计算机网络(七) —— https协议与网络安全证书

目录

一,关于https

二,关于加密

2.1 明文,密钥

2.2 对称和非对称加密

2.3 数据摘要,数据指纹,数字签名

三,https过程过程探究

四,证书

4.1 CA认证

4.2 证书大致内容和申请流程

4.3 签名

4.4 方案五


一,关于https

  • http不安全,所以选择大部分互联网公司采用的都是https协议,https的作用就是保证数据安全
  • 应用层把数据交给传输层,网络层,数据链路层,但是这三个是属于操作系统范畴的,而操作系统也没有义务把你的数据做加密,主要还是解决数据传输的各种问题。
  • 用户的数据以http的请求和响应为载体,把信息进行双方交互,所以在传输过程中,也会有很多人也能收到并且往上解析,这是不能忍受的。
  • 所以数据安全的设计者在应用层添加了一层软件层:ssl加密解密层,作用是http先交给它,做加密后再交给操作系统,然后发给对方后,对方再解密
  • 这样中间的用户能接收到数据但是无法解密,只有通信双方才知道,所以http + ssl = https。基于http封装了一层软件层

所以https本质上是对数据做的一种保证安全的解决方案:

  • 一个方案现在可能没有漏洞,但是随着技术,硬件和算力的进步,在未来总会有漏洞的,所以安全问题永远都存在
  • 如果一个数据安全攻破的成本大于攻破后的收益,我攻破你赚了10块钱,但是我为了攻破你花了100,这就认为这个网络安全协议就是安全的,这是一个标准
  • ssl是权威的官方的加密解决方案,每过一段时间就会暴露一些问题,树大招风,所以会有一大堆社区人员会维护它,所以这种协议不一定是任何时候都安全的

二,关于加密

2.1 明文,密钥

问题:什么是加密?

解答:加密就是把明文(要传输的信息)进行⼀系列变换,生成密文;解密就是把密文再进行⼀系列变换,还原成明文

比如藏头诗,把数据放在诗的开头叫做加密,发给对方后,对方只读诗的开头,叫做解密

问题:什么是密钥?

解答:在加密解密过程中都需要中间数据辅助这个过程,这个中间数据就叫做“密钥”。

比如,我要发7(111),然后和5(101)做异或(^),结果就变成010,也就是2,然后只把2发过去,然后再解密,2再和5做异或变成7
其中我们把7称为明文,2叫做密文,5就是密钥,做异或就是加密解密的过程

问题:为什么要加密?
解答:有一种说法叫做“运营商劫持”,点击下载请求就是发送一个http请求,运营商拿到了链接可能会把用户的响应改成其它的,比如我要下A软件,但是最后却下载了B软件,这种篡改http请求的攻击我们有一种笼统的说法叫做“中间人攻击”

所以,在互联网上,明文传输是非常危险的事情,https就是再http的基础上做加密

2.2 对称和非对称加密

1,对称加密:

  • 加密和解密用的同一个密钥,比如上面的异或加密,可以理解为一种对称加密的算法
  • 特征:密钥相同,并且加密和解密速度快

2,非对称加密:

  • 加密解密用不同的密钥,明文 + 密钥A = 密文,然后密文用密钥B来解密,A与B是不同的密钥
  • 我们可以把一个密钥公开,公开的这个密钥叫做“公钥”,不被公开的叫做“私钥”
  • 特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对称加密解密的速度快
  • 缺点:运行速度非常慢,而且我用公钥加密,这个世界上只有有私钥的人才能解密,私钥丢失,就不能再解密了

2.3 数据摘要,数据指纹,数字签名

  • 数据摘要和数据指纹,这俩其实是同一个东西,只是有两种说法
  • 其原理是对原文数据使用Hash算法,生产一串固定长度的,非常低概率发生冲突的固定长度的字符串,特点是具有“唯一性”,比如MD5算法
  • 这个形成的字符串就叫做数据摘要,由于和指纹一样具有唯一性,所以也叫做数据指纹
  • 我们上一篇博客讲的session_id就可以认为是MD5的数据摘要
  • 摘要特征:和加密算法的区别是,摘要严格意义不是加密,因为没有解密,只不过从摘要很难反推原信息,通常用来进行数据对比
  • 把摘要再次加密后就是“数字签名”,签名我们后面讲

三,https过程过程探究

加密方式有很多,下面我们来一步步探究https是如何解决数据安全的,加密方式有很多种,但是整体分为两大类:对称加密和非对称加密:

方案一:只采用对称加密

  • 双方只约定好一个密钥,中间经过很多设备,假设黑客入侵了一个,截获了请求,但是解密成本太高,拿到也没用,但是黑客仍然也能拿到密钥
  • 客户端第一次请求时,服务器把密钥发过去,但是这就类似于掩耳盗铃了因为黑客也能拿到
  • 那好,我对密钥再进行加密,然后进入无限循环。所以方案一pass

方案二:只使用非对称加密(客户端发公钥,服务器发私钥)

  • 需要公钥和私钥,起名为p和p',客户端发过来请求,是http的,然后服务器收到了,把p发给客户端了,p'自己维护好
  • 然后客户端用公钥加密后发给服务器,只有服务器有私钥,所以只有服务器能对数据做解密,这样,从客户端到服务器的数据安全就可以保证

但是问题来了:当服务器往客户端响应时,服务器只有私钥没有公钥,所以服务器只能用私钥加密,然后发给客户端,但是黑客就可以用公钥解密,这就不行了,无法保证服务器发给客户端的数据安全性,所以只使用非对称加密也不行

方案三:双方都是用非对称加密

  • 服务器有公钥和私钥,S和S',客户端也有自己的公钥和私钥,C和C'
  • 客户端请求时把S交给服务器,然后服务器把公钥C交给客户端,双方都维护自己的私钥,双方只发送公钥
  • 效率太低,而且依旧有安全问题

方案四:非对称加密和对称加密混合使用 --> 解决方案3的问题

  • 服务器有自己的公钥和私钥S和S',服务器把S发给客户端,客户端形成一个对称密钥C,然后“C + S + 明文”一起进行加密再给服务器,这时候服务器就能通过自己的私钥S'和对称密钥C进行解密
  • 这样就是,服务器发给客户端时用非对称加密,客户端发给服务器时用对称加密,这样就能保证安全性,而且安全性也有保障。

针对方案二三四存在的问题

问题:方案234都使用了非对称加密,但是它们都有一个公共的问题,或者说它们都存在一个前提性的问题,最开始客户端发请求给服务器是没用任何加密的,如果这个时候中间人已经在开始攻击了呢

场景:以方案4为背景(服务器有自己的公钥和私钥,S和S',中间人也有自己的公钥和私钥,M和M')

  1. 最开始客户端发给服务器,中间人直接劫持报文,这时候不做处理直接发给服务器,服务器用S加密后发回去
  2. ②然后中间人劫持了报文,获取了公钥S并保存好,并把M替换掉S,交给客户端
  3. ③然后客户端就以为公钥M就是服务器给我发的,然后客户端生成自己的密钥X 再和 M进行加密,然后发给服务器(X + M)
  4. ④中间人再次截取报文,中间人用自己的私钥M'解密,然后就拿到X,再用X 和 S重新再加密,再发给服务器
  5. ⑤这时候在服务器和 客户端看来,它们拿到的都是对应的密钥,感觉没什么问题,于是双方就开始用对称密钥开始通信,但是此时的中间人拥有双方的密钥,就可以获取双方发送的所有报文并进行解密
  6. 这种欺骗客户端的攻击方式叫做:MITM中间人攻击

解答:问题的本质在于客户端无法验证服务器发来的密钥是否合法,所以就需要通过我们的证书来解决

四,证书

4.1 CA认证

  • 服务端在使用https前,需要向CA机构申请一份数字证书,它就像身份证一样含有证书申请者信息,公钥信息等。
  • 服务器只需要把把证书传给浏览器,浏览器直接从证书里面获取密钥就行了
  • https一般用在搭建网站的时候所需要的第一种协议
  • 访问一些网站时,会提示网站对应的证书已经过期,或者安全证书不安全

4.2 证书大致内容和申请流程

如下图:

大致步骤如下: 

  1. 我们先准备一个公钥和私钥对,S和S',就是服务器上那个,再确认申请信息(域名,申请者,公钥S)。如果非技术人员不熟悉操作,CA会有对应的办理服务机制
  2. 对我申请的资料进行审核
  3. 如果合格就直接签发证书,这个证书是要安装到你的服务器上的
  4. 服务器把证书发给浏览器或者客户端
  5. 浏览器或者客户端会验证证书
  6. 验证合法之后,就允许服务器和客户端进行密钥协商

证书中包含公钥,就是申请者曾经提交给CA的公钥,也就是服务器使用的公钥,这样就保证了公钥的合法性,服务器则自己把私钥保护好

4.3 签名

问题:如何保证服务器发给客户端的证书是合法的?(权威机构认证 + 是否篡改)

解答:现在问题从公钥是否合法转化为了证书是否合法,所以判断证书是否合法,通过”签名“来完成 

  • 证书里有一个“签名”:我们用数据摘要和数据指纹生成MD5的不重复的定长字符串,把数据指纹或数据摘要再加密就获得了“数据签名”

  • 然后我们把签名和原始数据搞在一起,就生成了“具有数据签名的一份数据”。

  • 然后浏览器拿到服务器发来的证书进而拿到签名,然后我们签名分开成”数据和签名

  • 然后对于数据做散列函数算法算出散列值,然后再用签名者的公钥解密原始文件得到散列值,

  • 对于两个散列值是否相等,如果相等则代表文件没有被修改,如果不相等,就表示被篡改过

 

问题:CA内部如何形成合法证书呢?

解答:签名的形成是基于非对称加密算法的

  1. 上面说的原始数据就是用户提交上来的数据,然后在CA内部有自己的公钥和私钥,(这个公钥和私钥和我们历史讲的cs,bs毫无关系)
  2. 先对用户提交上来的数据做散列函数得到散列值(101100110101),然后CA在内部用它自己的私钥形成一个签名(111101101110),然后把客户提交上来的数据和签名绑定在一起就形成了证书
  3. 然后客户端向服务器第一次发请求,就把证书申请到了

4.4 方案五

方案五:非对称加密 + 对称加密 + 证书认证

  1. 客户端请求服务器端,服务器端进行响应,服务器直接把证书返回给客户端
  2. 客户端自己形成自己的公钥X,然后”X + 证书中的密钥pub_server“ 形成密文,然后把密文交给服务器端(这里的密钥pub_server就是服务器的公钥S
  3. 然后服务器用自己的私钥S',解密拿到X,这和方案4一样,所以客户端需要保证pub_server密钥是合法的,所以客户端要对证书进行验证
  4. 客户端拿到证书后,先把证书拆成“明文”和“签名”两部分
  5. 客户端会内置很多权威CA机构的公钥,这个公钥与pub_server没有关系,然后用CA的公钥进行解密,验证证书是否合法
  6. 如果一切正常,就说这个证书是可信的,客户端才会把”X + S“加密后的报文交给服务器,因为已经验证了S就是服务器的公钥而不是中间人的公钥

结论,客户端只认CA的公钥。

历史意义:意味着只有CA能够进行证书的签发,因为只有CA自己具有私钥 --> 中间人没资格进行证书的权限生成,因为中间人0没有CA的私钥

问题:中间人自己也可以申请证书,如果把整个证书掉包成中间人的真证书了呢?
解答:证书里面包含域名,如果一个黑客自己申请真证书,得提交他自己的真信息,假如客户端要请求的是www.baidu.com,但是证书里返回的是另一个其它的域名,而世界上没办法有两个一样的域名,然后照样能识别出来

而且一旦黑客自己申请证书了,那黑客就不是黑客了,也是合法了,由于黑客申请证书时提交了自己的各种信息,那么只要黑客搞事情,就能立马把网络落实到现实,具体懂的都懂哈

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/426652.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Java-idea小锤子图标

这一版的idea小锤子图标其实就在这里 点进去就找到了~

计算机毕业设计 家电销售展示平台的设计与实现 Java实战项目 附源码+文档+视频讲解

博主介绍:✌从事软件开发10年之余,专注于Java技术领域、Python人工智能及数据挖掘、小程序项目开发和Android项目开发等。CSDN、掘金、华为云、InfoQ、阿里云等平台优质作者✌ 🍅文末获取源码联系🍅 👇🏻 精…

面了智谱大模型算法岗,效率贼高!

最近这一两周不少互联网公司都已经开始秋招提前批面试了。不同以往的是,当前职场环境已不再是那个双向奔赴时代了。求职者在变多,HC 在变少,岗位要求还更高了。 最近,我们又陆续整理了很多大厂的面试题,帮助一些球友解…

【linux-Day3】linux的基本指令<中>

【linux-Day3】linux的基本指令<中> linux下的基本指令&#x1f4e2;man&#xff1a;访问linux手册页&#x1f4e2;echo&#xff1a;把字符串写入指定文件中&#x1f4e2;cat&#xff1a;查看目标文件的内容&#x1f4e2;cp&#xff1a;复制文件或目录&#x1f4e2;mv&am…

根据 IP 地址进行 VPN 分流(详细,亲测,通用)

根据 IP 地址进行 VPN 分流&#xff08;详细&#xff0c;亲测&#xff0c;通用&#xff09; 背景 不在学校的时候需要使用实验室的服务器&#xff0c;但是实验室的服务器只能在校园网内访问&#xff0c;因此在校外就需要使用学校的 VPN&#xff0c;但是打开 VPN 以后会默认将…

Axure中后台管理信息系统通用原型方案

Axure中后台管理信息系统通用原型方案中的12套模板&#xff0c;旨在帮助开发者与设计师快速搭建出标准且美观的中后台产品原型&#xff0c;提升开发效率和节省协作成本。这些模板覆盖了多样化的中后台管理系统开发需求&#xff0c;具有高度的灵活性和可定制性。 以下是对这些模…

技术周总结 09.09~09.15周日(C# WinForm WPF 软件架构)

文章目录 一、09.09 周一1.1) 问题01: Windows桌面开发中&#xff0c;WPF和WinForm的区别和联系&#xff1f;联系&#xff1a;区别&#xff1a; 二、09.12 周四2.1&#xff09;问题01&#xff1a;visual studio的相关快捷键有哪些&#xff1f;通用快捷键编辑导航调试窗口管理 2…

论文解读《LaMP: When Large Language Models Meet Personalization》

引言&#xff1a;因为导师喊我围绕 “大语言模型的个性化、风格化生成” 展开研究&#xff0c;所以我就找相关论文&#xff0c;最后通过 ACL 官网找到这篇&#xff0c;感觉还不错&#xff0c;就开始解读吧&#xff01; “说是解读&#xff0c;其实大部分都是翻译哈哈哈&#x…

基于SSM的在线家用电器销售系统

作者&#xff1a;计算机学姐 开发技术&#xff1a;SpringBoot、SSM、Vue、MySQL、JSP、ElementUI、Python、小程序等&#xff0c;“文末源码”。 专栏推荐&#xff1a;前后端分离项目源码、SpringBoot项目源码、SSM项目源码 系统展示 【2025最新】基于JavaSSMVueMySQL的在线家…

传输层协议 —— UDP协议

目录 0.前言 1.UDP协议格式 16位源端口和目的端口 16位UDP长度 16位校验和 2.UDP协议特点 无连接 不可靠 面向数据报 3.UDP的缓冲区 0.前言 首先&#xff0c;我们得明确一点&#xff0c;网络模型是分层的。自底向上分别是物理层、数据链路层、网络层、传输层、应用层…

MODIS/Landsat/Sentinel下载教程详解【常用网站及方法枚举】

⛄前言 在当今快速发展的地球观测时代&#xff0c;遥感技术作为获取地球表面及其环境信息的重要手段&#xff0c;正以前所未有的广度和深度改变着我们对自然界的认知与管理方式。MODIS&#xff08;Moderate-resolution Imaging Spectroradiometer&#xff0c;中分辨率成像光谱…

unity安装配置和vs2022联动教程

目录 1.选择vs2022配置 2.安装unity 2.1安装unity hub 2.2注册个人账号 2.3安装编辑器 2.4修改为简体中文 2.5添加许可证 2.6安装位置修改 3.项目的创建 3.1如何创建 3.2如何选择 3.3配置语言 3.4去哪里找语言包 4.unity编辑器窗口的介绍 4.1游戏的运行和停止 4…

AI编程的特点及SCSAI平台在AI编程方面的一些思路

团长团 AI智造AI编程 2024年09月18日 18:25 北京 说先来看看AI编程的优缺点&#xff0c;然后我们再看看SCSAI在AI编程方面的一些可能选择 使用AI编程的优点 ‌AI编程的优点包括提升编程效率、降低编程门槛、优化程序结构、加强软件可靠性、促进跨领域融合&#xff0c;而缺点则…

JS落叶动画代码分析

秋天到了&#xff0c;秋高气爽的季节。我们来做一个落叶动画吧&#xff01;来迎接秋天的到来 文字可以更换。 1.目录如下 在线演示&#xff1a;点击我在线演示 images两张照片&#xff0c;首先&#xff0c;你得要准备一个vscode编辑器。和一个chorme浏览器或edge浏览器。 …

Qt常用控件——QLCDNumber

文章目录 QLCDNumber核心属性倒计时小程序倒计时小程序相关问题 QLCDNumber核心属性 QLCDNumber是专门用来显示数字的控件&#xff0c;类似于这样&#xff1a; 属性说明intValue获取的数字值(int).value获取的数字值(double)和intValue是联动的例如value设为1.5&#xff0c;in…

Kubernetes Ingress

文章目录 一、为什么需要 Ingress二、什么是Ingress,Ingress Controller三、Ingress 的工作原理四、Ingress 配置资源模版五、实例1、搭建 Ingress 环境1.1、Ingress-Nginx官网地址1.2、master 节点下载 deploy.yaml1.3、所有节点提前 pull 必须的镜像1.4、修改并应用 deploy.y…

保护您的企业免受网络犯罪分子侵害的四个技巧

在这个日益数字化的时代&#xff0c;小型企业越来越容易受到网络犯罪的威胁。网络犯罪分子不断调整策略&#xff0c;并使用人工智能来推动攻击。随着技术的进步&#xff0c;您的敏感数据面临的风险也在增加。 风险的不断增大意味着&#xff0c;做好基本工作比以往任何时候都更…

JavaEE:网络编程(套接字)

文章目录 Socket套接字TCP和UDP的区别有连接/无连接可靠传输/不可靠传输面向字节流/面向数据报全双工/半双工 UDP/TCP api的使用UDPDatagramSocketDatagramPacketInetSocketAddress练习 TCPServerSocketSocket练习 Socket套接字 Socket是计算机网络中的一种通信机制&#xff0…

MySQL高阶1777-每家商店的产品价格

题目 找出每种产品在各个商店中的价格。 可以以 任何顺序 输出结果。 准备数据 create database csdn; use csdn;Create table If Not Exists Products (product_id int, store ENUM(store1, store2, store3), price int); Truncate table Products; insert into Products …

运行npm install 时,卡在sill idealTree buildDeps没有反应

一直停留在sill idealTree buildDeps 解决方法 npm config set registry https://registry.npm.taobao.org 配置后用下面命令看是否配置成功 npm config get registry 如果配置还不好使 就执行下行的ssl npm set strict-ssl false 然后执行 npm install 成功执行