https传输原理

最新推荐文章于 2023-09-21 15:28:46 发布
置顶 最新推荐文章于 2023-09-21 15:28:46 发布
阅读量154 收藏
点赞数
分类专栏: https 文章标签: https

Https通信基本过程

在通信过程中,https是如何保证通信的安全的?如何加密信息,如何防止中间人攻击?
以下是客户端发起https请求的时候的流程:

Created with Raphaël 2.1.0 客户端 客户端 服务端 服务端 发送随机数client_random和支持的加密方式列表 返回随机数server_random、选择的加密方式和证书(经CA签发,里面包含公钥) 验证证书 使用证书中的公钥加密premaster secret发送给服务端 使用私钥解密得到premaster secret

流程解析如下:

  1. 客户端发送随机数client_random和支持的加密方式列表
  2. 服务器返回随机数server_random,选择的加密方式和证书(经过ca颁发,或者自签名的证书,该证书包含公钥)
  3. 客户端验证证书,使用证书中的公钥加密premaster secret发送给服务端
  4. 服务端使用私钥解密得到premaster secret
  5. 两端分别通过client_random,server_random和premaster secret生成master secret,用于对称加密后续通信内容

整个过程主要的作用是让双方安全地协商出一个key,这个key会用于对称加密中。第三方即使截取了所有的通信数据,也是无法获取到这个key的。既然第三方无法获取这个key,自然也对加密过的数据无可奈何了。大家看到这里可能一脸懵逼,可能会有以下疑问:

  • 这个过程是如何保证key不会被中间人窃取呢?
  • 客户端/服务端如何确认对方就是“正确的人”,而不是其他中间人呢?

什么是RSA非对称加密

在解答上面的问题之前,首先我们得先了解一些基本的知识:

RSA非对称加密:RSA分为公钥和私钥,从私钥可以生成公钥,但是不能通过公钥生成私钥。公钥加密过的信息,只有私钥能解开,私钥加密的信息,只有公钥能解开

https如何保证key不会被中间人窃取

在步骤(1)中,客户端的随机数client_random是完全可以被中间人窃取的,然后在步骤(2)中服务端返回的server_random也是完全可被中间人窃取的。关键是在步骤(3),客户端会把生成的premaster secret通过公钥进行加密,然后再发送给服务器,中间人当然也可以窃取加密后的premaster secret数据,但是中间人却不能解密出原始的premaster secret,这是为什么呢?因为公钥加密的数据,只有私钥能解开,而私钥是保存在服务端,不会外泄的!通过步骤1-4,服务器和客户端相互持有了client_random,server_random和premaster secret,而且只有客户端和服务端才有premaster secret,中间人是没有的。这时候通过前面三个key,生成master secret用于对称加密,确保通信安全。

为何最终使用对称加密,而不是全部通信都使用非对称加密呢?猜测是因为非对称加密效率和速度不如对称加密。而且对称加密的安全性并不是不高,对称加密的难点在于如何安全地交换key。

我一开始理解https的时候,遇到一个困惑:如果中间人从建立连接一开始就冒充服务器,转发客户端和服务端的所有数据,那么所有数据在中间人眼里应该都是透明的啊,中间人应该也能解密通信数据啊?是的,中间人确实是可以拿到所有数据,但是,中间人没有服务器的私钥!所以即使拿到了数据,也不能得到对称加密的key。其实说白了,一个https请求,不知会经过多少个中间人呢,所有路由转发都有可能是中间人,都有可能攻击你,但恰恰就是因为没有私钥而不能窃取数据,他们只能转发数据,但却不能解密数据。

如何确认对方就是“正确的人”,而不是其他中间人呢

但是问题又来了,虽然通信内容不会被第三个人窃取了,但是我如何保证对方就是我想要找的人呢?
比如我要访问www.baidu.com,确实有一个服务器给了我回复,但我怎么确定这个是真的“百度”给我的回复呢?万一我的请求被劫持了呢?

这个就得依靠验证步骤(2)里的证书了。

什么是证书呢?数字证书就是一个人或者组织在网络世界中的身份证,其发证机关是证书管理机构(certificate authority,CA),在这里CA是一个权威的机构,我们可以信任他,他信任的站点,我们也会认为是可信任的。个人电脑上无法对每一个网站都进行验证,因为这样几乎不可能,也不方便。在日常生活中,如果我们要验证一个人的身份,通常的做法是查看他的身份证。我们信任身份证颁发机构即政府机构的公信力,因此只要验证一个人的身份证不是伪造的,我们就相信这个人的身份和身份证上所描述的是一致的。

说到这里,又有同学可能要懵逼了,通俗点讲,就是所有网站都要去CA机构那里去登记,然后CA会发给那么网站一个“身份证”。但是我们如何验证一个人身份证的真伪呢?CA机构也会提供一个工具给我们,我们用那个工具就可以验证身份证的真伪。

  • 网站身份证:网站证书,需要CA机构签发
  • 真伪辨认工具:CA证书

那么,什么是CA颁发的“身份证”呢?
这里写图片描述

  1. 服务端生成自己的证书请求文件(尚未被CA签名),里面包含了姓名、服务器私钥对应的公钥等信息
  2. CA机构对该证书进行签名,也就是生成数字签名,注意,这个签名是用CA的私钥加密过的
  3. 把原始的证书和生成的数字签名合并在一起,形成证书
    这里写图片描述

这里写图片描述

在https的步骤(2)的时候,服务器发给用户的证书就是这个签名过之后的证书,客户端收到证书后,会使用CA的公钥(这个是内置在浏览器的)对数字签名进行解密得出一个信息摘要,然后用哈希算法自己算出信息摘要,对比摘要,一致的话,证明该证书是CA机构颁发的。因为公钥只能解开私钥加密的数据,如果信息摘要是匹配的,那么证明该加密数据是由CA机构用私钥加密的,证书是可靠的。

到现在,我们终于可以愉快地确定对方的身份,愉快地通信了。主要是依赖一个CA公钥来判别对方证书的真伪。

但是会有同学问了,万一冒牌网站把正牌网站copy下来,转发给我了怎么办,转发的证书是由正牌网站copy的,肯定是真的,所以客户端可以验证通过的,那怎么办?确实是的,如果冒牌网站用正版网站的证书来忽悠客户端,那么客户端确实是会被“忽悠”过去的,但是不用担心,客户端是依靠证书上的公钥来生成premaster secret的,而公钥对应的私钥,冒牌网站是不可能拿得到的,也就不可能解密出正确的premaster secret,自然也无法正常和客户端正常沟通了。

现在很多android应用的服务端虽然采用的是https,但是却是没有经过ca机构认证的(因为要花钱),所以一般会自己给自己颁发数字证书(自己充当CA)。但国内很多开发者在android应用里面采用的做法是信任所有证书,这样是很不安全的,正确的做法应该是导入CA的证书,这样才能在拿到证书后,判断证书的真伪。

原文地址:http://blog.csdn.net/shensky711/article/details/52214842

本文出自: 【HansChen的博客】

深知的知深
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
为什么HTTP协议不安全?如何解决?
禅与计算机程序设计艺术
09-08 1240
作者:禅与计算机程序设计艺术 1.简介 HTTP协议为什么不安全? HTTP(Hypertext Transfer Protocol)即超文本传输协议,是互联网上应用最广泛的协议之一。它定义了客户端浏览器与服务器之间的通信规则,使得它们可以从万维网
CSS之·继承
weixin_58227247的博客
09-21 3000
经常有人会把层叠跟继承混淆,虽然两者相关,但是我们还是应该去区分它们。这是因为initial关键字恢复了color属性的默认值,而color属性的默认值是:color:balck;我们可以看到Terms of use在这里显示了黑色,并没有显示蓝色或者绿色。如下图,继承属性是从DOM树的父节点传递到后代节点。可以用它来覆盖另一个值,这样该元素就会继承其父元素的值。有时,我们想用继承代替层叠值。并不是所有属性都可以继承过来!标签的属性,显示了红色。继承与文本相关的属性。,那么就会有效的将其。
CSS的属性继承
coolchaobing的博客
07-28 3385
认识CSS的属性继承
HTTP的不安全以及安全的HTTPS原理及流程
做技术,贵在学习与坚持!
06-23 2802
1、不安全的HTTP** HTTP协议没有任何的加密以及身份验证的机制,非常容易遭到窃听、劫持、篡改等。不安全的原因主要包含以下三个方面: 通信使用明文,内容可能被窃听。 不验证通信方的身份,因此有可能遭到伪装。 无法验证报文的完整性,所以有可能被篡改。 传统的HTTP请求过程都是明文传输的,所谓的明文指的是没有经过加密的信息,如果HTTP请求和响应被黑客拦截,并且里面含有密码等敏感数据的话,会非常危险。 说明:由于HTTP本身不具备加密的功能,所以也无法做到对通信整体进行加密,HTTP报文使用明文方
CSS中哪些属性可以继承?
最新发布
子玉的博客
09-21 1377
此外,继承的行为也取决于元素的类型和上下文,有些属性可能只对特定类型的元素有效,或者受到其他样式规则的影响。因此,在编写CSS时,要仔细考虑继承的属性以及它们的上下文和特殊情况。CSS中的一些属性可以被子元素继承,这意味着父元素上设置的样式可以自动应用到子元素上。)通常不会被子元素继承。如果你希望特定样式应用到子元素,你可能需要显式地为子元素设置这些属性。需要注意的是,并非所有属性都可以继承。
css的继承
weixin_53315593的博客
03-17 273
总而言之:一些设置在父元素上的css属性是可以被子元素继承的,比如 color、font-size,每个在里面的元素也都会有相同的属性,除非你直接在元素上设置属性。font-variant:设置小型大写字母的字体显示文本,这意味着所有的小写字母。font-stretch:允许你使文字变宽或变窄。font-size-adjust:为某个元素规定一个 aspect 值。均会被转换为大写,但是所有使用小型大写字体的字母与其余文本。text-indent:文本缩进。:规定元素的字体系列。:规定文本的书写方向。
https传输过程及原理
m0_67373568的博客
06-27 2820
加密
HTTPS传输协议原理介绍
03-06
HTTPS传输协议原理介绍
HTTPS实现原理详细介绍
06-27
HTTPS:超⽂本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS、HTTP over SSL或HTTP Secure)是⼀种通过计算机⽹络进⾏安全通信的传输协议。HTTPS经由HTTP进⾏通信,但...
HTTPS 通信原理及详细介绍
01-10
HTTPS 通信原理 Https是基于安全目的的Http通道,其安全基础由SSL层来保证。最初由netscape公司研发,主要提供了通讯双方的身份认证和加密通信方法。现在广泛应用于互联网上安全敏感通讯。 我们都知道HTTPS能够加密...
https原理与配置 centos
03-20
HTTPS原理与配置CentOS HTTPS(Secure Hypertext Transfer Protocol)是一种安全的通信协议,它基于HTTP开发,用于在客户计算机和服务器之间交换信息。HTTPS使用安全套接字层(SSL)进行信息交换,简单来说它是HTTP...
ibcurl 库和openssl库 支持https数据传输.zip
07-11
4. **错误处理**:在使用libcurl和OpenSSL进行HTTPS传输时,可能遇到各种错误,如证书验证失败、网络连接问题等。libcurl提供了丰富的错误处理机制,以便开发者可以适当地响应这些问题。 5. **性能优化**:为了提高...
【CSS】CSS 特性 ② ( CSS 继承性 )
让 学习 成为一种 习惯 ( 韩曙亮 の 技术博客 )
03-13 1143
一、CSS 继承性 1、样式的继承性 2、代码示例
漏洞挖掘-不安全的HTTP方法
weixin_48421613的博客
01-09 3495
如果文件修改失败,则会返回其他状态码,例如 405 Method Not Allowed。如果文件删除成功,服务器会返回 200 OK 状态码;使用 PROPFIND 方法,客户端可以请求服务器上的资源的属性列表,也可以请求具体的属性值。笔者在一次漏洞挖掘的过程中,几乎是习惯性的看了一眼OPTIONS方法,OPTIONS方法很简单,只需要在请求包里直接将GET/POST方法进行替换,即可看到服务器开启了哪些方法。​使用 DELETE 方法时,客户端向服务器发送 DELETE 请求,并指定要删除的资源。
CSS继承层叠类型
qq_43157097的博客
03-29 174
一、CSS继承-层叠-元素类型 1、CSS的属性继承 (1)CSS的某些属性具有继承性(Inherited): 如果一个属性具备继承性, 那么在该元素上设置后, 它的后代元素都可以继承这个属性; 当然, 如果后代元素自己有设置该属性, 那么优先使用后代元素自己的属性(不管继承过来的属性权重多高); 默认继承 <!DOCTYPE html> <html lang="en"> <head> <meta charset="UTF-8"> <meta
CSS中哪些属性可继承,哪些不可以继承?
m0_67531133的博客
07-06 1720
5.定位属性:float、clear、position、top、right、bottom、left、min-width、min-height、maxwidth、max-height、overflow、clip。list-style:列表风格,包括list-style-type、list-style-image等。4.背景属性:float, clear, position , top ,tight.botton。3.盒子模型的属性:width,height,marigin, border,padding;
CSS之继承
DxCaesar的博客
03-05 2488
1. 什么是css继承 继承是css中非常重要的一个概念。当你为HTML中的某个元素赋予CSS样式时,这些样式不仅仅会影响当前元素,有的样式还会影响该元素的子元素。这些下层子元素继承上层祖先元素样式属性的特点,就称为css继承。 2. css继承的作用 css继承可以简化css样式的使用。设想如果没有继承,你要为每个元素单独设置同样的字体是多么恐怖! 3. CSS继承的使用 3.1 使用属性的...
HTTP协议之安全篇
Carroll的博客
08-30 2108
文章目录HTTPSSSL/TLSHTTPS的优化 什么样的通信过程才是安全的呢? 通常认为,如果通信过程具备了四个特性,就可以认为是“安全”的,这四个特性是:机密性、完整性,身份认证和不可否认。 HTTPS HTTPS 名字里的“S”,它把 HTTP 下层的传输协议由 TCP/IP 换成了 SSL/TLS,由“HTTP over TCP/IP”变成了“HTTP over SSL/TLS”,让 HTTP 运行在了安全的 SSL/TLS 协议上,收发报文不再使用 Socket API,而是调用专门的安全接
什么是HTTP?为什么是不安全的?
热门推荐
跋跋寒的博客
01-21 1万+
我们在输入网址的时候一般是www.baidu.com,浏览器都会自动帮我们加上HTTP或者HTTPS这样的前缀,国内对于HTTPS讲解的书很少,最近有空拜读了《深入浅出https:从原理到实战》这本书,接下来会分几次表述一下对于这本书的一些笔记或者理解。 了解HTTPS之前需要先了解HTTP,知道了HTTP的局限,才能掌握HTTPS安全的本质。 基本概念 在TCP/IP网络协...
计算机网络传输原理 头文件
08-17
计算机网络传输原理是指在计算机网络中,数据是如何从发送方传输到接收方的。该过程通常是通过网络协议进行管理和控制的。网络协议是一系列规则和约定,用于确保数据在网络中的可靠传输。计算机网络传输原理可以分为以下几个步骤: 1. 发送端将数据进行分割并添加头文件。头文件包含了一些必要的信息,如源地址、目标地址、数据长度等。这些信息帮助网络设备识别和处理数据。 2. 分割后的数据被封装成数据包,每个数据包都有自己的头文件和数据部分。头文件中的信息包括源地址、目标地址、数据包序号等。 3. 数据包通过路由器和交换机等网络设备进行转发。这些设备根据目标地址和路由表来确定数据包的下一跳。 4. 接收端的网络设备接收到数据包后,会解析头文件信息并将数据包重新组装成完整的数据。 5. 最后,数据会被传递到接收端的应用程序,完成整个数据传输过程。 头文件是在数据传输过程中携带有关数据的元数据。它包含了发送方和接收方的地址信息、数据大小、序号等。通过解析头文件,网络设备可以正确地路由和处理数据。同时,头文件中的校验和字段可以用来检测传输过程中是否有错误发生。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [转载-计算机网络原理](https://blog.csdn.net/greatliuda/article/details/123303328)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v92^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值