HTTPS协议原理---详解六个加密方案

这篇具有很好参考价值的文章主要介绍了HTTPS协议原理---详解六个加密方案。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

目录

一、HTTPS

1.加密与解密

2.我们为什么要加密?

3.常见加密方式

①对称加密

②非对称加密

4.数据摘要

5.数字签名

二、HTTPS的加密方案

1.只是用对称加密​

2.只使用非对称加密 

3.双方都使用非对称加密

4.非对称加密+对称加密

中间人攻击

证书

CA认证

理解数据签名

5.非对称加密+对称加密+证书认证

完整流程

查看浏览器所信任的证书发布机构

 中间人有没有可能篡改该证书?

中间人是否可以掉包整个证书呢?

如何成为中间人?

总结:


一、HTTPS

        上一篇博客,详细讲述了HTTP协议(超文本传输协议)的一些细节,在最后我们提到,无论如何HTTP 协议内容都是按照⽂本的⽅式明⽂传输的,这就导致在传输过程中出现⼀些被篡改的情况,所以当今的网站都是用的是HTTPS 协议,HTTPS 也是⼀个应⽤层协议. 是在 HTTP 协议的基础上引⼊了⼀个加密层。

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

1.加密与解密

        什么是加密?就是将明文转换为密文。

        什么是解密?就是将密文转换为明文。

        在这两个过程中,通常要密钥来辅佐。密钥是一种参数,它是在明文转换为密文或将密文转换为明文的算法中输入的参数。

例子:
        

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

         

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

         通过密钥我们可以将密文转换为明文,反之亦然。

2.我们为什么要加密?

        我们都会经历过这样一个现象。明明下载的是我们想要的软件,却弹出另一个软件的下载。

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

        这就是臭名昭著的运营商的劫持。关于运营商劫持,我们要到后面才会讲到。

        如图,我们发送HTTP请求,运营商接收到这个请求之后,发现请求为www.baidu.com,运营商就会将HTTP响应替换为新浪的官网。        

        因为http的内容是明⽂传输的,明⽂数据会经过路由器、wifi热点、通信服务运营商、代理服务 器等多个物理节点,如果信息在传输过程中被劫持,传输的内容就完全暴露了。劫持者还可以篡改传 输的信息且不被双⽅察觉,这就是中间人攻击 ,所以我们才需要对信息进⾏加密。

        所以针对防止中间人攻击,我们要对数据进行加密,下文会讲述到“道与魔之间的对抗”,我们呢拼尽全力抵抗数据被截取,中间人总用方法来获取信息。可谓“道高一丈魔高一尺”。

3.常见加密方式

①对称加密

        采⽤单钥密码系统的加密⽅法,同⼀个密钥可以同时⽤作信息的加密和解密,这种加密⽅法称为对称加密,也称为单密钥加密,特征:加密和解密所⽤的密钥是相同的。

        常⻅对称加密算法:DES、3DES、AES、TDEA、Blowfish、RC2等 

        特点:算法公开、计算量⼩、加密速度快、加密效率⾼

例如:

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

②非对称加密

        需要两个密钥来进⾏加密和解密,这两个密钥是公开密钥(public key,简称公钥)和私有密钥 (private key,简称私钥)。

        常⻅非对称加密算法(了解):RSA,DSA,ECDSA

        特点:算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂,⽽使得加密解密速度没有对 称加密解密的速度快。

        非对称加密要⽤到两个密钥, ⼀个叫做 "公钥", ⼀个叫做 "私钥". 公钥和私钥是配对的. 最⼤的缺点就是运算速度⾮常慢,⽐对称加密要慢很多.

        通过公钥对明⽂加密, 变成密⽂                      

        通过私钥对密⽂解密, 变成明⽂

或者

        通过私钥对明⽂加密, 变成密⽂                      

        通过公钥对密⽂解密, 变成明⽂

4.数据摘要

        数据摘要(数据指纹)这是通过利用单向散列函数(Hash函数)对信息进行运算,生成一段固定长度的数据摘要。

        摘要常见算法:有MD5、SHA1、SHA256、SHA512等。

        摘要特征:和加密算法的区别是,摘要严格意义不是加密,因为没有解密,只不过从摘要很难反推 原信息,通常⽤来进⾏数据对⽐。

        这个摘要就像这个资源的身份证号一样,相同的几率微乎其微,我们可以通过数据摘要来比对判断不同资源是否相同。因为更改一个标点符号就会导致前后数据摘要不一样。

        例如:当我上传电影时,会发现这个资源有时会瞬间就会被告知上传成功,但是有时需要很长时间几兆几兆的上传。只是因为,上传的软件会将电影等资源利用单向散列函数形成数据摘要,将数据摘要与服务器中的资源的数据摘要进行对比,如若有数据摘要与当前上传的文件的数据摘要相同,就证明服务器中有我们上传的这份资源,此时就不需要我们上传了,所以会被告知上传完毕。

        注意,不可能通过数据摘要反向推出资源来,因为是使用单向散列函数来运算的。

5.数字签名

        数字摘要通过加密就得到了数字签名。

二、HTTPS的加密方案

1.只是用对称加密

        哇,这样不错诶,黑客(中间人)拿到的只是密文,看不到我的明文内容,这样多安全。

        但事情绝没有这么简单,服务端同时给很多客户端提供服务,它们的密钥之间必是不同的,如果是相同的,就容易扩散,黑客很容易拿到。所以密钥之间是不同的。所以,需要服务端来维护每个客户端和服务端之间的密钥关系,也是一个麻烦的工程。

        较为理想的情况为,在每次服务端和客户端建立关系之前就协商好密钥是什么。

        但是,这个密钥在网络传输(协商)中是不是也要加密啊,不加密又要被黑客获取,但是加密又要使用密钥,这就是“先有鸡还是先有蛋”的问题了,所以这个方法行不通。

2.只使用非对称加密  

         这样很是不错,因为中间人只能获得我的公钥和密文,但是获得不了私钥,所以解密不了,但是,这有很大隐患,只能由客户端发信息,而不能由服务端发信息。

        因为客户端只有公钥,所以服务端只能用私钥加密,发送信息 ,这时中间人截取信息,通过先前截取的公钥就可以获得信息。那如果服务端通过公钥加密,那客户端没有私钥就不能解密。

        只使用非对称加密是行不通的。

3.双方都使用非对称加密

        上个方案只是客户端有公钥,服务端有私钥,保证单方面的保密可行。这一次客户端和服务端都具有独有的公钥与私钥,然后互换公钥。HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

          这种方法可行,但是非对称加密速度与对称加密相比慢得多,会产生效率问题,并且还会有安全问题。

4.非对称加密+对称加密

        服务器具有非对称公钥1和私钥1。

        客户端发起Http请求,获取公钥1。

        客户端形成对称密钥2,通过公钥1,将对称密钥2发给服务端,中间人因为没有私钥1,所以获取之后解密不了,服务端获取密文通过私钥1解密之后获得对称密钥2.

        之后客户端和服务端都使用对称密钥2来加密解密,快捷可靠。

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

中间人攻击

        这几个方案都逃不过中间人攻击这个手段。

        我们以方案四作为底层方案,设想一下,如果在建立http请求的时候中间人,伪装成客户端和服务端,与不同的双方交流都伪装成对面的一端,这样方案四就漏洞百出,我们根据图示理解。HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

         中间人干了这么多事情最主要的是假装自己对方通信的另一端,最终为了获取客户端的对称密钥,这样接下来的客户端和服务端之间的通信对中间人毫无秘密可言。

证书

CA认证

        服务端在使⽤HTTPS前,需要向CA机构申领⼀份数字证书,数字证书⾥含有证书申请者信息、公钥信 息等。服务器把证书传输给浏览器,浏览器从证书⾥获取公钥就⾏了,证书就如⾝份证,证明服务端 公钥的权威性。

        我们下一个方案需要证书的帮助。

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

理解数据签名

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

        数据签名的目的是防止数据被篡改。

        如果中间人拿到数字签名的数据,将其中的数据做修改,然后通过散列函数形成散列值,但是中间人没有签名者的私钥,不能将散列值转换为签名(即无法将更改之后的数据转换为签名,即使使用自己的私钥加密之后将签名更换,之后的还需要有签名者的公钥来解密,就会原形毕露),最后再验证的时候原有的签名经过签名者的公钥得出的散列值和已经被篡改的数据形成的散列值不一致,这个数字签名就没有用了。

5.非对称加密+对称加密+证书认证

        在客户端和服务器刚⼀建⽴连接的时候, 服务器给客户端返回⼀个证书,证书包含了之前服务端的公钥, 也包含了⽹站的⾝份信息。

        当客户端获取证书后,会检查证书的证伪。

        判断证书的有效期是否过期。

        判断发布证书的机构是否受信任。

        验证证书是否被篡改。从系统中拿到发布证书的机构的公钥,将签名解密,得到hash1(数据摘要),再将数据(证书)通过散列函数得到hash2,比对hash1与hash2的值,相同则为该证书未被篡改过。

完整流程

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

查看浏览器所信任的证书发布机构

        在edge浏览器中,此处就可以查看

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

        我们点开一个证书查看细节。

        我们会发现他们包含了我们所说的关键信息。

HTTPS协议原理---详解六个加密方案,Linux,https,http,网络协议,安全

 中间人有没有可能篡改该证书?

        先前我们说过,这里在简洁的表述。

        中间人篡改证书,将原文修改,但是他没有CA机构的私钥,无法将更改的数据经过hash再通过私钥转形成签名。如果强⾏篡改,客⼾端收到该证书后会发现明⽂和签名解密后的值不⼀致,则说明证书已被篡改, 证书不可信,从⽽终⽌向服务器传输信息,防⽌信息泄露给中间⼈。

中间人是否可以掉包整个证书呢?

        我们要知道,客户端在认证时都是通过认证机构的公钥来检查证书的真伪的,所以中间人没有响应的私钥就是不可行的,转而去申请真的证书,然后用自己的证书将客户端接受的证书进行调换。

        方法是可行的,但是证书明⽂中包含了域名等服务端认证信息,如果整体掉包,客户端依旧能够识别出来。

如何成为中间人?

        ARP欺骗:在局域⽹中,hacker经过收到ARP Request⼴播包,能够偷听到其它节点的 (IP, MAC) 地址。例, ⿊客收到两个主机A, B的地址,告诉B (受害者) ,⾃⼰是A,使得B在发送给A 的数据包 都被⿊客截取。

        ICMP攻击:由于ICMP协议中有重定向的报⽂类型,那么我们就可以伪造⼀个ICMP信息然后发送给 局域⽹中的客⼾端,并伪装⾃⼰是⼀个更好的路由通路。从⽽导致⽬标所有的上⽹流量都会发送到 我们指定的接⼝上,达到和ARP欺骗同样的效果。

总结:

        第一组非对称密钥,CA机构拥有的私钥,客户端拥有公钥,这两个密钥合作起来,来检查证书的真伪。

        第二组非对称密钥,客户端生成对称密钥,通过公钥,将对称密钥加密,发回给服务端,服务端通过私钥解密,获得对称密钥。

        第三组对称密钥,客户端和服务器后续传输的数据都通过这个对称密钥加密解密。

   

        感谢观看,如有错误请指出,我们下次再见。文章来源地址https://www.toymoban.com/news/detail-784341.html

到了这里,关于HTTPS协议原理---详解六个加密方案的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • HTTPS加密原理详解

    HTTPS全称Hypertext Transfer Protocol Secure,意为安全的超文本传输协议,简称HTTP安全版。 HTTPS在网络协议层级上位于TCP/IP协议之上,HTTP之下,跟HTTP的区别就是加入了SSL/TLS协议以确保数据安全。 他们的关系如下: 加密的原因是因为在HTTP的情况下,客户端与服务端之间数据的传输为

    2024年04月27日
    浏览(27)
  • HTTPS加密协议详解:TLS/SSL握手过程

    基于RSA握手和密钥交换的客户端验证服务器为示例详解TLS/SSL握手过程。 (1).client_hello 客户端发起请求,以明文传输请求信息,包含版本信息,加密套件候选列表,压缩算法候选列表,随机数,扩展字段等信息,相关信息如下: 支持的最高TSL协议版本version,从低到高依次 SS

    2024年02月09日
    浏览(38)
  • 什么是HTTPS加密协议?HTTPS安全传输原理,SSL和TLS介绍,NGINX如何配置SSL证书

    HTTPS是超文本传输协议(HTTP)的安全版本。它使用SSL(安全套接层)或TLS(传输层安全)加密协议来保护数据传输的安全性和机密性,以防止未经授权的访问和窃听。HTTPS协议通常用于处理敏感信息,如在线支付或登录凭证等。可以通过URL的前缀来识别一个网站是否使用了H

    2024年02月03日
    浏览(58)
  • HTTPS协议详解:基本概念与工作原理

    个人主页: insist--个人主页​​​​​​ 本文专栏 :网络基础——带你走进网络世界 本专栏会持续更新网络基础知识,希望大家多多支持,让我们一起探索这个神奇而广阔的网络世界。 目录 一、HTTPS协议的基本概念

    2024年02月10日
    浏览(41)
  • 【Linux网络编程】HTTPS协议原理

    HTTPS也是⼀个应⽤层协议,是在HTTP协议的基础上引⼊了⼀个加密层,HTTP协议内容都是按照⽂本的⽅式明⽂传输的,这就导致在传输过程中出现⼀些被篡改的情况。 加密就是把 明文 (要传输的信息)经过一系列的变换,变成 密文 进行传输。 解密就是把 密文 在通过一系列的

    2024年02月07日
    浏览(43)
  • 什么是https 加密协议?https证书安装部署

    HTTPS协议是安全超文本传输协议,是一个安全通信通道,它基于HTTP开发用于在客户计算机和服务器之间交换信息。它使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP的安全版,是使用TLS/SSL加密的HTTP协议。 HTTP协议采用明文传输信息,存在信息窃听、信息篡改和信息劫持

    2024年02月04日
    浏览(47)
  • 什么是https 加密协议?

    HTTPS(Hyper Text Transfer Protocol Secure)是一种网络传输协议,它是基于HTTP协议的扩展,通过加密通信内容来保障数据传输的安全性和完整性。 HTTPS的主要目标是通过加密通信内容,确保数据在传输过程中不会被窃取、篡改或伪造。它采用加密技术,使得即便数据被截获,也无法

    2024年02月04日
    浏览(49)
  • https 加密协议

      什么是https 加密协议? HTTPS(全称:Hyper Text Transfer Protocol Secure),是以安全为目标的 HTTP 通道,在 HTTP 的基础上通过传输加密和身份认证保证了传输过程的安全性。 HTTPS 在 HTTP 的基础上加入了 SSL/TLS 协议,SSL/TLS 依靠证书来验证服务器的身份,并为浏览器和服务器之间的通

    2024年02月20日
    浏览(34)
  • 【应用层协议】HTTPS的加密流程

    目录 一、认识HTTPS 二、密文 1、对称加密 2、非对称加密 三、HTTPS加密流程 1、建立连接 2、证书验证 3、密钥协商 4、数据传输 5、关闭连接 总结 在数字化时代,互联网已经成为我们生活和工作中不可或缺的一部分。然而,随着数据的不断增加,网络安全问题也日益凸显。为

    2024年02月07日
    浏览(41)
  • 图解HTTPS协议加密解密全过程

    我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取。所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。 HTTPS简介 HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进

    2024年02月05日
    浏览(56)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包