应用层协议——https

在这里插入图片描述

文章目录

  • 1. HTTPS 是什么
  • 2. 什么是"加密"
  • 3. 常见的加密方式
  • 4. 数据摘要 && 数字签名
  • 5. HTTPS 的工作过程探究
    • 5.1 方案1 - 只使用对称加密
    • 5.2 方案2 - 只使用非对称加密
    • 5.3 方案3 - 双方都使用非对称加密
    • 5.4 方案4 - 非对称加密 + 对称加密
    • 5.5 中间人攻击
    • 5.6 引入证书
    • 5.7 方案 5 - 非对称加密 + 对称加密 + 证书认证

1. HTTPS 是什么

HTTP 协议内容都是按照⽂本的⽅式明⽂传输的,这就导致在传输过程中出现⼀些被篡改的情况。HTTPS 也是⼀个应⽤层协议,是在 HTTP 协议的基础上引⼊了⼀个加密层。HTTPS的端口号是443。
在这里插入图片描述
它是在应用层和传输层间加了一个软件层,当进行网络传输时,从上而下就是在加密,从下而上就是在解密。

2. 什么是"加密"

加密就是把明⽂(要传输的信息)进⾏⼀系列变换,⽣成密文。解密就是把密⽂再进行一系列变换,还原成明文。在这个加密和解密的过程中,往往需要⼀个或者多个中间的数据, 辅助进⾏这个过程。这样的数据称为密钥。

为什么要加密呢
由于我们通过⽹络传输的任何的数据包都会经过运营商的⽹络设备(路由器, 交换机等),那么运营商的⽹络设备就可以解析出你传输的数据内容,并进⾏篡改。

假设我们要下载一个软件,点击 “下载按钮”,其实就是在给服务器发送了⼀个 HTTP 请求。获取到的 HTTP 响应其实就包含了该APP 的下载链接。运营商劫持之后,就发现这个请求是要下载天天动听,那么就自动的把交给用户的响应给篡改成 “QQ浏览器” 的下载地址了。
在这里插入图片描述

3. 常见的加密方式

对称加密
采用单钥密码系统的加密方法,同⼀个密钥可以同时用作信息的加密和解密。这种加密方法称为对称加密,也称为单密钥加密。特征:加密和解密所用的密钥是相同的。特点:算法公开、计算量小、加密速度快、加密效率高

非对称加密
需要两个密钥来进行加密和解密,这两个密钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对
称加密解密的速度快

我们可以通过公钥对明文加密,变成密文,通过私钥对密文解密,变成明文。
也可以通过私钥对明⽂加密,变成密文,通过公钥对密⽂解密,变成明⽂。

4. 数据摘要 && 数字签名

数字指纹(数据摘要),其基本原理是利用单向散列函数(Hash函数)对信息进行运算。生成一串固定长度的数字摘要。数字指纹并不是一种加密机制,但可以用来判断数据有没有被窜改

摘要特征:和加密算法的区别是,摘要严格意义不是加密,因为没有解密,只不过从摘要很难反推原信息,通常用来进行数据对比

数字签名:摘要经过加密,就得到数字签名

5. HTTPS 的工作过程探究

既然要保证数据安全,就需要进行"加密",⽹络传输中不再直接传输明文了,而是加密之后的"密⽂",加密的方式有很多,但是整体可以分成两大类: 对称加密 和 非对称加密。

5.1 方案1 - 只使用对称加密

如果通信双⽅都各自持有同⼀个密钥X,且没有别⼈知道,这两方的通信安全当然是可以被保证的(除非密钥被破解)。
在这里插入图片描述
引⼊对称加密之后,即使数据被截获, 由于⿊客不知道密钥是啥,因此就⽆法进⾏解密。

但是这里还存在一些问题:
1.客户端和服务器双方怎么知道对应的密钥是什么?
2.服务器同⼀时刻其实是给很多客户端提供服务的,这么多客户端,每个人用的秘钥都必须是不同的(如果是相同那密钥就太容易扩散了,黑客就也能拿到了)。因此服务器就需要维护每个客户端和每个密钥之间的关联关系,这也是个很麻烦的事情

5.2 方案2 - 只使用非对称加密

鉴于⾮对称加密的机制,如果服务器先把公钥以明文方式传输给浏览器,之后浏览器向服务器传数据前都先⽤这个公钥加密好再传,从客户端到服务器信道似乎是安全的(有安全问题),因为只有服务器有相应的私钥能解开公钥加密的数据。

这里看起来客户端给服务器发送数据是安全的,但是服务器给客户端发送数据该怎么办呢?服务器用私钥加密,但是公钥许多人都有,那么服务器给客户端发送的数据就是不安全的。

5.3 方案3 - 双方都使用非对称加密

1.服务端拥有公钥S与对应的私钥S’,客户端拥有公钥C与对应的私钥C’。
2.客户和服务端交换公钥。
3.客户端给服务端发信息:先用S对数据加密,再发送,只能由服务器解密,因为只有服务器有私钥S’。
4. 服务端给客户端发信息:先用C对数据加密,在发送,只能由客户端解密,因为只有客户端有私钥C’。

虽然这里看起来没问题,但还存在安全问题,并且效率太低了。

5.4 方案4 - 非对称加密 + 对称加密

1.服务端具有非对称公钥S和私钥S’。
2.客户端发起https请求,获取服务端公钥S。
3.客户端在本地生成对称密钥C,通过公钥S加密,发送给服务器。
4.由于中间的网络设备没有私钥,即使截获了数据,也无法还原出内部的原文,也就无法获取到对称密钥。
5.服务器通过私钥S’解密,还原出客户端发送的对称密钥C,并且使用这个对称密钥加密给客户端返回的响应数据。
6.后续客户端和服务器的通信都只⽤对称加密即可,由于该密钥只有客户端和服务器两个主机知道, 其它主机/设备不知道密钥即使截获数据也没有意义。

由于对称加密的效率比非对称加密高很多, 因此只是在开始阶段协商密钥的时候使用非对称加密, 后续的传输仍然使用对称加密

虽然上⾯已经比较接近答案了,但是依旧有安全问题,方案 2,方案 3,方案 4都存在⼀个问题,如果最开始,中间⼈就已经开始攻击了呢?或者把服务器发给客户端的公钥给修改了呢?

5.5 中间人攻击

Man-in-the-MiddleAttack,简称“MITM攻击”。

1.服务器具有非对称加密算法的公钥S,私钥S’。
2.中间人具有非对称加密算法的公钥M,私钥M’。
3.客户端向服务器发起请求,服务器明文传送公钥S给客户端。
4.中间人劫持数据报文,提取公钥S并保存好,然后将被劫持报文中的公钥S替换成为自己的公钥M,并将伪造报文发给客户端。
5.客户端收到报文,提取公钥M(自己当然不知道公钥被更换过了),自己形成对称秘钥C,⽤公钥M加密C,形成报文发送给服务器。
6.中间人劫持后,直接用自己的私钥M’进行解密,得到通信秘钥C,再用曾经保存的服务端公钥S加密后,将报文推送给服务器。
7.服务器拿到报文,用自己的私钥‘S’解密,得到通信秘钥C。
8.双方开始采⽤C进行对称加密,进行通信。但是一切都在中间人的掌握中,劫持数据,进行窃听甚⾄修改,都是可以的。

问题本质出在哪里了呢?客户端无法确定收到的含有公钥的数据报文,就是目标服务器发送过来的

5.6 引入证书

CA认证:
服务端在使用HTTPS前,需要向CA机构申领一份数字证书,数字证书里含有证书申请者信息、公钥信息等。服务器把证书传输给浏览器,浏览器从证书里获取公钥就行了,证书就如身份证,证明服务端公钥的权威性

当服务端申请CA证书的时候,CA机构会对该服务端进行审核,并专门为该网站形成数字签名,过程如下:
1. CA机构拥有非对称加密的私钥A和公钥A’
2. CA机构对服务端申请的证书明文数据进行hash,形成数据摘要
3. 然后对数据摘要用CA私钥A’加密,得到数字签名S

服务端申请的证书明文和数字签名S 共同组成了数字证书,这样⼀份数字证书就可以颁发给服务端了。

客户端进行认证:
当客户端获取到这个证书之后, 会对证书进行校验(防止证书是伪造的)。
比如:判定证书的有效期是否过期,判定证书的发布机构是否受信任(操作系统中已内置的受信任的证书发布机构),验证证书是否被篡改:从系统中拿到该证书发布机构的公钥,对签名解密,得到⼀个 hash 值(称为数据摘要),设为 hash1。然后计算整个证书的 hash 值,设为 hash2。对比 hash1 和 hash2 是否相等。如果相等,则说明证书是没有被篡改过的。
在这里插入图片描述
因为签名者的私钥是CA机构,中间人是不可能有的,如果证书的内容被修改,那么计算出来的hash值就不一样,则说明证书已被篡改,证书不可信。如果把数据摘要修改,那么它不能进行加密,客户端的公钥打不开,说明摘要修改。

在这里插入图片描述
中间人能不能把整个证书掉包
因为中间人没有CA私钥,所以无法制作假的证书。所以中间人只能向CA申请真证书,然后用自己申请的证书进行掉包。这个确实能做到证书的整体掉包,但是别忘记,证书明文中包含了域名等服务端认证信息,如果整体掉包,客户端依旧能够识别出来。

为什么签名不直接加密,而要先hash形成摘要
缩小签名密文的长度,加快数字签名的验证签名的运算速度。

5.7 方案 5 - 非对称加密 + 对称加密 + 证书认证

在客户端和服务器刚⼀建立连接的时候,服务器给客户端返回⼀个证书,证书包含了之前服务端的公钥, 也包含了网站的⾝份信息。后面就是进行我们的方案4操作。
在这里插入图片描述

总结:
HTTPS 工作过程中涉及到的密钥有三组:
在这里插入图片描述
其实⼀切的关键都是围绕这个对称加密的密钥,其它的机制都是辅助这个密钥工作的。第⼀组⾮对称加密的密钥是为了让客户端拿到第⼆组⾮对称加密的公钥,第⼆组⾮对称加密的密钥是为了让客户端把对称密钥传给服务器。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.rhkb.cn/news/74409.html

如若内容造成侵权/违法违规/事实不符,请联系长河编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

Mac提示文件:已损坏,无法打开。你应该把它移到废纸篓

文章目录 一、电脑信息二、打开任何来源设置三、更改应用程序拓展属性 一、电脑信息 我的是新版的Venture 13的系统。UI改的比较多。与之前的配置还是有很大的区别的。 打开下载的软件,显示已经损坏,打不开。抛开软件本身的问题外,一般是Ma…

【数据结构与算法】TypeScript 实现图结构

class Grapg<T> {// 用于存储所有的顶点verteces: T[] [];// 用于存储所有的边 采用邻接表的形式adjList: Map<T, T[]> new Map();// 添加顶点addVertex(v: T) {this.verteces.push(v);// 初始化顶点的邻接表this.adjList.set(v, []);}// 添加边addEdge(v: T, w:…

文心一言 VS 讯飞星火 VS chatgpt (68)-- 算法导论6.5 7题

文心一言 VS 讯飞星火 VS chatgpt &#xff08;68&#xff09;-- 算法导论6.5 7题 七、试说明如何使用优先队列来实现一个先进先出队列&#xff0c;以及如何使用优先队列来实现栈(队列和栈的定义见 10.1 节。) 文心一言&#xff1a; 优先队列是一种数据结构&#xff0c;其中…

无人机机巢有哪些,无人机机场/机场的主要分类

随着无人机技术的飞速发展&#xff0c;无人机已经渗透到了物流、农业、救援、公共安全等多个领域。而为了使这些无人机能更加高效、灵活地运行&#xff0c;一个新的概念应运而生&#xff0c;那就是无人机机巢&#xff08;UAV Nest&#xff09;。复亚智能无人机机巢是一种供无人…

GitLab备份升级

数据备份(默认的备份目录在/var/opt/gitlab/backups/下&#xff0c;生成一个以时间节点命名的tar包。) gitlab-rake gitlab:backup:create新建repo源&#xff0c;升级新版本的gitlab vim /etc/yum.repos.d/gitlab-ce.repo [gitlab-ce] namegitlab-ce baseurlhttps://mirrors.…

【大数据】-- docker 启动 mysql 5.7,开启 binlog

1.说明 mysql binlog&#xff1a;二进制日志文件。它有两个作用&#xff0c;一是增量备份&#xff0c;即只备份新增的内容&#xff0c;可以用于恢复数据&#xff1b;二是用于主从复制等&#xff0c;即主节点维护了一个binlog日志文件&#xff0c;从节点从binlog中同步数据。 …

嵌入式pc技术的特点有哪些?

嵌入式PC技术是将计算机硬件和软件嵌入到各种设备中的一种技术&#xff0c;它具有低功耗、高效率、小型化、易于集成等优点&#xff0c;广泛应用于工业自动化、医疗设备、电力、通信、家用电器、物联网等领域&#xff0c;成为新时代工业生产和社会生活必不可少的技术之一。 嵌入…

使用idea实现git操作大全(在项目开发中遇到的实际情况

使用idea实现git操作大全&#xff08;在项目开发中遇到的实际情况&#xff09; 1.安装git插件2.在开发中切记拉一个自己的分支 1.安装git插件 2.在开发中切记拉一个自己的分支 选中需要拉的分支&#xff0c;右键该分支&#xff0c;选中new breach from “分支”&#xff0c;点…

接口测试如何在json中引用mock变量

在测试接口的时候&#xff0c;有的接口需要测试随机传入大量数据&#xff0c;查看数据库是否正常&#xff0c;但是大量的随机数据全靠自己手写会很慢&#xff0c;而且是通过json传递的数据。 这里我们就可以使用mock生成随机变量&#xff0c;然后在json中引用mock变量 首先看…

Reinforcement Learning with Code 【Code 1. Tabular Q-learning】

Reinforcement Learning with Code 【Code 1. Tabular Q-learning】 This note records how the author begin to learn RL. Both theoretical understanding and code practice are presented. Many material are referenced such as ZhaoShiyu’s Mathematical Foundation o…

leetcode 135. 分发糖果

2023.8.1 这道题只从前向后遍历会出各种问题&#xff0c;所以最后决定向前向后各遍历一次。 先定义一个饼干数组biscuits&#xff0c;记录每个孩子的饼干数量&#xff0c;初始化每个孩子饼干数量为1。 然后从前向后遍历、从后向前遍历&#xff0c;使其满足“相邻两孩子评分更高…

前端Vue入门-day08-vant组件库

(创作不易&#xff0c;感谢有你&#xff0c;你的支持&#xff0c;就是我前行的最大动力&#xff0c;如果看完对你有帮助&#xff0c;请留下您的足迹&#xff09; 目录 vant 组件库 安装 导入 全部导入 按需导入 浏览器配饰 Viewport 布局 Rem 布局适配 vant 组件库 …

NASM汇编

1. 前置知识 1. 汇编语言两种风格 intel&#xff1a;我们学的NASM就属于Intel风格AT&T&#xff1a;GCC后端工具默认使用这种风格&#xff0c;当然我们也可以加选项改成intel风格 2. 代码 1. 段分布 .text: 存放的是二进制机器码&#xff0c;只读.data: 存放有初始化的…

sublime配置less的一些坑(1)

仅在sublime的Install Package安装保存less报错 在sublime的Install Package安装less 打开sublime软件,按住CtrlShiftP组合键,弹出的界面中选择Install Package 选中后enter或者回车。等会弹出一个弹窗,大致意思是说你已经成功安装了package control。如果你在此之前已经安装了…

MySQL之深入InnoDB存储引擎——物理文件

文章目录 一、参数文件二、日志文件三、表结构定义文件四、InnoDB 存储引擎文件1、表空间文件2、重做日志文件 一、参数文件 当 MySQL 实例启动时&#xff0c;数据库会先去读一个配置参数文件&#xff0c;用来寻找数据库的各种文件所在位置以及指定某些初始化参数。在默认情况…

怎么才能远程控制笔记本电脑?

为什么选择AnyViewer远程控制软件&#xff1f; 为什么AnyViewer是远程控制笔记本电脑软件的首选&#xff1f;以下是选择AnyViewer成为笔记本电脑远程控制软件的主要因素。 跨平台能力 AnyViewer作为一款跨平台远程控制软件&#xff0c;不仅可以用于从一台Windows电…

【ARM Coresight 系列文章 2.4 - Coresight 寄存器:DEVARCH,DEVID, DEVTYPE】

文章目录 1.1 DEVARCH(device architecture register)1.2 DEVID(Device configuration Register)1.3 DEVTYPE(Device Type Identifier Register) 1.1 DEVARCH(device architecture register) DEVARCH 寄存器标识了coresight 组件的架构信息。 bits[31:21] 定义了组件架构&…

我对排序算法的理解

排序算法一直是一个很困惑我的问题&#xff0c;早在刚开始接触 数据结构的时候&#xff0c;这个地方就很让我不解。就是那种&#xff0c;总是感觉少了些什么的感觉。一开始&#xff0c;重新来过&#xff0c;认真来学习这一部分&#xff0c;也总是学着学着就把概念记住了。过了一…

【Mybatis】Mybatis架构简介

文章目录 1.整体架构图2. 基础支撑层2.1 类型转换模块2.2 日志模块2.3 反射工具模块2.4 Binding 模块2.5 数据源模块2.6缓存模块2.7 解析器模块2.8 事务管理模块 3. 核心处理层3.1 配置解析3.2 SQL 解析与 scripting 模块3.3 SQL 执行3.4 插件 4. 接口层 1.整体架构图 MyBatis…

Redis 数据库高可用

Redis 数据库的高可用 一.Redis 数据库的持久化 1.Redis 高可用概念 &#xff08;1&#xff09;在web服务器中&#xff0c;高可用是指服务器可以正常访问的时间&#xff0c;衡量的标准是在多长时间内可以提供正常服务&#xff08;99.9%、99.99%、99.999%等等&#xff09;。 …