HTTPS加密流程

最新推荐文章于 2024-10-16 20:12:08 发布
最新推荐文章于 2024-10-16 20:12:08 发布
阅读量127 收藏
点赞数
分类专栏: Javaee 文章标签: https 网络协议 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73594607/article/details/133388008
版权

文章目录

HTTPS

HTTPS就是在HTTP基础上进行了一层加密. 目的是防止运营商劫持.

明文 + 密钥 => 密文

密文 + 密钥 => 明文

有的场景加密和解密使用的是相同的密钥, 称为"对称加密".

有的场景加密和解密使用的是不同的密钥, 称为"非对称加密".

什么是不同的密钥?

生成一对密钥分别称为"公钥"和"私钥", 就可以使用公钥来加密, 私钥来解密; 也可以使用私钥来加密, 公钥解密.

工作过程

加密的方式有很多, 但是整体可以分成两大类: 对称加密非对称加密

对称加密

最简单的保证安全的做法就是引入对称密钥, 针对传输的数据(HTTP的header和body)进行加密.

在这里插入图片描述

引入对称加密之后, 即使数据被截获, 由于黑客不知道密钥是啥, 因此就无法进行解密, 也就不知道请求的真实内容是啥了.

服务器同一时刻其实是给很多客户端提供服务的. 这么多客户端, 每个人用的秘钥都必须是不同的(如果是相同那密钥就太容易扩散了, 黑客就也能拿到了). 因此服务器就需要维护每个客户端和每个密钥之间的关联关系

比较理想的做法, 就是能在客户端和服务器建立连接的时候, 双方协商确定这次的密钥是什么.

但是如果直接把密钥明文传输, 那么黑客也就能获得密钥了, 此时后续的加密操作就形同虚设了.

因此密钥的传输也必须加密传输!

此时如果使用对称加密 针对刚才的对称密钥 进行加密, 那这个新的对称密钥又会明文传输, 还是不安全 所以还是得加密…这就形成一个循环了.

怎么解决这样的问题呢?

就需要引入非对称加密

非对称加密

在这里插入图片描述

  • 服务器生成一对密钥, 公钥和私钥. 私钥自己使用, 公钥发给客户端.

  • 客户端获取到公钥, 就可以使用公钥加密对称密钥了

    • 此对称密钥是客户端自己生成的

  • 即使黑客拿到了公钥, 他也不知道私钥, 也无法解密, 无法知道对称密钥. 因为使用公钥加密就必须用私钥解密.

  • 服务器知道了对称密钥之后, 以后客户端和服务器之间就可以通过对称密钥进行通信了

⚠此处使用非对称密钥只是用来针对对称密钥进行加密, 而不会加密http的header和body, 后续数据的加密还是使用对称加密的. 因为非对称加密运算量很大, 效率比较低, 对称加密运算量小, 效率更高.

这样就有效进行加密了.

但是上述过程还存在一个严重的问题->中间人攻击

黑客通过中间人攻击的方式仍然能够拿到对称密钥.

什么是中间人攻击? 举个具体的例子

首先服务器生成了一对公钥私钥, 设为pub1和pri1, 然后将pub1传输给客户端.

传输的过程中, 经过了黑客的设备, 黑客自己生成了一对pub2和pri2, 将pub2传输给客户端.

客户端以为pub2是服务器发来的, 就直接使用pub2加密对称密钥, 然后把密文传回给服务器

黑客就可以使用pri2将密文解密, 得到了对称密钥. 然后再使用pub1对对称密钥进行加密, 然后继续把新密文传输给服务器.

服务器使用pri解密, 拿到对称密钥. 服务器以为这个数据是客户端传输的, 因此后续就是用此对称密钥进行交流了.

如何破解中间人攻击?

让客户端能确认收到的公钥是服务器返回的而不是黑客伪造的.

那就需要引入证书机制

需要有一个第三方的认证机构, 通过第三方机构作保, 来确认当前的公钥是有效的.

证书机制

服务器如果像提供服务, 就得先去第三方机构申请证书, 第三方机构就会审核这个服务器的资质, 审核通过就可以颁发证书.

在这个证书里就会包含很多属性. 比如网站的域名, 证书过期时间, 公钥, 数字签名…

  • 公钥: 申请证书的时候, 就会把公钥发给机构
  • 数字签名: 针对上述数据进行的一个验证的机制. 公证机构在生成证书的时候, 会先针对其他的属性生成校验和. 公证机构还会使用自己的私钥针对上述的校验和进行加密. 加密后就形成了数字签名.

客户端向服务器发出建立连接的请求后, 服务器返回证书(结构化的字符串).

客户端拿到证书之后, 就会对证书进行验证.

  • 判定证书的有效期是否过期

  • 判定证书的发布机构是否受信任(操作系统中已内置的受信任的证书发布机构).

  • 验证证书是否被篡改: 使用公钥对数字签名进行解密, 得到了明文, 接下来, 客户端就会按照同样的算法再算一次校验和, 和证书中解密出来的校验和对比. 看看有 没有被黑客篡改.

    • 第三方机构还有公钥, 会分发给其他的各种设备. 不是通过网络传输的, 而是直接使系统内置的. 客户端安装了windows系统, 系统里就会内置各种知名公正机构的公钥. 因此黑客就没法对这个环节进行攻击.

其实到了这一步, 黑客仍然有办法, 它可以把自己伪装成认证机构, 骗客户端安装自己的公钥, 此时就可以光明正大的替换掉数字签名.

公钥不仅仅可以是内置的, 还可以下载安装.

fiddler能够抓包, 本质上就是安装了fiddler的公钥, 让fiddler成为了一个认证机构, 因此fiddler就可以对浏览器传输的数据进行合法的中间人攻击了.

是布谷阿
关注
专栏目录
HTTPS加密流程总结
沐北的博客
01-20 1039
HTTPS加密流程一. HTTPS二级目录三级目录 一. HTTPS HTTPS 也是一个应用层协议,是在 HTTP 协议的基础上引入了一个加密层(SSL/TLS),HTTP 协议内容都是按照文本的方式明文传输的. 这就导致在传输过程中出现一些被篡改的情况,因此HTTPS是要比HTTPS更安全的,现在大部分网站采取的也都是HTTPS协议。 二级目录 三级目录 ...
HTTPS加密流程
weixin_49817511的博客
05-27 1619
HTTPS 工作过程中涉及到的密钥有三组。第一组(非对称加密): 用于校验证书是否被篡改。第二组(非对称加密): 用于协商生成对称加密的密钥。第三组(对称加密): 客户端和服务器后续传输的数据都通过这个对称密钥加密解密。HTTPS是当前互联网上广泛使用的安全通信协议,对于保护用户隐私和数据安全至关重要。
总结 HTTPS加密流程
weixin_73775528的博客
05-21 882
http是为了解决http存在的问题而在http基础上加入了SSL/TSL,在HTTP/2中TCP三次握手后会进入SSL/TSL握手,当SSL/TSL建立链接后,才会进行报文的传输。
HTTPS加密流程
weixin_64597430的博客
03-12 2712
HTTPS协议就是在HTTP协议之上加上了一个SSL协议,将原来的明文传输转化为密文传输,使信息在传输时候的安全性大大提高。接下来我将介绍一下HTTPS加密流程
HTTPS加密流程详解
weixin_64182409的博客
05-20 977
HTTPS加密流程详解
计算机网络——HTTPS加密流程
xh1605004242的博客
07-06 4329
HTTPS加密流程
https加密流程
zhanlongsiqu的博客
10-28 1136
如果黑客截获到证书后计算出证书中除数字签名之外的内容的校验和,然后用自己的私钥对校验和进行加密得到自己的数字签名替换掉证书中的数字签名,这时这个证书发送给客户端的时候客户端就无法使用公证机构的公钥对数字签名进行解密然后拿到证书的校验和了。所以要对用于对称加密的密钥(下面简称对称密钥)进行加密,而对对称密钥加密又要在网络上传输一个新的对称密钥,如此往复循环下去,最终还是有对称密钥泄漏的风险,所以仅用对称加密的方式进行加密是行不通的,由此在对称加密的基础上引入非对称加密。那么如何解决中间人攻击问题呢?
HTTPS加密流程(你值得拥有)
热门推荐
weixin_49830664的博客
01-17 1万+
HTTPS 文章目录HTTPS什么是HTTPS什么是‘加密加密的方式有哪些对称加密非对称加密总结HTTPS传输过程 什么是HTTPS HTTPSHTTP一样都是应用层协议,与HTTP不同的是:HTTP的协议内容都是按照文本方式进行明文传输的,这导致在传输过程第三方者能够轻易获取传输的内容,而HTTPSHTTP协议基础上引入一个加密以防止传输内容泄露或被篡改。 什么是‘加密加密就是指将明文(要传输的信息)按照指定的方式进行变换,生成密文。 解密就是指将密文按照指定的方式进行变换,还原成为明文。 在加
深入了解HTTPS加密机制和加密流程
mangomango123的博客
11-21 1431
深入了解HTTPS加密机制和加密流程
Https加密流程以及原理(通俗易通并附图)
lvzishen123的博客
02-03 552
1.定义 HTTP over SSL 的简称,即工作在 SSL(安全套接字层) 或TLS(SSL的升级版)上的 HTTP。说白了就是加密通信的HTTP。 一定注意HTTPS不是协议。   2.工作原理  在客户端和服务器之间协商出一套对称密钥,每次发送信息之前将内容加密,收到之后解密,达到内容的加密传输。 加密解密数据用的对称加密,传输Pre master serc...
(网络)应用层:https协议解析 (https加密流程,详细图解)
Monster的博客
03-31 1365
这次我们来学习https协议,来看看他如何提高安全性的。 文章目录https协议简介身份验证加密传输对称加密非对称加密混合加密 https协议简介 我们知道http是一个字符串明文协议,通信容易被监听劫持,使用起来不安全,因此我们就像加密来提高安全性。 于是https协议诞生了。 https协议并不是一个新的协议,而是加密后的http协议,这里是s指的是ssl(Secure Sockets Layer 安全套接字协议) 那么https加密流程是什么呢?我们接着说。 https加密流程主要分为两个方.
HTTPS加密过程详解
Emperor10的博客
03-03 5274
文章目录HTTPS协议加密的相关概念HTTPS工作过程对称加密非对称加密中间人攻击引入证书机制 HTTPS协议 HTTPS协议也是应用层的一种网络协议,与HTPP协议报文格式都一样,仅在HTTP协议的基础上,引入了加密层。由于HTTP协议内容的明文传输,导致其传输过程十分不安全,所以加密HTTPS可以简单理解为HTTP的安全版。 明文传输时非常不安全的操作,可能会面临运营商劫持篡改信息以及黑客劫持窃取用户隐私等隐患。HTTPS就是在HTTP的基础上进行了加密操作,进一步保障用户信息的安全性。 加密的相
ACME自动申请免费的通配符https域名证书
最新发布
HBLOG
10-16 668
执行该命令后,命令中的参数将自动保存在~/.acme.sh/example.com目录下的example.com.conf文件里,定时器更新证书的时候实现自动部署。但要注意的是,reloadcmd参数非常重要(reloadcmd后面的参数为重新加载nginx或Apache的命令,可以根据系统的不同作相应修改),即使更新了证书,但是nginx或apache没有重新加载,证书是不是会刷新到服务中去的。证书申请成功后,默认保存在“~/.acme.sh/example.com”目录下。给刚刚创建的子账号添加权限。
【wpf】06 HTTP/HTTPS请求的相关设计
kewaqi618的博客
10-16 723
这篇文章主要记录在用wpf开发应用程序从服务器端获取数据之前的准备工作。
java-实现一个简单的httpserver-0.6.0
随笔
10-12 334
java-实现一个简单的httpserver-0.5.0
wireshark 解密浏览器https数据包
杰克东的专栏
10-16 326
1、ssl-key-log-file定义在services\network\public\cpp\network_switches.cc2、环境变量SSLKEYLOGFILE} else {#else#endif总结:优先取--ssl-key-log-file 再取SSLKEYLOGFILE环境变量值。
java关于如何实现读取各种类型的文件核心属性方法,比如获取标题和作者、主题等;附带远程的https的地址文件读取方法;
qq_45130645的博客
10-16 116
关于实现pdf和xlsx等文件的加载和读取内容;带远程的https的地址文件读取方法;
Ingress-nginx中HTTPS的强制转发
40kuai的博客
10-16 148
参考:https://kubernetes.github.io/ingress-nginx/user-guide/nginx-configuration/annotations/#server-side-https-enforcement-through-redirect。到这里可以看到 配置是没有问题的, 80端口的流量确实是指到了tohttp端口(2443),但这个端口又是什么端口呢。为什么会有这样一个设定呢。这里可以看出,对于2443端口,是强制对访问做了https跳转。
HTTPS中TLS加密流程
05-11
TLS加密流程如下: 1. 客户端向服务器发送一个连接请求。 2. 服务器将自己的公钥证书发送给客户端。 3. 客户端验证服务器的证书,如果证书有效则生成一个随机数,称为预主密钥。 4. 客户端使用服务器的公钥对预...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

是布谷阿

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值