linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的

这篇具有很好参考价值的文章主要介绍了linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

一、什么是HTTPS协议

在上篇文章中我们了解到什么事HTTP协议,HTTP协议内容都是按照⽂本的⽅式明⽂传输的.这就导致在传输过程中出现⼀些被篡改的情况,本期我们来探讨一下HTTPS协议。
HTTPS(超文本传输安全协议)也是⼀个应⽤层协议.是在HTTP协议的基础上引⼊了⼀个加密层.

linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的
HTTPS:默认端口与HTTP默认端口(80)不一样,它的是443

二、加密和解密

2.1 什么是加密解密

加密就是把明⽂(要传输的信息)进⾏⼀系列变换,⽣成密文
解密就是把密⽂再进⾏⼀系列变换,还原成明⽂
在这个加密和解密的过程中,往往需要⼀个或者多个中间的数据,辅助进⾏这个过程,这样的数据称为密钥
linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的

2.2 为什么需要加密

因为http的内容是明⽂传输的,明⽂数据会经过路由器、wifi热点、通信服务运营商、代理服务器等多个物理节点,如果信息在传输过程中被劫持,传输的内容就完全暴露了。劫持者还可以篡改传输的信息且不被双⽅察觉,这就是 中间人攻击 ,所以我们才需要对信息进⾏加密

2.3 常见的加密方式

2.3.1 对称加密

采⽤单钥密码系统的加密⽅法,同⼀个密钥可以同时⽤作信息的加密和解密,这种加密⽅法称为对称加密,也称为单密钥加密,特征:加密和解密所⽤的密钥是相同的(如上图)

  • 常见对称加密算法(了解一下):DES、3DES、AES、TDEA、Blowfish、RC2等

  • 特点:算法公开、计算量⼩、加密速度快、加密效率高

  • 对称加密其实就是通过同⼀个 “密钥” , 把明⽂加密成密文, 并且也能把密⽂解密成明文。

  • 按位异或就是⼀个简单的对称加密,不过HTTPS 中并不是使用按位异或。

2.3.2 非对称加密

需要两个密钥来进行加密和解密,这两个密钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。

  • 常见非对称加密算法(了解):RSA,DSA,ECDSA

  • 特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,⽽使得加密解密速度没有对称加密解密的速度快。 公钥和私钥是配对的. 最⼤的缺点就是运算速度非常慢,比对称加密要慢很多。公钥可以认为是一把锁,私钥是锁的钥匙,锁给谁都行,但是只有持有私钥的人才能打开。

  • 通过公钥对明文加密, 变成密文;通过私钥对密⽂解密, 变成明⽂
    也可以反着用:

  • 通过私钥对明⽂加密, 变成密文;通过公钥对密⽂解密, 变成明⽂

2.3.3 数据摘要(数据指纹)

数字指纹(数据摘要),其基本原理是利⽤单向散列函数(Hash函数)对信息进⾏运算,⽣成⼀串固定⻓度的数字摘要。数字指纹并不是⼀种加密机制,但可以⽤来判断数据有没有被窜改
数据摘要的特点

  1. 每一个字段都有一个数据摘要
  2. 唯一性
  3. 原始文章修改,形成一个差别非常大的新序列

摘要常见算法:有MD5、SHA1、SHA256、SHA512等,算法把⽆限的映射成有限,因此可能会有碰撞(两个不同的信息,算出的摘要相同,但是概率非常低)

摘要特征:和加密算法的区别是,摘要严格意义不是加密,因为没有解密,只不过从摘要很难反推原信息。

用处

  1. 通常用来进行前后数据的对比,是否是同一文件,用于实现网盘的秒传功能、公司数据库密码存储等。

  2. 一般涉及到用户密码的字段,都是要加密的。一般数据库中的密码字段,长度是固定的(便于设计表结构),而且会将用户密码进行哈希摘要。每次用户登录时都将转换成哈希摘要与数据库的哈希摘要进行对比,所以数据库泄露也不怕。

2.3.4 数字签名

对摘要经过加密,得到的就是数字签名。签名的形成是基于非对称加密算法

2.4 理智选择加密解密方式

网络通信中,需要解决数据被监听、数据被篡改的问题

2.4.1 只使用对称加密✖️

如果通信双方只使用一个密钥进行加密通信,那么完全可以实现加密通信,除非密钥被破解。但服务器同⼀时刻其实是给很多客户端提供服务的,这么多客户端,每个⼈⽤的秘钥都必须是不同的(如果是相同那密钥就太容易扩散了,⿊客就也能拿到了).因此服务器就需要维护每个客户端和每个密钥之间的关联关系成本太大。
比较理想的做法,就是能在客户端和服务器建立连接的时候,双方协商确定这次的密钥是啥
在进行正常的加密数据通信之前,需要先解决密钥如何被对方安全收到的问题。密钥的密钥如何传递?仅使用对称加密是行不通的。

2.4.2 只使用非对称加密✖️

只使用非对称加密,可以保证客户端->服务器的通信是安全的,但是服务器返回给客户端响应是不安全的,因为服务器发送响应给客户端时,手里有公钥和私钥,使用公钥加密的密文发给客户端,客户端没有私钥,解不了密;响应的时候把私钥传过去也不行,因为私钥一但暴露到公网中,就可能被劫持,黑客拿到私钥原地破解密文。

linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的

2.4.3 双方都使用非对称加密✖️

既然单方使用非对称加密只能保障一个方向的通信安全,那么双方都使用非对称加密不就可以实现通信的安全了?

  1. 服务端拥有公钥P与对应的私钥P’,客户端拥有公钥C与对应的私钥C’
  2. 客户和服务端交换公钥
  3. 客户端给服务端发信息:先⽤P对数据加密,再发送,只能由服务器解密,因为只有服务器有私钥P’
  4. 服务端给客户端发信息:先⽤C对数据加密,在发送,只能由客户端解密,因为只有客户端有私钥C’
    linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的
    但是这种加密方式仍存在问题,第一个问题是通信速度慢,第二个问题是这种加密解密方式仍然存在安全问题

2.4.4 使用非对称加密+对称加密✖️

  1. 服务端具有非对称公钥P和私钥P’
  2. 客户端发起https请求,获取服务端公钥P
  3. 客户端在本地生成对称密钥C,通过公钥P加密,发送给服务器.
  4. 由于中间的⽹络设备没有私钥,即使截获了数据,也无法还原出内部的原⽂,也就无法获取到对称密
    钥(真的吗?)
  5. 服务器通过私钥P’解密,还原出客户端发送的对称密钥C.并且使⽤这个对称密钥加密给客户端返回的响应数据.
  6. 后续客户端和服务器的通信都只⽤对称加密即可.由于该密钥只有客户端和服务器两个主机知道,其他主机/设备不知道密钥即使截获数据也没有意义.

linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的
只有首次使用了非对称加密,后续所有的通信都将采用对称加密,提高了通信速度

2.4.5 中间人攻击破解问题

  1. 服务器具有非对称加密算法的公钥S,私钥S’
  2. 中间⼈具有非对称加密算法的公钥M,私钥M’
  3. 客户端向服务器发起请求,服务器明⽂传送公钥S给客户端
  4. 中间⼈劫持数据报⽂,提取公钥S并保存好,然后将被劫持报⽂中的公钥S替换成为自己的公钥M,并将伪造报⽂发给客户端
  5. 客户端收到报文,提取公钥M(⾃⼰当然不知道公钥被更换过了),⾃⼰形成对称秘钥X,⽤公钥M加密X,形成报⽂发送给服务器
  6. 中间⼈劫持后,直接自己的的私钥M’进行解密,得到通信秘钥C,再⽤曾经保存的服务端公钥S加密后形成Y,将报⽂推送给服务器
  7. 服务器拿到报⽂,⽤自己的私钥S’解密,得到通信秘钥C
  8. 双方开始对称加密进行通信。但是⼀切都在中间⼈的掌握中,劫持数据,进⾏窃听甚至修改,都是可以的
    linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的
    问题是服务器在返回公钥的时候,被中间人截取并替换了公钥,并且客户端没有能力辨别公钥是否合法。所以需要客户端具有判别公钥是否合法的能力

2.4.6 引入数字证书

服务端在使⽤HTTPS前,需要向CA机构申领⼀份数字证书,数字证书⾥含有证书申请者信息、公钥信息等。客户端向服务器请求公钥时,服务器把证书传输给浏览器,浏览器从证书里获取公钥就行了,证书就如身份证,是服务端公钥的身份证明。
linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的
这个证书可以理解成是⼀个结构化的字符串, ⾥⾯包含了以下信息:证书发布机构、证书有效期、公钥、证书所有者、签名等。

申请证书的时候,需要在特定平台⽣成CSR,同时⽣成公钥和私钥。这对密钥就是用来在网络通信中进行明文加密以及数字签名时使用的。

其中公钥会随着CSR⽂件,⼀起发给CA进⾏权威认证,私钥服务端自己保留,后续用于通信使用,主要就是⽤来交换对称密钥

linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的
当服务端申请CA证书的时候,CA机构会对该服务端进行审核,并专门为该网站形成数字签名,过程如下:

  1. CA机构拥有⾮对称加密的公钥A和私钥A’
  2. CA机构对服务端申请的证书明文数据进⾏hash,形成数据摘要
  3. 然后对数据摘要用CA私钥A’加密,得到数字签名S
    服务端申请的证书明文和数字签名S共同组成了数字证书,这样⼀份数字证书就可以颁发给服务端了;验证需要对明文进行hash摘要,然后浏览器内置CA公钥,将用CA密钥加密的签名进行解密形成的hash摘要与前面的对比。

两个问题

  1. 中间人修改证书中的明文信息
    由于中间人没有CA机构的私钥,无法再生成新证书的数字签名。直接转交给客户端,客户端用内置的CA公钥对签名进行解密,同时对明文数据进行数据摘要,两份哈希值一比对就会发现证书信息被篡改。

  2. 如果中间人直接掉包整个CA证书(必须是真的CA证书,假的CA证书无法被浏览器内置公钥解密),客户端解密之后,就会发现证书的域名和请求服务器的域名不一致,客户端就会发现服务端给的证书中的信息内容对不上。

2.4.7 使用非对称加密+对称加密+数字证书进行加密

非对称加密用来交换公钥,对称加密用来对真正通信内容加密,证书用来保证公钥的合法性
linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的

三、https协议总结

https整个工作过程中涉及的密钥有三组:

第⼀组(非对称加密): ⽤于校验证书是否被篡改。服务器持有私钥(用于交换的密钥), 客户端持有公钥(操作系统包含了可信任的 CA 认证机构有哪些, 同时持有对应的CA公钥)。服务器在客户端请求时,返回携带签名的证书.客户端通过这个公钥进行证书验证,保证证书的合法性,进⼀步保证证书中携带的服务端公钥权威性

第二组(非对称加密):服务端生成的非对称密钥对,用于协商⽣成对称加密的密钥。

第三组(对称加密): 客户端生成的对称密钥,客户端和服务器后续传输的数据都通过这个对称密钥进行加密解密。

其实⼀切的关键都是围绕这个对称加密的密钥.其他的机制都是辅助这个密钥⼯作的
第⼆组非对称加密的密钥是为了让客户端把这个对称密钥传给服务器
第⼀组非对称加密的密钥是为了让客户端拿到第⼆组非对称加密的公钥文章来源地址https://www.toymoban.com/news/detail-479359.html

到了这里,关于linux【网络编程】之HTTPS协议,一文了解HTTPS是如何保证通信安全的的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 「网络编程」应用层协议_ HTTPS协议学习及原理理解

    「前言」文章内容大致是应用层协议的HTTPS协议讲解,续上篇HTTP协议。 「归属专栏」网络编程 「主页链接」个人主页 「笔者」枫叶先生(fy) HTTPS(HyperText Transfer Protocol Secure) 是一种通过加密和身份验证保护网络通信安全的协议。它是基于HTTP协议的安全版本,也是工作在应用

    2024年02月16日
    浏览(53)
  • 【网络编程】https协议——加密与窃密的攻防战

    需要云服务器等云产品来学习Linux的同学可以移步/--腾讯云--/--阿里云--/--华为云--/官网,轻量型云服务器低至112元/年,新用户首次下单享超低折扣。   目录 一、https协议的介绍 二、加密和解密 1、加密和解密的过程 2、为什么需要加密和解密 3、常见的加密方式 3.1对称加密

    2024年02月07日
    浏览(37)
  • 学习网络编程No.9【应用层协议之HTTPS】

    北京时间:2023/10/29/7:34,好久没有在周末早起了,该有的困意一点不少。伴随着学习内容的深入,知识点越来越多,并且对于爱好刨根问底的我来说,需要了解的知识就像一座大山,压得我踹不过气来。在这种情形之下,我非常害怕写博客,当然本质也就是在害怕为了搞懂一

    2024年02月05日
    浏览(56)
  • 【网络编程】深入了解UDP协议:快速数据传输的利器

    (꒪ꇴ꒪ ),Hello我是 祐言QAQ 我的博客主页:C/C++语言,数据结构,Linux基础,ARM开发板,网络编程等领域UP🌍 快上🚘,一起学习,让我们成为一个强大的攻城狮! 送给自己和读者的一句鸡汤🤔: 集中起来的意志可以击穿顽石! 作者水平很有限,如果发现错误,请在评论区指

    2024年02月09日
    浏览(54)
  • 【Linux网络编程】HTTP协议

    喜欢的点赞,收藏,关注一下把! 目前基本socket写完,一般服务器设计原则和方式(多进程、多线程、线程池)+常见的各种场景,自定义协议+序列化和反序列化都已经学过了。 那有没有人已经针对常见场景,早就已经写好了常见的协议软件,供我们使用呢? 当然了,最典型的

    2024年04月16日
    浏览(56)
  • linux【网络编程】之HTTP协议

    在上篇文章中我们模拟了一个应用层协议,HTTP(超文本传输协议)就是其中之一。http就是通过http协议从服务器上读取对应的“资源”,这里所说的资源是在网络上看到的一切都可以看成资源文件;访问资源就是根据路径,从服务器磁盘上拿取资源 平时我们俗称的 “网址” 其

    2024年02月07日
    浏览(48)
  • 了解ET模式和LT模式:Linux网络编程中的事件触发方式

    当谈到Linux网络编程中的ET(边缘触发)模式和LT(水平触发)模式时,我们需要理解它们在事件驱动编程中的作用和区别。下面是一篇详细解释这两种模式的博文,包含代码示例。 摘要: 在Linux网络编程中,ET(边缘触发)模式和LT(水平触发)模式是两种常用的事件触发方式

    2024年02月11日
    浏览(38)
  • Linux 网络编程学习笔记——一、TCP/IP 协议族

    数据链路层实现了网卡接口的网络驱动程序,以处理数据在物理媒介(以太网、令牌环等)上的传输,不同的物理网络具有不同的电气特性,网络驱动程序隐藏了这些细节,为上层协议提供一个统一的接口。最常用的协议是 ARP(Address Resolve Protocol,地址解析协议)和 RARP(

    2024年02月02日
    浏览(73)
  • 【Linux】TCP网络套接字编程+协议定制+序列化和反序列化

    悟已往之不谏,知来者之可追。抓不住的就放手,属于你的都在路上…… 1. 为了让我们的代码更规范化,所以搞出了日志等级分类,常见的日志输出等级有DEBUG NORMAL WARNING ERROR FATAL等,再配合上程序运行的时间,输出的内容等,公司中就是使用日志分类的方式来记录程序的输

    2024年02月08日
    浏览(70)
  • linux【网络编程】TCP协议通信模拟实现、日志函数模拟、守护进程化、TCP协议通信流程、三次握手与四次挥手

    Tcp通信模拟实现与Udp通信模拟实现的区别不大,一个是面向字节流,一个是面向数据报;udp协议下拿到的数据可以直接发送,tcp协议下需要创建链接,用文件描述符完成数据的读写 1.1.1 接口认识 1.1.1.1 listen:监听socket 1.1.1.2 accept:获取连接 通信就用accept返回的文件描述符,

    2024年02月06日
    浏览(54)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包