详解 Web 服务器和客户端加密通信的实现原理和演化历史

最新推荐文章于 2024-05-09 08:50:22 发布
最新推荐文章于 2024-05-09 08:50:22 发布
阅读量436 收藏
点赞数
文章标签: 前端 服务器 安全
原文链接:http://www.tisheng8.com/
版权

  前言

  加密通信是网络安全领域的关键技术之一,也广泛应用于现代 web 服务器(server)和客户端(client)之间的通信。web 技术诞生之初,server 和 client 之间是基于明文通信的,也就是 HTTP 1.0. 随着技术的发展,HTTPS 逐渐代替了 HTTP,HTTPS 协议能够保证数据不会泄露,不被篡改,所谓 HTTPS,就是 HTTP + TLS/SSL。本文采用看图说话的形式,带你了解加密通信的演进历史和原理,最后总结了现代 web 技术中采用的加密通信机制。

  上古时代 - 明文

  一对情侣 Jack 和 Rose 之间通信,直接采用明文。一是由于技术原因,二是隐私保护的意识可能还不明显。

  

  明文通信

  远古时代 - 对称加密

  某一天,Jack 和 Rose 发现,他们之间的悄悄话被别人窃听了。于是,他们商量出了一个办法:约定一套只有他们俩知道的规则,给通信内容加密。这样,即使通信内容被劫持,没有密钥,也看不到原始通信内容。这种方式也就是我们常听到的对称加密。

  

  一把密钥,对称加密

  中古时代 - 非对称加密 1.0

  时间久了,人们发现对称加密存在一个问题,那就是通信双方必须知道这个共同的密钥,他们得见面才能完成加密通信。那有没有什么办法能做到在不用见面的前提下实现加密通信呢?数学家们给出了答案。

  

  非对称加密 1.0

  Jack 和 Rose 分别在本地独自生成了一对密钥,分别是 public key(公钥)和 private key(私钥)。通信开始前,双方互相交换各自的 public key。交换之后,Jack 知道了 public key 2,Rose 也知道了 public key 1.

  

  非对称加密 1.0 - 交换各自公钥

  为什么要采用一对密钥呢?

  先来看看 Jack 如何给数据加密的:

  

  非对称加密 1.0 - 发送方给数据加密

  发送方根据信的内容,采用某种 hash 算法,生成摘要(Digest),然后用自己的私钥(private key 1)加密,生成数字签名(Sinature),再把数字签名和信件一起发送出去。

  Rose 如何处理收到的加密信件:

  

  非对称加密 1.0 - 接收方解密数据

  Rose 收到 Jack 的加密信件后,采用和 Jack 同样的 hash 算法,对信件内容进行 hash 运算,得到 Digest A。接着,用之前收到的 Jack 的公钥(也就是 public key 1)解密 Sinature 文件,得到 Digest B。比较摘要 A 和摘要 B,如果 Digest A 和 Digest B 相等,表明信件内容没有被篡改。

  虽然非对称加密比对称加密方便很多,通信双方不需要互相见面就能实现加密通信。然而,还是有个问题:在互相交换公钥的过程中,很容易被第三方黑客劫持。黑客拦截了双方的公钥之后,再伪造两个公钥匙分别发给 Jack 和 Rose,那么通信内容就彻底泄露了。

  

  非对称加密 1.0 - 公钥被劫持

  现代 - 非对称加密 2.0

  为了解决非对称加密的弊端,科学家们想出了一个办法,那就是引入 CA(Certificate Authority,认证中心),CA 出现的意义就是去保证 public key 的真实性。

  CA 的功能有两个:一是颁发 CA 证书;二是制作数字证书(Digital Certificate)。具体是怎么做的呢?

  

  非对称加密 2.0 - CA 的功能

  CA 自己生成一对公钥和私钥(私钥是绝对保密,不可能泄露的)。CA 证书是客户端(这里对应的是 Rose)使用的,简单理解就是 CA 的公钥,CA 证书一般内置在客户端的浏览器或操作系统里。

  

  非对称加密 2.0 - 数字证书的生成

  而数字证书的目的就是用 CA 的私钥给 web 服务器(这里对应的是 Jack) 的 public key 加密,如上图所示。Jack 拿到 CA 的数字证书之后,和信件内容,数字签名(Sinature)一起打包发给 Rose.

  

  非对称加密 2.0 - 解密流程

  Rose 拿到加密数据后,用 CA 证书里的 CA 公钥解密数字证书,获取 Jack 的 public key 1,然后用 Jack 的公钥(public key 1)解密 Sinature,得到 Digest B。接下来流程就是和非对称加密 1.0 时代相同了。

  总结 - 现代 web 技术中的加密通信机制

  上文宏观地介绍了加密通信的实现原理和演进历史,其中 hash 算法、公、私钥的生成方法等有很多种实现形式,感兴趣的同学可以进一步研究。值得注意的是,虽然非对称加密是最理想的加密手段,但是实现复杂度较高,比较浪费系统资源。所以,现代 web 加密通信中,数据传输采用对称加密,而对称加密所使用的密钥是基于非对称加密 2.0 技术传输的,具体流程如下:

  客户端 向 web 服务器发起一个安全连接的请求服务器返回经过 CA 认证的数字证书,证书里面包含了服务器的 public key(注意:服务器的 public 可以,不是 CA 的 public key)客户端 拿到数字证书,用自己浏览器内置的 CA 证书(包含CA公钥)解密得到服务器的 public key客户端 用服务器的 public key 加密一个用于接下来的对称加密算法的密钥,传给 web 服务器(因为只有服务器有private key可以解密,所以不用担心中间人拦截这个加密的密钥)服务器拿到这个加密的密钥,解密获取密钥,再使用对称加密算法,和用户完成接下来的网络通信。

linjingyg
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
服务器加密机工作原理,服务器密码机
weixin_39852121的博客
07-30 1万+
服务器密码机是什么?即在密钥作用下,实现明文和密文的变换或者密文和明文变换的装置。随着技术的发展,在不同时期,密码机的组成原理和实现技术都不相同。一、服务器密码机作用服务器密码机可为各类应用提供非对称/对称数据加解密运算、完整性校验、真随机数生成、密钥生成和管理等服务,确保用户数据的机密性、真实性、完整性和有效性。密码机可以独立为应用系统提供高性能的数据加/解密服务,也可作为身份认证系统、密钥管...
HTTPS系列笔记记录(一):HTTPS 和SSL/TLS协议原理详解
_William_Cheung的博客
09-08 1566
前言: HTTPS(也称为HTTP over Transport Layer Security(TLS), HTTP over SSL,和HTTP Secure)是一种通过计算机网络进 行安全通信通信协议,广泛应用于互联网,比喻Google,百度......。简单的来说HTTPS是HTTP的升级安全版。 作用: HTTPS提供了与正在通信的网站和相关联的Web服务器的身份
客户端哈希加密(Javascript哈希加密,附源码)
Jasky2011的博客
10-08 476
摘要 我们很难想象用户在什么样的网络环境使用我们开发的应用,如果用户所处的网络环境不是一个可信任的环境,那么用户的账户安全就可能有威胁,比如用户登陆时提交的账号密码被网络嗅探器窃取;客户端加密数据能有效的防御网络嗅探器窃取数据,通过在客户端Javascript加密数据后再提交至服务端进行验证有效提高了系统的安全系数,这符合纵深防御原则和数据安全要素机密性;本文整理了两种常用的加密算法:...
客户端加密
LGGisKing的专栏
06-30 744
由于Android应用没有像web开发的session机制,所以采用PHPSESSID的方式,是没有办法获取客户端登录状态的。         这种情况下,如何在用户登录后,服务器端获取用户登录状态并保持,就必须采用一种“握手”的方式。         每个手机都有自己的IMEI号,那么能不能通过这个标识去做认证呢?         经过试验,答案是可以。         客户端在请求服
客户端加密
zhleiyang的专栏
12-20 1135
需要在客户端加密用户密码,完成自动登录的功能。 参照:http://blog.csdn.net/Cyanapple_wen/article/details/5417561            http://msdn.microsoft.com/en-us/library/system.security.cryptography.aspx
加密机工作原理_安检机的工作原理及注意事项
weixin_39621379的博客
12-08 258
  出门游玩、过节回家,在坐地铁、汽车、火车或飞机的时候,我们都需要经过安检这个流程。在过安检的时候,我们都会把行李放在输送带上,通过安检机在另一头出来。今天,小编就安检机的工作原理及注意事项来和大家浅说一下。  安检机的工作原理是:输送带把行李输送到安检机内部,通过X光透射照出行李内的基本物体形状,并通过颜色来区分物品是否具有危险性质,然后从安检机的另一头出来。  一般安检机上使用较多的是黑色P...
HTTPS加密协议的原理与实现
加密协议是计算机网络保证信息安全的重要手段,它通过对数据进行加密,确保数据在传输过程不会被窃取、篡改或监听,从而保护通信的隐私性和完整性。 ## 1.2 HTTP与HTTPS的区别与联系 在加密协议,HTTP是超...
HTTPS协议安全通信原理解析
在互联网的快速发展和普及下,人们越来越依赖于网络来进行各种通信和交流。然而,随着互联网的普及,网络通信面临着越来越多的安全威胁和攻击,如信息窃取、篡改、劫持等。这些安全威胁对用户的隐私和敏感信息的保护...
HTTP,HTTPS和HSTS详解
WhataNerd的博客
09-23 3574
参考资料: 《从HTTP到HTTPS再到HSTS》作者:又拍云 《计算机网络:自顶向下方法》(第四版)作者:(美)James F.Kurose, Keith W.Ross wikipedia:HTTP,HTTPS,HSTS 《一个故事讲完https》微信公众号:码农翻身 作者:刘欣 《HTTPS科普扫盲贴》作者:程序猿小卡 《你所不知道的 HSTS》作者:小胡子哥
SSL安全套接层协议简介及基本原理详解
它通过在浏览器和网站服务器之间创建加密链接来确保数据传输的安全性。 ## 1.2 SSL协议的作用和重要性 SSL协议的主要作用是确保在互联网上传输的数据经过加密,防止被恶意窃取或篡改。它可以有效保护用户的隐私...
客户端加密传输 后端解密
08-04
NULL 博文链接:https://hudeyong926.iteye.com/blog/1594892
客户端加密解密工具.zip
11-08
战斗牛客户端加解密工具,必须加解密才能使用,很多人需要吧.
三未信安服务器密码机技术白皮书
03-03
三未信安服务器密码机是由北京三未信安科技发展有限公司自主研发的高性能密码设备,能够适用于各类密码安全应用系统进行高速的、多任务并行处理的密码运算,可以满足应用系统数据的签名/验证、加密/解密的要求,保证传输信息的机密性、完整性和有效性,同时提供安全、完善的密钥管理机制。
一种客户端和后台的通信加密方式
findsafety的专栏
06-28 949
1、通过openssl产生RSA公钥和私钥文件; 2、将公钥存放在移动端;通过字符串的方式。服务端同时拥有公钥和私钥; 3、移动端产生一个随机字符串A(128位),作为AES加密的key;将报文json进行AES加密; 4、服务端并不知道A,因此需要将A传给服务器,否则服务端无法通过AES对JSON报文进行解密。但如果直接发送,A就会暴露,所以对A进行不可逆的RSA加密; 5、移动端发送AES加密...
网络加密机的工作原理是什么
最新发布
SafePloy_SH的博客
05-09 763
当需要传输数据时,网络加密机会将数据进行加密处理,使得数据在传输过程以密文的形式存在,从而防止数据被未经授权的人员获取和篡改。随着网络技术的迅速发展和全球化进程的加快,网络传输的数据量急剧增加,数据安全问题也随之成为了一个亟待解决的问题。安策信息技术(上海)有限公司,是一家专注数据安全领域的服务商,旨在帮助客户实现数据的按需加密和控制,经过20年的专注和方案创新,快速为客户提供按需加密和控制访问的安全能力。数据加密:网络加密机使用特定的加密算法对数据进行加密处理,生成密文。二、网络加密机的应用场景。
android(客户端)和PC(服务器端)通信RSA 加密解密
xiaoyezi_1的专栏
12-06 3848
android客户端代码: package com.suning.reminder.util; import java.io.BufferedReader; import java.io.ByteArrayOutputStream; import java.io.File; import java.io.FileInputStream; import java.io.FileReade
加密机是如何工作的_什么是加密,它如何工作?
09-06 5861
加密机是如何工作的Encryption has a long history dating back to when the ancient Greeks and Romans sent secret messages by substituting letters only decipherable with a secret key. Join us for a quick history l...
客户端加密方案
DC_Even的博客
10-17 784
iOS,一行代码进行RSA、DES 、AES、MD5加密、解密 http://www.cocoachina.com/ios/20160527/16480.html网络安全之数据加密(DES、AES、RSA、MD5) http://www.jianshu.com/p/98569e81cc0bhttp://blog.csdn.net/yi_zz32/article/details/50097325
openssl加密通信客户端代码
yellow的博客
07-06 927
#include <stdio.h> #include <string.h> #include <sys/socket.h> #include <resolv.h> #include <stdlib.h> #include <netinet/in.h> #include <arpa/inet.h> #include
ROS服务实战:服务器客户端创建详解
然后,通过`rosrun`命令启动服务服务器节点和客户端节点,开始服务通信。 7. 通信测试:服务客户端可以通过`rosservice call`命令调用服务,验证请求和响应是否正确执行。 总结来说,创建和运行ROS服务涉及到服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值