详解HTTPS加密过程

news2025/1/18 4:35:45

目录

前言

HTTPS是什么

HTTPS的工作过程

引入对称加密

引入非对称加密

引入证书

总结

前言

对于HTTP上篇文章已经做了详细的解释了。众所周知,HTTPS要比HTTP要安全,但是为什么HTTPS要比HTTP安全呢?

这篇文章主要研究HTTPS的加密机制。

HTTPS是什么

HTTPS(Hypertext Transfer Protocol Secure)是一种通过加密和身份验证来保护网络通信安全的协议,使用默认端口是443端口。

主要是引入了一下的机制:

  1. SSL(Secure Sockets Layer)/TLS(Transport Layer Security)协议:SSL和其继任者TLS是实现HTTPS加密的主要协议。这些协议使用了公钥加密和对称密钥加密的组合来确保通信的机密性、完整性和身份验证。

  2. 公钥加密:公钥加密也被称为非对称加密,使用了两个密钥:公钥和私钥。服务器拥有私钥,而公钥则被用于加密从客户端发送到服务器的数据。这样,只有服务器拥有私钥,能够解密数据。公钥通常由数字证书机构(CA)签发,用于验证服务器的身份。

  3. 数字证书:数字证书是一种由数字证书机构(CA)签发的电子文件,用于验证服务器的身份。它包含了服务器的公钥和其他相关信息,被用于建立安全连接并验证服务器的真实性。当客户端连接到服务器时,服务器会将数字证书发送给客户端进行验证。

  4. 对称密钥加密:对称密钥加密使用相同的密钥对数据进行加密和解密。在HTTPS通信中,一旦建立了安全连接,服务器和客户端之间会协商生成一个对称密钥,该密钥用于加密和解密数据的传输。

HTTPS的工作过程

既要保证数据的安全,那么就需要加密。我们知道HTTP在网络上传输的数据是明文传输的。

而明文传输的数据在网络上就相当于“裸奔”。如何要让我们的数据在网络不在“裸奔”呢?

就需要给数据进行加密,变成密文。这也就是HTTPS要做的事。

加密的方式有很多种,整体就是两个类,分别是对称加密和非对称加密。

我们先来认识密钥:

密钥是用于加密和解密数据的关键信息。它是一个特定的值或参数,根据所使用的加密算法,用于转换明文(未加密的数据)为密文(加密的数据),或者将密文还原为明文。

引入对称加密

在对称密钥加密算法中,同一个密钥被用于加密和解密数据。发送方使用密钥将明文加密为密文,并将其发送给接收方。接收方使用相同的密钥将密文解密为明文。对称密钥加密算法的主要优点是处理速度快,但密钥的安全传输和管理是一个挑战。

 也就是说只有一个密钥,把明文加密和把密文解密。

 在上述过程中,即使黑客通过入侵网络中的网络设备,拿到了数据,但是数据是进行了加密的,此时黑客并不知道密钥是啥,黑客也就没有办法获取到传输的数据了。

那么难道此时就绝对安全了吗,其实不然,要知道,服务器器在同一时刻是给很多台客户端提供服务的,这么多的客户端,每个客户端的密钥肯定是不同的,因此服务器此时就需要维护每个客户端和服务器之间的密钥关联关系。

 

此时服务器就需要维护这个密钥与客户端之间的关系。

于是发现既然每个客户端的密钥都不相同,那么让客户端自己生成一个密钥,用来加密和解密数据,但是服务器此时也要知道这个密钥用来解密和加密数据。那么如何让服务器也知道这个密钥呢?肯定要通过网络传输的方式来让服务器知道客户端生成的密钥。

此时客户端生成了密钥(key),于是就通过网络传输的方式来告诉服务器自己生成的key。但是黑客这时是非常容易拿到客户端生成的key的。

黑客拿到这key之后,服务器就通过key对数据进行加密,加密完成之后,进行网络传输,在传输的过程中,黑客已经知道了key,就可以轻而易举的进行解密,拿到想要窃取的数据了。 

可以看出,这个方式并不是理想的加密方式,于是就引入了非对称加密。

引入非对称加密

在非对称密钥加密算法中,使用一对密钥:公钥和私钥。公钥是公开的,用于加密数据,而私钥是保密的,用于解密数据。发送方使用接收方的公钥加密明文并发送密文,接收方使用自己的私钥进行解密。非对称密钥加密算法提供了更好的密钥管理和身份验证机制,但处理速度较慢。

  • 通过公钥对明文加密, 变成密文
  • 通过私钥对密文解密, 变成明文

下面我们假设服务器生成了一对非对称密钥

公钥  pub

私钥  pri

上述过程中,客户端向服务器索要公钥来加密的数据就是自己生成的对称密钥key。

此时这个过程,黑客通过中间网络设备是已经知道了公钥的。但是黑客此时并不知道用来解密的私钥, 私钥是一直在服务器上的,并没有进行网络上的传输。用来解密的关键就是私钥。需要注意:公钥和私有是成对出现的,公钥只能用来加密,而私钥则是只能用来解密。

在传输的过程中,因为客户端把自己生成的密钥用pub(公钥)进行了加密,所以即使黑客截取到了数据,也是没有办法进行解密的,因为是用pub进行加密的,解密也就需要pri(私钥)来解密。

 

当服务器拿到了用pub进行加密的key之后,就是用pri来解密,然后服务器就知道了客户端生成的key。后续的业务数据的传输就是用key来进行加密。

 

上述的整个过程难道就安全了吗?其实不然,所谓道高一尺魔高一丈,于是黑客通过欺骗的手段还是能获取到我们的数据。就是所谓的中间人攻击。

中间人攻击

通过在入侵的网络设备上进行伪造服务器的公钥和私钥来进行攻击的一种手段。

 

 此时当服务器把自己的pub发给客户端的时候,黑客自己也生成了一对公钥和私有,我们记为pub2和pri2,此时黑客就会把自己的pub2给客户端发去,通过用把服务器的pub给悄悄记住了。

 此时客户端使用黑客自己生成的pub2来对key进行加密,当发送出去之后,黑客就能通过自己生成的pri2来轻松的解密,得到了key,然后有把key重新使用服务器的pub来进行加密,然后发送出去,此时服务器并不知道key已经被黑客拿到了。

 服务器拿到用pub加密的key之后,并不知道黑客已经拿到了key,于是就双方就放心大胆的使用对称密钥key进行传输。

但是黑客早就直到了key,所以在传输的过程中,黑客就使用拿到的key来对数据进行解密和加密,而服务器和客户端全然不知,数据已经全部暴露。

破解中间人攻击的关键就是让客户端直到这个服务器的公钥是不是已经被篡改的。

引入证书的机制就完美的破解了中间人攻击。

引入证书

这个证书就好比人的身份证, 作为这个网站的身份标识. 搭建一个 HTTPS 网站要在CA机构先申请一个证书. (类似于去公安局办个身份证)。

这个 证书 可以理解成是一个结构化的字符串, 里面包含了以下信息:

  • 证书发布机构
  • 证书有效期
  • 公钥(服务器的公钥)
  • 证书所有者
  • 签名   (先对证书的所有数据进行一个校验,生成一个校验和,然后再由证书的颁布机构使用自己的私钥进行加密)
  • ……

引入证书之后,客户端就不会向服务器索要服务器的公钥了,而是索要证书。

当前是共有5个密钥,分别是服务器的pub1和pri1 ,颁发证书机构的pub2和pri2,还有客户端自己生成的key。

需要注意的是,由于颁发证书机构并不是很多,所以就在每个操作系统中都内置了颁发证书机构的公钥。

 此时客户端拿到了这个证书之后,首先对证书进行了一个校验。

  1. 客户端使用内置的颁发证书机构的pub2先对签名进行了解密,得到了初始的值我们记为sum1
  2. 然后客户端使用同样的签名计算方法,基于证书中的各个属性,重新计算,得到sum2
  3. 比较两个值是否相同,如果相同,则说明数据没有并篡改。如果两个值不同,则数据已经被篡改,浏览器窗口进行报错。

在整个过程中,黑客是无法对证书中的数据进行篡改的。

如果说黑客把证书中服务器的公钥改成自己的。然后进行发送,当客户端拿到证书之后,进行校验,发现签名中的校验和整个证书的属性校验值不一致。那么客户端就知道证书被篡改了,于是立马浏览器窗口进行报错。

当然黑客也有证书颁发机构的公钥,黑客如果想要通过证书的那个属性重写计算签名,当然也是可以计算的,但是计算完成之后需要对签名进行了加密。此时黑客就做不了,因为证书是由颁发证书机构的私钥进行加密的,黑客可以解开,但是加密不了。

引入证书机制之后,黑客就改不了证书中的数据了。

总结

HTTPS 工作过程中涉及到的密钥有三组

  1. 第一组(非对称加密): 用于校验证书是否被篡改. 服务器持有私钥(私钥在注册证书时获得), 客户端持有公钥(操作系统包含了可信任的 CA 认证机构有哪些, 同时持有对应的公钥). 服务器使用这个私钥对证书的签名进行加密. 客户端通过这个公钥解密获取到证书的签名, 从而校验证书内容是否是篡改过。
  2. 第二组(非对称加密): 用于协商生成对称加密的密钥. 服务器生成这组 私钥-公钥 对, 然后通过证书把公钥传递给客户端. 然后客户端用这个公钥给生成的对称加密的密钥加密, 传输给服务器, 服务器通过私钥解密获取到对称加密密钥。
  3. 第三组(对称加密): 客户端和服务器后续传输的数据都通过这个对称密钥加密解密。
     

总结起来,HTTP是一种不安全的协议,适用于不涉及敏感信息传输的普通网页浏览等场景。而HTTPS通过加密、完整性验证和身份认证,提供了更高级别的安全保护,适用于涉及敏感信息(例如个人信息、支付信息)传输的场景,如网上银行、电子商务等。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/556874.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

操作系统-X18 linux日志审计

Linux日志审计 在unix/类unix(Linux)系统中,日志是内核(内存)的一部分。 用于记录系统、程序运行中发生的各种事件 通过阅读日志,有助于诊断和解决系统故障 日志文件的分类 ①内核及系统日志 由系统sysl…

队列及其实现

目录 一&#xff1a;队列 1.队列的概念及结构 2.队列的实现 <1>.初始化队列 <2>.队尾入队列 <3>.队头出队列 <4>.获取队列头部元素 <5>.获取队列队尾元素 <6>.获取队列中有效元素个数 <7>.销毁队列 二&#xff1a;完整代…

如何完全卸载IDEA

工欲善其事必先利其器&#xff0c;我们在用idea的时候&#xff0c;idea的环境出现了莫名其妙的问题&#xff0c;怎么也找不到问题原因。有时候也可能是安装了不知名VB脚本&#xff0c;给系统装了一大堆的环境变量(如下图所示)&#xff0c;这个时候你可以试着把idea卸载重新安装…

Jetpack Compose UI预览

Android开发 Jetpack_Compose_2 UI预览Preview 前言 在学习jetpack compose如何编写ui之前&#xff0c;我认为还是应该先了解与Android studio配合的UI预览Preview。 这样就可以立刻看到UI效果&#xff0c;从而方便后续学习验证代码。 所需依赖 implementation "androidx…

CAPL(vTESTStudio) - 自动创建带有时间戳的报告和log

目录 getLocalTime - 获取本地时间函数 代码示例 获取当前时间并形成格式:"2023_05_22_23_20_18"

Qt中的坐标系

Qt中的坐标系 Qt中的坐标系与win10上画图工具的联系 上面这个图片的水印挡住了重要信息,然后又截了一张,显然,画图工具的像素就是Qt中的坐标系,所以,以后查坐标系直接打开Qt:画笔位置所显示的像素就是Qt的坐标!!! 再总结一下: 好奇:win10上的画图工具是qt写的吗? 答: 不是…

【SpringCloud】Nacos

文章目录 一、Nacos1、安装2、服务注册和发现3、服务分级存储模型4、负载均衡策略--NacosRule5、服务实例的权重设置 一、Nacos 1、安装 官网&#xff1a;https://nacos.io/zh-cn/ 下载 Github主页: https://github.com/alibaba/nacos Github的Release下载页: https://githu…

linux命令行如何查看命令帮助信息

一&#xff0c;简介 “授之以鱼不如授之以渔”&#xff0c;我们再学习linux命令的时候&#xff0c;想查看某个命令的详细说明&#xff0c;有哪些方法呢&#xff1f;本文来介绍一下如何在命令行查找命令的帮助信息。 二&#xff0c;linux命令格式介绍 Linux命令一般由三部分组…

【深度学习】- 作业1: Softmax实现手写数字识别

课程链接: 清华大学驭风计划 代码仓库&#xff1a;Victor94-king/MachineLearning: MachineLearning basic introduction (github.com) 驭风计划是由清华大学老师教授的&#xff0c;其分为四门课&#xff0c;包括: 机器学习(张敏教授) &#xff0c; 深度学习(胡晓林教授), 计算…

【深度学习】 - 作业7: 图像超分辨率重建

课程链接: 清华大学驭风计划 代码仓库&#xff1a;Victor94-king/MachineLearning: MachineLearning basic introduction (github.com) 驭风计划是由清华大学老师教授的&#xff0c;其分为四门课&#xff0c;包括: 机器学习(张敏教授) &#xff0c; 深度学习(胡晓林教授), 计算…

Linux网络编程—Day10

Linux服务器程序规范 Linux服务器程序一般以后台进程形式运行。后台进程又称守护进程。它没有控制终端&#xff0c;因而也不会意外接收到用户输入。 守护进程的父进程通常是init进程&#xff08;PID为1的进程&#xff09;&#xff1b;Linux服务器程序通常有一套日志系统&#…

Android 11.0 系统设置显示主菜单添加屏幕旋转菜单实现旋转屏幕功能

1.前言 在android11.0的系统rom定制化开发中,在对系统设置进行定制开发中,有产品需求要求增加 旋转屏幕功能的菜单,就是在点击旋转屏幕菜单后弹窗显示旋转0度,旋转 90度,旋转180度, 旋转270度针对不同分辨率的无重力感应的大屏设备的屏幕旋转功能的实现, 接下来就来分析…

chatgpt赋能Python-python_dill

Python dill - 更高效&#xff0c;更强大的对象序列化工具 在Python编程中&#xff0c;对象序列化是一个非常常见的操作&#xff0c;它将Python对象转换为可以存储或传输的格式。Python默认提供了pickle模块来实现序列化&#xff0c;但是pickle存在一些限制&#xff0c;比如无…

usb摄像头驱动-core层usb设备的注册

usb摄像头驱动-core层driver.c 文章目录 usb摄像头驱动-core层driver.cusb_bus_typeusb_device_matchusb_uevent usb_register_driver 在ubuntu中接入罗技c920摄像头打印的信息如下&#xff1a; 在内核中&#xff0c;/driver/usb/core/driver.c 文件扮演了 USB 核心驱动程序管…

复现ms17-010漏洞

复现ms17-010 复现条件环境操作效果 让我们来看看“hkl”在干嘛 复现 条件 1.靶机必须为win8以下。 2.靶机必须同攻击机处于相同网段&#xff08;即倒数第二位相同&#xff09;。 3.靶机的445端口必须要开启。 环境 虚拟机kali为攻击机&#xff0c;win7虚拟机为靶机。 kali…

SELECT LAST_INSERT_ID()自增主键冲突或者为0问题

问题 数据库为mysql&#xff1b; mapper.xml文件为mybatis-generator自动生成的&#xff1b; 连接池使用DruidDataSource&#xff1b; 最终生成的insertSelective如下&#xff1a; 出现问题&#xff1a; 主键冲突&#xff1a;[WMyBatisTraceInterceptor:54][com.mysql.jdbc.…

如何定位OOM

造成OOM的原因 定位OOM 针对第一和第二种情况需要定位OOM 系统已经挂了&#xff1a; 通过堆dump文件定位。 当JVM发生OOM时&#xff0c;自动生成DUMP文件&#xff1a; -XX:HeapDumpOnOutOfMemoryError -XX:HeapDumpPath${目录} java -Xms10M -Xmx10M -XX:HeapDumpOnOutOfMemo…

c#中的json数据

JSON数据 数据传输的语言&#xff0c;用于前后端数据交互的语言&#xff0c;注意xml的区别。 json和xml的区别 xml&#xff1a;可扩展标记语言&#xff0c;是一种用于标记电子文件使其具有结构性的标记语言。 json&#xff1a;(JavaScript Object Notation, JS 对象简谱) 是…

昆仲被投企业「鲲游光电」近期完成新一轮数亿元融资,继续致力于探索前沿光电子领域产品与创新应用|昆仲·链

鲲游光电(North Ocean Photonics)是专注于晶圆级光学、光集成领域的高科技企业&#xff0c;总部位于中国上海。依托自身深厚的技术积累、高精度的制造工艺&#xff0c;鲲游光电通过融合集成光学与集成电路的创新思路&#xff0c;致力于探索前沿光子、光电子领域的实现与创新应用…

MyBatis环境搭建配置、增删改查操作、分页、事务操作、动态SQL、缓存机制、注解开发

MyBatis 文章目录 MyBatisXML语言简介用途各部分注解声明元素属性注释CDATA转义字符 搭建环境读取实体类创建实体与映射关系的文件 配置MyBatis创建工具类接口实现 Mybatis工作流程增删改查指定映射规则指定构造方法字段名称带下划线处理条件查询插入数据复杂查询和事务一对多查…