HTTPS加密过程详解

最新推荐文章于 2024-09-25 16:07:24 发布
最新推荐文章于 2024-09-25 16:07:24 发布
阅读量234 收藏
点赞数
分类专栏: 计网学习笔记 文章标签: https http 计算机网络
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_43461215/article/details/116861220
版权

HTTPS加密过程详解

对称加密

也就是说,通信双方拥有同样的密钥,那么在通信开始前必须要先让双方知晓该密钥。在密钥传输过程中密钥本身就有被盗的风险。但如果浏览器内部本来就预存了网站A的密钥,但这样的话由于世界上的网站太多了,不现实。

非对称加密

简单而言,就是通信双方一人一把钥匙。分别叫做公钥和私钥。公钥、私钥加密的内容必须要私钥、公钥才能打开。

第一种思路

服务器先以明文方式把公钥传给浏览器,之后浏览器使用该公钥加密传输的内容给服务器,这样就只有服务器能够解开。但是,服务器传给浏览器的安全怎么保障?比如公钥从一开始就被窃取了,那么除了浏览器外也能有别的中间人解开了。

第二种思路(似乎可以,但没有被采用)

使用两组公私密钥。例如:

  1. 某网站服务器拥有公钥A与对应的私钥A’;浏览器拥有公钥B与对应的私钥B’
  2. 浏览器把公钥B明文传输给服务器。
  3. 服务器把公钥A明文给传输浏览器。
  4. 之后浏览器向服务器传输的内容都用公钥A加密,服务器收到后用私钥A’解密。由于只有服务器拥有私钥A’,所以能保证这条数据的安全。
  5. 同理,服务器向浏览器传输的内容都用公钥B加密,浏览器收到后用私钥B’解密。同上也可以保证这条数据的安全。

这里仍然有漏洞。下文提及。

第三种思路——非对称+对称加密
  1. 某网站拥有用于非对称加密的公钥A、私钥A’。
  2. 浏览器向网站服务器请求,服务器把公钥A明文给传输浏览器。
  3. 浏览器随机生成一个用于对称加密的密钥X,用公钥A加密后传给服务器。
  4. 服务器拿到后用私钥A’解密得到密钥X。
  5. 这样双方就都拥有密钥X了,且别人无法知道它。之后双方所有数据都通过密钥X加密解密即可

这就基本是HTTPS采用的方案。

中间人攻击

劫持过程如图。

中间人劫持

问题根源在于浏览器无法确认收到的公钥是不是网站自己的

但又不可能对公钥本身进行加密,这就变成了鸡生蛋,蛋生鸡的问题了。

如何证明浏览器收到的一定是目标网站的公钥?

有一个CA机构,专门颁发“身份证”,也就是数字证书。

数字证书

网站在使用HTTPS前,先要向CA申请一份数字证书,数字证书里含有证书持有者信息、公钥信息。服务器把证书传给浏览器,浏览器只需要从证书里获取公钥。那么这里又有一个问题,如何防止证书本身被篡改?其实就是用了一些证书防伪技术。

如何防止数字证书被篡改
数字签名

CA机构方面:

其拥有非对称加密的公钥和私钥,CA对证书的明文数据T通过散列函数得到散列值,用私钥对散列值加密,就得到了数字签名

网站方面:

收下CA给的带数字签名的证书,发给浏览器。

浏览器方面:

对网站给的证书的明文数据T通过散列函数得到散列值,另一方面对数字签名用公钥解密,看看是否和前面得到的散列值一致,一致则说明证书通过了防伪验证。

中间人有可能篡改该证书吗

显然不可能,因为中间人不拥有CA的私钥,因此无法得到能通过浏览器验证的数字签名。

中间人有可能掉包证书吗

假设有另一个网站B也拿到了CA机构认证的证书,它想劫持网站A的信息。于是它成为中间人拦截到了A传给浏览器的证书,然后替换成自己的证书,传给浏览器,之后浏览器就会错误地拿到B的证书里的公钥了,这确实会导致上文“中间人攻击”那里提到的漏洞?

其实这并不会发生,因为证书里包含了网站A的信息,包括域名,浏览器把证书里的域名与自己请求的域名比对一下就知道有没有被掉包了。

也就是说,虽然通过这种方式能够让浏览器成功验证数字签名,但是证书本身含有的是网站B的信息,一对比就知道不是自己请求的网站A

为什么要用一次hash函数

最显然的是性能问题,非对称加密效率较差,证书信息一般较长,比较耗时。而hash后得到的是固定长度的信息(比如用md5算法hash后可以得到固定的128位的值),这样加解密就快很多。

怎么证明CA机构的公钥是可信的?

让我们回想一下数字证书到底是干啥的?没错,为了证明某公钥是可信的,即“该公钥是否对应该网站”,那CA机构的公钥是否也可以用数字证书来证明?没错,操作系统、浏览器本身会预装一些它们信任的根证书,如果其中会有CA机构的根证书,这样就可以拿到它对应的可信公钥了

不知你们是否遇到过网站访问不了、提示需安装证书的情况?这里安装的就是根证书。说明浏览器不认给这个网站颁发证书的机构,那么你就得手动下载安装该机构的根证书(风险自己承担XD)。安装后,你就有了它的公钥,就可以用它验证服务器发来的证书是否可信了。

每次进行HTTPS请求时都必须在SSL/TLS层进行握手传输密钥吗?

服务器会为每个浏览器(或客户端软件)维护一个session ID,在TLS握手阶段传给浏览器,浏览器生成好密钥(也就是后面对称加密时的密钥X)传给服务器后,服务器会把该密钥存到相应的session ID下,之后浏览器每次请求都会携带session ID,服务器会根据session ID找到相应的密钥并进行解密加密操作,这样就不必要每次重新制作、传输密钥了!

以内容整理自知乎
Https 加密过程详解
程序员世杰
02-20 1551
一、Https介绍 HTTPS 是 HyperText Transfer Protocol Secure 缩写,相较于 HTTP,突出了安全!因为在网络信息传输过程中服务端和客户端的信息都会被 SSL,TSL 加密,在传输的过程中,即便被截取了,别人也不知道你们的会话内容是什么,只有收发方才有对应的密钥去解开,再对内容进行回应。其中的原理就是:服务端和客户端都有两把钥匙:公钥和私钥,公钥用来加密数...
HTTPS加密过程详解
王文平_Trista的博客
08-26 698
HTTP 有以下安全性问题:(划重点:不够安全) 使用明文进行通信,不做任何加密,内容可能会被窃听(个人隐私,账户密码) 不验证通信方的身份,通信方的身份有可能遭遇伪装;可能访问钓鱼网站 无法证明报文的完整性,收到的报文有可能遭篡改或植入广告。 那么为什么别人能够获取你的上网数据? HTTP 是应用层的协议,位于 TCP/IP 参考模型的最上层。用户数据经过应用层、传输层、网络层、链路层的层层...
HTTPS加密过程
热门推荐
qq_32998153的博客
04-25 4万+
HTTPS HTTPS加密HTTPHTTPS并不是一个新协议,而是HTTP+SSL(TLS)。原本HTTP先和TCP(假定传输层是TCP协议)直接通信,而加了SSL后,就变成HTTP先和SSL通信,再由SSL和TCP通信,相当于SSL被嵌在了HTTP和TCP之间。 我们首先了解几个基本概念。 共享密钥加密(对称密钥加密):加密和解密同用一个密钥。加密时就必须将密钥传送给对方,那么如...
HTTPS加密流程
最新发布
westdjjdjdk的博客
09-25 927
如果发生了中间人攻击这种情况是非常严重的,由于传输数据是需要借助非对称加密,所以在客户端发送数据前会先通过验证公钥的方式确认对方是否是服务器,再决定是否要传输数据,在这个过程中服务器会返回一个响应告诉客户端公钥是啥,但是这个响应被第三方(黑客)截获了,并且自己生成了一个公钥返回给客户端,此时客户端就以为,返回的这个响应是服务器发送的公钥,因此客户端就开始发送“对称密钥”(这个对称密钥使用过黑客自己生成的)。如果黑客(第三方)截获了证书篡改了数据,同时修改了数字签名使得解密出来的结果和之前的结果一直?
非对称加密
//Case
01-25 302
非对称加密(Asymmetric Cryptography)非对称加密为数据的加密与解密提供了一个非常安全的方法,它使用了一对密钥,公钥(public key)和私钥(private key)。私钥只能由一方安全保管,不能外泄,而公钥则可以发给任何请求它的人。非对称加密使用这对密钥中的一个进行加密,而解密则需要另一个密钥。比如,你向银行请求公钥,银行将公钥发给你,你使用公钥对消息加密,那么只有私钥的
HTTPS加密过程
岁月安然
08-20 982
1,认证服务器。浏览器内置一个受信任的CA机构列表,并保存了这些CA机构的证书。第一阶段服务器会提供经CA机构认证颁发的服务器证书,如果认证该服务器证书的CA机构,存在于浏览器的受信任CA机构列表中,并且服务器证书中的信息与当前正在访问的网站(域名等)一致,那么浏览器就认为服务端是可信的,并从服务器证书中取得服务器公钥,用于后续流程。否则,浏览器将提示用户,根据用户的选择,决定是否继续。当然,...
详解https 加密完整过程
10-19
以下是对HTTPS加密完整过程的详细解析: 1. **初始连接**: 当用户在浏览器中输入HTTPS网址并按下回车键时,客户端(通常是用户的浏览器)向服务器发送一个TCP连接请求。一旦连接建立,通信开始。 2. **握手阶段*...
AES加密过程详解
weixin_41563161的博客
04-15 3726
AES加密过程详解 AES算法流程: AES加密过程涉及到4种操作,分别是字节替代、行移位、列混淆和轮密钥加。解密过程分别为对应的逆操作。由于每一步操作都是可逆的,按照相反的顺序进行解密即可恢复明文。加解密中每轮的密钥分别由初始密钥扩展得到。算法中16个字节的明文、密文和轮密钥都以一个4x4的矩阵表示。 注...
HTTPS加密过程和TLS证书验证
weixin_34082789的博客
01-06 374
前言 大家都知道,苹果在2016年WWDC上宣布了关于应用需要强制使用HTTPS的规定。这也算是个好消息吧,虽然开发者们可能需要适配下HTTPS,但是我们的应用可算是披上一个安全的保护罩了。本篇文章就算是笔者在学习HTTPS过程中的一个记录吧。 HTTPS加密过程 最近重新了解了下HTTPHTTPS: 首先二者都是网络传输协议;HTTPS在传输过程中是可以通过加密来保护数据安全的,以免用户敏感信...
https 加密过程
前端阿玉博客
02-11 519
https是由http通讯,用SSL/TLS(完全传输层协议)来加密数据包的,https主要是提供对网站服务器的身份认证,保护交换数据的隐私和完整性。 传输加密过程: (1)客户端先向服务端发起https请求,客户端生成一个随机数发给服务端,传输的时候会带上客户端支持的加密方式套件,还带上协议版本号(随机数 + 加密方式套件 + 协议版本号) (2)服务端收到请求后存放随机数,确认加密方法,也生成一个随机数伴随着公钥(数字证书)一起传给客户端(加密方法+随机数+公钥) (3)客户端确认服务器证书后对
https加密过程
aoeaoao的博客
08-29 249
https加密过程(通俗易懂)
HTTPS加密流程(你值得拥有)
weixin_49830664的博客
01-17 1万+
HTTPS 文章目录HTTPS什么是HTTPS什么是‘加密加密的方式有哪些对称加密非对称加密总结HTTPS传输过程 什么是HTTPS HTTPSHTTP一样都是应用层协议,与HTTP不同的是:HTTP的协议内容都是按照文本方式进行明文传输的,这导致在传输过程第三方者能够轻易获取传输的内容,而HTTPSHTTP协议基础上引入一个加密以防止传输内容泄露或被篡改。 什么是‘加密加密就是指将明文(要传输的信息)按照指定的方式进行变换,生成密文。 解密就是指将密文按照指定的方式进行变换,还原成为明文。 在加
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值