应用层协议——https

这篇具有很好参考价值的文章主要介绍了应用层协议——https。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

应用层协议——https,Linux,https,网络协议

1. HTTPS 是什么

HTTP 协议内容都是按照⽂本的⽅式明⽂传输的,这就导致在传输过程中出现⼀些被篡改的情况。HTTPS 也是⼀个应⽤层协议,是在 HTTP 协议的基础上引⼊了⼀个加密层。HTTPS的端口号是443。
应用层协议——https,Linux,https,网络协议
它是在应用层和传输层间加了一个软件层,当进行网络传输时,从上而下就是在加密,从下而上就是在解密。

2. 什么是"加密"

加密就是把明⽂(要传输的信息)进⾏⼀系列变换,⽣成密文。解密就是把密⽂再进行一系列变换,还原成明文。在这个加密和解密的过程中,往往需要⼀个或者多个中间的数据, 辅助进⾏这个过程。这样的数据称为密钥。

为什么要加密呢
由于我们通过⽹络传输的任何的数据包都会经过运营商的⽹络设备(路由器, 交换机等),那么运营商的⽹络设备就可以解析出你传输的数据内容,并进⾏篡改。

假设我们要下载一个软件,点击 “下载按钮”,其实就是在给服务器发送了⼀个 HTTP 请求。获取到的 HTTP 响应其实就包含了该APP 的下载链接。运营商劫持之后,就发现这个请求是要下载天天动听,那么就自动的把交给用户的响应给篡改成 “QQ浏览器” 的下载地址了。
应用层协议——https,Linux,https,网络协议

3. 常见的加密方式

对称加密
采用单钥密码系统的加密方法,同⼀个密钥可以同时用作信息的加密和解密。这种加密方法称为对称加密,也称为单密钥加密。特征:加密和解密所用的密钥是相同的。特点:算法公开、计算量小、加密速度快、加密效率高

非对称加密
需要两个密钥来进行加密和解密,这两个密钥是公开密钥(public key,简称公钥)和私有密钥(private key,简称私钥)。特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,而使得加密解密速度没有对
称加密解密的速度快

我们可以通过公钥对明文加密,变成密文,通过私钥对密文解密,变成明文。
也可以通过私钥对明⽂加密,变成密文,通过公钥对密⽂解密,变成明⽂。

4. 数据摘要 && 数字签名

数字指纹(数据摘要),其基本原理是利用单向散列函数(Hash函数)对信息进行运算。生成一串固定长度的数字摘要。数字指纹并不是一种加密机制,但可以用来判断数据有没有被窜改

摘要特征:和加密算法的区别是,摘要严格意义不是加密,因为没有解密,只不过从摘要很难反推原信息,通常用来进行数据对比

数字签名:摘要经过加密,就得到数字签名

5. HTTPS 的工作过程探究

既然要保证数据安全,就需要进行"加密",⽹络传输中不再直接传输明文了,而是加密之后的"密⽂",加密的方式有很多,但是整体可以分成两大类: 对称加密 和 非对称加密。

5.1 方案1 - 只使用对称加密

如果通信双⽅都各自持有同⼀个密钥X,且没有别⼈知道,这两方的通信安全当然是可以被保证的(除非密钥被破解)。
应用层协议——https,Linux,https,网络协议
引⼊对称加密之后,即使数据被截获, 由于⿊客不知道密钥是啥,因此就⽆法进⾏解密。

但是这里还存在一些问题:
1.客户端和服务器双方怎么知道对应的密钥是什么?
2.服务器同⼀时刻其实是给很多客户端提供服务的,这么多客户端,每个人用的秘钥都必须是不同的(如果是相同那密钥就太容易扩散了,黑客就也能拿到了)。因此服务器就需要维护每个客户端和每个密钥之间的关联关系,这也是个很麻烦的事情

5.2 方案2 - 只使用非对称加密

鉴于⾮对称加密的机制,如果服务器先把公钥以明文方式传输给浏览器,之后浏览器向服务器传数据前都先⽤这个公钥加密好再传,从客户端到服务器信道似乎是安全的(有安全问题),因为只有服务器有相应的私钥能解开公钥加密的数据。

这里看起来客户端给服务器发送数据是安全的,但是服务器给客户端发送数据该怎么办呢?服务器用私钥加密,但是公钥许多人都有,那么服务器给客户端发送的数据就是不安全的。

5.3 方案3 - 双方都使用非对称加密

1.服务端拥有公钥S与对应的私钥S’,客户端拥有公钥C与对应的私钥C’。
2.客户和服务端交换公钥。
3.客户端给服务端发信息:先用S对数据加密,再发送,只能由服务器解密,因为只有服务器有私钥S’。
4. 服务端给客户端发信息:先用C对数据加密,在发送,只能由客户端解密,因为只有客户端有私钥C’。

虽然这里看起来没问题,但还存在安全问题,并且效率太低了。

5.4 方案4 - 非对称加密 + 对称加密

1.服务端具有非对称公钥S和私钥S’。
2.客户端发起https请求,获取服务端公钥S。
3.客户端在本地生成对称密钥C,通过公钥S加密,发送给服务器。
4.由于中间的网络设备没有私钥,即使截获了数据,也无法还原出内部的原文,也就无法获取到对称密钥。
5.服务器通过私钥S’解密,还原出客户端发送的对称密钥C,并且使用这个对称密钥加密给客户端返回的响应数据。
6.后续客户端和服务器的通信都只⽤对称加密即可,由于该密钥只有客户端和服务器两个主机知道, 其它主机/设备不知道密钥即使截获数据也没有意义。

由于对称加密的效率比非对称加密高很多, 因此只是在开始阶段协商密钥的时候使用非对称加密, 后续的传输仍然使用对称加密

虽然上⾯已经比较接近答案了,但是依旧有安全问题,方案 2,方案 3,方案 4都存在⼀个问题,如果最开始,中间⼈就已经开始攻击了呢?或者把服务器发给客户端的公钥给修改了呢?

5.5 中间人攻击

Man-in-the-MiddleAttack,简称“MITM攻击”。

1.服务器具有非对称加密算法的公钥S,私钥S’。
2.中间人具有非对称加密算法的公钥M,私钥M’。
3.客户端向服务器发起请求,服务器明文传送公钥S给客户端。
4.中间人劫持数据报文,提取公钥S并保存好,然后将被劫持报文中的公钥S替换成为自己的公钥M,并将伪造报文发给客户端。
5.客户端收到报文,提取公钥M(自己当然不知道公钥被更换过了),自己形成对称秘钥C,⽤公钥M加密C,形成报文发送给服务器。
6.中间人劫持后,直接用自己的私钥M’进行解密,得到通信秘钥C,再用曾经保存的服务端公钥S加密后,将报文推送给服务器。
7.服务器拿到报文,用自己的私钥‘S’解密,得到通信秘钥C。
8.双方开始采⽤C进行对称加密,进行通信。但是一切都在中间人的掌握中,劫持数据,进行窃听甚⾄修改,都是可以的。

问题本质出在哪里了呢?客户端无法确定收到的含有公钥的数据报文,就是目标服务器发送过来的

5.6 引入证书

CA认证:
服务端在使用HTTPS前,需要向CA机构申领一份数字证书,数字证书里含有证书申请者信息、公钥信息等。服务器把证书传输给浏览器,浏览器从证书里获取公钥就行了,证书就如身份证,证明服务端公钥的权威性

当服务端申请CA证书的时候,CA机构会对该服务端进行审核,并专门为该网站形成数字签名,过程如下:
1. CA机构拥有非对称加密的私钥A和公钥A’
2. CA机构对服务端申请的证书明文数据进行hash,形成数据摘要
3. 然后对数据摘要用CA私钥A’加密,得到数字签名S

服务端申请的证书明文和数字签名S 共同组成了数字证书,这样⼀份数字证书就可以颁发给服务端了。

客户端进行认证:
当客户端获取到这个证书之后, 会对证书进行校验(防止证书是伪造的)。
比如:判定证书的有效期是否过期,判定证书的发布机构是否受信任(操作系统中已内置的受信任的证书发布机构),验证证书是否被篡改:从系统中拿到该证书发布机构的公钥,对签名解密,得到⼀个 hash 值(称为数据摘要),设为 hash1。然后计算整个证书的 hash 值,设为 hash2。对比 hash1 和 hash2 是否相等。如果相等,则说明证书是没有被篡改过的。
应用层协议——https,Linux,https,网络协议
因为签名者的私钥是CA机构,中间人是不可能有的,如果证书的内容被修改,那么计算出来的hash值就不一样,则说明证书已被篡改,证书不可信。如果把数据摘要修改,那么它不能进行加密,客户端的公钥打不开,说明摘要修改。

应用层协议——https,Linux,https,网络协议
中间人能不能把整个证书掉包
因为中间人没有CA私钥,所以无法制作假的证书。所以中间人只能向CA申请真证书,然后用自己申请的证书进行掉包。这个确实能做到证书的整体掉包,但是别忘记,证书明文中包含了域名等服务端认证信息,如果整体掉包,客户端依旧能够识别出来。

为什么签名不直接加密,而要先hash形成摘要
缩小签名密文的长度,加快数字签名的验证签名的运算速度。

5.7 方案 5 - 非对称加密 + 对称加密 + 证书认证

在客户端和服务器刚⼀建立连接的时候,服务器给客户端返回⼀个证书,证书包含了之前服务端的公钥, 也包含了网站的⾝份信息。后面就是进行我们的方案4操作。
应用层协议——https,Linux,https,网络协议

总结:
HTTPS 工作过程中涉及到的密钥有三组:
应用层协议——https,Linux,https,网络协议
其实⼀切的关键都是围绕这个对称加密的密钥,其它的机制都是辅助这个密钥工作的。第⼀组⾮对称加密的密钥是为了让客户端拿到第⼆组⾮对称加密的公钥,第⼆组⾮对称加密的密钥是为了让客户端把对称密钥传给服务器。文章来源地址https://www.toymoban.com/news/detail-660661.html

到了这里,关于应用层协议——https的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 「网络编程」应用层协议_ HTTPS协议学习及原理理解

    「前言」文章内容大致是应用层协议的HTTPS协议讲解,续上篇HTTP协议。 「归属专栏」网络编程 「主页链接」个人主页 「笔者」枫叶先生(fy) HTTPS(HyperText Transfer Protocol Secure) 是一种通过加密和身份验证保护网络通信安全的协议。它是基于HTTP协议的安全版本,也是工作在应用

    2024年02月16日
    浏览(53)
  • 学习网络编程No.9【应用层协议之HTTPS】

    北京时间:2023/10/29/7:34,好久没有在周末早起了,该有的困意一点不少。伴随着学习内容的深入,知识点越来越多,并且对于爱好刨根问底的我来说,需要了解的知识就像一座大山,压得我踹不过气来。在这种情形之下,我非常害怕写博客,当然本质也就是在害怕为了搞懂一

    2024年02月05日
    浏览(56)
  • [linux--->应用层网络通信协议]

    协议本质是收发端双方约定好格式的数据,常见协议是用结构体或者类的方式来表达,结构化的数据是为了方便被应用层解读,这个结构体中可能包括发送者ip和端口号以及主机名,还有通信信息,应用层可以用结构体区分并使用信息;使用结构体直接传递,但是可能会因为系统的不同

    2024年02月15日
    浏览(38)
  • Linux网络:应用层之HTTP协议

    我们程序员写的一个个解决实际问题,满足日常需求的网络程序,都是在应用层。 协议是一种约定。网络协议是计算机网络中通信双方都必须遵守的一组约定。 在网络通信中,都是以 “字符串” 的方式来发送和接收数据的。 如果要发送和接收一些结构化的数据,就需要序

    2023年04月26日
    浏览(53)
  • 应用层协议——https

    HTTP 协议内容都是按照⽂本的⽅式明⽂传输的,这就导致在传输过程中出现⼀些被篡改的情况。HTTPS 也是⼀个应⽤层协议,是在 HTTP 协议的基础上引⼊了⼀个加密层。HTTPS的端口号是443。 它是在应用层和传输层间加了一个软件层,当进行网络传输时,从上而下就是在加密,从

    2024年02月12日
    浏览(44)
  • 【应用层协议】HTTPS的加密流程

    目录 一、认识HTTPS 二、密文 1、对称加密 2、非对称加密 三、HTTPS加密流程 1、建立连接 2、证书验证 3、密钥协商 4、数据传输 5、关闭连接 总结 在数字化时代,互联网已经成为我们生活和工作中不可或缺的一部分。然而,随着数据的不断增加,网络安全问题也日益凸显。为

    2024年02月07日
    浏览(42)
  • 【网络应用层协议】【HTTP】详解HTTP与HTTPS、POST 请求与 GET请求 、TCP与UDP、cookie和session的区别

    目录 1. HTTP和HTTPS的区别 2. POST 请求与 GET 请求区别 3. TCP与UDP的区别 4. cookie和session的区别

    2024年04月14日
    浏览(48)
  • 【Java】应用层协议HTTP和HTTPS

    HTTP (全称为 “超文本传输协议”) 是一种应用非常广泛的 应用层协议. HTTP 往往是基于传输层的 TCP 协议实现的. (HTTP1.0, HTTP1.1, HTTP2.0 均为TCP, HTTP3 基于 UDP 实现) 当我们在浏览器中输入一个 搜狗搜索的 “网址” (URL) 时, 浏览器就给搜狗的服务器发送了一个 HTTP 请 求, 搜狗的服

    2024年02月07日
    浏览(39)
  • 网络篇05 | 应用层 http/https

    HTTP协议请求报文是以字符文本的格式传输,具体包含以下四大部分: 请求行(首行):[方法]+[url]+[版本号],分别使用空格分隔; 请求头(Header):请求的属性,每个键值对独占一行,冒号+空格来分割键和值; 空行:遇到空行表示Header部分结束; 正文(Body):空行后面的

    2024年04月15日
    浏览(53)
  • 谈谈linux网络编程中的应用层协议定制、Json序列化与反序列化那些事

    由于socket api的接口,在读写数据的时候是以字符串的方式发送接收的,如果需要传输 结构化的数据 ,就需要制定一个协议 结构化数据在发送到网络中之前需要完成序列化 接收方收到的是序列字节流,需要完成反序列化才能使用(如ChatInfo._name) 当我们进行网络通信的的时

    2024年02月06日
    浏览(61)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包