HTTPS的加密流程(通俗易懂,不可错过)
为什么要有HTTPS
都说进技术的产生就是为了解决旧技术的一些弊端。
HTTP具有相当优秀的一面,但是凡事有利也有弊,在HTTP进行高速通信的过程中可能产生以下几个问题:
HTTP采用明文传输。明文传输在一些需要保护个人隐私的场景是大忌,比如银行卡卡号和密码的输入,个
人信息的录入等。才用明文传输分分钟钟被不法分子截取下来,可能第二天我们就发现我们银行卡里的钱不
翼而飞,我们的个人信息被卖给各种第三方,手机天天收到各种广告信息。
HTTP不验证通信双方的身份。这就有意思了,电视剧经常有这么一种狗血剧情,女主角向长期在外的男主角
书写想念之情,各种肉麻情话。然后将信交给丫鬟代为投递给邮局,但是丫鬟爱慕男主角已久,为了破坏主子
和男主角之间的感情,模仿女主笔记,重新写信给男主,当男主回信回来后,又冒充男主笔迹重写信件,这样
女主和男主都以为在和对方通信,谁知却都被丫鬟从中作梗了。
HTTP无法验证报文的完整性,报文可能被篡改。在上面的女主丫鬟男主的例子种,女主和男主的信件都被丫鬟
篡改了,而女主男主却丝毫不知,这和HTTP报文被篡改的性质是一样的。
因为可能产生以上几种问题,所以出现了HTTPS
什么是HTTPS
HTTPS就是安全的HTTP。即HTTP+加密+认证+完整性保护 = HTTPS。目前很多网站都用到了HTTPS,最常见的就是支付网站。
说到HTTPS就不得不提到SSL协议。
SSL协议:SSL就是在不安全的TCP上做了安全加强,因此SSL是TCP的加强版,但是不能说SSL协议是新的传输层协议,
就像不能说HTTPS是新的应用层协议一样,SSL和HTTPS都是在不安全的原协议上做了安全加强。
传统的HTTP协议通信:传统的HTTP报文是直接将报文信息传输到TCP然后TCP再通过TCP套接字发送给目的主机上。
HTTPS协议通信:HTTPS是HTTP报文直接将报文信息传输给SSL套接字进行加密,SSL加密后将加密后的报文发送给
TCP套接字,然后TCP套接字再将加密后的报文发送给目的主机,目的主机将通过TCP套接字获取加密后的报文给SSL
套接字,SSL解密后交给对应进程。
由上我们可以看出HTTPS就是加个SSL外壳的HTTP
那么SSL又是使用什么方式进行加密解密呢。这里要谈谈共享密钥加密和共有密钥加密方式了
共享密钥加密
共享密钥加密也称对称密钥加密。采用的是使用相同密钥对报文进行加密解密
我们可以将共享密钥加密这样理解:我们把我们要给别人的东西放到一个箱子里面,然后给箱子上了一把锁。当箱子到了我们想给的那个人
身上时,他也需要这把钥匙才能开锁。
这样就产生了一个问题了,我们怎么将这把钥匙安全的交给对方呢,如果钥匙在半路被人截取了,那么对箱子有没有加锁有什么区别呢。因此
共享密钥加密需要解决的一个大问题就是如何安全的将密钥交给解密方。
公开密钥加密
非对称加密和解密使用的密钥不是同一把密钥,其中一把对外界公开,被称作公钥,另一个只有所有者知道,被称为私钥。用公钥加密的信息必须使用
私钥才能解开,反之,用私钥加密的信息只有使用公钥才能解开,理论上说,不可能通过公钥计算获得密钥。
信息发送者A通过公开渠道获得信息接收者B的公钥,对信息进行加密,然后通过非安全渠道将密文信息发送给消息接收者B,B得到密文后,用自己的
私钥对信息进行解密,获得原始的明文信息。即使密文信息在传输过程中遭到窃取,窃取者没有解密密匙也无法还原明文。
再拿上面那个例子,这时候我们还想把一些东西锁到箱子里给某人,我们称他为大傻。我们先跟大傻联系,大傻身上有两把钥匙,我们称为钥匙A和
钥匙B。钥匙A可以用来造锁,但是造好的锁自己却不能开,只能通过钥匙B来开。跟大傻取得联系后大傻把钥匙A给我们。我们拿着钥匙A找造锁师傅
造了一把锁,并且给箱子上锁。然后将带锁的箱子通过物流发给大傻,就算钥匙A被强盗截取了,强盗也开不了箱子。大傻收到箱子后使用那把钥匙B
进行开锁,拿到东西。由于钥匙B一直再大傻身上,所以不用担心被人拿走。
因此HTTPS采用混合加密机制
HTTPS为了追求性能,又要保证安全,采用了共享密钥加密和公开密钥加密混合的方式进行报文传输。
以前感觉这部分有点绕,理解不过来,网上很多帖子都照搬书上的解释,理解了好久,在这里我把我自己理解写下来,希望能帮到大家。
我们前面说到共享密钥加密即对称加密要解决的一个问题就是如何确保该密钥安全传输到解密方。也就是说如何将钥匙和锁一起安全的发送到解锁人。
而共有密钥加密即非对称加密虽然没有那种困扰,但是细节太多,速度太慢。
还是拿上面的锁和箱子的例子来说明。现在我们嫌弃每次加锁都要造个新的锁效率太慢了。我们现在有两个箱子,一个箱子用于方我们要给大傻的东西,并且
这个箱子加上了锁。另一个箱子用于存放那把锁的钥匙。我们这时候找大傻拿到钥匙A造了一把锁后将那个存放钥匙的箱子锁起来,然后将这个箱子给大傻,
大傻拿到箱子使用钥匙B开锁拿到钥匙。这时候我们将那个存放了东西的箱子给大傻,大傻就可以通过这把钥匙开锁拿到东西了。这样以后我们就可以一直通过
这把锁和箱子互相给东西了,而不用发一次数据造一次锁了。
就是说采用共有密钥加密方式传输共享密钥,当共享密钥安全到达服务端后往后的数据就都采用该密钥进行加密解密。
但是这里还有一个问题。就是共有密钥是客户从服务端获取的,那我们怎么保证这把共有密钥真的是从服务端给我们的而不是有人偷梁换柱了呢。
证书
共有密钥不是服务器随便产生的,而是服务器的运维人员向数字证书认证机构申请的。
当服务器需要共有密钥时向运维人员向数字认证机构申请共有密钥,证书将申请到的密钥加上数字签名,然后将加了数字签名的共有密钥包装进公钥证书。
客户向服务器要共有密钥的时候服务器将公钥证书发送给客户,客户取出共有密钥得到签名,然后向数字认证机构进行确认,数字认证机构确认该签名无误后
客户可采用该共有密钥进行加密。
HTTPS的加密流程(通俗易懂,不可错过)的更多相关文章
- HTTPS加密流程超详解(一)前期准备
0.前言 前一阵子想写一个HTTPS的嗅探工具,之前只是大致了解SSL/TLS协议的加密流程,真正上起手来一步一步分析发现还是有点复杂的,于是我参考了wireshark的源码以及各种RFC,弄清楚了S ...
- HTTPS加密流程超详解(二)
2.进入正题 上篇文章介绍了如何简单搭建一个环境帮助我们分析,今天我们就进入正题,开始在这个环境下分析. 我们使用IE浏览器访问Web服务器根目录的test.txt文件并抓包,可以抓到如下6个包(前面 ...
- https加密流程
引用其它博主博客,在这里谢谢这位博主,原博客地址:https://blog.csdn.net/xincai/article/details/51954468 1,下面,用一幅图展示一下https建立 ...
- HTTPS加密流程理解
HTTPS加密流程 由于HTTP的内容在网络上实际是明文传输,并且也没有身份验证之类的安全措施,所以容易遭到挟持与攻击 HTTPS是通过SSL(安全套接层)和TLS(安全传输协议)的组合使用,加密TC ...
- iOS - HTTPS接口加密和身份认证
为什么要使用HTTPS代替HTTP HTTPS和HTTP的区别 https协议需要到CA申请证书,一般免费证书很少,需要交费. http是超文本传输协议,信息是明文传输,https则是具有安全性的SS ...
- https证书申请流程和简介
HTTPS证书是什么 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安 ...
- 八大免费SSL证书-给你的网站免费添加Https安全加密
评论» https://www.freehao123.com/top-8-free-ssl-cert/ 文章目录 Let's Encrypt StartSSL SSL CloudFlare SSL ...
- 一篇读懂HTTPS:加密原理、安全逻辑、数字证书等
1.引言 HTTPS(全称: Hypertext Transfer Protocol Secure,超文本传输安全协议),是以安全为目标的HTTP通道,简单讲是HTTP的安全版.本文,就来深入介绍下其 ...
- HTTPS协议工作流程
被问到了,复习一下HTTPS的工作流程 提到https,不得不提SSL SSL 1. 安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全 ...
随机推荐
- swiper实现左右滑动图片
ref:http://www.swiper.com.cn/usage/index.html help:https://segmentfault.com/a/1190000002962202 src: ...
- JavaScript学习系列8 - JavaScript中的关系运算符
JavaScript中有8个关系运算符,分别是 ===, !===, ==, !=, <, <=, >, >= 1. 恒等运算符 (===) ===也叫做 严格相等运算符,它要 ...
- AndroidMainfest.xml文件解释
AndroidManifest.xml是每个android程序中必须的文件.它位于application的根目录,描述了package中的全局数据,包括了package中暴露的组件(activitie ...
- .net core 第一个mvc项目目录结构简析
创建项目的命令 首先来认识一下创建项目可使用的各种命令,.NETCore 的命令都以 dotnet 打头,这很好理解,输入 dotnet xxx,就是执行环境变量指向的 C:\Program ...
- JSONCPP开发环境搭建
环境设置 项目地址 https://github.com/open-source-parsers/jsoncpp.git 操作系统 64位 Fedora 24 安装jsoncpp $ git clon ...
- [CentOS7] 通过vncviewer屏幕扩展
方法一:通过vncserver来调整分辨率 这是博主最近才发现的,原来还可以直接通过在服务端通过设置vncserver来调整分辨率,方法如下: 接下来,我们要进行vncviewer屏幕扩展的设置: 点 ...
- [CentOS7] 使用磁盘分割建立swap
声明:本文主要总结自:鸟哥的Linux私房菜-第七章.Linux 磁碟與檔案系統管理,如有侵权,请通知博主 通过 vim /etc/fstab 使该新建的swap分区每次开机都自己挂载 至此,已经完成 ...
- js async/await
一.async 带async关键字的函数,是声明异步函数,返回值是promise对象,如果async关键字函数返回的不是promise,会自动用Promise.resolve()包装. async f ...
- 三层登录——VB.NET版
前言 由于下面的机房收费系统重构自己要用VB.NET进行重构,所以在敲三层登录的时候,实践了一份C#版三层登录,接着就是VB.NET版的三层登录.话说还有七层登录,一下子感觉三层又矮小了.万丈高楼平地 ...
- 字符串游戏(strgame)——博弈
题目 [题目描述] pure 和 dirty 决定玩 $T$ 局游戏.对于每一局游戏,有 $n$ 个字符串,并且每一局游戏由 $K$ 轮组成.具体规则如下:在每一轮游戏中,最开始有一个空串,两者轮流向 ...