一文看懂https如何保证数据传输的安全性的

最新推荐文章于 2023-12-26 09:58:02 发布
最新推荐文章于 2023-12-26 09:58:02 发布
阅读量3.2k 收藏 16
点赞数 6
原文链接:http://www.cnblogs.com/kubidemanong/p/9390021.html
版权

通过漫画的形式由浅入深带你读懂htts是如何保证一台主机把数据安全发给另一台主机的

1681c216df6e1901?w=656&h=125&f=png&s=10973

1681c2253e601ffb?w=624&h=388&f=png&s=128281

1681c227333d60f8?w=651&h=399&f=png&s=137269

1681c229a2555d9e?w=647&h=399&f=png&s=139717

对称加密

1681c230b082db7c?w=624&h=414&f=png&s=145008

一禅:在每次发送真实数据之前,服务器先生成一把密钥,然后先把密钥传输给客户端。之后服务器给客户端发送真实数据的时候,会用这把密钥对数据进行加密,客户端收到加密数据之后,用刚才收到的密钥进行解密。如图:

1681c23c27137dc6?w=886&h=467&f=png&s=101700

当然,如果客户端要给服务器发送数据,也是采用这把密钥来加密,这里为了方便,我采用单方向传输的形式

1681c244096f7b05?w=574&h=383&f=png&s=134295

1681c246fb34b601?w=652&h=374&f=png&s=135064

1681c24a64271217?w=613&h=396&f=png&s=130792

1681c24be9a26312?w=627&h=376&f=png&s=132287

小白:那万一密钥在传输的过程中被别人截取了怎么吧?

例如:

假如服务器用明文的方式传输密钥给客户端,然后密钥被中间人给捕获了,那么在之后服务器和客户端的加密传输过程中,中间人也可以用他捕获的密钥进行解密。这样的话,加密的数据在中间人看来和明文没啥两样

1681c252e8c99f8e?w=628&h=402&f=png&s=142892

1681c2546f2ac33a?w=621&h=350&f=png&s=125973

1681c25688e8f144?w=610&h=394&f=png&s=131115

1681c2581186edf2?w=536&h=393&f=png&s=131538

1681c259f2267eb7?w=599&h=384&f=png&s=122232

非对称加密

1681c25ffdeca5a1?w=593&h=435&f=png&s=132924

一禅:这种方法就是,让客户端和服务器都拥有两把钥匙,一把钥匙是公开的(全世界知道都没关系),我们称之为公钥;另一把钥匙则是保密的(只有自己本人才知道),我们称之为私钥。这且,用公钥加密的数据,只有对应的私钥才能解密;用私钥加密的数据,只有对应的公钥才能解密

这样,服务器在给客户端传输数据的过程中,可以用客户端明文给他的公钥进行加密,然后客户端收到后,再用自己的私钥进行解密。客户端给服务器发送数据的时候也一样采取这样的方式。这样就能保持数据的安全传输了。画个图理解一下:

1681c2676fea9221?w=878&h=460&f=png&s=105866

1681c30f106c9584?w=622&h=377&f=png&s=125630

1681c30d8ea98a71?w=609&h=408&f=png&s=133579

1681c31103a6aca8?w=600&h=452&f=png&s=154354

1681c3136869c082?w=677&h=382&f=png&s=129845

1681c314f4d6da04?w=639&h=411&f=png&s=140948

1681c31809ed2d41?w=675&h=433&f=png&s=163707

1681c3197404578b?w=621&h=422&f=png&s=123730

一禅:处理方式就是结合 对称加密+非对称加密这两种方式,我们可以用非对称加密的方式来传输对称加密过程中的密钥,之后我们就可以采取对称加密的方式来传输数据了。具体是这样子的:

服务器用明文的方式给客户端发送自己的公钥,客户端收到公钥之后,会生成一把密钥(对称加密用的),然后用服务器的公钥对这把密钥进行加密,之后再把密钥传输给服务器,服务器收到之后进行解密,最后服务器就可以安全着得到这把密钥了,而客户端也有同样一把密钥,他们就可以进行对称加密了。

1681c320ab7063a5?w=623&h=412&f=png&s=137639

1681c3222c4b3d7a?w=617&h=368&f=png&s=146871

1681c32443726d2f?w=658&h=416&f=png&s=149698

小白:例如:

服务器以明文的方式给客户端传输公钥的时候,中间人截取了这把属于服务器的公钥,并且把中间人自己的公钥冒充服务器的公钥传输给了客户端。

之后客户端就会用中间人的公钥来加密自己生成的密钥。然后把被加密的密钥传输给服务器,这个时候中间人又把密钥给截取了,中间人用自己的私钥对这把被加密的密钥进行解密,解密后中间人就可以获得这把密钥了。

最后中间人再对这把密钥用刚才服务器的公钥进行加密,再发给服务器。如图:

1681c32b3e7ce41b?w=1080&h=218&f=png&s=115988

毫无疑问,在这个过程中,中间人获取了对称加密中的密钥,在之后服务器和客户端的对称加密传输中,这些加密的数据对中间人来说,和明文没啥区别。

1681c32e95a92682?w=672&h=402&f=png&s=158375

1681c3300f34bfac?w=645&h=444&f=png&s=171347

1681c332234e6e85?w=631&h=396&f=png&s=146685

1681c34222206839?w=635&h=385&f=png&s=141060

1681c3367355e07d?w=664&h=377&f=png&s=145783

1681c343ec7af93d?w=669&h=389&f=png&s=146783

数字证书登场

在刚才的讲解中,我们知道,之所以非对称加密会不安全,是因为客户端不知道这把公钥是否是服务器的,因此,我们需要找到一种策略来证明这把公钥就是服务器的,而不是别人冒充的。

解决这个问题的方式就是使用数字证书,具体是这样的:

我们需要找到一个拥有公信力、大家都认可的认证中心(CA)

服务器在给客户端传输公钥的过程中,会把公钥以及服务器的个人信息通过Hash算法生成信息摘要。如图

1681c34c5c8886b2?w=770&h=237&f=png&s=49645

为了防止信息摘要被人调换,服务器还会用CA提供的私钥对信息摘要进行加密来形成数字签名。如图:

1681c35008254709?w=1080&h=222&f=png&s=64414

并且,最后还会把原来没Hash算法之前的个人信息以及公钥 和 数字签名合并在一起,形成数字证书。如图

1681c35a44d24000?w=1080&h=517&f=png&s=120823

当客户端拿到这份数字证书之后,就会用CA提供的公钥来对数字证书里面的数字签名进行解密来得到信息摘要,然后对数字证书里服务器的公钥以及个人信息进行Hash得到另外一份信息摘要。最后把两份信息摘要进行对比,如果一样,则证明这个人是服务器,否则就不是。如图:

1681c363e1c78bd8?w=989&h=344&f=png&s=96675

这样,就可以保证服务器的公钥安全着交给客户端了。

1681c3674c12cf5e?w=632&h=439&f=png&s=158128

1681c368c9885790?w=676&h=423&f=png&s=154252

其实,(有些)服务器一开始就向认证中心申请了这些证书了(有没有看过没有证书的网站在地址栏会被标出警告?),而客户端是,也会内置这些证书。如图:

1681c36baa4404da?w=1080&h=554&f=png&s=421206

当客户端收到服务器传输过来的数据数字证书时,就会在内置的证书列表里,查看是否有解开该数字证书的公钥,如果有则...,如果没有则....

1681c36e9e2e5933?w=651&h=437&f=png&s=127718

1681c3701b73e75d?w=638&h=417&f=png&s=125661

有收获?不妨点个赞,让更多的人看到这篇文章!

文章首发于我的公众号「苦逼的码农」,更多精彩文章可以关注下我哦。

1681c382cd3b44d2?w=430&h=430&f=png&s=58558

转载于:https://www.cnblogs.com/kubidemanong/p/9390021.html

weixin_30337157
关注
  • 6
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CentOS7搭建HTTPS虚拟主机
l876460925的博客
10-16 1025
# cd /etc/pki/CA # touch index.txt # echo 00 >serial # (umask 066;openssl genrsa -out private/cakey.pem 4096) # openssl req -new -x509 -key private/cakey.pem -out cacert.pem -days 3650 # mkdir /etc/httpd/ssl && cd /etc/httpd/ssl # (umask 066;openssl genrsa
信息安全基础—对称/非对称密码图详解
qq_50860232的博客
12-13 7293
详解几种典型加密机制,DES,AES,RSA,ECC等。 迅速读密码学基础。 科普向+期末复习。
关于 HTTPS 一篇章就够了
Chiclaim
01-27 8037
Google鼓励所有的网站都要使用Https,AppStore也要求新的app也要是https的,随着各大巨头对网络安全的重视,我觉得是时候系统的研究下Https了。 1)Https证书、自定义证书、证书链和根证书、创建和导入自签名证书、客户端验证证书 2)对称加密 和 非对称加密 3)Https的交互过程、握手过程
加密原理详解:对称式加密VS非对称式加密
最新发布
ZL_1618的博客
12-26 1114
在了解加密原理前,我们来看看这样一个故事。小红和小明是情侣,一天,小红给小明发短信说:“亲爱的,我银行卡上没有钱了,你给我转1万块吧。”有过上当受骗经历的人都知道这有可能是小偷偷了小红手提包,然后拿手机发的短信。不过我们小明学过加密原理,于是他回复说:“你直接拿我的银行卡刷吧,密码加上我们第一次约会的日期就是663156。”很明显,只有小明和小红知道他们第一次约会是什么时候,假设是2008年4月1号,那么小红就可以根据计算663156-200841=462315得到银行卡密码,就可以消费了。
全网最透彻HTTPS(面试常问)
iOS&Android开发
07-08 363
每篇章都希望你能收获到东西,这篇将带你深入 HTTPS 加解密原理,希望看完能够有这些收获: 明白 HTTPS 到底解决了什么问题 理解对称加密与非对称加密的原理和使用场景 明白 CA 机构和根证书到底起了什么作用 Why HTTPS 近几年来,各大公司都在大力推进 HTTPS 的建设。Google Chrome将非 HTTPS 的网站标注为「不安全」,苹果要求 APP 中需要使用HTTPS进行通信,微信小程序也要求使用HTTPS协议。那么,我们为什么非要做这么一件事呢?
电磁兼容性原理与方法及设计
02-24
电磁兼容性(EMC)是指设备或系统在其电磁环境中符合要求运行并不对其环境中的任何设备产生无法忍受的电磁干扰的能力。因此,EMC包括两个方面的要求:一方面是指设备在正常运行过程中对所在环境产生的电磁干扰不能...
数据库原理
02-24
你可以自己谷歌/百度一下『关系型数据库原理』,看看结果多么的稀少【译者注:百度为您找到相关结果约1,850,000个…】,而且找到的那些章都很短。现在如果你查找最近时髦的技术(大数据、NoSQL或JavaScript),你...
图解HTTP
Rolle的博客
08-07 465
在以后的读书应该也会每次把我读的书封面带上去吧,因为重名的书应还是有些吧之前看过到关于HTTP的两本书籍,但是也都一直都是看到过,为什么先选择这本书看,因为一直都比较喜欢看图灵出版的。一本是《HTTP 权威指 南》;另一本是《TCP/IP 详解,卷 1》像这种通过发送请求获取服务器资源的 Web 浏览器等,都可称为客户端(client)。 为了理解HTTP,有必要事先了解一下TCP/IP协议?原来
对称加密和非对称加密的区别、适用场景
路辉的博客
02-03 8301
区别 对称加密:加密解密用的都是一个秘钥。常见的算法有DES、IDEA、RC2等 非对称加密:私钥加密的内容只有公钥才能解开,公钥加密的内容只有私钥才能解开。也就是说,用其中一个钥匙加密,那么必须用另一个钥匙解密。常见的算法有RSA、DAS、ECC等。 非对称加密的使用场景 在了解使用场景之前,先分析一下非对称加密。 公钥私钥本质上是一样的(也就是说两者可以互换),之所以这么区分,就是因为一个公开了,另一个没公开,公开了就意味着有风险。 如果我们先用私钥加密一个信息,然后把信息发出去,让别人用我们之前
docker-compose安装nginx配置hppts 报错
jiulang9的博客
01-17 754
docker-compose安装nginx配置hppts 报错
1048. 数字加密(20)
我的博客
02-03 890
本题要求实现一种数字加密方法。首先固定一个加密用正整数A,对任一正整数B,将其每1位数字与A的对应位置上的数字进行以下运算:对奇数位,对应位的数字相加后对13取余——这里用J代表10、Q代表11、K代表12;对偶数位,用B的数字减去A的数字,若结果为负数,则再加10。这里令个位为第1位。 输入格式: 输入在一行中依次给出A和B,均为不超过100位的正整数,其间以空格分隔。 输出格
数字加密
沐淼的博客
04-12 3947
数字加密。请写一个函数,实现输入一个任意位正整数,将其加密后输出。加密规则如下: 对输入整数的每一位分别加上5,然后分别将其替换为该值除以10取余后的结果 将该正整数的第1位和第4位互换,第2位和第3位互换 将步骤2的换位结果作为加密后的整数输出 例如: 输入:1000,输出:5556 int a = 100000; String str = String.valueOf(a); S...
Https网络安全传输详解
踩踩踩从踩的博客
11-01 7309
前言 本篇章会主要介绍网络中数据安全传输,加密算法,Https如何保证数据传输安全,SSL证书解析,CA认证流程,OpenSSL,Nginx中实现高性能Https数据加密技术 加密算法之对称加密(AES加密) 及在jdk中应用_踩踩踩从踩的博客-CSDN博客_jdk对称加密 加密算法之安全hash算法、RSA非对称加密算法分析_踩踩踩从踩的博客-CSDN博客 都是从原理上去分析几个加密技术,包括对称加密、一致性hash算法、非对称加密。 Http安全性能 HTTP HTTP协议,即超
对称加密与非对称加密结合应用
a450590464的专栏
11-15 7462
对此加密与非对称加密结合应用
对称加密和非对称公钥加密应用
一杯咖啡的渗透记忆
06-24 1443
1 概念 A 和 B 要把他们的通信内容加密, 如果A/B使用相同的加密解密key,那这就是 对称加密。 对称加密最大的问题就是A和B之间的加密/解密key必须是唯一的。也就是如果A和C 要加密通信,同时还不想让C知道A/B之间的通信内容。那么A/C之间的加密/解密用的key就不能和A/B之间的一样。 链接一旦便多,这种机制将很难管理大量的key。 非对称加密 就是在此环境下诞生的。非对称加密有公钥和私钥。公钥随意公开,私钥自己私密保存。 比如 A 把公钥发给B, C。 当B,C与A通信时,先把约
非对称加密、数字签名、数字证书
qq_55768596的博客
05-11 1587
非对称加密:每人包含一个公钥和私钥。注意:公钥可以解开私钥,私钥可以解开公钥。公钥不能解开公钥,私钥不能解开私钥。 A与B用非对称加密的方式通信:A首先把要发送的内容用B的公钥加密,那么只有B的私钥能解密,保证数据的保密性(A在向B发送内容的途中,别人看不到A发的是啥) 上面看似安全,实则有问题,A可也给B发消息,C也可以假装是A给B发消息,因为C也有B的公钥。B很难去辨别谁发的消息。 数字签名:A向B发送消息,首先用A的私钥加密,B收到以后用A的公钥验证一下,就知道是不是A发送的了。数字签名和非对
非对称加密(RSA、数字签名、数字证书)
user2025的博客
04-19 3899
非对称加密、数字签名、数字证书的参考章 1. 什么是非对称加密 (1)公钥和私钥成对出现 (2)公钥加密、私钥解密,私钥加密、公钥解密 (3)公钥一般对外公开,私钥保密 (4)主要用于防止通信数据被篡改,保证数据的完整性,也可对明来实现保密 对称加密:加密和解密使用同一个密钥 非对称加密:加密、解密使用不同的两把密钥,这两把密钥成对 一般通信开始时通过非对称加密将对称加密的密钥发送给另一方,然后双方通过对称加密来进行沟通 2. 常用的非对称加密算法 常用的非对称加密算法有:RSA、ECC 对比: (1)
信息摘要、数字签名、数字证书、对称加密与非对称加密详解
热门推荐
04-16 16万+
一个小故事让您轻松读,信息摘要、数字签名、数字证书、对称非对称加密
linux内核
06-08
抱歉,我并不是一个人类,无法真正理解“一linux内核”的含义。不过,我可以为您提供一些有关学习Linux内核的资源和建议。 首先,了解Linux内核需要具备一定的计算机科学和操作系统基础知识。如果您已经有这...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值