【网络】HTTPS协议原理

news2024/11/15 11:18:08

目录

“加密”相关概念

为什么要加密

常见加密方式

对称加密

非对称加密

HTTPS工作过程探究

方案1-只使用对称加密

方案2-只使用非对称加密

方案3-客户端和服务端双方都使用非对称加密

方案4-非对称加密 + 对称加密

上述方案问题分析 

方案5-证书认证 + 非对称加密+对称加密

什么是证书

什么是数据摘要

什么是数字签名

证书认证 + 非对称加密+对称加密

常见问题

中间人修改证书怎么办。

中间人将证书整个换掉。

摘要内容在网络传输时为什么要加密形成签名

数字签名为什么不直接加密,而是要先hash形成摘要呢。

总结


http协议内容是按照文本的方式明文传输的,传输的过程中存在被恶意分子获取,修改的风险。这种传输方式,称为明文传输。

https也是用用层的协议,在http协议的基础上引入了加密层,这种传输方式称为密文传输。

“加密”相关概念

加密的本质就是把 要传输的信息 进行一系列的变换,生成密文。解密的过程就是将密文再次经过变换,恢复成 真正要传输的信息。在加密解密的过程中,需要一个或者多个中间数据,辅助加密解密,这样的中间数据叫做 密钥

例:如下图所示,张三想要向如花表白,但是在信息传输的过程中,害怕被别人看到或者恶意修改,就用key对要传输的数据进行了加密,并且在消息发送前把key也告诉了如花。信息发送后,即便数据在传输的过程中被别人看见,看到了并不是信息的原貌。只有拥有key的如花通过key对数据进行解密,才能等看到张三传输的原始信息。

为什么要加密

在互联网上,明文传输是比较危险的事情。不法分子可以通过一些技术手段来窃取你的隐私信息,甚至篡改内容。如果你在登录支付软件的过程中被“坏人”获取到了账户余额,甚至获取到用户的支付密码,后果不堪设想。下面举个例子:

案例场景:小明 想要下载一个 A 软件,点击下载按钮后,本质上是在给服务器发送一个http请求,服务器发送响应给客户端后,http响应中就包含了 A软件 的下载链接, 因为 在网络传输的任何数据包都要通过运营商的网络设备,这个时候运营商可以劫持这个响应,对数据内容进行篡改,如将A软件的下载链接 修改成 “B软件的下载链接” 。

 http的内容是明文传输的,被中间人劫持后,传输的内容完全暴露。中间人可以修改传输的信息,并且不被客户端和服务端察觉。因此我们需要对信息进行加密。

常见加密方式

对称加密

对称加密采用的是单个密钥的加密方法,使用这一个密钥完成对信息进行加密和解密。

特点:算法公开、计算量小、加密速度快、加密效率高。

非对称加密

非对称加密,需要两个密钥进行加密和解密,公钥(对明文加密),私钥(对明文解密),两个密钥反过来使用也是可以的。

特点:算法强度复杂、加密解密速度慢。

HTTPS工作过程探究

方案1-只使用对称加密

问题:服务器需要维护每个客户端和每个密钥之间的关联关系,比较理想的做法就是在客户端和服务器建立连接的时候,双方协商确定好这次密钥是什么。但是在协商密钥的过程中,如果将密钥明文传输,那么中间人(黑客等)也可以获得密钥,这样一来后序的加密传输就形同虚设,毫无意义!

方案2-只使用非对称加密

分析:服务器端有私钥和公钥,服务器先将公钥以明文的方式传递给客户端(中间人也可以拿),此后客户端向服务器传输数据前都用公钥加密,从客户端到服务器的信道好像是安全的(实际上仍不安全,后面讨论),因为只有服务端有解密的私钥。 但是,从服务端到客户端这条路无法保证安全,如果服务器用私钥加密,中间人手中也有公钥,也可以对信息进行解密。

问题总结:公钥传输后,从客户端到服务端的通信信道似乎保证了安全(实际不安全)。但是,从服务端到客户端仍然是不安全的。

方案3-客户端和服务端双方都使用非对称加密

如下图所示:服务端和客户端各有一对密钥。

 以上图为例进行描述,服务端的密钥为公钥S和私钥S',客户端的密钥为公钥C和私钥C'。

1.客户端和服务端交换公钥。(明文传输)

2.客户端向服务端发送信息时用公钥S对数据加密,由于只有服务端有解密的私钥S',所以只能由服务器进行解密(貌似安全,实际不安全)。

3.同理,服务端向客户端发送信息时用公钥C对数据加密,只有服务端可以用私钥C'进行解密,这个过程似乎也是安全的(实际不安全)。

4.综上所述,通过双方都使用非对称加密的方式,似乎保证了信息传输的安全(依旧有安全问题)。

问题:双方使用非对称加密,效率太低。虽然表面上看保障了信息传输的安全,但是实际上依旧有安全问题!

方案4-非对称加密 + 对称加密

1.服务端有一对密钥,公钥S和私钥S' ,客户端有只有一个公钥C.

2.首先客户端发起https请求,获取到服务端的公钥S。

3.客户端将公钥C通过服务端公钥S'加密后,发送给服务端。

4.由于解密S的私钥只有服务端有S',公钥C传输的过程似乎是安全的(实际上仍然不安全)。

5.服务器通过私钥S'解密,等到客户端的公钥C。并通过C加密向客户端返回响应数据。

6.从整体流程上看,解决了方案3效率低的问题,并且似乎也是安全的(实际上不安全)。

上述方案问题分析 

在方案2/3/4中都存在同一问题,假设中间人在最开始的握手协商阶段,就进行攻击,依旧会存在安全问题。

如上图所示:以方案4为例进行演示

1.服务端有公钥S和私钥S',客户端有公钥C,中间人有公钥M和私钥M'。

2.客户端向服务器发送请求,服务器明文传送公钥S给客户端。

3.中间人可以劫持报文,并获取公钥S。与此同时,如果中间人把劫持报文中的公钥S换成自己的公钥M,并伪造报文发送给客户端。

4.客户端并不知道自己收到的公钥已经被掉包,按照流程解密获取到公钥M。将客户端公钥C通过M加密发送给服务端。

5.中间人劫持报文后,通过M'进行解密,获取到公钥C。接着再用开头截取到的公钥S加密后,将报文推送给服务器。

6.服务器收到报文后,通过密钥S'解密获取到客户端公钥C。此后服务端和客户端通过公钥C进行对称加密。

7.当CS双方都用公钥C对称加密的时候,中间人也有密钥C,也就说中间人对数据可以随时截取、窃听甚至修改。

8.综上所述,2/3/4方案也都存在安全问题。

方案5-证书认证 + 非对称加密+对称加密

什么是证书

服务端在使用HTTPS前,需要向CA机构申领一份数字证书,数字证书中包含证书申请者信息,公钥信息等。服务器把证书传输给浏览器,浏览器从证书里获取公钥。证书可以证明服务端公钥的权威性,并且私钥只有服务端有。

什么是数据摘要

数据摘要的基本原理就是利用单向散列函数(Hash函数)对信息进行运算,生成一串固定长度的数字摘要。数字摘要并不是一种加密机制,它主要用来判断数据有没有被篡改过。

什么是数字签名

数字签名是基于非对称加密算法的。简单的理解,数据摘要用CA的私钥加密后,就是数字签名。

 如上图所示是有效证书的生成过程:
1.CA机构有非对称加密的公钥A和A'。

2.CA机构对服务器申请的证书明文数据进行hash,形成数据摘要。

3.然后对数据摘要用CA私钥A'机密,就得到了数字签名S。

4.服务端申请的证书明文+数字签名共同组成了数字证书。

证书认证 + 非对称加密+对称加密

1.客户端和服务器刚刚建立连接的时候,服务器给客户端返回一个证书,证书中包含了之前服务端的公钥。

2.客户端收到证书后,对证书的合法性进行校验。如果不合法进行提示,合法随机生成一个密钥R。

3.使用证书种包含的公钥X对R进行加密,发送给服务端。

4.服务端用私钥X'加密获取到公钥R,此后服务端和客户端就使用对称加密的方案进行通信。

常见问题

中间人修改证书怎么办。

中间⼈篡改了证书的明⽂也没关系,由于中间人没有CA机构的私钥,所以⽆法hash之后⽤私钥加密形成签名,那么也就没法办法对篡改后的证书形成匹配的签名。 如果强⾏篡改,客⼾端收到该证书后会发现明⽂和签名解密后的值不⼀致,则说明证书已被篡改,证书不可信,从⽽终⽌向服务器传输信息,防⽌信息泄露给中间⼈。

中间人将证书整个换掉。

因为中间⼈没有CA私钥,所以⽆法制作假的证书。所以中间⼈想掉包只能向CA申请真证书,然后⽤⾃⼰申请的证书进⾏掉包。这个确实能做到证书的整体掉包,但是,证书明⽂中包含了域名等服务端认证信息,如果整体掉包,客⼾端依旧能够识别出来。
中间⼈没有CA私钥,所以对任何证书都⽆法进⾏合法修改。

摘要内容在网络传输时为什么要加密形成签名

对证书明⽂hash形成散列摘要,然后CA使⽤⾃⼰的私钥加密形成签名,将数据和加密的签名合起来形成CA证书,颁发给服务端,当客⼾端请求的时候,就发送给客⼾端,中间⼈截获了,因为没有CA私钥,就⽆法更改或者整体掉包,就能安全的证明,证书的合法性。最后,客⼾端通过操作系统⾥已经存的了的证书发布机构的公钥进⾏解密,还原出原始的哈希值,再进⾏校验。

数字签名为什么不直接加密,而是要先hash形成摘要呢。

缩小签名的密文长度,加快数字签名验证签名的运算速度。

总结

证书+非对称加密+对称加密,一切的关键都是围绕着对称加密的密钥,其他的机制都是辅助这个密钥工作的。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/731690.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

代码随想录二刷day46 | 动态规划之139.单词拆分

day46 139.单词拆分1.确定dp数组以及下标的含义2.确定递推公式3.dp数组如何初始化4.确定遍历顺序5.举例推导dp[i] 139.单词拆分 题目链接 解题思路:单词就是物品,字符串s就是背包,单词能否组成字符串s,就是问物品能不能把背包装满…

原来Linux里也能打《ACM》?

本文,我们来介绍一下Linux中的ACM时间,不过呢此ACM非彼acm,让我们一起来看看吧 前言 我们在写Makefile的时候,经常会遇到make: xxx is up to date.的问题,很多同学都不知道是什么原因,本文我们就从这一点说…

如何查看某个学者近些年发表的论文

Search more papy by the author 在谷歌学术上搜索,输入学者的名字,就会出来所有的期刊,文章题目、发表时间、相关作者等信息。 例如, 在下面的网址中,展示了学者发表的论文详情 https://scholar.google.com/citat…

C++常用库函数 6.进程控制函数

函数名&#xff1a;exit 函数原型&#xff1a;void exit(int status)&#xff1b; 参数&#xff1a;status 退出状态。 所需头文件&#xff1a;<cstdlib> 功能&#xff1a;终止进程。函数名&#xff1a;system 函数原型&#xff1a;int system(const char*command) …

103、基于STM32单片机智能两轮双轮自平衡小车 蓝牙手机APP控制系统设计(程序+原理图+PCB源文件+硬件芯片资料等)

单片机主芯片选择方案 方案一&#xff1a;AT89C51是美国ATMEL公司生产的低电压&#xff0c;高性能CMOS型8位单片机&#xff0c;器件采用ATMEL公司的高密度、非易失性存储技术生产&#xff0c;兼容标准MCS-51指令系统&#xff0c;片内置通用8位中央处理器(CPU)和Flash存储单元&a…

【网络安全带你练爬虫-100练】第10练:re的正则匹配、文件夹创建、图片下载

目录 一、目标1&#xff1a;正则匹配图片的URL 二、目标2&#xff1a;创建文件夹 三、目标3&#xff1a;保存图片到test文件夹中 四、网络安全小圈子 一、目标1&#xff1a;正则匹配图片的URL URL位置 我们可以找到img都在这个标签里面 请求方法GET 提取URL位置 需要掌握…

【算法 -- LeetCode】(12)整数转罗马数字

1、题目 罗马数字包含以下七种字符&#xff1a; I&#xff0c; V&#xff0c; X&#xff0c; L&#xff0c;C&#xff0c;D 和 M。 字符 数值 I 1 V 5 X 10 L 50 C 100 D 500 M …

【源码】vue2+element+laravel8开发不良事件上报系统源码

系统概述&#xff1a; 医院不良事件报告系统为医院内质量控制、患者安全关注、医疗安全不良事件方面的精细化的管理提供了平台&#xff0c;是等级医院评审的必备内容&#xff0c;评审要求医院直报系统要与卫生部“医疗安全(不良)事件报告系统”建立网络对接。 不良事件报告系统…

微信小程序WebView嵌入别人网页的解决办法

写在前面&#xff0c;小程序必须是热认证的企业小程序&#xff0c;个人小程序不支持WebView组建。 方法一&#xff1a; 在做微信小程序开始时&#xff0c;大家都能遇到&#xff0c;WebView组件使用的URL必须要在小程序的后台设置业务域名&#xff0c;并且在对应域名服务器根目…

hexo #01 安装

本篇主要步骤 1、前置环境2、安装 hexo3、初始化 hexo4、运行 hexo 1、前置环境 参考官网教程&#xff1a;hexo 博客系统安装前提 2、安装 hexo 这里采用官网推荐的第二种方式局部安装 hexo 包。 $ npm install hexo3、初始化 hexo 创建一个空文件夹&#xff0c;用来作为项…

mysql 数据库备份和还原

数据库备份 第一步&#xff1a;先在环境变量Path里面加上mysql bin目录的路径 第二部&#xff1a;执行对应的命令 备份数据库中的表&#xff1a; 命令&#xff1a; mysqldump -u root -p fenku_lianxi customer > d:\temp.sql root是 账号 username fenku_lianxi是数据…

科技资讯|苹果Vision Pro手部追踪和手势相关新专利曝光

近日&#xff0c;美国专利商标局正式授予苹果一项与 Apple Vision Pro 主要功能相关的专利&#xff1a;手部追踪和手指手势。 苹果专利指出&#xff0c;沉浸感的质量取决于几个重要因素。例如&#xff0c;显示器的特性&#xff0c;如图像质量、帧率、像素分辨率、高动态范围 …

MATLAB|考虑自动重合闸与分布式能源的配电网可靠性评估研究

&#x1f4a5;&#x1f4a5;&#x1f49e;&#x1f49e;欢迎来到本博客❤️❤️&#x1f4a5;&#x1f4a5; &#x1f3c6;博主优势&#xff1a;&#x1f31e;&#x1f31e;&#x1f31e;博客内容尽量做到思维缜密&#xff0c;逻辑清晰&#xff0c;为了方便读者。 ⛳️座右铭&a…

MacOS Sonoma 14.0 (23A5286g) Beta3 带 OC 0.9.3 and FirPE 双分区原版黑苹果镜像

苹果今日向 Mac 电脑用户推送了 macOS 14 开发者预览版 Beta3 更新&#xff08;内部版本号&#xff1a;23A5286g&#xff09;&#xff0c;本次更新距离上次发布隔了 14 天。 一、镜像下载&#xff1a; 1.微信公众号&#xff1a;macOS Sonoma 14.0 (23A5286g) Beta3 带 OC 引导…

染色法判定二分图 — DFS深搜 +BFS宽搜

染色法判定二分图 — DFS深搜 题目描述 给定一个 n n n 个点 m m m 条边的无向图&#xff0c;图中可能存在重边和自环。 请你判断这个图是否是二分图。 输入格式 第一行包含两个整数 n n n 和 m m m。 接下来 m m m 行&#xff0c;每行包含两个整数 u u u 和 v v …

C++教程——继承、多态

继承 继承方式 继承中的对象模型 继承中构造和析构顺序 继承中同名成员处理方式 继承中同名静态成员处理方式 多继承语法 菱形继承 虚继承解决资源浪费的问题 底层原理 多态 多态的原理剖析 纯虚函数与抽象类 虚析构与纯虚析构 虚析构

【Linux系统编程】20.程序、进程、CPU和MMU、PCB

目录 程序 进程 CPU和MMU PCB 程序 编译好的二进制文件&#xff0c;存在磁盘上&#xff0c;只占用磁盘资源。 进程 进程是活跃的程序&#xff0c;占用系统资源&#xff0c;在内存中执行。程序运行起来&#xff0c;产生一个进程。 程序类似于剧本&#xff0c;进程类似于一场…

为何OpenAI能领先大厂开发出如ChatGPT的模型

为何OpenAI能领先大厂开发出ChatGPT的大模型&#xff1f; 信仰和环境缺一不可&#xff0c;不是因为OpenAI从0到1创造性的搞出来大模型&#xff0c;而是信仰和环境造就了ChatGPT大模型 在谈论为何中国乃至其他国家的大厂未能开发出如ChatGPT的模型时&#xff0c;我们需要强调&am…

使用electron打包spring-boot+vue项目开发桌面exe端项目一站式全部解决!专栏有解决报错文章

准备工具 前端:node.js 14以下(直接安装 node.js 即可) 后端:jre 1.8(必须1.8) 工具: Bat_To_Exe_ConverterInno_Setup 汉化版(英文版不支持简体中文,打包出来的安装界面是英文的)我以及给大家汇总完毕直接点击进去下载即可 https://pan.baidu.com/s/1XoA0tj3b4Q…

Geoserver静态瓦片服务

愿你出走半生,归来仍是少年&#xff01; 1.静态瓦片服务 此处描述的静态瓦片服务指瓦片本身存储于服务器的磁盘上&#xff0c;常用的服务类型包含了标准TMS服务以及Google的XYZ服务两种类型。 在Geoserver中常用的瓦片服务包含了WMS、WFS、TMS、WTMS等等。在面向数据更新频率不…