我们需要了解的https协议:https如何确保数据传输的安全?

最新推荐文章于 2023-12-31 22:17:36 发布
最新推荐文章于 2023-12-31 22:17:36 发布
阅读量964 收藏 1
点赞数 4
文章标签: http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40987010/article/details/104742999
版权

这段时间在家真是太闷了,新的笔记本也是最近才到,终于可以干活了,不过新的电脑还要下载软件环境、配置等等。趁着这等待的时间,我去学习了下https协议的知识,这里整理出来,和大家分享一下。

了解https到底是如何确保数据传输的安全,有助于我们更好的理解并解决开发中遇到的实际问题,同时也是面试时面试官经常会问到的一块知识。

在正式开始介绍前,我们需要先知道两个概念:对称加密和非对称加密;

对称加密就是只用一个密钥进行加密和解密。非对称加密则有两个密钥,分为公钥和私钥,一方用公钥进行加密,另一方用私钥进行解密。公钥一般存在浏览器,私钥存储在服务器。

对称加密因为双方都是用同一个密钥,所以解密效率会比较高,但安全性相对较低,而非对称加密则安全性会比前者要高很多,但效率也比对称加密要差很多。

有了上面两个概念,我们就可以开始了,首先抛出一个问题:https为确保数据传输的安全,使用的是非对称加密还是对称加密?

接着往下看,你就知道答案了。

首先,我们先来看看传统的http网络传输有什么问题?先来看一张图:
传统http协议传输流程

因为http是明文传输的,意味着我们的数据很容易被其他人监听并窃取的。另外,数据也容易被其他有心人篡改,导致浏览器与服务器收发的内容不一致,示意图如下所示:

明文传输是指:协议本身不提供对数据进行加密的功能。即使自己对数据进行加密,在传输时也是被当做明文来看。

也就是说使用http协议进行数据传输,至少存在数据被监听或数据被恶意篡改两种风险,因此,http协议是一种不安全的传输协议。

那解决方案当然就是使用https协议了,我们先尝试自己想想该怎么保障http数据的安全,进而一步步去理解为什么https协议能够保障数据的安全。

首先,http传输的数据不是容易被别人监听、篡改吗?那么我们只需要对数据进行加密不就好了?上面提到有两种加密的方式,应该用哪种方式呢?在网络上传输数据是非常讲究效率的,那当然是使用对称加密了。看看我们的示意图:
在这里插入图片描述

好了,这样就算有其他人监听或者篡改数据,数据不正确,浏览器在解密的时候也会知道。但现在又有一个问题了:浏览器如何与服务器商定好一个共同的密钥?并且不让窃听者知道?就算是浏览器随机生成一个,但也需要在首次请求时将密钥发送给服务器吧!如果是这样,那首次请求的时候仍然是一个明文传输,密钥还是有被他人窃取的风险。

那这怎么办?既然我们怕对称密钥被他人窃取,那我们再给这个密钥进行非对称加密不就好了!?浏览器用公钥进行加密,服务器再用私钥进行解密,服务器就可以得到对称密钥了,示意图如下:
在这里插入图片描述

而且我们只需要在浏览器第一次与服务器商定密钥时进行一次非对称加密,一旦服务器接收到浏览器随机生成的密钥,双方就可以使用对称加密来通信了,效率不会受到影响。

这确实是个非常好的解决方案,但到现在,数据安全就真的得到保障了吗?还没有,我们还忽略了一个问题:浏览器又是如何知道服务器的公钥 ?虽然公钥属于一个公开的数据,不怕被人监听,但这玩意被人篡改了怎么办?如果浏览器用假的公钥对数据进行加密,那窃听者就可以假的私钥进行解密,数据依然不安全。示意图如下:
在这里插入图片描述

也就是说只要我们是从网上得到的服务器公钥,都会有被他人篡改的风险。

这时候就要引入一个机构:证书授权中心,也就CA机构;

CA机构专门给各个服务器网站授权数字证书,以确保浏览器获得的网站公钥是合法正确的。那CA机构又是如何完成这繁琐的工作的呢?我们一步步看。

首先,网站先把自己的公钥、网站域名等信息提交给CA机构,CA机构再利用网站的公钥、域名等信息,制作证书。最后会用CA机构自己的私钥对证书进行加密,形成一个数字证书,并将加密后的证书文件发送给网站服务器,网站再把证书配置到服务器上。

当有浏览器访问我们网站时,网站会先把证书文件发送给浏览器,浏览器在用CA机构的公钥对证书进行解密就可以得到网站的公钥了。

这时我们学聪明了,立马又认识到一个问题:CA机构的公钥从而来?

这个很简单,虽然世界上的网站有千千万,但合法的CA机构又有几家呢?一般来说,厂家都会把世界上的CA机构的公钥内置在操作系统中,当浏览器需要解密CA证书时,再遍历操作系统的公钥,只要其中一个公钥能够正确解密,这个证书就是合法的。浏览器解密CA证书成功后,便会显示如下界面:

image-20200305153100453

好啦,网站的公钥我们也能安全的得到了,但你说,万一窃听者也去申请了合法的CA证书,然后用这个证书替换了网站发往浏览器的证书,那浏览器得到的不就是窃听者网站的公钥了吗?

小伙子真是越来越聪明了,不过这个问题事实上已经被CA机构解决了。还记得CA证书里面包含的信息吗?网站的域名也是证书的一部分。当浏览器解密CA证书后发现网站的域名不正确,此时浏览器仍然会显示异常的界面,示意图如下所示:
在这里插入图片描述

异常界面像这样:
在这里插入图片描述

问题解决到现在,网络传输终于足够安全了,这其实也是https协议的工作原理。

我们开头说的问题:https为确保数据传输的安全,使用的是非对称加密还是对称加密?答案也显而易见了,是用非对称加密和对称加密相结合的方式。

兄dei,如果觉得我写的还不错,麻烦帮个忙呗 😃
  1. 给俺点个赞被,激励激励我,同时也能让这篇文章让更多人看见,(#.#)
  2. 不用点收藏,诶别点啊,你怎么点了?这多不好意思!

拜托拜托,谢谢各位同学!

古嘉明同学
关注
基于树莓派的智能家居系统(二十九)——https介绍
weixin_51332399的博客
06-18 95
http协议明文传输的,因此很容易被截取和解析,泄漏个人数据。https协议是在http和tcp之间多添加了一层,进行身份验证和数据加密。
什么是安全超文本传输协议HTTPS)?
简介
01-05 980
了解HTTPS
HTTPS是怎么保证安全传输的?
wanghao的博客
04-02 251
安全传输要解决什么问题? 1.窃听问题 A与B传输明文过程中,能被中间人获取到传输的内容 2.篡改风险 A与B传输明文过程中,中间人修改了内容再传输给B 3.冒充风险 A与B传输明文过程中,中间人拦截内容,修改后传给B,B传输给A内容时,修改后再传给A,此时,中间人已经冒充为B,A以为在与B通信,其实是在与中间人通信 如何解决上述问题? 要解决明文传输的问题,要先了解两种加密方式 1.对称加密 双方商量好一个密钥,传输的之前对内容进行加密,收到内容后先解密后再使用 2.非对称加密 非对称加密即加解密双方使用
小心!网购支付页面前缀应是https不是http!三大区别总结!
cky8792的博客
11-09 457
背景: 谷歌在 2018年,2月9日宣布从今年7月起,Chrome浏览器将在地址栏把所有HTTP网址标示为不安全网站。 谷歌早在 2017年1月发布的Chrome ...
HTTPHTTPS的基本概念及其区别
Alexlee1986的专栏
07-14 914
      HTTP协议被广泛应用于Web浏览器和网站服务器之间传递信息HTTP协议明文方式发送内容,不提供任何方式的数据加密,如果攻击者截取了Web浏览器和网站服务器之间的传输报文,就可以直接读懂其中的信息,因此,HTTP协议不适合传输一些敏感信息,比如:信用卡号、密码等支付信息。  为了解HTTP协议的这一缺陷,需要使用另一种协议安全超文本传输协议HTTPS。为了数据传输安全,HTT...
HTTPHTTPS及其相关问题
weixin_54575205的博客
09-24 1665
超文本传输协议HTTP HTTPS HTTPHTTPS相关问题 HTTP的请求流程 输入URL后到页面响应的整个过程发生了什么 HTTP报文格式 HTTP请求方法有那些 HTTP请求方法中POST和GET的区别 HTTP请求头中有那些常见键值对 HTTP报文中空行的作用 HTTP响应的状态码有哪些,挑常见的说一下 HTTPHTTPS的区别 SSL/TLS加密协议 对称加密:数据加密解密使用同一份密钥 非对称加密:数据加密使用公钥,解密使用私钥 非对称加密安全吗?,为什么?解决方法?
https是什么意思?(安全超文本传输协议)
10-01
HTTPS,全称为“Hypertext Transfer Protocol over Secure Socket Layer”,即安全超文本传输协议,是在HTTP(超文本传输协议)的基础上增加了SSL(Secure Socket Layer)或TLS(Transport Layer Security)安全协议...
揭秘HTTPHTTPS:保障安全的网页传输协议之争
最新发布
凛鼕将至的博客
12-31 1034
在当今信息时代,人们对于数据安全的需求越来越迫切。而在网页传输中,HTTP(Hypertext Transfer Protocol)和HTTPS(Hypertext Transfer Protocol Secure)作为两种主要的传输协议,也引发了保障安全的网页传输协议之争。HTTP是一种基于文本的协议,用于在Web浏览器和Web服务器之间传输数据。然而,它的不安全性使得数据容易被窃取和篡改。为了解决这个问题,HTTPS应运而生。
Spring Boot进阶(44):如何为你的项目开启HTTPS协议加密传输,让你的网站更加安全
**My Coding Family**
09-06 2232
如何项目上配置以HTTPS协议访问?这你必须会啊!
DataTransmissionProtocol-Enhanced:我的基本数据传输协议项目的增强版
03-27
信息技术领域,数据传输是核心环节之一,而数据传输协议则是确保数据准确、高效、可靠传输的关键。本项目"DataTransmissionProtocol-Enhanced"是对基础数据传输协议的增强版,主要针对C++编程语言进行设计和实现,...
网络协议 HTTPS
qq_43853213的博客
04-04 2836
首先介绍HTTP的缺点 明文传输,内容会被窃听 没有验证对方的身份,可能遭遇伪装 无法证明报文的完整性, 可能被篡改 通信加密防止被窃听 HTTP协议中是没有加密的机制的 可以通过HTTP和 SSL 或者 TLS组合使用加密通信 SSL 或者 TLS 都是属于传输层的 SSL 是 TLS的前身,主流使用的就是 TLS 内容的加密 用于对HTTP报文的内容进行加密的方式 该方式不同于 SSL或 TLS 将整个通信线路加密 处理,所以内容仍有被篡改的风险 不验证通信方的身份可以遭遇伪装 HTTP请求
https是如何保证数据传输安全
热门推荐
jasonjwl的专栏
03-26 2万+
为什么需要https HTTP明文传输的,也就意味着,介于发送端、接收端中间的任意节点都可以知道你们传输的内容是什么。这些节点可能是路由器、代理等。 举个最常见的例子,用户登陆。用户输入账号,密码,采用HTTP的话,只要在代理服务器上做点手脚就可以拿到你的密码了。 用户登陆 --> 代理服务器(做手脚)--> 实际授权服务器 在发送端对密码进行加密?没用的,虽然别人不知道你原始密码是多少
计算机网络学习笔记四、httphttps
菜到不敢run
04-03 945
httphttps 1. http状态码 1 - 信息。服务器收到请求,请继续执行请求 2 - 成功。请求被成功接收并处理 3 - 重定向。 需要进一步操作来完成请求 4 - 客户端错误。 无法完成请求,或请求包含语法错误 5 - 服务端错误。服务器在处理请求的过程中发生错误 1.1. 常见状态码 200:请求成功 304:自从上次请求后,请求的网页未修改过 400:语义有误 404:请求失败,服务器上未发现请求资源 500: 服务器遇到了一个未曾预料的状况 2. http1.0, http 2.
HTTPS传输过程
crazy_xieyi的博客
09-17 7191
HTTPS传输过程: 1.客户端先从服务器获取到证书,证书中包含了公钥。 2.客户端对证书进行校验。 3.客户端生成一个对称秘钥,使用公钥对对称秘钥加密并发送给服务器。 4.服务器收到这个请求之后,使用私钥解密,得到对称秘钥。 5.客户端发出后续请求,后续请求都是用对称秘钥加密。 6.服务器收到的数据也是用对称秘钥进行解密。
明文传输漏洞
LuckySec
11-01 2631
由于网站在用户提交的敏感数据到服务器的过程中未进行相关加密处理,导致攻击者可以通过中间人攻击(劫持、嗅探)等方式获取到这些未加密的敏感数据。当攻击者获取到这些数据之后,可能利用这些信息以合法用户的身份登录系统,一旦进入到应用系统中那么就可以获取更多的敏感数据,以及有机会发现更多的漏洞。
Https网络安全传输详解
踩踩踩从踩的博客
11-01 7484
前言 本篇文章会主要介绍网络中数据安全传输,加密算法,Https如何保证数据传输安全,SSL证书解析,CA认证流程,OpenSSL,Nginx中实现高性能Https。 数据加密技术 加密算法之对称加密(AES加密) 及在jdk中应用_踩踩踩从踩的博客-CSDN博客_jdk对称加密 加密算法之安全hash算法、RSA非对称加密算法分析_踩踩踩从踩的博客-CSDN博客 都是从原理上去分析几个加密技术,包括对称加密、一致性hash算法、非对称加密。 Http安全性能 HTTP HTTP协议,即超
HTTPS安全了?HTTPS 会被抓包吗?
Java技术栈,分享最主流的Java技术
07-22 641
Java技术栈www.javastack.cn关注阅读更多优质文章本文来自leapMie 的博客:https://blog.leapmie.com/archives/418/随着 HT...
彻底搞懂HTTPS的加密机制
weixin_33963594的博客
09-05 1791
HTTPS(SSL/TLS)的加密机制虽然是个前端后端ios安卓等都应了解的基本问题,但网上的很多HTTPS相关文章也总会忽略一些内容,我学习它的时候也废了挺大功夫。对称加密、非对称加密、数字签名、数字证书等等,在学习过程中,除了了解“它是什么”,你是否有想过“为什么是它”?我认为理解了后者才真正理解了HTTPS的加密机制。本文以问题的形式逐步展开,一步步解开HTTPS的面纱,希望能帮助你彻底搞懂...
HTTPS详解
qq_38644495的博客
05-14 1745
每篇文章都希望你能收获到东西,这篇将带你深入 HTTPS 加解密原理,希望看完能够有这些收获: 明白 HTTPS 到底解决了什么问题 理解对称加密与非对称加密的原理和使用场景 明白 CA 机构和根证书到底起了什么作用 Why HTTPS 近几年来,各大公司都在大力推进 HTTPS 的建设。Google Chrome将非 HTTPS 的网站标注为「不安全」,苹果要求 APP 中需要使用HTTPS进行通信,微信小程序也要求使用HTTPS协议。那么,我们为什么非要做这么一件事呢? 我们先来看看H
揭秘HTTPS安全原理:从证书验证到数据传输
非对称加密用于证书验证阶段,确保服务器的身份验证,而对称加密用于数据传输阶段,保护数据的传输安全。 **HTTPS的实现原理** HTTPS的实现原理可以分为两个阶段:证书验证阶段和数据传输阶段。 **证书验证阶段**...
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值