期待你的一键三连哦,你个鼓励是我创作的动力之源,让我们一起加油,顶峰相见!!!💓 💓 💓

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1486521.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

精读《用 Babel 创造自定义 JS 语法》

1 引言 在写这次精读之前,我想谈谈前端精读可以为读者带来哪些价值,以及如何评判这些价值。 前端精读已经写到第 123 篇了,大家已经不必担心它突然停止更新,因为我已养成每周写一篇文章的习惯,而读者也养成了每周看一…

C++进阶(二) 多态

一、多态的概念 多态的概念:通俗来说,就是多种形态, 具体点就是去完成某个行为,当不同的对象去完成时会 产生出不同的状态。举个栗子:比如买票这个行为,当普通人买票时,是全价买票;学…

无人机镜头稳定的原理和相关算法

无人机的镜头稳定主要基于两个关键技术:镜头平衡技术和实时电子稳像。无人机镜头稳定的原理和相关算法主要是通过镜头平衡技术和实时电子稳像技术来保持摄像镜头的稳定性,从而拍摄出清晰、稳定的画面。无人机镜头稳定的原理主要是通过传感器和算法来实现…

基于SpringBoot的在线拍卖系统(附项目源码+论文)

摘要 在线拍卖系统,主要的模块包括管理员;首页、个人中心、用户管理、商品类型管理、拍卖商品管理、历史竞拍管理、竞拍订单管理、留言板管理、系统管理,用户;首页、个人中心、历史竞拍管理、竞拍订单管理、留言板管理&#xff0…

SSH教程

ssh 是远程连接的利器, 可以说凡是涉及到 linux 服务器, ssh 就是一个绕不开的话题. 本文作为一个教程, 尽可能详细的帮助读者设置 ssh, 并给出一些常用的 ssh 配置方法 (主要用于 linux 系统的远程登录和文件传输). 1. 简介 ssh 分为两个部分, sshd 服务端和 ssh 客户端. ssh…

2.2 mul、div、and、or乘除指令及所有寄存器英文名

汇编语言 1. mul乘指令 两个相乘的数,要么都是8位,要么都是16位 两个8位数相乘 一个默认放在al中,另一个放在8位reg或内存字节单元中8位乘法,结果默认放在ax中例如:计算100*10 100和10小于255,可以做8位…

优选算法|【双指针】|1089.复写零

目录 题目描述 题目解析 算法原理讲解 代码 题目描述 1089. 复写零 给你一个长度固定的整数数组 arr ,请你将该数组中出现的每个零都复写一遍,并将其余的元素向右平移。 注意:请不要在超过该数组长度的位置写入元素。请对输入的数组 就…

基于图数据库构建知识图谱平台应用实践

▏摘要 中信证券基于分布式图数据库StellarDB,替代国外开源图数据库产品,打造全新的企业级知识图谱平台,应用于同一客户集团画像、科创板关联发现、风险事件报告、全球企业关联图谱、产业链图谱、投研图谱、反洗钱与稽核图谱、元数据图谱等应…

《程序员职业规划手册》学习笔记

《程序员职业规划手册》不是一本具体的书,而是由前阿里技术总监雪梅老师讲授的一个专栏课程,总共有20讲,内容基本都是图片和文字形式,也有对应的语音讲述。 回顾了下毕业工作的这几年,我买过很多学习课程,…

java八股文复习-----2024/03/03

1.接口和抽象类的区别 相似点: (1)接口和抽象类都不能被实例化 (2)实现接口或继承抽象类的普通子类都必须实现这些抽象方法 不同点: (1)抽象类可以包含普通方法和代码块&#x…

openGauss学习笔记-234 openGauss性能调优-系统调优-资源负载管理-资源管理准备-设置控制组

文章目录 openGauss学习笔记-234 openGauss性能调优-系统调优-资源负载管理-资源管理准备-设置控制组234.1 背景信息234.2 前提条件234.3 操作步骤234.3.1 创建子Class控制组和Workload控制组234.3.2 更新控制组的资源配额234.3.3 删除控制组 234.4 查看控制组的信息 openGauss…

Docker的基本操作(黑马学习笔记)

镜像操作 镜像名称 首先来看下镜像的名称组成: ● 镜名称一般分两部分组成:[repository]:[tag]。 ● 在没有指定tag时,默认是latest,代表最新版本的镜像 如图: 这里的mysql就是repository,5.7就是tag&…

第八节 龙晰Anolis 8.8 安装 DDE 桌面环境

一、前言 最小化安装的龙晰 Anolis OS 8.8 是不带图形化界面的,只能使用命令行,有些时候需要用到桌面环境,而DDE (Deepin Desktop Enviroment) 就是很好的桌面环境,它是指龙晰 Anolis 所搭载的中国自主桌面环境,用起来…

信息安全技术第1章——信息网络安全基本概念

课程介绍 网络信息安全是医学信息工程专业的限选课。主要围绕计算机网络安全所涉及的主要问题进行讲解,内容包括:对称密码与公钥密码的基本原理、相关算法及应用。电子邮件的安全,IP安全,Web安全,恶意软件及防火墙等内…

逼迫大模型消除幻觉,就像杨永信电击治疗网瘾少年

在科技高速发展的领域,进步往往伴随着争议。数字化时代,我们被海量信息所环绕,利用大模型来提取信息和生成答案,有时会遇到模型给出的所谓“幻觉(hallucination)”回应。这就带来了一个问题:是否…

2024阿里云服务器ECS--安全,稳定,购买灵活,低成本

阿里云服务器ECS英文全程Elastic Compute Service,云服务器ECS是一种安全可靠、弹性可伸缩的云计算服务,阿里云提供多种云服务器ECS实例规格,如经济型e实例、通用算力型u1、ECS计算型c7、通用型g7、GPU实例等,阿里云百科aliyunbai…

设计模式—命令模式:探索【命令模式】的奥秘与应用实践!

命令模式 命令模式是一种行为设计模式,它的主要目的是将请求封装成一个对象,从而使得请求的发送者和接收者之间进行解耦。 在命令模式中,命令被封装为一个对象,包含了需要执行的操作以及执行这些操作所需的所有参数。 命令的发送者…

【详识JAVA语言】抽象类和接口

抽象类 抽象类概念 在面向对象的概念中,所有的对象都是通过类来描绘的,但是反过来,并不是所有的类都是用来描绘对象的,如果 一个类中没有包含足够的信息来描绘一个具体的对象,这样的类就是抽象类。 比如:…

经典的算法面试题(1)

题目: 给定一个整数数组 nums,编写一个算法将所有的0移到数组的末尾,同时保持非零元素的相对顺序。 示例: 输入: [0,1,0,3,12] 输出: [1,3,12,0,0] 注意:必须在原数组上操作,不能拷贝额外的数组。尽量减少操作次数。 这…

[Redis]——Redis命令手册set、list、sortedset

🌳List类型常见命令 LPUSH / RPUSH [KEY] [element] …… 向列表左侧或者右侧插入一个或多个元素 LPOP / RPOP [key] 删除左边或者右边第一个元素 LRANGE [key] start end 返回索引start到end的元素(索引从0开始) BLPOP / BRPOP [key] [等…