Https原理

最新推荐文章于 2024-06-21 13:34:53 发布
最新推荐文章于 2024-06-21 13:34:53 发布
阅读量740 收藏 11
点赞数 1
分类专栏: 密码学知识笔记 文章标签: Https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40792878/article/details/86993130
版权

文章目录

一、Http
1.URL( Uniform Resource Locator )

URL(Uniform Resource Locator) 地址用于描述一个网络上的资源,基本格式例 如 :http://www.vison.com:80/java/index.html?name=ws#head

schema://host[:port#]/path/.../?[url-params]#[ query-string]

scheme 指定应用层使用的协议(例如:http, https, ftp)
host HTTP 服务器的 IP 地址或者域名
port# HTTP 服务器的默认端口是 80,这种情况下端口号可以省略 。 如果使用了别的端 口,必须指明,例如http://www.viso.com:8080/
path 访问资源的路径
query-string 查询字符串
#片段标识符(使用片段标识符通常可标记出已获取资源中的子资源(文档内的某个位置))
2.URI(Uniform Resource Identifier)

  每个 web 服务器资源都有一个名字,这样客户端就可以根据这个名字
来找到对应的资源,这个资源称之为(统一资源标识符)

总结:

  • URI 是用一个字符串来表示互联网上的某一个资源。而 URL表示资源的地点(互联网所在的位置)
3.Http特点

  HTTP 协议是无状态的,什么是无状态呢?就是说 HTTP 协议本身不会对请求和响应之间的通信状态做保存。

如何实现有状态的协议:
  Http 协议中引入了 cookie 技术,用来解决 http 协议无状态的问题。通过在请求和响应报文中写入 Cookie 信息来控制客户端的状态;Cookie会根据从服务器端发送的响应报文内的一个叫做 Set-Cookie 的首部字段信息,通知客户端保存 Cookie。当下次客户端再往该服务器发送请求时,客户端会自动在请求报文中加入 Cookie 值后发送出去。
在基于 tomcat 这类的 jsp/servlet 容器中,会提供 session 这样的机制来保存服务端的对象状态。

4.HTTP协议的缺陷
  1. 通信过程中是使用明文,内容可能会被窃听
  2. 不验证通信双方的身份
  3. 无法验证报文的完整性,报文可能被篡改
二、Https
1.Https介绍

  由于 HTTP 协议通信的不安全性,所以人们为了防止信息在传输过程中遭到泄漏或者篡改,就想出来对传输通道进行加密的方式 https。https 是一种加密的超文本传输协议,它与 HTTP 在协议差异在于对数据传输的过程中,https 对数据做了完全加密。由于 http 协议或者 https协议都是处于 TCP 传输层之上,同时网络协议又是一个分层的结构,所以在 tcp 协议层之上增加了一层 SSL(Secure Socket Layer,安全层)或者 TLS(Transport Layer Security) 安全层传输协议组合使用用于构造加密通道;

2.Https原理

在这里插入图片描述

  1. 客户端发起请求(Client Hello 包)
    a) 三次握手,建立 TCP 连接
    b) 支持的协议版本(TLS/SSL)
    c) 客户端生成的随机数 client.random,后续用于生成“对话密钥”
    d) 客户端支持的加密算法
    e) sessionid,用于保持同一个会话(如果客户端与服务器费尽周折
    建立了一个 HTTPS 链接,刚建完就断了,也太可惜)

  2. 服务端收到请求,然后响应(Server Hello)
    a) 确认加密通道协议版本
    b) 服务端生成的随机数 server.random,后续用于生成“对话密钥”
    c) 确认使用的加密算法(用于后续的握手消息进行签名防止篡改)
    d) 服务器证书(CA 机构颁发给服务端的证书)

  3. 客户端收到证书进行验证
    a) 验证证书是否是上级 CA 签发的, 在验证证书的时候,浏览器会调用系统的证书管理器接口对证书路径中的所有证书一级一级的进行验证,只有路径中所有的证书都是受信的,整个验证的结果才是受信
    b) 服务端返回的证书中会包含证书的有效期,可以通过失效日期来验证 证书是否过期
    c) 验证证书是否被吊销了
    d) 前面我们知道 CA 机构在签发证书的时候,都会使用自己的私钥对证书进行签名
    证书里的签名算法字段 sha256RSA 表示 CA 机构使用 sha256对证书进行摘要,然后使用 RSA 算法对摘要进行私钥签名,而我们也知道 RSA 算法中,使用私钥签名之后,只有公钥才能进行验签。
    e) 浏览器使用内置在操作系统上的CA机构的公钥对服务器的证书进行验签。确定这个证书是不是由正规的机构颁发。验签之后得知 CA 机构使用 sha256 进行证书摘要,然后客户端再使用sha256 对证书内容进行一次摘要,如果得到的值和服务端返回的证书验签之后的摘要相同,表示证书没有被修改过
    f) 验证通过后,就会显示绿色的安全字样
    g) 客户端生成随机数,验证通过之后,客户端会生成一个随机数pre-master secret,客户端根据之前的:Client.random +sever.random + pre-master 生成对称密钥然后使用证书中的公钥进行加密,同时利用前面协商好的加密算法,将握手消息取HASH 值,然后用“随机数加密“握手消息+握手消息 HASH 值(签名)”然后传递给服务器端;( 在这里之所以要取握手消息的 HASH值,主要是把握手消息做一个签名,用于验证握手消息在传输过程中没有被篡改过。 )

  4. 服务端接收随机数
    a) 服务端收到客户端的加密数据以后,用自己的私钥对密文进行解密。然后得client.random/server.random/pre-master secret. ,再用随机数密码 解密 握手消息与 HASH 值,并与传过来的HASH 值做对比确认是否一致。
    b) 然后用随机密码加密一段握手消息(握手消息+握手消息的HASH值) 给客户端

  5. 客户端接收消息
    a) 客户端用随机数解密并计算握手消息的 HASH,如果与服务端发来的 HASH 一致,此时握手过程结束,
    b) 之后所有的通信数据将由之前交互过程中生成的 pre master secret /client.random/server.random 通过算法得出 session Key,作为后续交互过程中的对称密钥

Visonws
关注
  • 1
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPS 原理详解
09-29
本文将深入探讨HTTPS的工作原理,包括其加密机制、证书验证过程以及CA(证书颁发机构)的角色。 首先,HTTPS的安全性主要源于加密技术的运用。在HTTPS的通信过程中,主要采用了非对称加密和对称加密的结合。非对称...
HTTPS原理,三分钟轻松搞懂
热门推荐
qh1112的博客
06-06 1万+
HTTPS协议原理
HTTPS协议及其工作原理
Boone的博客
02-17 6003
123456
HTTPS基本原理
最新发布
Lzcsfg的博客
06-21 995
HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷是为了保证数据安全。近些年,Google、Baidu、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 国内外的大型互联网公司很多也都已经启用了全站 HTTPS,这也是未来互联网发展的趋势。
https 原理
MX__LL的博客
07-31 2075
https 原理
深度解析HTTPS原理
常见的专栏
04-01 2677
HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷是为了保证数据安全。 近两年,Google、Baidu、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 国内外的大型互联网公司很多也都已经启用了全站 HTTPS,这也是未来
https原理与配置 centos
03-20
HTTPS原理与配置CentOS HTTPS(Secure Hypertext Transfer Protocol)是一种安全的通信协议,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。HTTPS使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP...
HTTPS原理详解
08-13
理解HTTPS原理并正确配置服务器对于保障网络安全至关重要。在实际应用中,还需要关注性能优化、证书管理、SSL/TLS协议版本和加密套件的选择等方面。通过深入学习和实践,可以确保你的网站在提供安全服务的同时,保持...
HTTPS原理介绍.pptx
06-13
HTTPS原理介绍 HTTPS(Hypertext Transfer Protocol Secure)是一种基于 TLS/SSL 协议的安全通信协议,用于在互联网上提供安全的通信环境。以下是 HTTPS 原理的相关知识点: 一、密码基础 HTTPS 使用了双向加密...
HTTPS基本原理介绍
花木狗的学习博客
06-29 452
通过以上四点,我们发现,好像通过数字签名+对称加密+非对称加密,我们完全解决了信息安全?不行,还有漏洞。以上一切,无论是数字签名还是协商对称加密密钥,都是基于一个假设,也就是服务器公钥准确无误。那么我们如何把服务器公钥安全地交到用户手中?假设在服务器向客户端传输公钥的过程中,中间带恶人又出现了。中间人截获服务器的公钥A,保存下来,然后把劫持到的数据修改一下,将公钥A替换成自己的公钥H,自己持有私钥h。然后把这个公钥H告诉客户端“你收好了,这就是服务器的公钥”。
HTTPS 原理
weixin_44244088的博客
03-11 3737
HTTPS RSA非对称加密 网络传输 公钥私钥 CA证书 SSL TLS
深入理解HTTPS工作原理
meser88的博客
12-02 661
前言 近几年,互联网发生着翻天覆地的变化,尤其是我们一直习以为常的HTTP协议,在逐渐的被HTTPS协议所取代,在浏览器、搜索引擎、CA机构、大型互联网企业的共同促进下,互联网迎来了“HTTPS加密时代”,HTTPS将在未来的几年内全面取代HTTP成为传输协议的主流。 读完本文,希望你能明白: HTTP通信存在什么问题 HTTPS如何改进HTTP存在那些问题 HTTPS工作原理是什么 想阅读更多优质文章请猛戳GitHub博客,一年五十篇优质文章等着你! 一、什么是HTTPS HTTPS是在HT
https协议原理(图解)
qq_43154385的博客
04-11 1257
WEB服务存在http和https两种通信方式,http默认采用80作为通讯端口,对于传输采用不加密的方式,https默认采用443,对于传输的数据进行加密传输 目前主流的网站基本上开始默认采用HTTPS作为通信方式,一切的考虑都基于对安全的要求,那么本文的主要内容就是:https加密传输的原理 1、https原理通俗讲解 https=http+ssl,顾名思义,https是在http的基础...
20 张图彻底弄懂 HTTPS原理
weixin_41385912的博客
12-03 927
前言近年来各大公司对信息安全传输越来越重视,也逐步把网站升级到 HTTPS 了,那么大家知道 HTTPS原理是怎样的吗,到底是它是如何确保信息安全传输的?网上挺多介绍 HTTPS,但...
【好记性不如烂笔头】HTTPS原理详解
记录并分享信息的载体
10-06 597
HTTPS ,是以安全为目标的 HTTP 通道,在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性 。 HTTPS 存在不同于 HTTP 的默认端口及一个加密/身份验证层(在 HTTP与 TCP 之间)。
https机制原理
DiligentDog的博客
11-03 370
https协议的原理
HTTPS原理与数字证书解析
"此资源是一个关于HTTPS原理的PPT分享,由林婧于2020.10.21分享,涵盖了密码基础、数字证书以及HTTPS原理,并提出了进阶思考问题。" **01PART 密码基础** 在HTTPS中,密码学扮演着至关重要的角色。主要有三种...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值