网络原理(5)--HTTPS是如何进行加密的

已于 2024-02-25 23:46:41 修改
阅读量1k 收藏 9
点赞数 14
文章标签: 网络 https 网络协议
于 2024-02-18 11:43:12 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Mylvzi/article/details/136145403
版权

💕"Echo"💕
作者:Mylvzi
文章主要内容:网络原理(5)–HTTPS是如何进行加密的
在这里插入图片描述
在网络原理(4)中介绍了HTTP协议的相关内容,HTTP协议在传输的过程中存在着安全问题,实际上现在的网络中基本不再使用HTTP,而是使用一种更加安全的协议HTTPS

一.前言

HTTP是web客户端和web服务器之间进行数据传输的一种协议,数据在传输的过程中是明文传输的,也就是说数据是容易被获取和篡改的,影响网络的安全

HTTP协议在传输的过程中会产生安全问题,比如随便连接公共WiFi就有可能导致数据的丢失,黑客可以对公共WIFI所在的路由器进行抓包分析,获得你上网的一些相关信息(比如支付宝密码),甚至说黑客都可以伪装成公共WiFi的路由器

如果一些敏感数据不进行加密,就相当于数据在网络中裸奔传输,被黑客获取到就会带来风险.实际上,像支付宝密码这样的敏感数据,支付宝的官方都是进行了加密,黑客拿到的数据是加密过后的密文,黑客无法进行解密~

为了解决HTTP在传输过程中的不安全性,HTTPS中就引入了加密机制,保证数据在传输的过程中不是裸奔传输

二.HTTPS的加密机制

1.HTTPS如何实现加密

HTTP协议的不安全性催生了一系列加密协议的出现,为了保障数据的传输,引入了SSL(Secure Sockets Layer)/TLS(Transport Layer Security)协议,用于在网络传输中建设加密通道,来保障数据传输的安全性

HTTPS就是引入了加密机制的HTTP协议,具体来说是在HTTP和TCP之间添加了SSL/TLS层来实现数据的加密传输,

添加的过程如下:

  1. TCP连接:当客户端尝试和服务器建立连接时,首先会 和服务器的TCP建立连接(三次握手),这是普通的TCP连接,没有加密
  2. SSL/TLS握手:一旦TCP建立好连接,客户端服务器就会触发SSL握手(其实就是发送一些数据报),客户端和服务器之间协商一些和加密相关的信息(密钥/证书)等
  3. 加密通话:SSL/TLS握手完成之后就可以开始进行数据的传输,此时客户端和服务器之间的通信就是加密的

2.基本概念

要了解HTTPS的加密机制,需要先了解是哪个基本概念:密文,明文,密钥

明文:要传输的原始数据,比如你要发送"你好",你好这两个字就是明文

密钥:对明文加密,对密文解密的工具

密文:对明文进行密钥加密过后的数据 比如将原始数据"你好"加密为"nh","nh"就是密文,传输过程中密文在网络中进行传输

明文 + 密钥 => 密文
密文 + 密钥 =>明文

2.加密机制

HTTPS中进行加密的机制主要有两种:对称加密和非对称加密

1.对称加密

对称加密就是在加密的过程中使用同一把密钥进行加密解密的过程

假设密钥是 key,那么;

明文 + key => 密文
密文 + 可以=> 明文

2.非对称加密

非对称加密就是在加密的过程中使用两把不同的密钥进行加密解密的过程,一把被称为公钥(可以被公开出来的),一把被称为私钥(自己单独享有的),使用那一把加密/解密都是相同的,比如假设公钥是key1,私钥是key2,使用公钥进行加密,使用私钥进行解密

明文 + key1 => 密文
密文 + key2 => 明文

三.HTTPS的加密机制的工作过程

HTTPS的加密主要是对HTTP报文中的头部和body进行加密

1.对称加密

对称加密在加密解密的过程中使用的是同一把密钥进行加密解密

加密的具体过程如下:

  1. 客户端产生一个明文请求,使用产生的对称密钥对明文请求进行加密,得到密文请求
  2. 客户端将产生的密文请求经运营商路由器传输给服务器
  3. 服务器得到密文请求,使用相同的对称密钥进行解密,得到原始的明文请求
    在这里插入图片描述

想一个问题,服务器不是只和一个客户端进行通信,是和很多客户端进行通信,每一个客户端的对称密钥是否都相同呢?肯定是不同的,如果相同,黑客就可以作为客户端得到对称密钥,就可以利用这个对称密钥进行解密了

实际上,对称密钥是客户端再和服务器连接时就要提前产生的,这个对称密钥利用随机数的相关机制产生,保证每个客户端的对称密钥都不相同
在这里插入图片描述

上述机制真的没有问题么?其实存在一个致命缺陷,对称密钥是通过客户端利用随机数机制产生的,服务器也要持有相同的对称密钥,客户端通过网络传输传输给服务器,黑客就可能把对称密钥也给截获,就可以利用截获的密钥进行解密,此时不就加密了个寂寞么?

在这里插入图片描述

有人可能会说,那我就对产生的对称密钥进行加密不就行了么?但是对对称密钥加密的密钥不也得通过网络传输给服务器么?这个方法肯定是行不通的,再仔细想想,对称加密存在安全问题的关键在于对称密钥是赤裸裸的在网络中进行传输的,密钥就像是秘密,秘密很关键,很重要,所以应该自己持有,不应该公布出去,这样的密钥就是私钥,这也是非对称加密的关键!

2.非对称加密

非对称加密在加密解密的过程中使用的是一套密钥,公钥和私钥进行加密解密

公钥私钥由服务器产生,公钥通过网络传输给客户端,私钥只有服务器自己持有,不在网络中进行传输,此时就可以使用公钥进行加密,使用私钥解密

加密的具体过程如下:

  1. 服务器产生一套密钥 公钥+私钥 通过网络将公钥传输给客户端,私钥自己持有
  2. 客户端产生明文请求和对称密钥,使用公钥对对称密钥加密,使用对称密钥对明文请求进行加密–>得到密文请求
  3. 客户端将产生的密文请求经运营商路由器传输给服务器
  4. 服务器收到密文请求,首先使用私钥对对称密钥进行解密,得到对称密钥,再利用对称密钥对密文请求进行解密,得到明文请求
    在这里插入图片描述

在这个过程中,黑客由于不持有私钥,就无法获取到对称密钥,进而无法进行解密

注意:为什么有非对称密钥了还要使用对称密钥,直接把所有的数据通过非对称密钥进行传输不行么?其实也可以,但是效率太低,成本也太高

非对称密钥由于其复杂性,在传输的过程中传输成本高,运算效率低,而对称密钥传输成本低,运算效率高,为了保证传输的效率,使用非对称密钥传输关键数据(如密钥),剩余的大量的业务数据通过更加快速的对称密钥进行传输

可以说,非对称密钥引入安全性,必然要降低传输效率(就和TCP引入可靠性效率降低一样)

以上就是非对称加密机制保证数据传输安全的机制,核心在于:黑客不持有私钥,无法对由客户端传输过来的通过公钥加密的对称密钥进行解密

但就算这样做还是存在安全漏洞(你不得不佩服黑客):黑客要想办法能够对对称密钥进行解密,怎么解密呢?让对称密钥的密钥不是服务器生成的公钥,自己产生一对公钥和私钥,让客户端通过自己产生的公钥对对称密钥进行加密,这样黑客就能拿到对称密钥,紧接着,再使用服务器产生的公钥对数据进行加密,传输给服务器,服务器收到数据也能解密,整个过程看起来没有被解密过,实际上被黑客瞒天过海了,但是~服务器产生的公钥根本没有传输到客户端,而是被黑客截取了!

这种机制也被叫做"中间人攻击问题"!

3.中间人攻击

图解:
在这里插入图片描述
具体过程:

  1. 服务器产生一对密钥:公钥(pub1) 私钥(pri1),并将公钥(pub1)经过网络传输给客户端
  2. 黑客截取服务器传输的公钥(pub1),自己产生一对公钥(pub2)和私钥(pri2),并将自己产生的pub2传输给客户端,自己保留pri2
  3. 客户端收到黑客产生的公钥(pub2),利用这个公钥对产生的对称密钥进行加密,然后生成密文请求,将密文请求发送给服务器
  4. 黑客截取产生的密文请求,利用自己产生的私钥(pri2)解密对称密钥,得到对称密钥,解密密文请求
  5. 黑客将得到的明文请求使用服务器产生的公钥(pub1)进行加密,传输给服务器
  6. 服务器收到经pub1加密的密文请求,使用pri1解密,得到明文请求

整个过程黑客成功实现了瞒天过海,服务器收到经pub1加密的数据,就认为传输的过程中没有发生解密的过程,实际上黑客利用自己产生的一对密钥进行了调包

那如何解决中间人问题呢–引入公正机构

中间人问题产生的原因在于客户端没有判别能力,他不知道传输过来的公钥属于黑客还是属于服务器,第三方机构就让客户端拥有了判别能力

4.公正机构(数字签名)解决中间人问题

首先,网站的开发者在搭建网站时,生成一对服务器的公钥和私钥,并向公正机构申请一个证书,服务器需要提供一些服务器相关的数据(网站域名/服务器公钥等),公正机构根据这些信息进行审核,审核通过产生一个证书,证书不是纸质的,而是一段结构化数据,证书内部有很多属性,比如网站域名,公钥,证书的过期时间等,其中最重要的属性是数字签名,数字签名是一个被加密过的校验和,通过证书中的属性计算出一个校验和,再利用公正机构自己产生的私钥进行加密,就得到了数字签名,这个属性,将是客户端验证公钥的关键!公正机构产生的公钥一般都是内置在客户端的操作系统之中

客户端在和服务器进行通信时,也会向服务器申请服务器的证书,证书中包含服务器产生的公钥
在这里插入图片描述
客户端收到传输过来的公钥(服务器产生),就可以利用数字签名来校验公钥是否被替换过,这个过程也被称作证书的校验,核心就是计算这里面的校验和

客户端利用操作系统内置的公正机构的公钥对数字签名进行解密,得到证书的校验和,客户端重新对证书进行校验和的计算,得到一个新的校验和,将这个计算出的校验和和解密得到的校验和进行对比,如果相同,就证明服务器的公钥没有被篡改,证书是可信的

如果黑客使用自己的公钥替换了服务器的公钥,那么客户端计算出的校验和就会解密出的校验和不一致,此时就会警告客户端(往往是弹出一个小框,显示有风险)

同时,黑客也无法修改证书之中的数字签名,数字签名的解密需要通过公正机构的公钥,但是这个公钥是客户端操作系统内置的,黑客无法获取

那黑客不能自己申请一个证书么?不能,如果要申请证书,就要向公正机构提供服务器的域名和持有者信息,黑客不是服务器的持有者,从而就无法申请证书

上述就是HTTPS加密的整个过程,看得出来攻击和防御是"相辅相成"的,网络安全在现在也是一个巨大的挑战!

总结:HTTPS的加密

  1. 对称密钥,加密业务数据
  2. 非对称密钥,加密对称密钥
  3. 中间人攻击
  4. 使用证书的数字签名,校验服务器的公钥

以上就是<<网络原理(5)–HTTPS是如何进行加密的>>的所有内容,至此,网络原理章节完结撒花!

Mylvzi
关注
  • 14
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
计算机网络原理-140第7章 网络安全--非对称加密和数字签名.mp4
07-04
计算机网络原理-140第7章 网络安全--非对称加密和数字签名.mp4
Android进阶-HTTPS通信原理-非对称加密
Donkey的博客
05-02 1071
对称加密 简介:对称加密算法又称传统加密算法,加密和解密使用同一个密钥。 加密解密过程:明文->密钥加密->密文,密文->密钥解密->明文。 缺点:对称加密算法是不现实的,互联网中通信的双方大多是临时建立的连接,不可能提前协商好密钥,而且密钥也要进行传输,无法保证密钥本身的安全性。 非对称加密 简介: 非对称加密(asymmetric cryptography),也称为公开密钥加密(Public-key cryptography),是密码学的一种算法,它需要两个密钥,一个
HTTPS的加密原理(工作机制)
Angel_Tears_的博客
03-13 2900
对称加密, 非对称加密, CA证书, 数字签证,https加密机制,http协议与https协议的区别, https的安全性,http为什么不安全, 数字证数是一种权威性的电子文档,它提供了一种在Internet上验证身份的方式;其作用类似于司机的驾驶证或日常生活中的凭证;它是由一个权威机构--CA证数授权(Certificate Authority)中心发行的,人们可以在互联网交往中用它来识别对方的身份。
计算机网络原理-139第7章 网络安全--对称加密.mp4
07-04
计算机网络原理-139第7章 网络安全--对称加密.mp4
计算机网络原理-143第7章 网络安全--发送签名和加密电子邮件.mp4
07-04
计算机网络原理-143第7章 网络安全--发送签名和加密电子邮件.mp4
计算机网络课程作业-CDMA基本原理.pptx
05-25
基本原理 计算机网络课程作业-CDMA基本原理全文共20页,当前为第5页。 CDMA的码 码序列 长度 应用位置 应用目的 码速率 m序列 (最大期线性移位寄存器,也就是长码) 242 – 1 反向接入信道 反向业务信道 直序列扩频 ...
CA加密,网络安全HTTPSSSL-安全传输协议SSL和TLS及WTLS的原理归类.pdf
01-31
CA加密,网络安全HTTPSSSL-安全传输协议SSL和TLS及WTLS的原理归类.pdf
通信与网络中的VoIP加密方案,BEEO加密算法原理及实现
12-09
一、 基本原理 本方案规定的加解密所处的网络位置在OSI网络体系结构的第五层,加密的内容是TCP/UDP的负载,VoIP信令结构也属于被加密的内容。 在发送端,把输入内容按数据位排列成矩阵,按照协商的方式和密钥形成...
无线加密技术原理剖析.ppt
11-18
网络设备无线路由器相关行业从事5年以上,有丰富经验。 深刻剖析WEP、WPA-TKIP、WPA2-AES加密等实现原理,适合小白对WIFI感兴趣或者同行专业人士学习。
VMware NSX原理与实践----网络基础之网络分层
10-10
从上到下,共有以下七层:应用层(提供用户界面)、表示层(表示数据进行加密等处理)、会话层(将不同应用程序的数据进行分离)、传输层(提供可靠或不可靠的传输,在重传前执行纠错,端到端连接)、网络层(提供...
网络安全技术原理与实践--第一章-网络安全概论.pptx
06-09
网络安全技术原理与实践--第一章-网络安全概论全文共20页,当前为第5页。 网络数据传输安全 主要是保护数据在网络信息系统中传输、交换和存储的保密性、完整性、真实性、可靠性、可用性和不可抵赖性等。而加密技术...
HTTPS实现原理详细介绍
06-27
HTTPS:超⽂本传输安全协议(英语:...HTTPS经由HTTP进⾏通信,但利⽤SSL/TLS来加密数据包。 HTTPS开发的主要 的,是提供对 站服务器的⾝份认证,保护交换数据的隐私与完整性。它其实就是HTTP+加密+⾝份认证+完整性保护
数字证书原理,公钥私钥加密原理1
08-08
1.1、公钥密码体制(public-key cryptography)公钥密码体制分为三个部分,公钥、私钥、加密解密算法,它的加密解密过程如下:加密:通过加密
通信网络安全---教学大纲.docx
06-10
第三部分:网络安全防御技术,熟练掌握安全操作系统相关原理加密与解密技术的应用、防火墙、入侵检测技术及IP和Web安全相关理论。第四部分:网络安全综合解决方案,力图从工程的角度学习网络安全基本理论技术应用...
基于Hopfield神经网络模型的加密解密原理分析.pdf
09-25
基于Hopfield神经网络模型的加密解密原理分析.pdf
蓝牙工作原理全面解析-LawrenceHarte.zip
07-23
您将了解蓝牙设备如何自动定位附近的蓝牙设备,对其进行身份验证,发现其功能以及用于与其建立连接的过程。 了解蓝牙的扩频技术如何使其与其他设备一起运行,包括无线局域网,微波炉,无绳电话和无线摄像机。您...
浅谈三种最常规的HTTPS流量解密方法及原理.pdf
08-07
拿 HTTPS 来说, 它的「内容加密、 数据完整性、 身份认证」 三大安全保证, 也会受到非法根证书、 服务端配置错误、SSL 库漏洞、 私钥被盗等等风险的影响。 很多同学认为只要访问的网站地址前有一把小绿锁就绝对...
网络安全原理与应用:对称加密算法.pptx
05-16
对称加密算法一、什么是对称加密算法明文:待加密的数据密文:加密后的数据密钥:加密过程中或解密过程中输入的数据加密算法:将明文和密钥相结合进行处理,生成密文的方法解密算法:将密文和密钥相结合进行处理,...
网络信息安全加密算法.doc
07-14
替代密码(循环移位密码) 替代密码算法的原理是使用替代法进行加密,就是将明文中的字符用其它字符替代后形 成密文。例如,明文字母a、b、c、d,用D、E、F、G做对应替换后形成密文。 替代密码包括多种类型,如单表...
ocker-swarm 覆盖网络 overlay 工作原理
最新发布
08-03
5. 加密和安全性:Docker Swarm覆盖网络还提供了安全性和加密功能。它使用TLS加密保护节点之间的通信,并为容器之间的通信提供了隔离和保护。 总体来说,Docker Swarm覆盖网络的工作原理是通过在多个主机上创建虚拟...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值