浅谈HTTPS及其中数字证书原理

最新推荐文章于 2024-01-24 11:00:45 发布
最新推荐文章于 2024-01-24 11:00:45 发布
阅读量264 收藏
点赞数
分类专栏: 网络体系中协议等相关原理 文章标签: https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43809223/article/details/105418263
版权

https处理的一个过程中对称加密和非对称加密

对称加密

所谓对称加密,就是它们在编码时使用的密钥e和解码时一样d(e=d),我们就将其统称为密钥k。

对称加解密的过程如下:

发送端和接收端首先要共享相同的密钥k(即通信前双方都需要知道对应的密钥)才能进行通信。发送端用共享密钥k对明文p进行加密,得到密文c,并将得到的密文发送给接收端,接收端收到密文后,并用其相同的共享密钥k对密文进行解密,得出明文p。

一般加密和解密的算法是公开的,需要保持隐秘的是密钥k,流行的对称加密算法有:DES,Triple-DES,RC2和RC4

对称加密的不足主要有两点:

  1. 发送方和接收方首先需要共享相同的密钥,即存在密钥k的分发问题,如何安全的把共享密钥在双方进行分享,这本身也是一个如何安全通信的问题。
    一种方法是提前双方约定好,不通过具体的通信进行协商,避免被监听和截获。另外一种方式,将是下面我们介绍的通过非对称加密信道进行对称密码的分发和共享,即混合加密系统。
  2. 密钥管理的复杂度问题。由于对称加密的密钥是一对一的使用方式,若一方要跟n方通信,则需要维护n对密钥。

对称加密的好处是:

加密和解密的速度要比非对称加密快很多,因此常用非对称加密建立的安全信道进行共享密钥的分享,完成后,具体的加解密则使用对称加密。即混合加密系统。

另外一个点需要重点说明的是,密钥k的长度对解密破解的难度有很重大的影响,k的长度越长,对应的密码空间就越大,遭到暴力破解或者词典破解的难度就更大,就更加安全。

非对称加密

所谓非对称加密技术是指加密的密钥e和解密的密钥d是不同的(e!=d),并且加密的密钥e是公开的,叫做公钥,而解密的密钥d是保密的,叫私钥。

非对称加解密的过程如下:

加密一方找到接收方的公钥e(如何找到呢?大部分的公钥查找工作实际上都是通过数字证书来实现的),然后用公钥e对明文p进行加密后得到密文c,并将得到的密文发送给接收方,接收方收到密文后,用自己保留的私钥d进行解密,得到明文p,需要注意的是:用公钥加密的密文,只有拥有私钥的一方才能解密,这样就可以解决加密的各方可以统一使用一个公钥即可。

非对称加密的优点是:

  • 不存在密钥分发的问题,解码方可以自己生成密钥对,一个做私钥存起来,另外一个作为公钥进行发布。
  • 解决了密钥管理的复杂度问题,多个加密方都可以使用一个已知的公钥进行加密,但只有拥有私钥的一方才能解密。

非对称加密不足的地方是加解密的速度没有对称加密快。

综上,分析了对称加密和非对称加密各自的优缺点后,有没有一种办法是可以利用两者的优点但避开对应的缺点呢?答应是有的,实际上用得最多的是混合加密系统,比如在两个节点间通过便捷的公开密码加密技术建立起安全通信,然后再用安全的通信产生并发送临时的随机对称密钥,通过更快的对称加密技术对剩余的数据进行加密。

https运输层SSL协议通信过程

  1. 浏览器发送一个连接请求给服务器;服务器将自己的证书(包含服务器公钥S_PuKey)、对称加密算法种类及其他相关信息返回客户端。

  2. 客户端浏览器检查服务器传送到CA证书是否由自己信赖的CA中心签发。若是,执行4步;否则,给客户一个警告信息:询问是否继续访问。

  3. 客户端浏览器比较证书里的信息,如证书有效期、服务器域名和公钥S_PK,与服务器传回的信息是否一致,如果一致,则浏览器完成对服务器的身份认证。

  4. 服务器要求客户端发送客户端证书(包含客户端公钥C_PuKey)、支持的对称加密方案及其他相关信息。收到后,服务器进行相同的身份认证,若没有通过验证,则拒绝连接。

  5. 服务器根据客户端浏览器发送到密码种类,选择一种加密程度最高的方案,用客户端公钥C_PuKey加密后通知到浏览器。

  6. 客户端通过私钥C_PrKey解密后,得知服务器选择的加密方案,并选择一个通话密钥key,接着用服务器公钥S_PuKey加密后发送给服务器。

  7. 服务器接收到的浏览器传送到消息,用私钥S_PrKey解密,获得通话密钥key。

  8. 接下来的数据传输都使用该对称密钥key进行加密。

上面所述的是双向认证 SSL 协议的具体通讯过程,服务器和用户双方必须都有证书。由此可见,SSL协议是通过非对称密钥机制保证双方身份认证,并完成建立连接,在实际数据通信时通过对称密钥机制保障数据安全性

数字证书

什么是数字证书

首先,有一个权威的证书签发机构,称为CA,这个机构,先用RSA产生一对公私钥。 然后用自己的私钥对自己的公钥进行签名,生成所谓的数字证书。

数字证书的产生流程:

先生成一个文件,文件内容大概是这样的:

  • 公钥内容
  • 签发者ID—-谁签发的证书
  • Subject—-也就是这个证书签发给谁。这里subject和签发者ID相同。
  • 有效期
  • 其他信息
    以上内容都是明文。我们称为内容P。

然后使用hash算法,对内容P进行hash计算,得到一个hash值H。 然后使用签发机构的私钥对H进行RSA加密,得到签名信息S。这个步骤称为签名,就是用私钥对某公开内容的hash值进行加密。

然后将P,S连成一个文件,这个文件就是所谓的数字证书了。所以数字证书里,包括证书持有者的身份信息,证书信息,证书持有人的公钥,以及签名信息。

证书的验证流程

现在假设某人得到了这个证书,如何确认这个证书属于谁的呢?
我们看数字证书里有些什么?可以得到P,可以得到S。
我们用同样的hash算法对P进行hash计数,得到一个hash值H1。
P里有公钥,签发者ID,Subject,有效期,及其他信息。我们用公钥解密S,得到了一个值H2。
现在对比H2和H1是否相等,如果相等,那么就证明这个证书是有签发者签发给subject的证书。否则就说明:内容P被篡改过或者证书不是由CA签发的。
这个是对自签发证书的验证过程。需要说明的是,这种自签发证书的验证不常使用,但如何验证证书的原理类似。

参考文章:https://www.cnblogs.com/xiohao/p/9054355.html

九千⑦
关注
专栏目录
HTTPS数字证书验证原理
相忘于江湖
11-08 2万+
一、概述 网络请求方式通常分为两种,分别是HTTP请求和HTTPS请求,其HTTP的传输属于明文传输,在传输的过程容易被人截取并且偷窥其的内容,而HTTPS是一种在HTTP的基础上加了SSL/TLS层(安全套接层)的安全的超文本传输协议,其传输的内容是通过加密得到的,所以说是一种安全的传输 二、加密算法 说到加密算法,先来了解一下两种常用的加密方式,分别是对称加密和非对称加密: ...
HTTPS原理——SSL 与数字证书
chwensrong的博客
08-10 575
《SSL 与数字证书》目录第一章 为什么网络是不安全的第二章 信息安全的基本概念第一节 安全的定义第二节 认证与授权第三章 加密与算法第一节 散列(Hash)第二节 对称加密(Symmetric Cryptography)第三节 非对称加密(Asymmetric Cryptography)第四节 数字签名(Digital Signature)第四章 数字证书第一节 数字证书的构成第二节 如何验证数字证书?第三节 数字证书的级联(Certificate Chain)第五章 SSL的基本原理
https数字证书
sjy8207380的专栏
08-24 214
什么是HTTPS HTTPS是在HTTP和TCP网络层之间新增了一层SSL层(TLS的主要目标是使SSL更安全,并使协议的规范更精确和完善) HTTPS协议的主要作用可以分为两种,一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网络的真实性 数字证书原理 数字签发认证机构(CA) 也称为电子商务认证心、电子商务认证授权机构,是负责发放和管理数字证书的权威机构,并作为电子商务交易受信任的第三方,承担公钥体系公约的合法性检验的责任。 普通数字证书签发的流程 首先用RSA产生一对公私钥,
https数字证书分析
wang0907的博客
02-09 498
当我们要给网站配置https时,都需要本文就一起来看下,这个数字证书到底是什么?为什么必须要配置数字证书
HTTPS协议工作原理(SSL数字证书)
whoim_i的博客
02-23 2071
目录 HTTPS SSL协议的工作过程 SSL数字证书的查看 HTTPS 我们都知道HTTP协议是明文传输的,并且不能验证对方的身份,而且不能保证数据的完整性。而当我们...
web安全——HTTPS间人攻击
Novice-XiaoSong的博客
11-20 668
一、间人攻击过程 正常HTTPS通道建立过程 客户端向服务器发送HTTPS请求 服务器返回公钥 客户端生成私钥,并使用公钥加密,发送给服务器 服务器使用与公钥配对的私钥解密,获取客户端生成的私钥 客户端、服务器使用协商好的私钥进行加密数据传输 间人攻击 客户端向服务器发送HTTPS请求 服务器返回公钥 2.1. 间人劫持服务器数据,备份公钥,生成假公钥,返回给客户端 客户端生成私钥,并使用假公钥加密,发送给服务器 3.1. 间人劫持客户端数据,使用与假公钥配对的假私钥解密获取客户端生成的私钥(
数字证书原理https工作原理
ddd371522的博客
09-02 217
数字证书原理https工作原理 2017年12月20日 14:39:12天天water阅读数 2215更多 分类专栏:加解密 优质博文链接: 数字证书原理https://www.cnblogs.com/JeffreySun/archive/2010/06/24/1627...
浅谈抓包工具原理
qq_43787743的博客
05-26 1656
一、代理原理 众所周知 https协议数据是加密传输的,那为什么charles/fiddler工具可以抓取到https接口数据呢? 前提:了解对称加密、非对称加密、私钥、公钥(密钥) 对称加密 双方使用相同的密钥进行通信; 编、解码使用相同密钥的算法,如(AES,RC4,ChaCha20) 非对称加密 一个密钥对(包含:一个公钥和一个私钥),公钥是对外开放 的任何人可使用,私钥是自己私有的,绝对严格保密; 公钥加密的数据,只能私钥解密 私钥加密的数据,只能公钥解密 编、解码使用不同密钥的算法 ,如(DH,D
计算机二进制编码原理,浅谈计算机信息的二进制编码
weixin_35778603的博客
07-15 2793
摘 要 数据是计算机处理的对象,从不同的处理角度来看,数据有不同的表现形态。从外部形式来看计算机颗处理数值、图、文字、声音、视频以及各种模拟信息量。从高级语言程员的角度来看,有数组、指针、结构、实数、整数、字符和字符串等类型数据。从算法描述的角度来看,有图、表、树、队列、矩阵等结构类型的数据。在计算机内部数据出现的任何形态最终都由机器指令来处理。从计算机指令集体系结构的角度来看,计算机底层的机器...
浅谈API安全
2301_78540048的博客
06-24 1131
API安全
JackHttp -- 浅谈编码、加密(对称加密,非对称加密,Hash算法)
JackWaiting
12-06 1354
什么是编码? Base64 解码原理 Base64 问题解答 什么是加密? 加密的诞生 对称加密 非对称加密 Hash 算法
浅谈网络基础架构
热门推荐
Dkangel的博客
04-15 1万+
浅谈网络基础架构背景看一次网络请求主要过程1.URL解析2.DNS解析解析顺序服务器层次划分3.建立TCP连接HTTP请求为什么要用TCP协议建立连接?TCP 三次握手4.服务器处理请求5.浏览器接受响应6.渲染页面部署架构总览结构组成相关术语负载均衡(LB/SLB)为什么有LBLB分类二层负载均衡(mac)三层负载均衡(ip)四层负载均衡(tcp)七层负载均衡(http)LVS(四层LB)基础概念LVS集群NGINX(七层LB)四层与七层的区别负载均衡调度器NATFNATTUNDRLB算法统一接入层(AS
什么是数字证书数字证书认证机构和数字根证书,HTTPS认证流程和对称加密
最新发布
一个后端菜鸟的博客
01-24 3718
什么是数字证书数字证书认证机构和数字根证书,HTTPS认证流程和对称加密 是用于公开密钥基础建设的电子文件,用来证明公开密钥拥有者的身份。HTTPS进行认证就是用数字证书自签证书(相对于个人证书)服务器证书(用于通过安全套接字层 [SSL] 技术在服务器和客户机之间建立安全会话)证书的内容包括:电子签证机关的信息、公钥用户信息、公钥、权威机构的签字和有效期等等。目前,证书的格式和验证方法普遍遵循X.509国际标准。从ca获取的数字证书
https原理数字证书
Hell_potato777的博客
09-05 4441
简单说就是有一个密钥,它可以加密一段信息,也可以对加密后的信息进行解密,和我们日常生活用的钥匙作用差不多。对称加密(https://sectigostore.com/blog/types-of-encryption-what-to-know-about-symmetric-vs-asymmetric-encryption/)用对称加密可行吗?如果通信双方都各自持有同一个密钥,且没有别人知道,这两方的通信安全当然是可以被保证的(除非密钥被破解)。
HTTPS(一):公钥、私钥、数字证书
ArtAndLife的博客
02-28 7199
1. 从一个加密通信的演化过程 看各种加密技术的由来及作用: 1.1 传统HTTP的明文传输:   传统的HTTP方式在网络传输时,传输数据都是明文的,很容易出现数据被监听和窃取的情况:   另外,传输的数据还有可能被一些别有用心的人篡改,导致浏览器与服务器之间收发的内容不一致:   也就是说,使用HTTP明文传输至少存在着 数据被监听 以及 数据被篡改 这两大风险,因此HTTP是一种不安全的协议。 1.2 对称加密:   既然HTTP明文传输是一种不安全的协议,那么显然就需要在网络传输过程对数据进
数字证书原理
weixin_30737363的博客
06-24 1832
首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows数字证书的管理,最后演示使用makecert生成数字证书。如果发现文有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容...
HTTPS生成数字证书
F_qiu的博客
05-05 3625
由于 HTTPS 具有良好的安全性,在开发得到了越来越广泛 的应 像微信公众号 、小 程序 等的开发都要 使用 HTTPS 来完成。 在\j dk \ bin 录下 ,通过这个 工具可 以自己 生成一个数字证书, 生成命令如下: keytool -genkey -alias tomcathttps -keyalg RSA -keysize 2048 -keystore sang.p12 -validity 365 命令解释 • -genkey 表示要创 一个新的 密钥。 • alias 表示 keysto
数据恢复原理_浅谈数据恢复原理
05-20
数据恢复原理是指通过技术手段将已经丢失、损坏或删除的数据重新找回的过程和方法。数据恢复原理的基本思路是通过对存储介质上已经删除的数据的恢复,或对存储介质上损坏的数据的修复,最终将数据重新找回。 数据恢复原理的实现依赖于存储介质的特性和数据的特点。存储介质可以是硬盘、固态硬盘、U盘、CD-ROM等各种存储设备,而数据可以是各种文件、照片、音频、视频等各种形式的信息。 在实际的数据恢复,通常需要采用多种技术手段和工具,如数据恢复软件、数据恢复仪器、数据恢复工程师等,来达到恢复数据的目的。其,数据恢复软件是最常见的一种手段,它可以通过扫描存储介质上的数据块,将已经删除或损坏的数据重新找回。而数据恢复仪器则可以通过物理手段修复存储介质上的损坏部分,以达到恢复数据的目的。 总之,数据恢复原理是一项非常重要的技术,它可以帮助我们在各种情况下找回误删除或丢失的数据,从而保护我们的数据安全和隐私。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值