关于https

已于 2022-06-09 09:46:54 修改
阅读量686 收藏
点赞数
分类专栏: 计算机网络 文章标签: https http 安全
于 2022-05-29 12:55:46 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/eskiii/article/details/125029702
版权

有了http,为什么还需要https

1. 能够对传输报文进行加密

能够在通信双方间简历一个信息安全通道,来保证数据传输的安全性。

使用了ssl/tls协议进行加密、解密。

2. 通信双方能够确认对方的身份真实性

防止被恶意第三方假冒通信放,窃取报文。

这个由证书机制来保证,这个证书由受信任的数字证书认证机构CA所颁发,能够保证对方的身份是真实的。

3. 能够确保数据的完整性

能够防止内容被第三方篡改或者冒充。

这个主要是通过数字摘要来保证。数字摘要是采用单项Hash函数将需要加密的明文“摘要”成一串固定长度(128位)的密文,这一串密文又称为数字指纹(fingerprint),它有固定的长度,而且不同的明文摘要成密文,其结果总是不同的,而同样的明文其摘要必定一致。所以只要对内容稍有改动,算出来的指纹就和原来的指纹不一样了,这样就可以知道内容已经被篡改过,不可信了。

此外,https除了在http上添加了ssl层,并没有进行更多的修改,这一点是考虑到了可拓展性和兼容性。

https工作过程

(来自微信读书-《图解HTTP》) 

  1. tcp 三次握手,因为https也是基于tcp的,所以也要进行三次握手
  2. 客户端和服务器端通过hello报文确定使用的tls版本信息、加密套件、选择的压缩算法和随机数等。
  3. 服务端发送CA证书,CA证书包含了公钥,私钥服务端保留。
  4. 客户端验证该公钥证书,如果证书无效或者过期了,则显示警告信息,如果有效,那么就利用随机数生成会话密钥,并且使用公钥去加密会话密钥。客户端发送公钥加密后的会话密钥的密文给服务端。
  5. 服务端利用私钥解密密文,得到客户端生成的会话密钥。服务端向客户端发送使用会话密钥加密后的密文,这一步是为了告诉客户端可以使用会话密钥进行通信了。
  6. 客户端接收到后进行验证,通过验证后,就可以开始加密通信了
  7. 客户端与服务端开始加密通信
  8. 通信完毕后,四次挥手结束。

什么是对称加密和非对称加密?

  • 对称加密就是通信双方使用同一个密钥进行加密解密
  • 非对称加密是指通信双方使用的不是一个密钥,一般来说,网站服务端保留私钥,客户端浏览器拥有公钥,公钥加密,私钥解密。

为什么需要进行身份认证

因为要防止在通信过程中受到中间人的攻击。

假设理想情况下,没有中间人会在通信过程中进行攻击,那么https的密钥传输过程是这样的:

  1. 网站服务器先基于“非对称加密算法”,随机生成一个“密钥对”(为叙述方便,称之为“k1 和 k2”)。因为是随机生成的,目前为止,只有网站服务器才知道 k1 和 k2。
  2. 网站把 k1 保留在自己手中,把 k2 用明文的方式发送给访问者的浏览器。因为 k2 是明文发送的,自然有可能被偷窥。不过不要紧。即使偷窥者拿到 k2,也【很难】根据 k2 推算出 k1(这一点是由“非对称加密算法”从数学上保证的)。
  3. 浏览器拿到 k2 之后,先【随机生成】第三个对称加密的密钥(简称 k)。然后用 k2 加密 k,得到 k'(k' 是 k 的加密结果)浏览器把 k' 发送给网站服务器。由于 k1 和 k2 是成对的,所以只有 k1 才能解密 k2 的加密结果。因此这个过程中,即使被第三方偷窥,第三方也无法从 k' 解密得到 k。
  4. 网站服务器拿到 k' 之后,用 k1 进行解密,得到 k至此,浏览器和网站服务器就完成了密钥交换,双方都知道 k,而且【貌似】第三方无法拿到 k。然后,双方就可以用 k 来进行数据双向传输的加密。

如果有中间人攻击,那么通信过程就会变成:

  1. 这一步跟原先一样——服务器先随机生成一个“非对称的密钥对”k1 和 k2(此时只有网站知道 k1 和 k2)。
  2. 当网站发送 k2 给浏览器的时候,攻击者截获 k2,保留在自己手上。然后攻击者自己生成一个【伪造的】密钥对(以下称为 pk1 和 pk2)。攻击者把 pk2 发送给浏览器。
  3. 浏览器收到 pk2,以为 pk2 就是网站发送的。浏览器不知情,依旧随机生成一个对称加密的密钥 k,然后用 pk2 加密 k,得到密文的 k'浏览器把 k' 发送给网站。(以下是关键)发送的过程中,再次被攻击者截获。因为 pk1 pk2 都是攻击者自己生成的,所以攻击者自然就可以用 pk1 来解密 k' 得到 k然后,攻击者拿到 k 之后,用之前截获的 k2 重新加密,得到 k'',并把 k'' 发送给网站。
  4. 网站服务器收到了 k'' 之后,用自己保存的 k1 可以正常解密,所以网站方面不会起疑心。至此,攻击者完成了一次漂亮的偷梁换柱,而且让双方都没有起疑心。

为什么会被攻击?因为缺乏可靠的身份认证。所以CA证书就很有必要了,因为它可以确认对方的身份。

加入了CA证书身份认证的https交换密钥过程:

  1. 网站,即服务端,获取某个数字证书认证机构购买CA证书,证书会包括两个文件,一个文件包含公钥,还有一个文件包括私钥。网站必须在自己的服务器上部署这两个文件。公钥证书是发送给客户端浏览器的,私钥证书是网站自己保留的。这两个密钥是使用非对称加密算法计算得出的,也就是即使有人截获了公钥,也基本不可能推导出私钥,这个是在数学层面证明出来的。
  2. 当浏览器访问网站时,网站服务器首先会把公钥证书发送给浏览器。
  3. 浏览器会对接受到的证书进行验证。如果发现证书“不对劲”,浏览器会提示用户“CA证书安全警告”。有了验证的这一步,就可以大大减少中间人攻击了。为什么浏览器可以发现CA证书“不对劲”?因为一般的CA整数,都是来自某个权威的数字证书认证机构的,并且现在主流的浏览器都会内置几十种权威CA的根证书。所以浏览器就能够利用系统内置的根证书,判断就收到的CA证书是不是某个CA颁发的。
  4. 如果CA证书被信任了,那么浏览器就从证书中提取出“公钥”,然后随机生成一个用于对称加密的密钥 k。然后利用公钥去加密这个密钥 k,得到密钥k'。然后浏览器将这个 k' 发送给网站。
  5. 网站收到 k',就使用自己的私钥对 k' 进行解密,得到原本的对称加密密钥 k。
  6. 到这为止,浏览器和网站都拥有了对称密钥 k,就可以使用 k 进行密文传输啦!

参考资料

刨根问底系列之https详细握手过程 - 掘金

HTTPS的协议需求与密钥交换过程 - 简书

Eskiii
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
数字签名、加密传输--原理
hwalk的专栏
05-10 5625
        数字签名,就是通过在数据单元上附加数据,或对数据单元进行秘密变换,从而使接收者可以确认数据来源和完整性。简单说来,数字签名是防止他人对传输的文件进行破坏,以及确定发信人的身份的手段。        目前的数字签名是建立在公共密钥体制基础上,它是公用密钥加密技术的另一类应用。它的主要方式是:报文的发送方从报文文本中生成一个128位的散列值(又称报文摘要,数字指纹)。发送方用自己的
关于Https协议HttpClient的实现详解
08-27
关于Https协议HttpClient的实现详解 Https协议是当前最流行的HTTP安全形式,由NetScape公司首创。在Https中,URL都是以https://开头,而不是http://。使用了Https时,所有的HTTP请求与响应在发送到网络上之前都...
【计算机网络】TCP为什么需要3次握手
How many ten years in the life time?
06-19 1934
大致的流程想必大家并不陌生,我们先具体分析一下它这三次传输 首部都包含了哪些信息。我们先来认识一下TCP报文段的首部都有哪些字段是需要用到的 seq:序号➢ TCP会给每一个字节都编上一个序号,而序号字段的值则是当前报文段所发送数据报的第一个字节的序号。➢ 假设当前发送的数据序号为1−200,那么序号字段的值就是1。ack:确认号➢ 确认号的值是期望收到对方下一个报文段的数据的第一个字节的序号➢ 假设上方举例 发送的数据序号为1−200:发送方为A,接收方为B,那么此时B返回的确认号即为201。......
SSL/TLS 通信过程
103style
03-16 1675
目录 Wireshark抓包 Client Hello Server Hello、Certificate、Server Key Exchange、Server Hello Done Client 验证 Server 证书 Client Key Exchange、Change Cipher Spec、Encrypted Handshake Message Server→New Session Ti...
最通俗易懂的讲解HTTPS的加密原理【多图、易懂】【有误 等待后续勘误】
weixin_43757333的博客
05-20 3588
网上很多讲https加密的文章,很多技术区大佬用专业的话语将https的加密原理讲得很透彻,但是不好理解,自己看了很多篇文章才能理解核心意思。 为了便于后人理解和自己复习,于是自己借助了网上的图和部分文章的摘抄,为了助于理解,对文章的前后逻辑进行了修改和简化,写下了这篇通俗易懂的讲https加密原理的文章。.........
DES对称加密及三重DES(3DES)
热门推荐
Codeooo 博客
08-19 1万+
一、DES 1概述 DES算法全称为Data Encryption Standard,即数据加密算法,它是IBM公司于1975年研究成功并公开发表的。DES算法的入口参数有三个:Key、Data、Mode。其中Key为8个字节共64位,是DES算法的工作密钥;Data也为8个字节64位,是要被加密或被解密的数据;Mode为DES的工作方式,有两种:加密或解密。 2算法原理 DES算法把64位的明文输入块变为64位的密文输出块,它所使用的密钥也是64位,其算法主要分为两步: (1)初始置换 其..
okhttp关于https封装的几个工具类
12-28
总的来说,"Okhttp关于https封装的几个工具类"主要是围绕如何创建一个安全、可定制的OkHttpClient实例,并通过OkHttpClientManager进行管理。在实际开发中,根据项目需求,我们可以对这些工具类进行扩展和调整,以...
xfire https
02-28
以下是关于使用Xfire实现HTTPS调用WebService接口的一些详细步骤和知识点: 1. **环境准备**:首先,你需要安装Java Development Kit (JDK) 和Eclipse IDE。然后,将提供的jar包导入到Eclipse项目的类路径中,这些...
关于HTTPS的说明、CA配置、SSL配置、Web网站配置
09-02
### 关于HTTPS的详细解析与配置指南 #### HTTPS概述 HTTPS(Hypertext Transfer Protocol over Secure Socket Layer),即超文本传输协议通过安全套接层,是HTTP安全版本。它通过在HTTP的基础上添加SSL/TLS...
springboot https 配置
09-08
以下是关于Spring Boot配置HTTPS的详细步骤和相关知识点: 1. **证书生成**: 在HTTPS中,证书用于验证服务器的身份。`keystore.cer`和`https-java.keystore`这两个文件通常包含证书和私钥。`keystore.cer`可能是...
URL编码与解码
尹自强.DoSomething()
03-11 965
通常如果一样东西需要编码,说明这样东西并不适合传输。原因多种多样,如Size过大,包含隐私数据,对于Url来说,之所以要进行编码,是因为Url中有些字符会引起歧义。   例如,Url参数字符串中使用key=value键值对这样的形式来传参,键值对之间以&符号分隔,如/s?q=abc&ie=utf-8。如果你的value字符串中包含了=或者&,那么势必会造成接收Url的服务器解析错误,因此必须将引
史上最详细配置HTTPS
SH'S BLOG
12-14 399
HTTP(超文本传输协议),是一个基于请求与响应,无状态的,应用层的协议,常基于TCP/IP协议传输数据,互联网上应用最为广泛的一种网络协议,所有的WWW文件都必须遵守这个标准。设计HTTP的初衷是为了提供一种发布和接收HTML页面的方法。 HTTPS(超文本传输安全协议),是以安全为目标的HTTP通道,简单讲是HTTP安全版。即HTTP下加入SSL层,HTTPS安全基础是SSL,因此加...
你不得不知道的HTTP协议HTTPS协议
轻松玩编程
05-18 393
前言:“不是井里没有水,而是你挖的不够深;不是成功来的慢,而是你努力的不够狠。” 你好,我是梦阳辰!一起学习起来吧! HTTP概述 HTTP协议(HyperText Transfer Protocol,超文本传输协议)是因特网上应用最为广泛的一种网络传输协议,所有的WWW文件都必须遵守这个标准。是一个基于请求与响应的模式的,无状态的网络协议。是浏览器和服务器间最常用的通讯协议HTTP协议是浏览器与服务期间的数据传递格式的一种约定,浏览器与服务器只要都遵循这个约定,就可以进行数据通讯了。 HTTP是一个.
HTTPHTTPS 协议详解:网站开发与网络安全入门
weixin_43263566的博客
01-15 7780
HTTP/HTTPS协议介绍
Https协议简析
low666的博客
03-18 1124
Https协议简析 HTTPS是一种通过计算机网络进行安全通信的传输协议,经由HTTP进行通信,利用SSL/TLS建立全信道,加密数据包。HTTPS使用的主要目的是提供对网站服务器的身份认证,同时保护交换数据的隐私与完整性。 HTTPS协议 = HTTP协议 + SSL/TLS协议,在HTTPS数据传输的过程中,需要用SSL/TLS对数据进行加密和解密,需要HTTP对加密后的数据进行传输,由此可...
HTTPS基础原理和配置-3
east4ming的博客
02-15 1716
书接上文:HTTPS 基础原理和配置 - 2,接下来介绍: 配置 NGINX 后端 HTTPS 检查配置 配置 HSTS OCSP Stapling 重要部分来了。如何使用这些选项并配置NGINX? 一、NGINX 的 HTTPS 配置 这里有一些基本的原语(或叫做指令),你可以使用:ssl_certificate、ssl_certificate_key、ssl_protocols 和ssl_ciphers。 1.1 NGINX 配置参数(OpenSSL) 在开始之前: NGINX 处理 TLS 的方式
HTTPS详解
李爱乐
03-31 9188
HTTPS,SSL/TLS,ASL,数字证书,DHE,ECDHE。 介绍了HTTPS的加密过程,和数字证书为什么能保证不会被篡改,还有HTTPS最后是怎么生成会话秘钥(对称秘钥)的。
HTTPS简介
xiaozhang的博客
11-28 1万+
1什么是HTTPS HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性[1]。HTTPSHTTP 的基础下加入SSL,HTTPS安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与TCP之间)。这个系统提供了身份验证与...
获取SSL证书的指纹
weixin_33681778的博客
09-07 6446
每一张SSL证书都有指纹(fingerprint)信息,若要获取,可以通过openssl或者certutil工具,分别在非Windows和Windows平台下使用基本语法:opensslx509-fingerprint-incerfile.crt若是报无法读取文件,那么极有可能是未指定格式,可尝试如下opensslx509-fingerprint-incerf...
关于HTTPS,SSL,TSL,ACME协议之间的关系
最新发布
06-12
HTTPS是一个安全HTTP协议,通过SSL或TSL加密通信来保障数据的安全性。SSL和TSL是加密通信的协议,其中SSL已经被TSL所取代。ACME协议是一种自动化证书管理协议,可以自动化地申请、颁发、安装和更新SSL/TSL证书。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值