HTTPS 的通信加解密过程,证书为什么更安全?

置顶 已于 2023-12-14 10:03:06 修改
阅读量427 收藏 7
点赞数 14
分类专栏: 计算机网络 文章标签: https 安全 网络协议
于 2023-12-13 14:02:52 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_55010563/article/details/134970647
版权

HTTPS(Hypertext Transfer Protocol Secure)是一种通过加密和身份验证保护数据传输安全的通信协议。下面是HTTPS通信加解密的过程及证书为什么更安全的解释:

1.客户端发起HTTPS请求:客户端(通常是Web浏览器)向服务器发起HTTPS请求,请求与服务器建立安全连接。
2.服务器向客户端发送证书:服务器会将其数字证书(Certificate)发送给客户端。数字证书是由可信任的第三方机构(CA,Certificate Authority)签发的,用于证明服务器身份的电子文件。证书中包含了服务器的公钥和其他身份信息。
3.客户端验证证书:客户端收到服务器的证书后,会验证证书的真实性和有效性。首先,客户端会检查证书是否由受信任的CA签发,以确保证书的合法性。如果证书有效且受信任,客户端会继续执行后续步骤;否则,会弹出一个安全警告,提示用户有可能存在不安全的连接。
4.客户端生成密钥:如果证书有效,客户端会生成一个用于对称加密通信的随机密钥,并使用服务器的公钥进行加密。
5.服务器解密消息:服务器收到客户端发来的加密密钥后,使用自己的私钥对其进行解密,获取对称加密的密钥。
6.客户端和服务器使用对称密钥进行加密通信:客户端和服务器通过协商好的对称密钥进行加密和解密,这意味着数据传输过程中使用相同的密钥进行加密和解密,保证了数据传输的机密性和完整性。

为什么证书更安全?

7.身份验证:通过数字证书,客户端可以验证服务器的身份。证书由受信任的CA签发,证明了服务器的身份是合法可信的。这样可以防止中间人攻击和欺骗,确保与正确的服务器进行通信。
8.数据加密:证书中包含了服务器的公钥,用于加密对称密钥,确保只有服务器能够解密数据。这样即使数据被截获,黑客也无法解密其中的内容。
9.安全性更新:证书具有有效期限,通常为一年或更短。这可以确保证书及其相关密钥的安全性,因为即使证书被泄露或遭到攻击,有效期限的限制也可以限制威胁的影响范围。

综上所述,HTTPS通过加密和证书认证实现数据的安全传输,保护了用户的隐私和数据机密性。证书的使用能够确保服务器的身份和通信的安全性,增加了整个通信过程的安全性和可信度。

牛马程序员24
关注
  • 14
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
基于python的安全即时通讯系统源码+数据库+详细项目说明(课程设计项目).zip
12-20
【资源说明】 1.项目代码均经过功能验证ok,确保稳定可靠运行。欢迎下载使用体验! 2.主要针对各个计算机相关专业,包括计算机科学、信息安全、数据科学与大数据技术、人工智能、通信、物联网等领域的在校学生、专业教师、企业员工。 3.项目具有丰富的拓展空间,不仅可作为入门进阶,也可直接作为毕设、课程设计、大作业、初期项目立项演示等用途。 4.当然也鼓励大家基于此进行二次开发。在使用过程中,如有问题或建议,请及时沟通。 5.期待你能在项目中找到乐趣和灵感,也欢迎你的分享和反馈! 【项目介绍】 基于python的安全即时通讯系统源码+数据库+详细项目说明(课程设计项目).zip 请不要在同一目录下运行服务端与客户端,否则会因为密钥冲突产生类型错误。即请分别运行服务端与客户端。 目的 设计完成简易的安全即时通讯系统,实现类似于QQ的聊天软件; 需求分析 # 功能需求 1. 聊天客户端 1. 注册:用户与集中服务器通信完成注册,包括用户名、密码、邮箱、性别、年龄、数字证书等信息传输,其中数字证书包含公钥、用户名、邮箱等信息。私钥单独保存在客户端一个文件夹下不进行传输;能显示用户名、邮箱不符合格式规范或者重复,空输入等错误信息。 2. 认证登录:客户端与集中服务器通信完成用户名、口令认证登录;能显示用户名、密码错误导致的登录错误信息。还有已登录账号再次登录时的多重登录检验,并将之前登陆的账号顶下去。 3. 好友管理:用户可通过服务器进行搜索、添加、删除好友。 4. 即时通信:用户通过客户端实现与好友的聊天,包括文字、图片传输。文字可实现字体颜色和大小的改变。 5. 聊天记录:客户端能够保存聊天记录并且可以查看聊天记录。 6. 消息加解密:采用D-H体制协商加密秘钥,用对称密码AES算法进行加解密。 7. 消息摘要:使用MD5算法实现消息摘要认证功能,确保发送消息的完整性。 8. 用户未读消息提醒:红点标注未读消息数目,并按最后发送消息时间排列好友列表。 9. 用户离线后消息处理:用户上线后及时接收到离线时好友发送的消息。
基于OpenSSL的安全聊天系统python源码+使用教程(网络安全大作业).zip
12-29
1.项目代码均经过功能验证ok,确保稳定可靠运行。欢迎下载体验!下载完使用问题请私信沟通。 2.主要针对各个计算机相关专业,包括计算机科学、信息安全、数据科学与大数据技术、人工智能、通信、物联网等领域的在校学生、专业教师、企业员工。 3.项目具有丰富的拓展空间,不仅可作为入门进阶,也可直接作为毕设、课程设计、大作业、初期项目立项演示等用途。 4.当然也鼓励大家基于此进行二次开发。在使用过程中,如有问题或建议,请及时沟通。 5.期待你能在项目中找到乐趣和灵感,也欢迎你的分享和反馈! 【资源说明】 基于OpenSSL的安全聊天系统python源码+使用教程(网络安全大作业).zip 一个简单的半双工安全聊天系统,聊天结束后可以将聊天记录加密保存。 使用说明 # 环境安装 ```bash pip install -r reqirements.txt ``` # 生成证书 ```bash cd cert make cert ``` # 删除证书 ```bash cd cert make clean ``` # 启动服务端(端口已配置好) ```bash python3 server.py ``` 跟随提示配置密钥,会话记录会以结束时间为文件名存储于record目录。 # 启动客户端(端口已配置好) ```bash python3 client.py ``` 启动即自动连接服务端。 # 启动解密程序 ```bash python3 decode.py ``` 跟随提示指定加密会话记录文件,输入密钥即可解密。
加解密、签名、验签、数字签名、数字证书
hinewcc的博客
03-21 846
加解密、签名、验签、数字签名、数字证书
物联网安全_实验9 信息保密性、完整性和不可抵赖性的综合应用.doc
06-23
1、PGP概述 PGP(Pretty Good Privacy)的创始人是美国的Phil Zimmermann(菲利普•齐默曼),他在1991年把 RSA 公钥体系的方便和传统加密体系的高速度结合起来,并且在数字签名和密钥认证管理机制上有巧妙的设计。因此 PGP 成为几乎最流行的公匙加密软件包。PGP有不同的实现,如GnuPG和Gpg4win,其中GnuPG(Gnu Private Guard,简写为GPG)的核心算法是PGP,GnuPG本身是为Linux等开源操作系统设计的;而Gpg4win是windows下GnuGPG及图形前端的合集安装包,其核心为GnuPG,包括:(1)Kleopatra和GPA:GPG的密钥管理器,用于生成、导入和导出GPG密钥(包括公钥和私钥);(2)GpgOL:Outlook 的GPG支持插件;(3)GpgEX:资源管理器的GPG支持插件;(4)Claws Mail:内置GPG支持的邮件客户端。 PGP是一个基于RSA公钥加密体系的加密软件,是开源且免费的,后经互联网志愿者发展完善并广泛应用,具有如下特点:(1)选择最可用的加密算法作为系统的构造模块,所用算法已被广泛检验过,相当安全;并将这些算法集成到一个通用的应用程序中,该程序独立于操作系统和处理器,并且基于一个使用方便的小命令集;(2)是一个开源项目,程序、文档在Internet上公开;(3)可以免费得到运行于多种平台上的PGP版本,具有广泛的可用性;(4)不由任一政府或标准化组织所控制,使得PGP得到了广泛信任;(5)与商业公司(Network Associates)合作,提供一个全面兼容的、低价位的商业版本PGP。2010年6月被赛门铁克公司收购。由于这些特点,使得PGP得到了广泛的应用。 PGP常用的版本是PGP Desktop Professional,它可以用来加密文件,可以用来对邮件保密以防止非授权者阅读,还能对邮件加上数字签名从而使收信人可以确认邮件的发送者,并能确信邮件没有被篡改。同时,通过使用公钥密码算法,可以提供一种事先并不需要任何保密的渠道用来传递密匙的安全通讯方式。PGP功能强大,而且具有很快的速度,PGP提供的主要功能如表1.7.1所示。 表1.7.1 PGP的功能概述 功能 使用的算法 描述 消息加密 IDEA、CAST、3DES、TwoFish、ElGamal、RSA 发信人产生一次性会话密钥加密,用IDEA或CAST-128或3DES算法对消息进行加密;采用ElGamal或RSA算法用接收方的公钥加密会话密钥 数字签名 DSS/SHA-1、RSA/MD5 采用SHA-1或MD5消息摘要算法计算消息的摘要值(散列码),用发送者的私钥按DSS或RSA算法加密消息摘要 压缩 PKZIP 消息在传送和存储时可使用PKZIP压缩 E-mail兼容性 Radix-64 对E-mail应用提供透明性,采用基数64编码将加密后的消息(二进制流)转换为ASCII字符串 数据分段 - 为了适应最大消息长度限制,PGP执行分段和重新组装 2、PGP的密钥管理 PGP是一种混合密码系统,应用了多个密码算法,包括对称密码算法、非对称密码算法、消息摘要算法、数字签名等经典的密码学算法。为用户生成密钥对之后,可以进行邮件的加密、签名、解密和认证。在PGP中使用的加密算法和用途如表1.7.2所示。 表1.7.2 PGP中采用的各种密码算法及用途 密钥名 加密算法 用途 会话密钥 IDEA、AES 对传送消息的加解密,随机生成,一次性使用 公钥 RSA、Diffie-Hellman 对会话密钥加密,收信人和发信人共用 私钥 DSS/SHA、RSA/SHA 对消息的杂凑值加密以形成签名,发信人专用 口令 IDEA 对私钥加密以存储于发送端 从上表可以看出,PGP使用了四种类型的密钥:一次性会话传统密钥、公钥、私钥和基于口令短语的传统密钥/通行字短语。 会话密钥按ANSI X9.17标准,采用IDEA算法,以密文反馈模式(CFB)生成。当PGP用RSA算法为用户生成一个新的公钥/私钥对时,PGP会要求用户提供一个口令短语,对该短语使用MD5/SHA-1消息摘要算法生成一个散列码后,销毁该短语,从而把用户输入的口令短语转化为IDEA/CAST-128密钥,再使用这个密钥加密私钥,然后销毁这个散列码,并将加密后的私钥存储到私钥环中。当用户要访问私钥环中的私钥时,必须提供口令短语。PGP将取出加密后的私钥,生成散列码,解密私钥。 一个用户可能拥有多个公钥/私钥对,正确识别加密会话密钥和签名所用的特定公钥/私钥对的一个最简单的解决方案是将公钥和消息一起传送。但这种方式浪费了不必要的空间。PGP采用的解决方案是给每个公钥分配一个密钥标识(KeyID),并以极大的概率与用户标识(UserID)一一对应,即UserID和KeyID标识一个密钥。密钥标识至少为64位,因而密钥标识重复的可能性非常小。 PGP提供一种系统化的密钥管理方案来存储和组织这些密钥以保证有效使用这些密钥,它为每个节点(用户机器)提供一对数据结构,一个用于存放本节点自身的公钥/私钥对(即私钥环),另一个用于存放本节点知道的其他用户的公钥(即公钥环)。私钥环信息:时间戳、KeyID、公钥、私钥、UserID,其中UserID通常是用户的邮件地址。也可以是一个名字,可以重名;公钥环信息:时间戳、KeyID、公钥、对所有者信任度、用户ID、密钥合法度、签名、对签名者信任度,其中UserID为公钥的拥有者。多个UserID可以对应一个公钥。公钥环可以用UserID或KeyID索引。 如何保证用户公钥环上的公钥确实是指定实体的合法公钥,这是一个至关重要的问题。PGP提供几种可选的方案以减少用户公钥环中包含错误公钥的可能性:(1)物理上得到对方的公钥。这种方式最可靠,但有一定局限性;(2)通过电话验证公钥;(3)从双方都信任的第三方(个体或CA)处获得对方的公钥。 此外,PGP支持密钥管理服务器,用户可以将公钥发布在集中的密钥服务器上,供他人访问。 3、PGP的消息处理过程 PGP消息分成原始消息、签名部分和会话密钥部分三个部分。 PGP发送方处理消息的过程为:(1)签名:利用UserID作为索引,从私钥环中得到私钥;PGP提示输入口令短语,恢复私钥;构造签名部分;(2)加密:PGP产生一个会话密钥,并加密消息;PGP用接收者UserID从公钥环中获取其公钥;构造消息的会话密钥部分。 PGP接收方处理消息的过程为:(1)解密消息:PGP用消息的会话密钥部分中的KeyID作为索引,从私钥环中获取私钥;PGP提示输入口令短语,恢复私钥;PGP恢复会话密钥,并解密消息;(2)验证消息:PGP用消息的签名部分中的KeyID作为索引,从公钥环中获取发送者的公钥;PGP恢复被传输过来的消息摘要;PGP对于接收到的消息计算摘要,并与上一步的结果作比较。 4、PGP的信任模型 由于PGP重在广泛地在正式或非正式环境下的应用,所以它没有建立严格的公钥管理模式。尽管PGP没有包含任何建立认证权威机构或建立信任体系的规范,但它提供了一个利用信任关系的方法,将信任关系与公钥联系起来。PGP定义了与基于X.509真实的公钥基础设施(PKI)不同的证书模型,即所谓“信任网(Web of Trust)”模型。传统PKI模型依赖于CA层次体系验证证书和其中的密钥。而PGP模型则允许多重地、独立地而非特殊可信个体签署的“名字/密钥”关联来证明证书的有效性,其理论是认为“只要有足够的签名,<名字/密钥>关联就是可信的,因为不会所有的签名者都是‘坏’的”。PGP的信任网就像人际关系网一样,通过下述方式让使用公钥的人相信公钥是其所声称的持有者:(1)直接来自所信任人的公钥;(2)由所信赖的人为某个自己并不认识的人签署的公钥。因此,在PGP中得到一个公钥后,检验其签名,如果签名人自己认识并信赖他,就认为此公钥可用或合法。这样,通过所认识并信赖的人,就可以和总多不认识的人实现PGP的安全E-mail通信。 具体而言,在PGP中是通过在公钥环中的下述3个字段来实现Web of Trust信任模型的:(1)密钥合法性字段(key legitimacy field):指示用户公钥合法性的可信等级。信任级别越高,则用户标识UserID与密钥间的绑定关系就越强。这个字段是由PGP计算的;(2)签名信任字段(signature trust field):每一个公钥项都有一个或者多个签名,这是公钥环主人收集到的、能够认证该公钥项的签名。每一个签名与一个signature trust field关联,指示PGP用户信任签名者对此公钥证明的程度。key legitimacy field 是由多个signeture trust field 导出的;(3)所有者信任字段(owner trust field):指示此公钥对其他公钥证书进行签名的信任程度。这个信任程度是由用户给出的。 PGP使用以个人为中心的信任模型,采取一种“社会信任链”的方式进行公钥分发。在这种方式下,用户可以自行决定对周围的联系人是否信任,并可以决定信任度的高低。用户只接收信任的朋友传送来的公钥,并且这些公钥都带有签名。这种方式反映了社会交往的本质,比较适合一般场合下的安全通信。 本实验通过实际操作,了解PGP/GPG4Win软件的常用功能,利用PGP/GPG4Win软件实现密钥管理、对文件和电子邮件的签名与加密等操作。
论文研究-基于证书签密的IPv6网络跨域认证协议.pdf
07-22
为了解决IPv6网络互连过程中基于身份认证的域内用户与基于无证书认证的域内用户之间进行跨域认证和密钥协商的问题, 提出了一种随机预言机模型下可证明安全的基于证书签密的认证方案, 设计了一种IPv6网络跨域认证协议并对其安全性和效率进行了分析。结果表明, 在安全性方面, 该协议具有完美向前保密和双向实体认证等安全属性, 满足了认证的安全需求; 在效率方面, 与同类协议相比, 该协议无须进行公钥加/解密运算, 也不受同步环境的限制, 只需五条消息就能实现跨域认证, 计算开销和通信开销都相对较小。
数字证书原理
weixin_30737363的博客
06-24 1721
文中首先解释了加密解密的一些基础知识和概念,然后通过一个加密通信过程的例子说明了加密算法的作用,以及数字证书的出现所起的作用。接着对数字证书做一个详细的解释,并讨论一下windows中数字证书的管理,最后演示使用makecert生成数字证书。如果发现文中有错误的地方,或者有什么地方说得不够清楚,欢迎指出! 1、基础知识 这部分内容主要解释一些概念和术语,最好是先理解这部分内容...
加密与安全:图解非对称加密算法 RSA 数字签名与数字证书
yygr的博客
04-06 1786
这时候我们需要一个权威的第三方机构(CA)确认这一个公钥确实是真实的服务器的公钥,服务器将自己的公钥和一些私人信息发给 CA,CA 用自己的私钥将这些数据加密之后就是数字证书(SSL证书)。当别人收到你的公告时,他可以用你的公钥解密你的签名,如果解密成功,并且解密出来的哈希值确实和你的公告原文做哈希处理后是一致的,那就证明了两点:这消息确实是你发的,而且内容是完整的。当服务器向客户端发送数据的时候,还附带上从 CA 下载到本地的证书,客户端拿到证书以后使用CA的公钥进行解密,确认服务器的公钥无误。
加密解密、加签验签、数字证书流程分析
2301_81922209的博客
01-10 765
使用的密钥只有一个,使用相同密钥对消息进行加密和解密。常用于加密交互内容。常见算法有:DES、3DES、AES等。需要两个密钥,一个称为 公开密钥 (public key),即 公钥,另一个称为 私有密钥 (private key),即私钥。加密和解密使用的是两个不同的密钥。常用于加密对称秘钥。常见算法有:RSA、SM2、DSA等。优点:安全高,公钥是公开的,秘钥是自己保存的,不需要将私钥给别人;缺点:加密和解密花费时间长、速度慢,只适合对少量数据进行加密。
https加解密流程_2
weixin_43493709的博客
05-06 501
https加解密流程
https简单总结下
li198847的博客
12-18 541
1.公钥与私钥原理 1)鲍勃有两把钥匙,一把是公钥,另一把是私钥 2)鲍勃把公钥送给他的朋友们----帕蒂、道格、苏珊----每人一把。 3)苏珊要给鲍勃写一封保密的信。她写完后用鲍勃的公钥加密,就可以达到保密的效果。 4)鲍勃收信后,用私钥解密,就看到了信件内容。这里要强调的是,只要鲍勃的私钥不泄露,这封信就是安全的,即使落在别人手里,也无法解密。 5)鲍勃给苏珊回信,决定采用"数字签名"。他...
HTTP和HTTPS协议
weixin_46436257的博客
02-04 1290
数字签名是一种通过使用私钥对信息进行加密来验证信息完整性和发送者身份的技术。数字证书是一种由数字证书颁发机构(CA)签发的电子文档,用于证明一个实体(如个人、组织或网站)的身份。
模拟实现了TLS通信过程的全流程
08-11
原理可概括为:client通过验证server身份并分享会话密钥,然后通过只有server可client知道的会话密钥进行通信。全流程如下(client建立与server的TLS通信): 1. client验证server证书合法性,client对server的可信...
http和https的区别?.md
03-27
HTTPS使用公钥和私钥两种密钥,实现加密和解密的过程HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。 HTTP和HTTPS安全性、资源消耗、端口、加密机制、证书、成本、适用...
利用C#实现SSLSocket加密通讯的方法详解
12-17
SSL Socket通讯是对socket的扩展,增加Socket通讯的数据安全性,SSL认证分为单向和双向认证。单向认证只认证服务器端的合法性而不认证客户端的合法性。双向认证是同时认证服务端和客户端。下面我分别说说使用C#实现...
加解密数字证书详解
tenfyguo的技术专栏
03-20 5132
一,对称加密 所谓对称加密,就是它们在编码时使用的密钥e和解码时一样d(e=d),我们就将其统称为密钥k。 对称加解密过程如下: 发送端和接收端首先要共享相同的密钥k(即通信前双方都需要知道对应的密钥)才能进行通信。发送端用共享密钥k对明文p进行加密,得到密文c,并将得到的密文发送给接收端,接收端收到密文后,并用其相同的共享密钥k对密文进行解密,得出明文p。   一般加密和解密
数字证书应用综合揭秘(包括证书生成、加密、解密、签名、验签)
weixin_34112208的博客
08-30 1987
引言 数字证书是一个经证书授权中心数字签名的包含公开密钥拥有者信息以及公开密钥的文件。为现实网络安全化标准,如今大部分的 B2B、B2C、P2P、O2O 等商业网站,含有重要企业资料个人资料的信息资信网站,政府机构金融机构等服务网站大部分都使用了数字证书来加强网络的安全性。数字证书一般由经过国家认证的权威机构颁发,即CA(例如中国各地方的CA公司)中心签发的证书,也可以由企业级CA系统进行签发,...
什么是https加密协议?加密算法及过程分析
白帽子凯哥哥的博客
12-08 119
作为一名网络安全专家,我时常强调 HTTPS 在维护网络通信安全中的关键作用。HTTPS(超文本传输协议安全版)是 HTTP 的安全版本,它通过使用 TLS(传输层安全协议)或以前的 SSL(安全套接字层)协议来加密数据,保护数据在互联网上的传输免受窃听和篡改。
HTTPS 加密解密大致流程
最新发布
小楼一夜听春雨,深巷明朝卖杏花
04-16 871
在我们开始配置之前,让我们先了解一下HTTPS和它的重要性。
信息安全加解密数字证书,时间戳
07-28
信息安全加解密是指通过使用密码算法对数据进行加密和解密,以保护数据的机密性。常见的加密算法有对称加密算法和非对称加密算法。 对称加密算法使用同一个密钥对数据进行加密和解密。常见的对称加密算法有DES、AES...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

牛马程序员24

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值