趣谈网络协议-应用层(HTTPS协议)

已于 2022-01-30 16:48:37 修改
阅读量3.2k 收藏
点赞数
分类专栏: 计算机网络 文章标签: https http 安全
于 2022-01-26 13:06:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38360229/article/details/122698685
版权

一、加密方式

1. 概述

一般加密思路:对称加密/非对称加密。对称加密使用的密钥和解密使用的密钥是相同的;非对称是不同的,分为公钥和私钥,公钥加密私钥才能解开,私钥加密公钥才能解开

2. 对称加密

加密流程:客户端和服务端约定一个密钥,发送请求时使用密钥加密;接收时使用密钥解密

问题:客户端与服务端如何约定密钥。

  • 若在网上传输密钥,可能会被黑客截取;
  • 线下传输密钥,由于客户端过多,不现实

3. 非对称加密

加密流程:

  1. 服务端将非对称密钥放在网站中,不在网络上传输,但是对应的公钥,可以在互联网上随意传播
  2. 客户端接收到服务端的公钥,可以使用公钥加密,传输数据

问题:

  • 由于公钥是公开的,攻击者可以解密服务端传输给客户端的数据
  • 解决方法:客户端需要有自己的公钥和私钥,客户端将公钥传输给服务端,在服务端向客户端传输数据时,使用客户端公钥加密

4. 数字证书

a. 非对称加密的问题

非对称加密的问题:

  • 如何将非对称加密公钥传给对方
  • 方法:放在公网地址上供下载;建立连接时,传送给对方

公钥传输的问题:如何鉴别公钥是对的,而不是攻击者伪造一个公钥,用以拦截数据

创建公/私钥指令:

openssl genrsa -out cliu8siteprivate.key 1024  // 创建私钥
openssl rsa -in cliu8siteprivate.key -pubout -out cliu8sitepublic.pem  // 创建公钥

b. 证书

证书组成:公钥、证书所有者、证书发布机构、证书有效期

生成证书的流程:

  • 发起证书请求,将申请者公钥、申请者相关信息发给权威机构认证(CA)
openssl req -key cliu8siteprivate.key -new -out cliu8sitecertificate.req
  • 权威机构会对公钥以及相关信息做HASH计算,得到HASH值,该计算过程不可逆。在把信息发送出去时,把HASH值加密,作为签名的一部分一起发出去
openssl x509 -req -in cliu8sitecertificate.req -CA cacertificate.pem -CAkey caprivate.key -out cliu8sitecertificate.pem
  •  CA用自己的私钥给请求签名的公钥签名,相当于给公钥拥有者背书

验证公钥真实性的流程:

  1. 客户端不会从服务端获取公钥,而是获取证书,证书有发布机构CA
  2. 客户端获取发CA的公钥,解密服务端证书的签名。解密成功,HASH与明文信息的HASH值一致,则说明服务端证书没有问题

CA的问题:

  • 如何验证CA 的公钥的正确性
  • 解决方法:CA的公钥由上级CA签名,层层授信背书,直到全球皆知的几个著名大 CA(root CA);Self-Signed Certificate,自签名

二、HTTPS的工作模式

HTTPS加密思路:公钥私钥主要用于传输对称加密的秘钥,而真正的双方大数据量的通信都是通过对称加密进行的

HTTPS通讯流程:

  1. 客户端发送client hello报文,报文中包含TLS 版本信息、加密方式、随机数等
  2. 服务端接收到客户端报文后,发送Server Hello报文,报文包含加密套路和随机数等信息
  3. 服务端发送Certificate报文,报文中为包含服务端公钥的CA证书
  4. 服务端发送Server Hello Done报文
  5. 客户端接收到Server hello done报文后,在CA仓库中找到对应的CA公钥(此过程可能会涉及到递归查询父CA机构),解密CA证书,计算HASH值以校验证书是否被篡改。若校验通过,证明证书可信,即可取出服务端公钥进行使用
  6. 客户端使用算法随机生成Pre-master Secret,并将其放入Client Key Exchange报文中,用证书中的公钥加密,再发送给服务器
  7. 服务端使用私钥解密客户端的Client Key Exchange报文,获取Pre-master Secret,此时,客户端和服务端都要三个随机数(客户端client hello/服务端client hello/客户端pre-master获取到的随机数),由此计算出对称密钥
  8. 客户端发送Change Cipher Spec报文,之后Encrypted Handshake Message,将已经商定好的参数等,采用协商密钥进行加密,发送给服务器用于数据与握手验证
  9. 服务端接收到客户端的报文后,发送Change Cipher Spec报文,并且也发送 Encrypted Handshake Message。
  10. 双方握手结束后,客户端和服务端即可使用对称密钥对传输的数据进行加密,后续传输流程与HTTP相似

注意:HTTPS可以使用单向认证(客户端验证服务端CA证书),也可以开启双向验证(客户端和服务器端均验证对方CA证书)

三、重放和篡改

HTTPS问题:

重放:截获报文,将报文重发N次

解决方法:Timestamp 和 Nonce 随机数联合起来,然后做一个不可逆的签名来保证。将Nonce作为唯一键(或Nonce+Timestamp),若有重复则丢弃

篡改:攻击者篡改Timestamp 和 Nonce

解决方法:使用签名算法保证Timestamp 和 Nonce不可篡改,若报文校验到被篡改,直接丢弃

zzh_404_not_found
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
014-趣谈网络协议014-趣谈网络协议
05-04
014-趣谈网络协议014-趣谈网络协议014-趣谈网络协议
Openssl如何生成并验证公秘钥对
刘超的通俗云计算
08-24 786
在没有PKI,也即Public Key Instrastructure的时候,用的是对称加密,也即双方持有同一个秘钥,用同一个秘钥进行加密和解密。这种方式表面上看没有问题,但是仔细一想,共...
使用OpenSSL生成私钥(Private Key)以及根据Private Key创建证书
热门推荐
冯立彬的博客
02-25 5万+
公钥和私钥通常是成对出现的,有了公钥那就存在对应的私钥,通常OpenSSL,公钥是很容易从私钥中得到的,因而我们要创建证书,那我们首先要做的就是创建私钥。 1、使用OpenSSL生成私钥 常用的生成算法有RSA及DSA,RSA生成的私钥可以用来加密以及签名,而DSA生成的私钥只可以用来签名 1.1)、RSA算法生成key的示例  openssl genrsa -des3 -out
HTTPS协议加密原理解析
weixin_30457881的博客
01-31 147
HTTP 协议,看个新闻还没有问题,但是换到更加严肃的场景中,就存在很多的安全风险。例如你要下单做一次支付,如果还是使用普通的 HTTP 协议,那你很可能会被黑客盯上。 比如,你发送一个请求,说我要点个外卖,但是这个网络包被截获了,于是在服务器回复你之前,黑客先假装自己就是外卖网站,然后给你回复一个假的消息说:“好啊好啊,来来来,银行卡号、密码拿来。”如果这时候你真把银行卡密码发给它,那你就...
使用OpenSSL生成RSA公钥和私钥
殇神马的博客
09-18 1万+
Windows 下使用OpenSSL生成RSA公钥和私钥(1)下载OpenSSL (2)打开OpenSSL文件夹下的bin目录,点击openssl.exe,打开命令窗口。(3)开始生成RSA的私钥 输入命令:genrsa -out rsa_private_key.pem 1024genrsa -out rsa_private_key.pem 1024此时在OpenSSL的bin目录下生成了一个rs
趣谈网络协议-应用层(P2P协议)
qq_38360229的博客
02-04 3746
一、概述 二、FTP 三、P2P 1. 概述 2. 种子(.torrent)文件 3. 去中心化网络 4. 哈希值 5. DHT 网络中的朋友圈是怎么维护的 6.DHT 网络是如何查找朋友的
趣谈网络协议-应用层(流媒体协议)
qq_38360229的博客
01-30 3360
一、概述 1. 名词定义 2. 视频和图片的压缩的特点 3. 视频编码 二、流媒体数据传输 1. 流媒体传输流程 2. 编码 3. 推流 4.拉流
趣谈网络协议-应用层协议
hixiaoxiaoniao的专栏
07-06 529
....
趣谈网络协议-应用层篇(HTTP)
qq_38360229的博客
01-16 118
一、HTTP请求的准备 二、HTTP请求的构建 三、HTTP返回的构建 四、HTTP2.0 五、QUIC协议
趣谈网络协议-数据中心
qq_38360229的博客
02-09 2397
一、DNS协议 1. DNS 服务器 2. DNS 解析流程 3. 负载均衡 4. 示例:DNS 访问数据中心中对象存储上的静态资源 二、HttpDNS 1. 传统 DNS 的问题 2. HttpDNS 的工作模式 3. HttpDNS 的缓存设计 4. HttpDNS 的调度设计 三、CDN 四、数据中心 五、VPN 六、移动网络 ...
计算机网络技术基础-趣谈网络协议.md
01-06
计算机网络技术基础-趣谈网络协议.md
05-趣谈网络协议.epub
11-16
05-趣谈网络协议
趣谈网络协议 pdf .zip
04-13
15HTTPS协议 16流媒体协议 17P2P协议 18DNS协议 19HTTPDNS 20CDN 21数据中心 23移动网络 24云中网络 25软件定义网络 26云中的网络安全 27云中的网络Qo 28云中网络的隔离GRE、VXLAN 29容器网络 30容器网络之Flannel ...
网络协议.pdf
07-28
网络协议本文档主要是对各种网络协议做了说明
网络:HTTPS的加密
li209779的博客
05-18 1062
本文是对于https加密的知识总结以上就是我对于HTTPS的知识总结。
企业为什么需要HTTPS
dexunxiaoqian的博客
05-13 972
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPSHTTP 的基础下加入SSL,HTTPS安全基础是 SSL,因此加密的详细内容就需要 SSL。HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP之间)。这个系统提供了身份验证与加密通讯方法。什么意思呢?
HTTPS是什么?为什么现代网站需要HTTPS?| 互联网小科普
最新发布
Mintimate的CSDN博客
05-18 632
你会发现网址边上,有时候会有一个锁的标志:看上去,似乎是提醒你,某些东西已经被加密。其实就是HTTPS。为什么现在的网站都使用了HTTPS呢?
前端项目映射Https域名(花生壳)
cnsv的博客
05-16 211
前端项目映射Https域名
趣谈网络协议pdf下载
07-25
趣谈网络协议是一本介绍网络协议的有趣读物,可以以轻松、幽默的方式解释复杂的网络协议概念和原理。这本书通常以PDF格式提供下载,方便读者在任何设备上阅读。 下载这本书的PDF版本,可以享受以下好处: 首先,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值