HTTPS 是如何保证传输安全的?

已于 2023-08-21 11:20:20 修改
阅读量41 收藏
点赞数
分类专栏: 计算机网络 文章标签: https
于 2022-04-07 15:17:02 首次发布
原文链接:https://mp.weixin.qq.com/s/-l1zFpvx8VxdEC9JuTExCQ
版权

转自:
https://mp.weixin.qq.com/s/-l1zFpvx8VxdEC9JuTExCQ

HTTP 协议

在谈论 HTTPS 协议之前,先来回顾一下 HTTP 协议的概念。

HTTP 协议介绍

HTTP 协议是一种基于文本的传输协议,它位于 OSI 网络模型中的应用层。

在这里插入图片描述

HTTP 中间人攻击

HTTP 协议使用起来确实非常方便,但是它存在一个致命的缺点:不安全。

我们知道 HTTP 协议中的报文都是以明文方式进行传输的,不做任何加密,这样会导致什么问题呢?

  1. 小明在 JAVA 贴吧发帖,内容为我爱 JAVA

在这里插入图片描述

  1. 被中间人进行攻击,内容修改为我爱 PHP

在这里插入图片描述

可以看到在 HTTP 传输过程中,中间人能看到并且修改 HTTP 通讯中的所有的请求和响应内容,所以使用 HTTP 是非常不安全的。

防止中间人攻击

这个时候可能就有人想到了,既然内容是明文的,那我使用对称加密的方式将报文加密,这样中间人不就看不到明文了吗?

  1. 双方约定加密方式

在这里插入图片描述

  1. 使用 AES 加密报文

在这里插入图片描述

这样看似中间人获取不到明文信息,但其实在通讯过程中,还是会以明文方式暴露加密方式和秘钥。如果第一次通信就被拦截了,那么秘钥就会泄露给中间人,中间人仍然可以解密后续的通信。

在这里插入图片描述

对于这种情况,能不能将秘钥进行加密不让中间人看到呢?

可以的,采用非对称加密,我们可以通过 RSA 算法来实现。

  1. 在约定加密方式的时候,由服务器生成一对公私钥,服务器将公钥返回给客户端
  2. 客户端本地生成一串秘钥(AES_KEY)用于对称加密,并通过服务器发送的公钥进行加密得到(AES_KEY_SECRET),之后返回给服务端
  3. 服务端通过私钥将客户端发送的 AES_KEY_SECRET 进行解密得到 AES_KEY,最后客户端和服务器通过 AES_KEY 进行报文的加密通讯

在这里插入图片描述

在这种情况下,中间人是窃取不到用于 AES 加密的秘钥,所以对于后续的通讯是肯定无法进行解密了,那么这样做就是绝对安全了吗?

所谓道高一尺魔高一丈,中间人为了应对这种加密方法,又想出了一个新的破解方案,既然拿不到 AES_KEY,那么我就把自己模拟成一个客户端和服务器的结合体。在用户 -> 中间人的过程中,中间人模拟服务器的行为,这样就可以拿到用户请求的明文;在中间人 -> 服务器的过程中,中间人模拟客户端的行为,这样就可以拿到服务器响应的明文,以此来进行中间人攻击。

在这里插入图片描述

第一次通信再次被中间人截获,中间人自己也伪造了一对公私钥,并将公钥发送给用户以此来窃取客户端生成的 AES_KEY,在拿到 AES_KEY 之后就能轻松地进行解密了。

中间人这样为所欲为,就没有办法制裁下吗?

接下来我们看看 HTTPS 是如何解决通讯安全问题的。

HTTPS 协议

HTTPS 简介

HTTPS 其实是 SSL + HTTP 的简称,当然现在 SSL 基本已经被 TLS 取代了,不过接下来我们还是统一以 SSL 作为简称,SSL 协议其实不止是应用在 HTTP 协议上,还应用在各种应用层协议上,例如:FTP、WebSocket。

其实 SSL 协议大致和非对称加密的性质一样,握手的过程主要也是为了交换秘钥,然后在通讯过程中使用对称加密来进行通讯。

在这里插入图片描述

这里只是画了个示意图,其实真正的 SSL 握手会比这个复杂地多,但是性质还是差不多,而且我们需要关注的重点在于 HTTPS 是如何防止中间人攻击的。

通过上图可以观察到,服务器是通过 SSL 证书来传递公钥的,客户端会对 SSL 证书进行验证,其中证书认证体系就是确保 SSL 安全的关键。

CA 认证体系

上一节我们看到客户端需要对服务器返回的 SSL 证书进行校验,那么客户端是如何校验服务器 SSL 证书的安全性的呢?

  • 权威认证机构。在 CA 认证体系中,所有的证书都是由权威机构来颁发,而权威机构的 CA 证书都已经在操作系统中内置了,我们把这些证书称之为 CA 根证书

在这里插入图片描述

  • 签发证书。服务器如果想要使用 SSL,需要通过权威认证机构来签发 CA 证书,我们将服务器生成的公钥和站点的相关信息发送给 CA 签发机构,再由 CA 签发机构通过服务器发送的相关信息进行加签,由此得到服务器的证书,证书会对应生成证书内容的签名,并将该签名使用 CA 签发机构的私钥进行加密得到证书指纹,并且与上级证书生成关系链。

在这里插入图片描述

在这里插入图片描述

可以看到,百度是受信于 GlobalSign G2 的,同样的 GlobalSign G2 是受信于 GlobalSign R1 的,当客户端(浏览器)做证书校验时,会一级一级向上检查,直到最后的根证书,如果没有问题,就说明服务器证书是可以被信任的。

如何验证服务器证书?

首先会通过层级关系找到上级证书,通过上级证书里的公钥来对服务器的证书指纹进行解密得到签名(sign1),再通过签名算法算出服务器证书的签名(sign2),对比 sign1 和 sign2,如果相等,就说明证书是没有被篡改过的,也不是伪造的。

在这里插入图片描述

证书校验用的 RSA 是通过私钥加密证书签名,公钥解密来巧妙地验证证书的有效性。

这样通过证书的认证体系,就可以避免中间人窃取 AES_KEY,从而发起拦截和修改 HTTP 通讯的报文。

是个小胖墩儿啊
关注
专栏目录
HTTPS怎么保证传输安全的?
从零开始的异世界JAVA学习
04-05 2381
HTTPS (全称:Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证传输过程的安全性 。HTTPS 在HTTP 的基础下加入SSL,HTTPS安全基础是 SSL,因此加密的详细内容就需要 SSL。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。这个系统提供了身份验证与加密通讯方法。它被广泛用于万维网上安
HTTPS如何保证数据传输安全?底层是如何实现的?据说大部分人都不知道
can_meng_yun的博客
08-15 2222
HTTPS 为什么安全?因为 HTTPS 保证传输安全,防止传输过程被监听、防止 数据 被窃取,可以确认网站的真实性。HTTPS传输过程是怎样的?客户端发起 HTTPS 请求,服务端返回证书,客户端对证书进行验证,验证通过后本地生成用于改造对称加密 算法 的随机数。通过证书中的公钥对随机数进行加密传输到服务端,服务端接收后通过私钥解密得到随机数,之后的 数据 交互通过对称加密 算法 进行加解密。为什么需要证书?防止“中间人”攻击,同时可以为网站提供身份证明。使用 HTTPS 会被抓包吗。......
为什么 HTTPS 比 HTTP 更安全HTTPS 如何保证数据传输安全
卧龙小蛋的博客
01-04 1万+
大家好,我是蛋蛋。 HTTP 和 HTTPS 在许多网站都有用到,但是现在都是极力倡导使用 HTTPS ,究其原因就是 HTTP 它不是安全的,在数据传输过程中会遭到黑客窃取,本篇文章会先讲解 HTTP 缺点,然后再讲解 HTTPS 是如何解决这些问题来保证安全的。 HTTP 缺点 通信使用明文(不加密),内容可能会被窃听 HTTP 本身不具备加密的功能,因此其在通信过程是使用明文方式发送的。这种方式就有可能造成通信过程中信息会被破解获取。例如一群????佩奇在路上坐着敞篷大货车,路过的人一下就能看到这车
https如何保证数据安全的?
weixin_67976657的博客
04-22 2256
HTTPS是一种安全的通信协议,它通过使用SSL/TLS加密技术来保护网络通信过程中的数据安全HTTPS可以保证数据在传输过程中不会被窃取或篡改,确保通信双方的身份和数据的完整性。
HTTPS协议是如何保证安全的?
w20001118的博客
06-18 4078
http是无状态的超文本传输协议,连接简单,信息是明文传输,端口为80。https协议是由http+ssl协议构建的可进行加密传输、身份认证的具有安全性网络协议,端口是443。SSL(安全套检查协议)位于传输层和应用层之间,为应用层提供安全性,分为高低两层协议。高层协议有低层协议有1.tcp三次握手后,客户端向服务端发送client hello,client hello包括客户端所支持的加密套件、SSL版本和第一随机数2.服务端向客户端响应server hello,响应报文中会告诉客户端服务端选择的加密套件
【计算机网络】http协议的原理与应用,https是如何保证安全传输
热门推荐
景天科技苑
03-29 1万+
超文本传输协议(英文:HyperText Transfer Protocol,缩写:HTTP)是一种用于分布式、协作式和超媒体信息系统的应用层协议。HTTP是万维网的数据通信的基础。 HTTP的发展是由蒂姆·伯纳斯-李于1989年在欧洲核子研究组织(CERN)所发起。 HTTP的标准制定由万维网协会(World Wide Web Consortium,W3C)和互联网工程任务组(Internet Engineering Task Force,IETF)进行协调, 最终发布了一系列的RFC。
https是怎么保证安全传输的(加密+认证+完整性保护)?
nanyan_xixi的博客
07-09 3271
https通过使用 SSL,HTTPS 具有了加密(防窃听)、认证(防伪装)和完整性保护(防篡改)。
HTTPS是如何保证安全的?
接着奏乐接着舞的博客
10-24 2994
目录 1.前言: 2.加密算法分类 3.什么是对称加密? 4.什么是⾮对称加密? 5.HTTPS 加密解决⽅案 6.数字证书 7.数字签名 8.总结: 1.前言: HTTPS传输数据的过程中会对数据进行加密处理,保证安全性。 那HTTPS采用的什么样的加密方式呢?我们来了解下一些加密的基本概念。 2.加密算法分类 目前常见的加密算法可以分成三类,对称加密算法,非对称加密算法 和 Hash算法。 对称加密算法: 相同密钥加密解密, 可逆的! 可以用于加密解密传..
HTTPS 是怎么保证安全
amateur12的博客
07-21 4795
HTTPS
HTTPS是如何保证数据传输安全的?
程序员小潘
04-17 2223
1. HTTP存在的问题 传统的不使用SSL/TLS的HTTP协议,是不加密的通信。无论是客户端发送给服务端的请求体,还是服务端响应给客户端的响应体,都是明文传输的,这会带来几个问题: 1. 窃听 第三方劫持请求后可以获取通信内容。对于一些敏感数据,这是不被允许的。 2. 篡改 第三方劫持请求后可以篡改通信内容。例如银行系统中,张三本来要给李四转账,第三方劫持请求后篡改了请求数据,将收款方改为自己,导致用户资金流失。 3. 冒充 第三方可以冒充客户端发送数据。由于是明文传输,没有「加签/验签」操作,服务端无
详解Https是如何确保安全的?
02-25
即HTTP下加入SSL层,HTTPS安全基础是SSL,因此加密的详细内容就需要SSL内容加密建立一个信息安全通道,来保证数据传输安全;身份认证确认网站的真实性数据完整性防止内容被第三方冒充或者篡改对数据进行加解密...
什么是安全超文本传输协议 (HTTPS)?
简介
01-05 1001
了解HTTPS
SSL 协议(HTTPS 协议的关键)
最新发布
weixin_52173250的博客
10-04 399
SSL 协议(Secure Sockets Layer,安全套接层协议),是一种广泛使用的网络安全协议,旨在保护网络通信中的数据安全和隐私
HTTPS 的加密流程
GodK777的博客
10-04 727
• 验证证书是否被篡改:从系统中拿到该证书发布机构的公钥,对签名解密,得到⼀个hash值(称为数 据摘要),设为hash1.然后计算整个证书的hash值,设为hash2.对⽐hash1和hash2是否相等.如果相等,则说明证书是没有被篡改过的.由于该密钥只有客⼾端和服务器两个主机知道,其他主机/设备不知道密钥即使截获数据也没有意义.由于对称加密的效率⽐⾮对称加密⾼很多,因此只是在开始阶段协商密钥的时候使⽤⾮对称加密,后续 的传输仍然使⽤对称加密.这对密钥对⼉就是⽤来在⽹络通信中进⾏明⽂加密以及数字签名的。
JMeter压测HTTPS 在window 11处理SSL证书认证
TD1101的博客
09-28 455
利用jdk中的keytool.exe工具,重新生成证书。crm 去到命令窗口,再去到JDK路径下,如下。在此位置,找到chrome 的证书。选择制作好的证书导入即可。证书到出到指定的路径,
https访问报错:net::ERR_CERT_DATE_INVALLD
weixin_52116015的博客
09-30 406
https访问报错:net::ERR_CERT_DATE_INVALLD
了解HTTPS
2301_80026123的博客
09-27 1091
1.HTTP认识 2.HTTP请求 3.HTTP响应 4.URL 5.HTTP方法 面试题:POST 和 GET区别? 网上关于 GET 与 POST的差别 有待商议 关于请求报头 和 响应报头 6..Host : 7..USer-Agent(简称UA) 8.状态码 9.HTTPS 是在 HTTP 基础上引入的 加密机制 1.尝试加密: 2.传输对称密钥给服务器: 3.非对称加密 4.引入证书 10.常见抓包工具是如何抓包的?
httpsok-v1.17.0-SSL通配符证书自动续签
thomastangweixin的专栏
09-29 497
httpsok是一个便捷的 HTTPS 证书自动续签工具,基于全新的设计理念,专为 Nginx 、OpenResty 服务器设计。已服务众多中小企业,。
HTTPS:数据传输安全的加密保障
HTTPS(Hypertext Transfer Protocol Secure)是一种通过应用SSL(Secure Sockets Layer)或其继任者TLS(Transport Layer Security)协议来加密网络通信的加密套接字层,目的是为了提高互联网上的数据传输安全性。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值