[网络] https是什么?https是怎么保障我们信息传输的安全的?

最新推荐文章于 2024-04-04 09:11:25 发布
最新推荐文章于 2024-04-04 09:11:25 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 网络 安全 文章标签: 网络 https 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ToraNe/article/details/128016852
版权

文章目录

前言

在互联网发展初期,HTTP协议帮助了众多应用去传递数据,随着互联网的发展,越来越多的应用出现,传递敏感信息的需求变得十分急迫,所以HTTPs应运而生,本文将介绍HTTPs是什么以及它是如何保障我们通信安全的。

HTTPs是什么?

HTTPs,全称HTTP over TLS,意味在TLS之上的HTTP。要了解HTTPs的工作原理,我们就必须理解这个TLS到底是什么?

TLS是什么?

TLS已经非常有名了,不过笔者还是简单介绍一下。
TLS,全称Transport Layer Security,意味传输层安全。挺拗口,咋不叫安全传输层,这样不是更好理解吗?

TLS本身是一种基于传输层协议(TCP/UPD)的网络协议,被称为TLS Protocol,翻译过来全称就是传输层安全协议了。

其最新版是rfc8446定义的TLS Protocol Version 1.3,可以参考下图。
RFC 8446 TLS v1.3
TLS协议提供了安全传输数据的方法,而HTTPs也正是因为用了TLS做数据传输协议,才能保障我们信息传输的安全。TLS是如何保障安全的,这个我们放到后面章节讨论。

协议栈对比:HTTPs vs HTTP

了解了HTTPs之后,为了加深印象,笔者画了HTTPs和HTTP协议栈的对比图。
协议栈对比HTTPs vs HTTP
可以看到对于HTTPs和HTTP来说,最高层的协议没有什么不同。区别仅仅是一个用了TLS协议做了数据加密解密工作。

万能的TLS协议

TLS协议更像一个TCP协议的代理(Proxy),高层协议可以随意在自己直接使用TCP协议或使用TLS协议代理操作TCP协议收发数据,这意味着TLS协议能为任意高层协议添加安全性保障。所以不仅仅是HTTP可以利用TLS做安全性保障成为HTTPs,还有其他有名的协议也有利用TLS协议做安全性保障。

  • FTPs:FTP over TLS
  • donmian-s:DNS query-response protocol run over TLS
  • amqps:amqp protocol over TLS/SSL
  • etc…

使用TLS来保证安全的协议有非常多,如在公开在iana注册了专用端口的协议中搜索tls就能出现一大片。
如果有兴趣的读者可以自己去这个网站看:Service Name and Transport Protocol Port Number Registry
截图如下:
IANA Port Registry IANA端口注册
如果你需要为自家的私有协议添加安全性保障,可以考虑使用TLS。

TLS如何保障我们的通信安全的?

那么如果说要保障数据安全,防止第三者窃听,无非就俩字:加密
说到加密,不说一些奇奇怪怪的加密方式(如偏移a→b、b→c、…、z→a,加密解密表),我们主流的加密算法有两种:

  • 对称加密:一个密钥,能同时用于数据的加密和解密。
  • 非对称加密:两个密钥(公钥、密钥),是用公钥加密数据则用密钥解密,是用密钥加密则用公钥解密

对称加密和非对称加密的优缺点

加密方式优点缺点
对称加密密文数据量较小,运算速度快密钥容易泄露,有安全性隐患
非对称加密密钥不易泄露,安全性高密文数据量大,运算速度慢

对称加密方式密钥易泄露的问题

我们说一下为什么对称加密密钥容易泄露,假设你是一个新用户,想要去和某个服务器做加密通信,如果使用对称加密,那么一定有一个密钥从服务器到我们这个用户的客户端的一个传递过程,如果不传递密钥信息,仅服务器持有密钥,我们用户(客户端)是没办法解密的。要进行通信一定要传递密钥给客户端。那么密钥传递的过程可以是通过网络传递(明文),也可以是比如你去服务器上拷贝密钥,然后保存到你客户端本地。无论是哪种方式,密钥的拷贝在多个节点存在都会导致密钥泄露风险增加。

改良版之混合加密

混合加密,对称加密和非对称加密都使用。因为两者都有致命缺点,一个是安全性问题,一个是密文数据量大(占带宽资源)和运算速度慢(占CPU等计算资源),为了解决这两个痛点,就有了混合加密。
混合加密首先使用非对称加密去传递对称加密密钥(会话密钥),这样对称加密密钥就是被安全传输的(经过了非对称加密),而且限定了对称加密密钥的生命周期为会话级别(即连接断开后就回收密钥,每次新的连接都是随机生成的不同密钥),大幅提高了安全性。后续的应用数据交换环节就使用之前交换的对称密钥去加密解密,解决了非对称加密的密文数据量大及运算速度慢的痛点。

笔者在19年时写的一篇文章中就详细介绍了三种加密方式,本文就不详细赘述了,有兴趣了解的读者可以看笔者写的这篇文章:《[密码学]对称密钥加密、非对称密钥加密和混合加密的基本原理

对称密钥加密、非对称密钥加密和混合加密的基本原理截图

TLS中混合加密的应用

那么我们的TLS支持两种模式,一种是PSK(pre shared key,预共享密钥)模式,另一种是Certificate(认证)模式,PSK通常不使用,我们大部分用到的都是Certificate模式。如刚才我们说的混合加密有两个阶段,一是交换会话密钥(对称加密密钥)的阶段,二是交换应用数据(对称加密密钥加密后的密文)的阶段。这在TLS中表现为

  1. TLS握手阶段:对应子协议TLS Handshake Protocol,用于交换加密算法、加密参数等信息。
  2. TLS数据交换阶段:对应子协议TLS Record Protocol,用于交换加密后的应用数据。

附:有时候会看到HTTP over SSL是什么?

SSL,全称Secure Sockets Layer,是TLS的前身,TLS是SSL的后继者。它们的职责相近,都是在如TCP的传输层之上提供安全性保障的协议。所以HTTPs早期被称为HTTP over SSL,现阶段SSL虽被TLS替代,但是HTTPs依然被保留,全称改为了HTTP over TLS。在rfc的注册协议端口资料中,关于https的描述也是

http protocol over TLS/SSL

rfc ports rfc端口

结语

HTTPs总的来说并不难,如果能很好的理解TLS之于HTTPs的作用,那么理解TLS之于其他协议的作用就很简单了,甚至你可以为自己开发私有协议添加TLS的使用,使其变得更加安全。而TLS保证通信安全的根本是加密,而三种加密方式,TLS通常使用对商业环境最友好的混合加密来完成安全通信工作。

我是虎猫,希望本文对你有帮助。(=・ω・=)

虎猫_EICHO
关注
专栏目录
https是什么意思?(安全超文本传输协议)
10-01
HTTPS,全称为“Hypertext Transfer Protocol over Secure Socket Layer”,即安全超文本传输协议,是在HTTP(超文本传输协议)的基础上增加了SSL(Secure Socket Layer)或TLS(Transport Layer Security)安全协议...
https和ssl分别是什么?有什么关系?
SSL加密技术
08-23 1万+
网络已经成为我们生活和工作中不可分割的一部分,我们大部分的活动都要在网络上进行,比如网购、E-mail、浏览网页等等。而我们在进行这些操作时,可能会涉及到很多隐私数据的传输,这就需要我们考虑一个问题,网络真的安全吗?想要保证网络的基本安全,首先得了解什么是https和ssl?他们之间存在什么样的关系?以及他们的作用是什么? 一、什么是https和ssl ssl全称是Secure Sockets...
SSL是什么?SSL怎么用?
weixin_62107875的博客
10-12 9987
目录SSL是什么SSL协议的三个特性SSL 的工作原理1.握手协议2.记录协议3.警报协议SSL协议的应用---SSL VPN1.SSL VPN的优势2.SSL VPN的实现 (★★★★★)3.SSL VPN要求的终端安全 SSL(Secure Sockets Layer 安全套接层),及其继任者传输安全(Transport Layer Security,TLS)是为网络通信提供安全及数据完整性的一种安全协议。如今被广泛使用,如网页,电子邮件,互联网传真,即时消息和语音在IP电话(VoIP)
HTTP Over TLS 简介
zhangke1985的专栏
09-06 4622
Table Of Contents 1. HTTPS是什么? 2. TLS协议简介 3. TLS握手流程 3.1 客户端请求建立连接 3.2 服务器确定加密套件 3.3 服务器发送证书 3.4 双方完成身份认证 3.5 生成密钥 3.6 通知开始加密传输 3.7 确保密钥可用 4. 加密套件与密钥 4.1 加密套件 4.2 master secret ...
什么是HTTPS加密协议?HTTPS安全传输原理,SSL和TLS介绍,NGINX如何配置SSL证书
最新发布
dzqxwzoe的博客
04-04 1048
HTTPS是超文本传输协议(HTTP)的安全版本。它使用SSL(安全套接层)或TLS传输安全)加密协议来保护数据传输安全性和机密性,以防止未经授权的访问和窃听。HTTPS协议通常用于处理敏感信息,如在线支付或登录凭证等。可以通过URL的前缀来识别一个网站是否使用了HTTPS协议,即使用了“https://”前缀而不是“http://”。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。
HTTPS协议详解
搬砖信条
12-09 1586
HTTPS简介 超文本传输安全协议(HTTPS,常称为 HTTP over TLS/SSL)是一种通过计算机网络进行安全通信的传输协议。HTTPS 经由 HTTP 进行通信,但利用 SSL/TLS 来加密数据包。HTTPS 开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。 HTTPS如何保证数据传输安全TLS/SSL TCP (Transmission Cont...
通信与网络中的什么是通信网络技术?
11-18
通信网络技术是信息技术领域的重要组成部分,它涉及到网络的构建、管理和维护,以便在多个通信端点之间有效地传输信息。通信网络技术的核心在于构建一个能够连接各个节点和传输链路的系统,实现信息的连接或非连接...
广播电视微波网网络安全传输关键基础信息保障.pdf
09-19
【广播电视微波网网络安全传输关键基础信息保障】 在当今信息化社会,网络安全对于任何网络系统,尤其是对于关键信息基础设施如广播电视微波网来说至关重要。本文主要探讨了如何保障甘肃省广播电视微波网的安全传输...
什么是计算机网络安全?.doc
06-07
计算机网络安全保障网络系统及其资源免受意外或恶意攻击、破坏、篡改及泄漏的重要领域。它涵盖了硬件、软件和数据资源的保护,确保网络能够持续稳定地提供服务。计算机网络安全的概念源自ISO给出的计算机安全定义...
RFC2818--HTTPS/TLS 翻译
误入其途
11-05 2628
rfc2818原文原文连接 翻译 RFC818文档中对HTTPS的描述如下: 连接初始化-- 运行HTTP的客户端也是运行TLS的客户端。这个客户端需要在合适的端口向服务器发送一个连接请求,然后发送TLS clienthello 来开始一个TLS握手。当TLS握手结束后,客户端会发起首个HTTP请求。所有的HTTP数据必须以TLS “applicationdata”的形式发送。
https 是如何保护数据传输
曹立禄的个人博客
05-10 2631
为什么需要 https https 是 http + ssl,也就是加密的 http 数据传输。我们都知道 https 的最主要的作用在于保证数据的安全,但具体来说,https安全性主要体现在以下两点: 保证数据传输不被中间人盗用和信息的泄漏。 保证数据内容不被劫持、篡改。 针对上面两点,https 的保护策略如下: 对传输内容进行加密 对请求进行身份验证 对称加密和非对称加密 对称加密 只有一个密钥,同时用来进行加密和解密。 非对称加密 有一对密钥,分别是公钥和私钥。公钥加密,私钥解密。
HTTP over SSL/TLS
qq_45206551的博客
04-10 1051
文章目录HTTPS 基本过程TLS 证书机制中间人攻击SSL 剥离HSTS伪造证书攻击HPKP HTTPS 基本过程 HTTPS 即 HTTP over TLS,是一种在加密信道进行 HTTP 内容传输的协议。 TLS 的早期版本叫做 SSL。SSL 的 1.0, 2.0, 3.0 版本均已经被废弃,出于安全问题考虑广大浏览器也不再对老旧的 SSL 版本进行支持了,因此这里我们就统一使用 TLS...
HTTP、SSL/TLSHTTPS协议的区别与联系
u012662731的博客
11-18 3566
今天在请求数据的时候,服务器使用的是https请求,相对安全些,但是结果让我请求图片和资源的时候也使用https请求,我之前写的http请求根本用不了!我就感到非常的不爽!最后听公司的人说了下,最后他们决定重要信息使用https访问,但是对于资源什么的就使用http吧! 开始没什么认识,只感觉到使用https请求数据的时候,要经过安全验证,安全性很高!仔细查了一些资料,原来使用htt
SSL和TLS-SSL Protocol介绍
weixin_43364172的博客
11-07 8629
SSL和TLS-SSL Protocol介绍 SSL协议是客户端/服务器协议,向双方提供基本的安全服务: 认证(端和数据来源认证) 连接机密性服务 连接完整性服务(不能恢复) 尽管SSL协议使用公钥(public key)加密,它不提供源(origin)和完整性的不可否认(nonrepudiation)服务。 SSL协议是sockets-oriented,意味着通过网络socket发送或者接收...
什么是 SSL ?https 是如何保证数据传输安全(SSL 是怎么工作保证安全的)
千寻的博客
04-11 972
SSL 代表安全套接字层。它是一种用于加密和验证应用程序(如浏览器)和 Web 服务器之间发送的数据的协议。 身份验证 , 加密 Https 的加密机制是一种共享密钥加密和公开密钥加密并用的混合加密机制。SSL/TLS 协议作用:认证用户和服务,加密数据,维护数据的完整性的应用层协议加密和解密需要两个不同的密钥,故被称为非对称加密;加密和解密 都使用同一个密钥的 对称加密。 优点在于加密、解密效率通常比较高 HTTPS 是基于非对称加密的, 公钥是公开的, (1)客户端向服务器端发起 SSL 连接请求;
HTTPS安全了?HTTPS 会被抓包吗?
Java技术栈,分享最主流的Java技术
07-22 653
Java技术栈www.javastack.cn关注阅读更多优质文章本文来自leapMie 的博客:https://blog.leapmie.com/archives/418/随着 HT...
HTTPS详解SSL/TLS
bravegogo的专栏
02-03 1306
LOOPBACK|服务端 HTTPS详解SSL/TLS  研究HTTPS 曾几何时,只记得HTTPS的端口和HTTP的不同,一个是443,一个是80。以前做项目也是只晓得用第三方的jar包,只晓得怎么生成证书和使用方法与流程,对原理并不是很清楚。这里接着上一篇RSA算法,本篇就详细介绍HTTPS协议和相关的SSL/TLS加密协议。    什么是HTTP
详解 HTTPSTLS、SSL、HTTP区别和关系
热门推荐
chan70707的专栏
10-03 4万+
  一、什么是HTTPSTLS、SSL HTTPS,也称作HTTP over TLSTLS的前身是SSL,TLS 1.0通常被标示为SSL 3.1,TLS 1.1为SSL 3.2,TLS 1.2为SSL 3.3。下图描述了在TCP/IP协议栈中TLS(各子协议)和HTTP的关系。 二、HTTP和HTTPS协议的区别 1、HTTPS协议需要到证书颁发机构(Certificate Au...
大型移动网络信息传输安全评估模型
传统的网络信息传输安全性评估方案在精准度、效率以及安全要素量化方面存在不足,无法提供有效的安全保障。 针对这些问题,本研究提出了一个针对大型移动网络信息传输安全性评估方案。首先,构建了一个全面的网络...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值