依据HTTPS中TLS/SSL加密原理衍生的数据加密实现

最新推荐文章于 2024-07-24 12:00:00 发布
最新推荐文章于 2024-07-24 12:00:00 发布
阅读量2.2k 收藏 1
点赞数 2
文章标签: 加密
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/HinstenyHisoka/article/details/51761862
版权

安全是互联网服务特别重要的一个方面, 这里主要解决B2C模式下, 客户端浏览器访问服务器时, 避免通讯期间的数据传输时被网络监听者劫持窃取修改等问题。
HTTPS本身已经实现了在客户端(浏览器)与服务端(网站)之间的数据传输加密, 中间涉及到了对称加密算法(加密业务数据)和非对称加密算法(加密对称加密算法的密钥);

1 . HTTPS在传输数据之前需要客户端(浏览器)与服务端(网站)之间进行一次握手,在握手过程中将确立双方加密传输数据的密码信息。TLS/SSL协议不仅仅是一套加密传输的协议,更是一件经过艺术家精心设计的艺术品,TLS/SSL中使用了非对称加密,对称加密以及HASH算法。握手过程的简单描述如下:
1) 浏览器将自己支持的一套加密规则发送给网站。
2) 网站从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息。
3) 获得网站证书之后浏览器要做以下处理:
a) 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等),如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示。
b) 如果证书受信任,或者是用户接受了不受信的证书,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密。
c) 使用约定好的HASH计算握手消息,并使用生成的随机数对消息进行加密,最后将之前生成的所有信息发送给网站。
4)网站接收浏览器发来的数据之后要做以下的操作:
a) 使用自己的私钥将信息解密取出密码,使用密码解密浏览器发来的握手消息,并验证HASH是否与浏览器发来的一致。
b) 使用密码加密一段握手消息,发送给浏览器。
5) 浏览器解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法进行加密。
这里浏览器与网站互相发送加密的握手消息并验证,目的是为了保证双方都获得了一致的密码,并且可以正常的加密解密数据,为后续真正数据的传输做一次测试。

2 . 参考上面HTTPS加密实现原理, 实现自己的加密处理: 基于Filter, Servlet规范里面过滤器(这里是和springmvc中的interceptor 拦截器 做了比较的说法)的定义, 它刚刚好是一个客户端请求进入服务后抵达应用处理逻辑的前后(filter链的执行过程恰如栈一样的, 所有要把加解密这个filter放置的尽量靠前), 因此以这个地方为切入点是恰好满足我们的问题所需.
1) SpringMVC提供了一个名为OncePerRequestFilter的过滤器(它在request放置了一个参数保证每次请求只被dispatch一次), 这里继承这个类, 然后在doFilterInternal方法里实现自己的加密逻辑;

public class EncryptFilter extends OncePerRequestFilter {
    ......
    @Override
    protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain filterChain) throws ServletException, IOException {
        //获取当前请求的URL
        String currentURI = URLUtil.getURIWithoutSuffix(request.getRequestURI());
        //判断是否是获取公钥的请求
        if (isPublicKeyRequest(currentURI)) {
            processGetPublicKey(request, response);
            return;
        }
        //判断是否是传递私钥的请求
        if (isExchangeSecretKeyRequest(currentURI)) {
            processExchangeSecretKey(request, response);
            return;
        }
        //这里可以处理放过一下自定义配置的不进行加解密操作的URLs
        if (!shouldFilter(currentURI)) {
            filterChain.doFilter(request, response);
            return;
        }
        //根据客户端传过来的标志位参数判断请求是否进行了加密, 然后才会进行对应解密操作
        boolean parameterDecrypt = getParameterDecrypt(request);
        String secretKey = null;

        if (parameterDecrypt) {
            secretKey = getSecretKey(request);
            if (secretKey == null) {
                processNoSecretKey(request, response);
                return;
            }
        }

        RequestWrapper requestWrapper = new RequestWrapper(request, request.getParameterMap(), parameterDecrypt, secretKey);
        ResponseWrapper responseWrapper = new ResponseWrapper(response);
        WebContext.registry(requestWrapper, responseWrapper);
        //执行正常的过滤器链,servlet服务也就包含在其中
        filterChain.doFilter(requestWrapper, responseWrapper);
        boolean encryptFlag = encrypt && getResponseEncrypt(request);
        String responseContent = responseWrapper.getContent();
        String responseStr = null;

        if (encryptFlag) {
            //判断需要加密, 随即对将要返回给客户端的报文进行加密
            responseStr = handleResponse(responseContent, secretKey, requestWrapper, responseWrapper);
        } else {
            responseStr = responseContent;
        }

        PrintWriter writer = null;

        try {
            writer = response.getWriter();
        } catch (Exception e) {
        }

        if (writer != null) {
            writer.write(responseStr);
            writer.flush();
        }
    }

    // 对HttpServletRequestWrapper对象的一个自定义包装, 加入加密所需的密钥
    public class RequestWrapper extends HttpServletRequestWrapper {

        private Map<String, String[]> params;

        private boolean decrypt;

        private String secretKey;

        public RequestWrapper(HttpServletRequest request, Map<String, String[]> parameterMap, boolean decrypt, String secretKey) {
            super(request);
            this.decrypt = decrypt;
            this.secretKey = secretKey;
            handleRequest(request, parameterMap);
        }

        @Override
        public Map<String, String[]> getParameterMap() {
            return params;
        }

        @Override
        public Enumeration<String> getParameterNames() {
            Vector<String> l = new Vector<String>(params.keySet());
            return l.elements();
        }

        @Override
        public String[] getParameterValues(String name) {
            Object v = params.get(name);

            if (v == null) {
                return null;
            } else if (v instanceof String[]) {
                return (String[]) v;
            } else if (v instanceof String) {
                return new String[] { (String) v };
            } else {
                return new String[] { v.toString() };
            }
        }

        @Override
        public String getParameter(String name) {
            Object v = params.get(name);

            if (v == null) {
                return null;
            } else if (v instanceof String[]) {
                String[] strArr = (String[]) v;
                if (strArr.length > 0) {
                    return strArr[0];
                } else {
                    return null;
                }
            } else if (v instanceof String) {
                return (String) v;
            } else {
                return v.toString();
            }
        }

        private void handleRequest(HttpServletRequest request, Map<String, String[]> parameterMap) {
            params = new HashMap<String, String[]>(parameterMap);
            Iterator<Entry<String, String[]>> iterator = params.entrySet().iterator();

            while (iterator.hasNext()) {
                Entry<String, String[]> entry = iterator.next();
                String key = entry.getKey();
                String[] value = entry.getValue();

                if (value == null) {
                    params.put(key, value);
                } else {
                    String[] valueArray = (String[]) value;

                    for (int i = 0; i < valueArray.length; i++) {
                        String valueStr = valueArray[i];

                        if (valueStr != null) {
                            String newValue = (String) valueStr;

                            if (decrypt) {
                                newValue = AESUtil.decryptStr(newValue, secretKey);
                            }
                        }
                    }

                    params.put(key, valueArray);
                }
            }
        }
    }

        public class ResponseWrapper extends HttpServletResponseWrapper {

        private PrintWriter cachedWriter;

        private CharArrayWriter bufferedWriter;

        public ResponseWrapper(HttpServletResponse response) {
            super(response);
            bufferedWriter = new CharArrayWriter();
            cachedWriter = new PrintWriter(bufferedWriter);
        }

        @Override
        public PrintWriter getWriter() {
            return cachedWriter;
        }

        /**
         * 获取输出内容
         * 
         * @return
         */
        public String getContent() {
            return bufferedWriter.toString();
        }
    }


    private String handleResponse(String responseContent, String secretKey, RequestWrapper request, ResponseWrapper response) {
        if (secretKey == null) {
            secretKey = getSecretKey(request);
        }

        if (secretKey == null) {
            secretKey = this.secretKey != null ? this.secretKey : DEFAULT_SECRET_KEY;
            response.setStatus(NO_SECRET_KEY);
        }

        response.setHeader(ENCRPY_HEADER, "true");
        return AESUtil.encryptStr(responseContent, secretKey);
    }

    //...
}

2) 在进行握手成功后, 把客户端的私钥放进了session, 原因一次握手的有效性与session生命有效性刚刚符合, 当客户端关闭连接或者session过期时, 便需要进行重新握手建立一次新的加密会话;

附录 : HTTPS一般使用的加密与HASH算法如下:
非对称加密算法:RSA,DSA/DSS
对称加密算法:AES,RC4,3DES
HASH算法:MD5,SHA1,SHA256

江无羡
关注
专栏目录
ssl加密的方法.doc
10-03
总结来说,SSL加密方法的核心在于使用公钥和私钥的加密机制,确保数据的隐私性,防止数据在传输过程的篡改和确保通信双方的身份真实性。随着网络安全需求的不断提升,SSL及其衍生技术如TLS在互联网通信扮演着不...
TLS、对称/非对称加密、CA认证
weixin_44640149的博客
11-28 498
为了保证公钥的正确性,防止黑客使用自己的公钥冒充服务器公钥截取客户端生成的对称密钥,使用CA机构对公钥进行签名,可通过CA证书验证来证明公钥的正确性。非对称加密具有一个密钥对,公钥和私钥,理论上来说公钥和私钥并不区分,便于区分将保存在本地的那个叫做私钥,将需要传输给对方的那个叫做公钥。CA机构是权威的第三方,机构本身具有自己的CA公钥与CA私钥,CA公钥是发给全体互联网成员的,可以将其称为CA证书。数据经过私钥加密后,只能由对应的公钥解密,同样数据经过公钥加密后,只能由对应的私钥解密。
对称加密介绍
迷失蒲公英
05-12 1643
对称密钥算法(Symmetric-key algorithm),又称为对称加密、私钥加密、共享密钥加密,是密码学的一类加密算法。对称加密的特点是,在加密和解密时使用相同的密钥,或是使用两个可以简单地相互推算的密钥。这一个或一组密钥需要在两个或多个成员之间共享,以便维持专属的通讯联系。对称加密的优点是速度快,缺点是需要共享密钥,安全性不足。常见的对称加密算法有 AES、SM4、ChaCha20、3DES、Salsa20、DES、Blowfish、IDEA、RC5、RC6、Camellia。
使用STM32和TLS加密实现安全的物联网通信_stm32 wolfssl mbedtls
最新发布
Karka_的博客
07-24 1683
你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
TLS加密:保障网络安全的必备技术
博客
08-24 1408
TLS证书是由数字证书机构(CA)颁发的,用于验证服务器身份的一种安全凭证。数字证书包含服务器的公钥和其他相关信息,可以用于加密和解密通信数据TLS加密是保障网络安全的重要技术之一,它通过使用密码学算法对通信数据进行加密,确保数据的机密性、完整性和身份认证。本文介绍了TLS加密的基本原理TLS协议的版本、TLS证书和PKI、TLS加密的安全性问题、TLS在Web应用的应用、其他应用场景下的TLS加密TLS的性能影响和优化,以及未来的发展趋势。
TLS加密协议详解
u013349377的博客
11-11 4959
SSL/TLS是一种密码通信框架,他是世界上使用最广泛的密码通信方法。SSL/TLS综合运用了密码学的对称密码,消息认证码,公钥密码,数字签名,伪随机数生成器等,可以说是密码学的集大成者。SSL(Secure Socket Layer)安全套接层,是1994年由Netscape公司设计的一套协议,并与1995年发布了3.0版本。TLS(Transport Layer Security)传输层安全是IETF在SSL3.0基础上设计的协议,实际上相当于SSL的后续版本。消息摘要算法即HASH算法。
SSL/TLS、对称加密和非对称加密TLSv1.3
tinychen
02-27 4470
本文主要对对称加密和非对称加密原理以及过程进行分析,同时还会简单介绍一下TLS/SSL的一些相关内容,并且对比TLSv1.2和TLSv1.3的不同。 1、SSLTLS的历史 其实早期的互联网协议基本都是不加密进行传输的,如HTTP、FTP、telnet.等协议的 传输层安全性协议(英语:Transport Layer Security,缩写:TLS)及其前身安全套接层(英语:Secure Sockets Layer,缩写:SSL)的历史进程如下表所示: 协议 发布时间 状态 SSL 1
3desjava源码-haxe-crypto:Hurlant加密库移植到haxe:tls、md2、md5、sha1、sha224、sha256
06-11
3des java源码Haxe ...分叉自: 这是从以下分叉出来的: 原始项目可以在 虽然是非官方的,但这个 ...公钥加密:RSA(加密/解密、签名/验证) 密钥加密:AES、DES、3DES、BlowFish、XTEA、RC4 保密模式:ECB、CBC、CFB
httpsPost.rar
06-30
2. **libeay32.dll** 和 **ssleay32.dll**:这两个是OpenSSL库的动态链接库文件,用于实现HTTPS加密算法和SSL/TLS协议,确保数据传输的安全。 3. **Project1.dpr**:这是Delphi项目的主程序文件,包含了应用...
针对某亿些小说网站的爬虫
08-22
HTTP是无状态的,而HTTPS是在HTTP基础上添加了SSL/TLS加密,提供了安全的数据传输。 2. **请求库**:Python的requests库是我们常用的一个发送HTTP请求的库,可以用来模拟浏览器的行为,如GET和POST请求,设置请求...
密码学实验
03-23
在密码学实验,学生可以通过实现这些算法来深入理解加密原理,同时对安全通信和数据保护有更直观的认识。实际操作,还需要考虑各种攻击模型,如间人攻击、重放攻击等,并采取相应的防范措施,例如使用安全协议...
TLS-STM32F103C8最小系统资料20141020.zip
08-07
TLS-STM32F103C8最小系统资料,需要的下载。
STM32 阿里云物联网开发接入
10-06
STM32 阿里云物联网开发接入,https 方式呵 mqtt 方式
SSL/TLS加密传输
weixin_38933749的博客
12-29 1588
基础知识 SSL/TLS单向认证:客户端会认证服务器端的身份,但是服务器端不会对客户端进行认证。 SSL/TLS双向认证:客户端和服务端会互相认证,即双发之间要证书交换。 决定性因素:客户端的数量 单向加密的认证过程 SSL工作原理 CA(Certificate Center)证书签发机构。两个属性:1.本身受信任,国际认可。2.给他受信任的申请对象签发证书。 私钥用于加密,公钥用于解密。 证书是带有签名的身份信息 证书的签发过程 证书包括签名和明文信息两部分,其签名使用ca.key即ca的私钥加密
SSL/TLS加密技术:保护网络通信安全的关键技术
Jerry_zpon的博客
03-06 4095
SSL(Secure Sockets Layer,安全套接字层)和TLS(Transport Layer Security,传输层安全)都是一种用于保护网络通信安全的协议,SSLTLS的前身,目前TLS已经成为主流。SSL/TLS协议可以在浏览器和Web服务器之间建立安全通信通道,确保数据在传输过程的保密性、完整性和真实性。在SSL/TLS加密技术,使用了一种称为“加密算法”的技术,它可以将发送和接收的数据加密,并在数据传输过程保持数据的安全。
SSL/TLS、IPSec简介
weixin_43255133的博客
11-04 4093
SSL/TLS SSL/TSL定义 SSL(Secure Socket Layer,安全套接层),是为网络通信提供安全及数据完整性的一种安全协议。 TSL(Transport Layer Security,传输层安全),是以SSL为基础的升级版。 SSL/TSL目的 HTTP的安全风险 窃听风险,第三方可以获取通信内容。 篡改风险,第三方可以修改通信内容。 冒充风险,第三方可以冒充他人身份进行通...
SSL&TLS传输层加密协议实现图解
热门推荐
麦田守望者
09-27 1万+
http://xuding.blog.51cto.com/4890434/1732275 一、SSL&TLS     1.SSL:Secure Sockets Layer ,加密套接字协议层        1)SSL是为网络通信提供安全及数据完整性的一种安全协议,在传输层对网络连接进行加密              Secure Socket Lay
TLS/SSL 协议详解(18) Change cipher
叼哥的博客
11-19 1833
这是一个无关紧要的数据。在TLS1.3就被废弃了。 需要注意的是,该数据本身不被计算握手摘要,因为它的type不是Handshake。 一般开源代码在读到该数据时,计算(derive) read侧的密钥(即解密密钥、解密hmac密钥,解密IV),然后调用read函数时就自然而然的进行解密了。 ---------------------  作者:Mrpre  来源:CSDN  原文:http...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值