HTTPS协议介绍

news2024/11/23 21:11:44

文章目录

  • 一、HTTPS协议的认识
  • 二、常见的加密方式
    • 1.对称加密
    • 2.非对称加密
  • 三、数据摘要
  • 四、HTTPS的工作过程探究
    • 1.只使用对称加密
    • 2.只使用非对称加密
    • 3.双方都使用非对称加密
    • 4.非对称加密+对称加密
    • 5.中间人攻击
    • 6.引入证书
    • 7.非对称加密+对称加密+证书认证

一、HTTPS协议的认识

HTTPS和HTTP都是属于应用层协议,只不过HTTP协议在传输数据时,它的数据报正文都是以明文的形式展现的,非常不安全,被盗取数据的风险很高,所以HTTPS协议是在HTTP协议的基础上引入的一个加密层。

HTTPS协议介于HTTP协议与其他层协议之间,当数据自顶向下流动时HTTPS协议会对数据进行加密,当数据自底向上流动时HTTPS协议会对数据进行解密。所谓加密就是把HTTP的明文传输信息进行一系列转换,生成密文。解密就是把密文再进行一系列转换,生成明文。在这个加密和解密的过程中,往往需要一个或者多个中间的数据,辅助进行这个过程,这样的数据被称为密钥。

在这里插入图片描述

因为HTTP的内容是明文传输的,明文数据会经过路由器、wifi热点、通信服务运营商、代理服务器等多个物理节点,如果信息在传输过程中被劫持,传输的内容就完全暴露了。劫持者还可以篡改传输的信息并且不被双方发现,这就是中间人攻击。所以我们才要对信息进行加密。

二、常见的加密方式

1.对称加密

对称加密是采用单钥密码系统的加密方法,同一个密钥可以同时用作信息的加密和解密,这种方法也称作单密钥加密。对称加密其实就是通过同一个密钥,把明文加密成密文,再把密文解密成明文。

常见的对称加密算法有:DES、3DES、AES、TDEA、Blowfish、RC2等。

对称加密的特点是算法公开、计算量小、加密速度快、加密效率高。

2.非对称加密

非对称加密需要两个密钥来进行加密和解密,这两个密钥分别叫做公开密钥(简称公钥)私有密钥(简称私钥)。公钥可以让对外公开让别人知道,私钥一般不公开。公钥和私钥是配对的,可以通过公钥对明文进行加密,变成密文,通过私钥对密文解密,变成明文;也可以反过来使用,通过私钥对明文加密,变成密文,通过公钥对密文解密,变成明文。

常见的非对称加密算法有:RSA、DSA、ECDSA等。

非对称加密的特点是算法强度复杂、安全性依赖于算法与密钥。但是由于其算法复杂,所以它的加密和解密速度都比较慢。

三、数据摘要

数据摘要也叫作数据指纹,其基本原理是利用单向散列函数(Hash函数)对信息进行运算,生成一串固定长度的数据摘要。数据摘要并不是一种加密机制,它可以用来判断数据有没有被修改。比如一个很大的文件,里面有很多内容,对该文件生成数据摘要之后,如果稍微修改一下文件内容,比如只是修改一下标点符号,都会使数据摘要发生很大的变化。

常见的摘要算法有:MD5、SHA1、SHA256等,数据摘要的算法是有可能发生碰撞的,即两个不同的信息算出的摘要可能会相同,但是这种概率非常低。

数据摘要的特征是它严格意义上并不是加密,因为没有解密,只不过从摘要很难反推原信息,通常用来进行数据对比。

四、HTTPS的工作过程探究

1.只使用对称加密

第一种方案是只使用对称加密,如果通信双方都各自持有同一个密钥,且没有别人知道,那么双方的通信安全是可以得到保证的。客户端通过密钥对明文请求进行加密,转换成为密文请求之后发送回给服务器,服务器通过密钥对密文请求进行解密,转换成明文请求,这样双方就可以完成一次加密通信。

在这里插入图片描述

但是这种加密方式明显是存在弊端的,首先是这种方式无法保证客户端和服务器获取到同一个密钥,因为密钥本质也是一种信息,如果双方要获取同一份密钥,就必须通过通信协商好使用的密钥是什么,在密钥传输的过程中也会有可能被截取数据,所以这种方式并不可行。

2.只使用非对称加密

鉴于非对称加密的机制,如果服务器先把公钥以明文的方式传输给客户端,之后客户端向服务器传数据前都先用这个公钥加密好了再传,数据传输到服务器之后,服务器再用自己的私钥对其进行解密,从而获取到客户端发送过来的数据。即使中间传输过程被别人截取数据,但它只有公钥,私钥在服务器手上,所以也就无法对数据进行解密。

这样看似乎是安全的,但是只局限于一方向另一方发送数据,如果服务器想要发送数据给客户端,只使用非对称加密这种方式就无法保证安全性了。

3.双方都使用非对称加密

针对第二种方案的局限性,我们可以对其进行改进。即服务端拥有公钥S和对应的私钥S’,客户端拥有公钥C和对应的私钥C‘。

在双方通信之前,客户端和服务端先交换公钥,之后客户端在给服务端发消息时,先用服务端的公钥S对数据加密之后再发送,服务端再用服务端的私钥S’对其进行解密。服务端在给客户端发消息时,先用客户端的公钥C进行加密再发送,客户端再用客户端的私钥C’对其进行解密。

这种方案看起来似乎解决了通信安全的问题,但依旧存在两个弊端:

首先是这种方案的效率太低了,由于非对称加密本身就是一种效率很低的加密方式,这里还采用两队公钥私钥非对称加密,只会导致通信效率更低。

其次,这种方案也是存在安全问题的。

4.非对称加密+对称加密

第四种方案是服务端具有非对称公钥S和私钥S’,客户端先发起HTTPS请求,获取服务端的公钥S。

然后客户端在本地生成对称密钥C,通过公钥S将对称密钥C发送给服务器。

从此以后,客户端和服务端就以对称密钥C进行加密解密,从而保证信息传递的安全性。

这种方案的本质是基于对称加密的效率比非对称加密高很多,所以客户端和服务端只是在开始阶段协商密钥的时候使用非对称加密,后续的通信都采用对称加密。由于中间的网络设备没有私钥,即使截获了数据,也无法还原出内部的原文,也就无法获取到对称密钥。

5.中间人攻击

上面所介绍的方案2、方案3、方案4看似解决了安全问题,实际上处理得还是不够完美,依然可能会遭受中间人攻击。

中间人攻击(Man-in-the-MiddleAttack),简称MITM攻击。在方案2、方案3、方案4中,客户端获取到服务端的公钥S之后,用公钥S对客户端生成的对称密钥C进行加密,中间人即使窃取到了诗句。此时中间人也无法解密出客户端形成的对称密钥C,因为只有服务器有解密的私钥S‘。

但是如果中间人在最开始双方握手协商的时候就进行攻击了,这三种方案都无法保证其安全性。

服务器生成了自己的非对称公钥S和私钥S’,中间人也在本地生成了自己的非对称公钥M和私钥M’,客户端发起HTTPS请求获取服务端的公钥S。此时中间人截取到服务器的公钥S,将服务器的公钥S保存在自己的本地,然后将自己的公钥M响应回给客户端。

客户端获取响应之后并不知道这个公钥是中间人的,它默认是服务器正常响应回来的,所以就拿着响应回来的公钥M对客户端本地的对称密钥C进行加密,再发送回给服务器。

此时中间人继续截取客户端发送回去的信息,获取到了通过中间人的公钥M加密的对称密钥C,中间人只需要拿着自己本地的私钥M‘进行解密即可,最后将解密出来的对称密钥C再用服务器的公钥S进行加密,然后发送回给服务器。

这样服务器和客户端都以为双方是在正常通信,但事实上是已经被中间人篡改了数据截取了信息。

上述问题的本质是客户端无法确定收到的含有公钥的数据报文,是不是目标服务器发送过来的。

6.引入证书

服务端在使用HTTPS之前,需要向CA机构申领一份数字证书,数字证书里包含证书申请者的信息、公钥信息等。服务器把证书传输给客户端,客户端从证书里获取公钥就可以了。证书就如同身份证,证明服务端公钥的权威性。

这个证书可以理解成是一个结构化的字符串,里面包含了以下信息:证书发布机构、证书有效期、公钥、证书所有者、数字签名……

当服务端申请CA证书的时候,CA机构会对该服务端进行审核,并专门为该网站形成数字签名,过程如下:

  1. CA机构拥有非对称加密的公钥A和私钥A’
  2. CA机构对服务端申请的证书明文数据进行哈希,形成数据摘要
  3. 然后对数据摘要用CA私钥A’加密,得到数字签名S
  4. 服务端申请的证书明文和数字签名S共同组成了数字证书,这样一份数字证书就可以颁发给服务端了

7.非对称加密+对称加密+证书认证

所以方案五就是在客户端和服务器刚建立连接的时候,服务器给客户端返回一个证书,证书包含了之前服务端的公钥,也包含了网站的身份信息。

当客户端获取到这个证书之后,会对证书进行校验(防止证书是伪造的),首先会判定证书的有效期是否过期,然后判定证书的发布机构是否受信任(操作系统中已内置的受信任的证书发布机构),最后验证证书是否被篡改。

客户端验证证书是否被篡改的方式是:从操作系统中拿到该证书发布机构的公钥,对签名进行解密,会得到一个哈希值(称为数据摘要),设为hash1,然后计算整个证书的哈希值,设为hash2。客户端通过对比hash1和hash2是否相等就可以判断证书是否被篡改。比如如果两个哈希值相等,则说明证书是没有被篡改的。

如果中间人截取了证书并且篡改了证书明文,但是由于中间人没有CA机构的私钥,所以无法哈希形成签名,即使他用自己的私钥强行篡改证书,生成新的签名,但是客户端在验证的时候是会发现明文和签名与官方的不一致,说明证书已经被篡改了,证书不可信,从而终止向服务器传输信息,防止信息泄露给中间人。

除此之外,中间人也无法通过掉包整个证书来截取信息,因为所有计算机都使用的是公认的机构颁发的证书,中间人无法制作假的证书。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/490957.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

【数据库】面试高频问题汇总及详细解答

【C语言部分】面试高频问题汇总及详细解答 【操作系统(Linux)】面试高频问题汇总及详细解答 【计算机网络】面试高频问题汇总及详细解答 本文目录 1. SQL1.1 介绍一下数据库分页1.2 介绍一下SQL中的聚合函数1.3 表跟表是怎么关联的1.4 说一说你对外连接的了解1.5 说说SQL中怎么…

VM虚拟机安装Ubuntu server 22.04网络问题

在使用vm虚拟机安装ubuntu server 22.04的时候会遇到一些网络问题,例如虚拟机内的Ubuntu不能上网,ping www.baidu.com不通,主机使用远程工具不能建立远程连接,Ubuntu ping本地主机不通,本地主机ping虚拟机也不通的问题…

vue3+vite项目优化。

最近开发的一个vue3vitets项目,build后发现体积过大,所以针对于项目体积进行一次优化。 一: 使用rollup-plugin-visualizer 可视化分析包 npm i rollup-plugin-visualizer -S 在vite.config.js中引入 在 plugins里面 然后执行npm run build就自动打开…

最新开源Chatgpt人工智能对话源码系统如何搭建?含详细安装教程分享和源码

人工智能对话系统市场需求正在不断增长。随着人们对智能化、自动化服务的需求不断提高,人工智能对话系统成为越来越多企业和组织的首选解决方案,可以有效提升用户体验、降低成本、提高效率。 一、Chatgpt人工智能对话源码系统定义 ChatGPT是一种基于深…

流量挂机赚钱项目Traffmonetizer

利用闲置电脑/服务器/安卓手机/树莓派来赚点电费 简介 Traffmonetizer是一个来自欧洲的流量挂机平台,类似Peer2profit,满10刀可提现(Paypal、BTC、Payoneer),注册好像就送5刀,Traffmonetizer不怎么占用CPU和内存以及流量&#x…

初学容器化

1.docker build,ship,run,any app anywhere docker类似运输中的集装箱,可以装任何应用(镜像文件),运行到各种服务器上。 docker提供的是进程上的隔离,虚拟机提供的是操作系统资源…

【五一创作】嵌入式Sqlite数据库【基本语法、Sqlite-JDBC、嵌入到Java程序】

目录 前言 基本介绍 Sqlite 对比 MySQL 字段类型 语法 创建表 插入数据 更新数据 查询数据 删除数据 查看建表语句 Sqlite-JDBC 嵌入到Java程序 前言 最近在用JavaFX做一个桌面软件需要用到数据库,但MySQL这种数据库明显只能本地访问,把软…

JVM-0502

垃圾回收 概述 内存的自动分配 垃圾收集,不是J8Va语音的件生产物。早在1968年,第一门开始使用内存动态分配和垃圾收集技术的Lisp语言诞生。关于垃圾收集有三个经典问题: 哪些内存需要回收?什么时候回收?(…

双金属复合圆管层间高温接触热阻测试方法的分析和选择

摘要:双金属复合圆管因其优越的特性在越来越多的领域得到广泛应用,而其层间接触热阻是这种圆管作为换热管时的重要性能指标。本文针对这种双金属复合圆管层间接触热阻的测试需求,分析和对比了现有用于接触热阻测试的各种稳态和瞬态方法&#…

网络应用基础 ——(2023新星计划文章一)

一,网络的概念 1.1网络及其带来的好处 (1)计算机网络是指通过通信设备和通信线路将多台计算机连接起来,以便实现资源共享、信息传递和协同工作的技术和系统。计算机网络是现代信息技术的重要组成部分,已经深入到我们…

代码随想录算法训练营第三十一天 | 贪心1,想不到怎么找局部最优就做不出来

贪心算法理论基础 代码随想录 (programmercarl.com) 贪心算法理论基础!_哔哩哔哩_bilibili 贪心的本质是选择每一阶段的局部最优,从而达到全局最优。 例如,有一堆钞票,你可以拿走十张,如果想达到最大的金额&#xff…

代码随想录刷题笔记3

文章目录 回溯细节模板题型组合分割子集排列棋盘问题N皇后问题解数独问题 其他 总结 回溯 本质上:穷举 剪枝。回溯法就是解决这种k层for循环嵌套的问题。 for循环横向遍历,递归纵向遍历,回溯不断调整结果集。 注意画出 解空间树-N叉树。 细…

无云服务器,Linux本地快速搭建web网站,并内网穿透发布上线(1)

文章目录 前言1. 本地搭建web站点2. 测试局域网访问3. 公开本地web网站3.1 安装cpolar内网穿透3.2 创建http隧道,指向本地80端口3.3 配置后台服务 4. 配置固定二级子域名5. 测试使用固定二级子域名访问本地web站点 转载自cpolar文章:Linux CentOS本地搭建…

【QT】 Qt高级——Qt自定义标题栏

【QT】 Qt高级——Qt自定义标题栏 一、Qt自定义标题栏简介 QWidget及其子类窗体组件的标题栏受操作系统的控制,即标题栏的界面风格与操作系统的主题风格相同,工程实践中需要开发者自行定义,达到美化应用程序界面的目的。 二、Qt自定义标题…

每日学术速递5.1

CV - 计算机视觉 | ML - 机器学习 | RL - 强化学习 | NLP 自然语言处理 Subjects: cs.CV 1.Putting People in Their Place: Affordance-Aware Human Insertion into Scenes 标题:把人放在他们的位置:可供感知的人类插入场景 作者:Sumit…

项目管理:项目进度跟踪的好处有哪些?

项目进度跟踪主要针对项目计划、任务和项目成员三个方面,即为了了解整个项目计划完成情况、了解项目的实际进展情况、解成员工作完成情况。 项目跟踪可以证明计划是否可执行,可以说明计划是否可以被完成。 在项目执行过程中,我们也可以通过跟…

网络安全合规-Tisax(汽车安全评估讯息交换平台)一

**TISAX(汽车安全评估讯息交换平台(可信信息安全评估交换平台))**是2017年由德国汽车工业联合会(VDA) 联合欧洲网络交换所(ENX) 所推出的资讯交换平台,通过应用欧洲网络交换协会(ENX)和德国汽车…

rk3568 适配摄像头 (双摄)

rk3568 适配摄像头 (mipi 双摄) rk3568 适配双摄像其实就是逐个适配单摄像头,只是两颗摄像头的数据总线可能不同(cifmipi),也可能相同(mipi(2lane) x 2)。几乎相同的上电时许,不同的时钟信号和总线协议决定加载过程会略有不同。 提示&#…

CSDN周赛第49期 - 也谈马拉车

前言 C站的周赛已经很久没有新题了,已考过的题目我差不多都写过题解,若再重复写类似的文章,反而会降低博文质量分,而想要换个角度,却又难以找到动笔的欲望。所以虽然比赛发生在五一假期之前,但直到现在五一…

camunda升级事件的用途

在Camunda中,升级事件(Escalation Event)是一种可以在工作流中出现异常情况时触发相应操作的事件类型。使用升级事件可以帮助工作流更加灵活地处理异常情况,以确保工作流的正常运行。 使用升级事件可以处理以下情况: …