最新HTTPS是如何保证安全的(1),2024年最新实战案例

最新推荐文章于 2024-05-31 09:42:54 发布
最新推荐文章于 2024-05-31 09:42:54 发布
阅读量903 收藏 11
点赞数 24
分类专栏: 程序员 文章标签: 网络安全 学习 面试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84264692/article/details/138824685
版权

写在最后

在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

  • 服务端发送给浏览器 server_random和加密方法

现有浏览器和服务器有了三个相同的凭证:client_randomserver_random和加密方法 用加密方法把 client_randomserver_random 两个随机数混合起来,生成秘钥,这个密钥就是浏览器和服务端通信的暗号。

存在的问题:第三方可以在中间获取到client_randomserver_random和加密方法,由于这个加密方法同时可以解密,所以中间人可以成功对暗号进行解密,拿到数据,很容易就将这种加密方式破解了。

非对称加密

非对称加密

  • 浏览器发送给服务端 一系列加密方法

  • 服务端发送给浏览器 加密方法以及公钥

之后浏览器通过公钥将数据加密传输给服务端,服务端收到数据使用私钥进行解密。服务端给浏览器发送数据,则使用私钥进行加密,浏览器收到服务端发送过来的数据,使用公钥进行解密。

存在的问题:

  1. 非对称加密效率太低, 这会严重影响加解密的速度,进而影响到用户打开页面的速度。

  2. 无法保证服务器发送给浏览器的数据安全, 服务器的数据只能用私钥进行加密(因为如果它用公钥那么浏览器也没法解密啦),中间人一旦拿到公钥,那么就可以对服务端传来的数据进行解密了,就这样又被破解了。

HTTPS使用对称加密和非对称加密结合

传输数据阶段依然使用对称加密,但是对称加密的秘钥我们采用非对称加密传输。

HTTPS加密

  • 浏览器向服务器发送client_random和加密方法列表。

  • 服务器接收到,返回server_random、加密方法以及公钥。

  • 浏览器接收,接着生成另一个随机数pre_master, 并且用公钥加密,传给服务器。(重点操作!)

  • 服务器用私钥解密这个被加密后的pre_master。

到此为止,服务器和浏览器就有了相同的  client_randomserver_random 和 pre_master, 然后服务器和浏览器会使用这三组随机数生成对称秘钥。有了对称秘钥之后,双方就可以使用对称加密的方式来传输数据了。

CA (数字证书)

使用对称和非对称混合的方式,实现了数据的加密传输。但是这种仍然存在一个问题,服务器可能是被黑客冒充的。这样,浏览器访问的就是黑客的服务器,黑客可以在自己的服务器上实现公钥和私钥,而对浏览器来说,它并不完全知道现在访问的是这个是黑客的站点。

服务器需要证明自己的身份,需要使用权威机构颁发的证书,这个权威机构就是 CA(Certificate Authority), 颁发的证书就称为数字证书 (Digital Certificate)。

对于浏览器来说,数字证书有两个作用:

  1. 通过数字证书向浏览器证明服务器的身份

  2. 数字证书里面包含了服务器公钥

下面我们来看一下含有数字证书的HTTPS的请求流程

含有数字证书的HTTPS的请求流程

相对于不含数字证书的HTTPS请求流程,主要以下两点改动

  1. 服务器没有直接返回公钥给浏览器,而是返回了数字证书,而公钥正是包含数字证书中的;

  2. 在浏览器端多了一个证书验证的操作,验证了证书之后,才继续后序流程。

参考

  • 如何用通俗易懂的话来解释非对称加密?[1]

  • 十分钟搞懂HTTP和HTTPS协议?[2]

  • HTTPS 原理分析——带着疑问层层深入[3]

  • 图解HTTP[4]

  • 浏览器工作原理与实践[5]

参考资料

[1]

一、网安学习成长路线图

网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
在这里插入图片描述

二、网安视频合集

观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。
在这里插入图片描述

三、精品网安学习书籍

当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。
在这里插入图片描述

四、网络安全源码合集+工具包

光学理论是没用的,要学会跟着一起敲,要动手实操,才能将自己的所学运用到实际当中去,这时候可以搞点实战案例来学习。
在这里插入图片描述

五、网络安全面试题

最后就是大家最关心的网络安全面试题板块
在这里插入图片描述在这里插入图片描述

网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。

需要这份系统化资料的朋友,可以点击这里获取

一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!

2401_84264692
关注
  • 24
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2024网络安全最新Web服务器配置安全(1)
2401_84297944的博客
05-01 879
最后,需要持续监测和评估Web服务器的安全配置,以确保其始终保持安全和稳定。Web服务器是提供网站和应用程序的基础设施,安全配置是确保Web服务器及其上运行的应用程序的安全性和稳定性的重要步骤。当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
2024网安最全深入理解Https如何保证通信安全(1)
2401_84281648的博客
05-01 697
通过上图我们可以直观的发现,HTTPS是在HTTP的基础上加了SSL安全协议层,通俗的理解HTTPS=HTTP+SSL,SSL安全协议保证了通信过程的安全性。主要体现在以下几方面:1)信息加密安全2)信息完整性3)身份认证3.如何保证通信安全我们先来看下HTTP的一次数据通信过程。TCP建立连接和断开连接的过程,这里就不再描述了。图一HTTPS为了解决这个问题,允许通信双方共同约定一种加解密方式,即对称加密技术,仅通信双方知晓密钥以确保传输数据的安全
2024网安最新新一代企业级安全OneDNS(1)
2401_84239625的博客
05-01 1021
OneDNS 互联网安全接入服务是北京微步在线科技有限公司提供的具备安全防护能力的 DNS 递归解析服务, 该服务可以保护任何一台终端、任何一个办公职场、任何一个家庭均可安全地接入到互联网, 为企业和家庭用户有效防护:恶意软件、勒索病毒、APT 攻击、钓鱼链接、非法站点。并且屏蔽各类广告骚扰和欺诈类网站,净化网络环境,保护数据安全
2024网络安全最新2024最新最全数据库系统安全
2401_84263282的博客
05-03 650
========加密方式:数据库网上传输的数据,通常利用SSL协议来实现数据库存储的数据,通过数据库存储加密来实现数据库存储加密方式:库内加密和库外加密常用技术:基于文件的数据库加密技术、基于记录的数据库机密技术、基于字段的数据库文件进行加密==========安全作用:屏蔽直接访问数据库的通道增强认证攻击检测防止漏洞利用防止内部高危操作防止敏感数据泄露数据库安全审计=========常见技术方法:屏蔽、变形、替换、随机、加密。
2024网安最全HTTPS网络安全攻坚战
2401_84264630的博客
05-01 677
签名算法:通过数字证书,和CA公钥,验证获取到的服务器公钥的可靠性,保证了认证性;密钥交换算法 + 对称加密算法:通过交换的密钥,进行加密通信,保证了机密性和不可否认性;摘要算法:保证完整性。本文首次发表于:HTTPS网络安全攻坚战以及公众号 Java架构杂谈,未经许可,不得转载。
2024网络安全最新CTF —— 网络安全大赛_ctf网络安全大赛
2401_84281729的博客
05-01 1050
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
2024网安最新新一代企业级安全OneDNS
2401_84239830的博客
05-01 900
当我学到一定基础,有自己的理解能力的时候,会去阅读一些前辈整理的书籍或者手写的笔记资料,这些笔记详细记载了他们对一些技术点的理解,这些理解是比较独到,可以学到不一样的思路。网安所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。观看零基础学习视频,看视频学习是最快捷也是最有效果的方式,跟着视频中老师的思路,从基础到深入,还是很容易入门的。屏蔽广告骚扰,优化页面加载速度,节约流量的同时让上网体验更优。过多的广告骚扰影响浏览体验?
2024网络安全最新蓝队浅析一_蓝队工作内容
2401_84247760的博客
05-02 929
蓝队,是指网络实战攻防演习中的防守一方。蓝队一般是以参演单位现有的网络安全防护体系为基础,在实战攻防演习期间组建的防守队伍。蓝队的主要工作包括演习前安全检查、整改与加固,演习期间进行网络安全监测、预警、分析、验证、处置,后期复盘总结现有防护工作中的不足之处,为后续常态化的网络安全防护措施提供优化依据等。
2024网安最新100条安全原则来制定安全策略(1)
2401_84281729的博客
05-03 936
安全又一大原则:强硬原则,强烈要求原则。有的意见提了,运维不做,那就强硬提出,并且说清楚利弊。强烈要求一定要做;安全一大原则:不要想当然原则。有的事,你觉得不可能,实际就是可能的,还得和技术去确认。比如10.0.0.8网段的机器,根据日志去连接192.168.0.10的代理服务器。正常就觉得这条是假的,误报。实际,确实如此,网络就这么做的。安全一大原则:不要怕麻烦原则 有的事就怕麻烦别人,或者自己麻烦,没有去仔细判断,结果导致重要线索浪费了。
2016最新PHP基础实战视频教程
07-22
教程名称: 2016最新 PHP基础 实战视频教程(01) 2016HTML5 布尔教育(02)2016最新PHP 3小时光速入门(03)2016php基础视频教程(04) 2016MySQL基础_布尔教育(05)2016 PHP操作MySQL_布尔教育(06) 2016案例-留言板_...
Python实战案例合集
06-30
Python实战案例合集,包括基础、绘图、机器学习实战案例分析等。
最新短视频带货实战课程,2024普通人超车道-视频教程网盘链接提取码下载.txt
12-21
1_正确起号-1如何选择适合自己的赛道.mp4 2_正确起号-2如何找对标达人.mp4 3_正确起号-3如何定位精准购物人群.mp4 4_正确起号-4如何涨精准购物粉丝.mp4 5_正确起号-5不同流量策略的选品思路.mp4 6_正确起号-6...
2018最新ElasticSearch6实战教程
08-09
最新版ElasticSearch6(2018最新版),这个资源是我花钱买的,分享给大家。 视频共有60讲,从介绍、安装到实战
记一次绕过火绒安全提权实战案例1
08-03
记一次绕过火绒安全提权实战案例1
一文解读,网络安全行业人才需求情况《网络安全产业人才发展报告》
weixin_59086772的博客
10-18 8261
随着近几天国家网络安全宣传周在全国各地开展活动,网络安全再一次成为热门话题。网络安全不再缩在小小的安全圈子里,惠及面越来越广。不少对网络安全颇有兴趣的朋友非常关心行业前景如何?该怎么提升自我能力,更快地加入网安行列。 今天雨笋君就10月13日在网络安全宣传周上发布的《2021网络安全人才报告》进行一个简单的行业前景分析。 一、网络安全行业市场发展情况 网络时代生活越来越离不开网络,与此同时发生的网络安全攻击事件、非法入侵等等一系列事件都威胁着普通人的生活。没有网络安全保障,个人和企业等重.
学习整理 docker
最新发布
wonder_dog的博客
05-31 220
nexus。
书籍学习|基于SprinBoot+vue的书籍学习平台(源码+数据库+文档)
JIngJaneIL的博客
05-28 1199
首先,论文一开始便是清楚的论述了平台的研究内容。其次,剖析平台需求分析,弄明白“做什么”,分析包括业务分析和业务流程的分析以及用例分析,更进一步明确平台的需求。然后在明白了平台的需求基础上需要进一步地设计平台,主要包罗软件架构模式、整体功能模块、数据库设计。本项目软件架构选择B/S模式和java技术,总体功能模块运用自顶向下的分层思想。再然后就是实现平台并进行代码编写实现功能。论文的最后章节总结一下自己完成本论文和开发本项目的心得和总结。通过书籍学习平台将会使书籍学习各个方面的工作效率带来实质性的提升。
前端技术入门学习:探索数字世界的奇幻之旅
qwertyhn_0024的博客
05-27 229
HTML定义了网页的结构和内容,CSS负责样式和布局,而JavaScript则实现了网页的交互功能。对于初学者来说,前端技术既是一个充满魅力的新世界,也是一个充满挑战与困惑的领域。本文将引导您从四个方面、五个方面、六个方面和七个方面深入理解前端技术,开启您的学习之旅。在这个过程中,我们需要不断探索、学习和实践,才能逐步掌握这门技艺的精髓。同时,我们也需要保持敏锐的洞察力和开放的心态,不断适应和应对前端技术领域的变化和发展。同时,随着人工智能、大数据等新技术的不断涌现,前端技术也将面临更多的挑战和机遇。
2022最新 LoadRunner性能测试实战教程
07-27
很抱歉,我无法提供关于2022最新的LoadRunner性能测试实战教程的信息。您可以通过搜索互联网或参考专业的技术书籍来获取最新的教程和指南。请注意,技术领域的工具和技术通常会不断更新和演进,因此建议您查阅最新...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值