https协议原理、中间人问题

最新推荐文章于 2024-03-19 16:18:54 发布
最新推荐文章于 2024-03-19 16:18:54 发布
阅读量428 收藏 1
点赞数
文章标签: https http ssl
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45301392/article/details/122881939
版权

一、数据传输类型(中间人问题)

1 明文传输:

【问题】相当于裸奔、任何第三方都可拦截数据。

2 对称加密:

【特点】传输的数据是通过加密之后的密文。
【问题】当第三方(中间人) 可以充当客户端、获取到服务器的的加密算法、通过转发的方式来给 真正的客户端 传送数据。同样不安全。
【缺点】key只有一个

3 非对称加密:

服务器有唯一私钥 - 客户端有公钥

【特点】
数据流转如下:
私钥对数据加密、公钥对数据解密。
公钥对数据加密、私钥对数据解密。

【问题】看似安全、但实际 第三方(中间人) 仍然可以请求服务器获取公钥、充当客户端从而来转发数据给 客户端 转发数据,依旧不是安全的。
【破解】只有在客户端服务端发送数据时是安全的,因为只有服务端有秘钥来解密公钥加密的数据。—— 服务端向客户端发送数据依然存在暴露的风险。

4 非对称加密 + 对称加密:

【特点】客户端第一次通过非对称加密的方式安全向服务器定义一个协商key值,后续传输使用对称加密 + 协商key来进行对称加密传输。—— 这里看来 第三方(中间人) 因为无法拿到对应的协商key值而无法破解拦截的数据,是相对安全的。
【问题】近乎完美
【破解】假如当客户端第一次定义key时,被当 第三方(中间人) 拦截到、那么 第三方(中间人) 仍然可以获取到协商key,然后充当服务端、来转发数据。不安全+1

二、解决方案(保证获取到客户端的秘钥是绝对的安全性)对称+非对称+CA认证

产生中间人问题的原因是因为,客户端不知道拿到的公钥是好是坏;

利用CA机构来认证公钥和私钥,只有当CA认证的才是正确的、其他的公钥一律被认证为不安全的公钥。

使用非对称加密的方式获取服务端的公匙 客户端请求公匙 服务端通过 CA机构的密匙
(三方)来对服务端的公匙来加密,生成一个加密后的证书。并把这个证书返回给客户端。

客户端操作系统内置了CA的大量的公钥。所以可以直接解密正式,来获取 目标服务端的公钥。

三、过程示例

1、C端发送请求:非对称算法 + 随机数
2、S段响应请求:对称算法 CA +随机数2+证书
3、C端认证证书
4、认真成功后、C端发送随机数3+hash值。

X.Py
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
HTTPSHTTPS中间人攻击
02-25
HTTPSHTTPS中间人攻击,全站HTTPS正在称为潮流趋势,国内实现全站https的有淘宝和百度两家。CIA:机密性,完整性,可用性(可用性是合法用户可以访问自己有权限访问的资源)解决的是信息传输中数据被篡改、窃取加密...
中间人攻击原理
01-05
中间人攻击原理是一种网络安全漏洞利用方法,通过在通信的两端之间插入一个看似中立的第三方,使得这个第三方能够拦截、查看甚至篡改通信数据。在本文中,我们将深入探讨Apache代理服务器如何被用来进行中间人攻击,...
HTTPS的加密技术——中间人攻击
闲来垂钓碧溪上的博客
05-24 1644
https是基于http的一层加密技术,有两种加密方式,针对不同的数据传输可以使用不同加密算法结合使用,最常用也最安全的是双重加密技术,不过单独使用还是会有风险,对于中间人攻击这个算法也会被偷梁换柱,于是需要引入证书对症下药,以此来保障数据的安全性和完整性。
Https中间人攻击
yshir
11-04 4480
Https中间人攻击 https协议http + ssl 协议构成,具体的链接过程可参考SSL或TLS握手的概述 中间人攻击过程如下: 服务器向客户端发送公钥。 攻击者截获公钥,保留在自己手上。 然后攻击者自己生成一个【伪造的】公钥,发给客户端。 客户端收到伪造的公钥后,生成加密hash值发给服务器。 攻击者获得加密hash值,用自己的私钥解密获得真秘钥。 同时生成假的加密hash值,发给服务器。 服务器用私钥解密获得假秘钥。 服务器用加秘钥加密传输信息 防范方法: 服务端在发.
HTTPS】采用的加密策略, 什么是中间人攻击? 什么是证书?
yzhcjl_的博客
07-01 1209
HTTPS 仅仅使用对称加密, 无法安全传输 Key, 使用非对称加密即可, 但会有"中间人攻击"风险, 所以引入证书, 通过校验证书能够判断对端是否值得信任, 整个复杂的机制都是为了确保安全的传输Key, 然后才能传输数据
如何进行https中间人***
weixin_34026276的博客
10-01 200
by 云舒2007-09-29[url]http://www.ph4nt0m.org[/url]这篇文章主要是介绍一些如何进行中间人***,包括两部分,第一部分是伪造证书,第二部分就是中间人转发数据了。作为中间人之前,需要使用DNS欺骗将域名解析到中间人的机器上面。HTTPS中间人***对自己签发的证书比较有效,比如xfocus这样的。因为本来就会出现...
HTTPS中间人攻击,HTTPS被抓包了怎么办?
热门推荐
ThinPikachu的博客
03-12 1万+
目录 一、写在前面 二、什么是中间人攻击 三、https 是绝对安全的吗 四、中间人攻击的初步了解 五、中间人攻击的深入了解 六、https 是如何防止中间人攻击的 SSL-Pinning 七、浏览器是如何确保CA证书的合法性? (1)证书包含什么信息? (2)证书的合法性依据是什么? (3)浏览器如何验证证书的合法性? 八、https 可以抓包吗 九、预置证书/公钥更新问题 一、写在前面 首先,当个位读者在看到这篇文章时,我默认大家已经对...
HTTPS协议中间人攻击的防御方法_邓真.pdf
06-06
https原理中间人劫持防御方法论文,知网上下载的论文,在这里分享出来。
https工作原理简单介绍.docx
05-12
首先,HTTP协议本身存在一个显著的安全问题,即数据在传输过程中是以明文形式存在的,这意味着中间人(如黑客或恶意运营商)可以轻易地监听和获取这些信息,包括用户的登录凭证、信用卡号等敏感数据。为了解决这个...
如何进行https中间人攻击
03-16
这篇文章主要是介绍一些如何进行中间人攻击,包括两部分,第一部分是伪造证书,第二部分就是中间人转发数据了。作为中间人之前,需要使用DNS欺骗将域名解析到中间人的机器上面。HTTPS中间人攻击对自己签发的证书比较有效,比如xfocus这样的。因为本来就会出现证书警告,而向yahoo,google等网站,是权威机构发布的证书,伪造了之后会出现安全警告,不过我想白痴的用户还是很多吧。另外,这种劫持是只能在用户端攻击用户的,和服务器没啥关系。
HTTPS——HTTPS如何加密数据,“证书“为什么可以应对 “中间人攻击“
The_emperoor_man的博客
07-23 977
用图文详细讲解了HTTPS中的对称加密,非对称加密,以及证书应对中间人攻击。
超级详细的 https 中间人攻击流程。
qq_17335549的博客
01-05 1251
更多关于中间人攻击的内容,可以参考。
详析中间人问题
最新发布
weixin_73000974的博客
03-19 918
为啥呢,因为证书里面有个叫签名的玩意,这个签名是个哈希值,这个哈希值根据证书里面所有的内容生成的,一旦中间人把服务器的公钥换成自己仿造的公钥,这个签名就得跟着变,因为服务器的公钥也在签名里,然后这个签名是用来验证证书的真实性的,客户端有一个表,存着所有可信任的证书机构,这个签名一旦改变了,就跟客户端相应的证书机构对不上了,所以客户端就认为它不安全了。中间人就算真的修改了数据,也无法生成签名,因为签名是根据私钥来加密的,中间人拿不到私钥,因此如果真的生成了签名,客户端也无法拿到证书的公钥来验证这个假签名。
HTTPS
weixin_44430496的博客
10-21 510
下面的整理来自一个B站up主的视频,讲的特别好,推荐给大家,视频链接:https://www.bilibili.com/video/BV1w4411m7GL 首先要知道https 是 非对称加密 + 对称加密 + 带有数字签名的证书 三者组合使用一种安全网络传输技术。 为什么单纯用对称加密不安全呢? 因为对称加密用到的key也是需要在网络上进行传输的,也就是说当客户端在向服务器发送数据的时候,发送的不单纯是加密了的data了,还会携带一个用于加密的key(必须得浏览器自己携带啊,不然浏览...
网络安全:中间人攻击详解,保护你的数据安全!
m0_72410588的博客
08-26 1087
中间人攻击是指黑客通过篡改或监听通信流量,在通信双方之间插入自己的设备或软件,从而实现窃取敏感信息或篡改通信内容的攻击行为。与其他攻击方式相比,中间人攻击具有隐蔽性高、风险低的特点,因此被广泛应用于各类网络环境中。中间人攻击威胁着我们的个人信息安全和网络通信的顺畅性。在数字化时代,我们应该重视网络安全,采取正确的预防措施,保护自己的数据安全。只有通过加强网络安全意识,共同构建安全可信的网络环境,我们才能更好地享受数字科技带来的便利与乐趣。
HTTPS连接过程以及中间人攻击劫持
maogugu0319的博客
05-08 419
HTTPS连接过程 https协议就是http+ssl协议,如下图所示为其连接过程: 1.https请求 客户端向服务端发送https请求; 2.生成公...
HTTPS 原理分析:带着疑问层层深入
程序员小乐
12-20 1041
点击上方 "程序员小乐"关注,星标或置顶一起成长每天凌晨00点00分,第一时间与你相约每日英文Don't worry too much about the a...
彻底理解前端安全面试题(4)—— 中间人攻击,详解 httphttps中间人攻击实例,建议收藏(含源码)
qq_17335549的博客
01-05 1611
前端关于网络安全问题看似高深莫测,其实来来回回就那么点东西,我总结一下就是 3 + 1 = 4,3个用字母描述的【分别是 XSS、CSRF、CORS】 + 一个中间人攻击。当然 CORS 同源策略是为了防止攻击的安全策略,其他的都是网络攻击。除了这 4 个前端相关的面试题,其他的都是一些不常用的小喽啰。我将会在我的《面试题一网打尽》专栏中先逐一详细介绍,然后再来一篇文章总结,预计一共5篇文章,欢迎大家关注~使用一个哈希函数对文档进行摘要运算,生成一个固定长度的哈希值,这个哈希值通常称为信息摘要。
DH密钥交换协议进行中间人攻击的过程原理以及改进方法
05-15
DH密钥交换协议是一种常用的加密通信协议,它通过双方协商生成一个共享的密钥,用于加密通信数据。然而,由于该协议缺乏身份验证机制,因此可能存在中间人攻击。 中间人攻击是指攻击者在通信双方之间插入自己,假扮成对方与对方进行通信。在DH密钥交换协议中,中间人可以通过以下步骤进行攻击: 1. 攻击者假扮成双方中的一方与另一方进行通信。 2. 攻击者与每个通信方分别协商出一个密钥,并将两个密钥分别保存。 3. 攻击者可以使用这两个密钥对通信数据进行解密,并读取通信内容。 4. 攻击者可以修改通信内容,并使用保存的密钥重新加密,使得通信双方无法察觉数据已被篡改。 为了避免中间人攻击,可以采取以下改进方法: 1. 使用数字证书对通信双方进行身份验证,确保通信双方的身份真实可信。 2. 使用公共密钥加密算法对DH密钥交换协议进行改进,使得攻击者无法获取到密钥。 3. 在DH密钥交换协议中添加数字签名机制,确保通信数据的完整性和真实性。 采用以上改进方法可以有效地避免中间人攻击,并保证通信数据的安全性和可信度。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值