网络原理(5)--HTTPS是如何进行加密的

简介: 网络原理(5)--HTTPS是如何进行加密的

💕"Echo"💕

作者:Mylvzi

文章主要内容:网络原理(5)–HTTPS是如何进行加密的

在网络原理(4)中介绍了HTTP协议的相关内容,HTTP协议在传输的过程中存在着安全问题,实际上现在的网络中基本不再使用HTTP,而是使用一种更加安全的协议HTTPS

一.前言

HTTP是web客户端和web服务器之间进行数据传输的一种协议,数据在传输的过程中是明文传输的,也就是说数据是容易被获取和篡改的,影响网络的安全

HTTP协议在传输的过程中会产生安全问题,比如随便连接公共WiFi就有可能导致数据的丢失,黑客可以对公共WIFI所在的路由器进行抓包分析,获得你上网的一些相关信息(比如支付宝密码),甚至说黑客都可以伪装成公共WiFi的路由器

如果一些敏感数据不进行加密,就相当于数据在网络中裸奔传输,被黑客获取到就会带来风险.实际上,像支付宝密码这样的敏感数据,支付宝的官方都是进行了加密,黑客拿到的数据是加密过后的密文,黑客无法进行解密~

为了解决HTTP在传输过程中的不安全性,HTTPS中就引入了加密机制,保证数据在传输的过程中不是裸奔传输

二.HTTPS的加密机制

1.HTTPS如何实现加密

HTTP协议的不安全性催生了一系列加密协议的出现,为了保障数据的传输,引入了SSL(Secure Sockets Layer)/TLS(Transport Layer Security)协议,用于在网络传输中建设加密通道,来保障数据传输的安全性

HTTPS就是引入了加密机制的HTTP协议,具体来说是在HTTP和TCP之间添加了SSL/TLS层来实现数据的加密传输,

添加的过程如下:

  1. TCP连接:当客户端尝试和服务器建立连接时,首先会 和服务器的TCP建立连接(三次握手),这是普通的TCP连接,没有加密
  2. SSL/TLS握手:一旦TCP建立好连接,客户端服务器就会触发SSL握手(其实就是发送一些数据报),客户端和服务器之间协商一些和加密相关的信息(密钥/证书)等
  3. 加密通话:SSL/TLS握手完成之后就可以开始进行数据的传输,此时客户端和服务器之间的通信就是加密的

2.基本概念

要了解HTTPS的加密机制,需要先了解是哪个基本概念:密文,明文,密钥

明文:要传输的原始数据,比如你要发送"你好",你好这两个字就是明文

密钥:对明文加密,对密文解密的工具

密文:对明文进行密钥加密过后的数据 比如将原始数据"你好"加密为"nh","nh"就是密文,传输过程中密文在网络中进行传输

明文 + 密钥 => 密文

密文 + 密钥 =>明文

2.加密机制

HTTPS中进行加密的机制主要有两种:对称加密和非对称加密

1.对称加密

对称加密就是在加密的过程中使用同一把密钥进行加密解密的过程

假设密钥是 key,那么;

明文 + key => 密文

密文 + 可以=> 明文

2.非对称加密

非对称加密就是在加密的过程中使用两把不同的密钥进行加密解密的过程,一把被称为公钥(可以被公开出来的),一把被称为私钥(自己单独享有的),使用那一把加密/解密都是相同的,比如假设公钥是key1,私钥是key2,使用公钥进行加密,使用私钥进行解密

明文 + key1 => 密文

密文 + key2 => 明文

三.HTTPS的加密机制的工作过程

HTTPS的加密主要是对HTTP报文中的头部和body进行加密

1.对称加密

对称加密在加密解密的过程中使用的是同一把密钥进行加密解密

加密的具体过程如下:

  1. 客户端产生一个明文请求,使用产生的对称密钥对明文请求进行加密,得到密文请求
  2. 客户端将产生的密文请求经运营商路由器传输给服务器
  3. 服务器得到密文请求,使用相同的对称密钥进行解密,得到原始的明文请求

想一个问题,服务器不是只和一个客户端进行通信,是和很多客户端进行通信,每一个客户端的对称密钥是否都相同呢?肯定是不同的,如果相同,黑客就可以作为客户端得到对称密钥,就可以利用这个对称密钥进行解密了

实际上,对称密钥是客户端再和服务器连接时就要提前产生的,这个对称密钥利用随机数的相关机制产生,保证每个客户端的对称密钥都不相同

上述机制真的没有问题么?其实存在一个致命缺陷,对称密钥是通过客户端利用随机数机制产生的,服务器也要持有相同的对称密钥,客户端通过网络传输传输给服务器,黑客就可能把对称密钥也给截获,就可以利用截获的密钥进行解密,此时不就加密了个寂寞么?

有人可能会说,那我就对产生的对称密钥进行加密不就行了么?但是对对称密钥加密的密钥不也得通过网络传输给服务器么?这个方法肯定是行不通的,再仔细想想,对称加密存在安全问题的关键在于对称密钥是赤裸裸的在网络中进行传输的,密钥就像是秘密,秘密很关键,很重要,所以应该自己持有,不应该公布出去,这样的密钥就是私钥,这也是非对称加密的关键!

2.非对称加密

非对称加密在加密解密的过程中使用的是一套密钥,公钥和私钥进行加密解密

公钥私钥由服务器产生,公钥通过网络传输给客户端,私钥只有服务器自己持有,不在网络中进行传输,此时就可以使用公钥进行加密,使用私钥解密

加密的具体过程如下:

  1. 服务器产生一套密钥 公钥+私钥 通过网络将公钥传输给客户端,私钥自己持有
  2. 客户端产生明文请求和对称密钥,使用公钥对对称密钥加密,使用对称密钥对明文请求进行加密–>得到密文请求
  3. 客户端将产生的密文请求经运营商路由器传输给服务器
  4. 服务器收到密文请求,首先使用私钥对对称密钥进行解密,得到对称密钥,再利用对称密钥对密文请求进行解密,得到明文请求

在这个过程中,黑客由于不持有私钥,就无法获取到对称密钥,进而无法进行解密

注意:为什么有非对称密钥了还要使用对称密钥,直接把所有的数据通过非对称密钥进行传输不行么?其实也可以,但是效率太低,成本也太高

非对称密钥由于其复杂性,在传输的过程中传输成本高,运算效率低,而对称密钥传输成本低,运算效率高,为了保证传输的效率,使用非对称密钥传输关键数据(如密钥),剩余的大量的业务数据通过更加快速的对称密钥进行传输

可以说,非对称密钥引入安全性,必然要降低传输效率(就和TCP引入可靠性效率降低一样)

以上就是非对称加密机制保证数据传输安全的机制,核心在于:黑客不持有私钥,无法对由客户端传输过来的通过公钥加密的对称密钥进行解密

但就算这样做还是存在安全漏洞(你不得不佩服黑客):黑客要想办法能够对对称密钥进行解密,怎么解密呢?让对称密钥的密钥不是服务器生成的公钥,自己产生一对公钥和私钥,让客户端通过自己产生的公钥对对称密钥进行加密,这样黑客就能拿到对称密钥,紧接着,再使用服务器产生的公钥对数据进行加密,传输给服务器,服务器收到数据也能解密,整个过程看起来没有被解密过,实际上被黑客瞒天过海了,但是~服务器产生的公钥根本没有传输到客户端,而是被黑客截取了!

这种机制也被叫做"中间人攻击问题"!

3.中间人攻击

图解:

具体过程:

  1. 服务器产生一对密钥:公钥(pub1) 私钥(pri1),并将公钥(pub1)经过网络传输给客户端
  2. 黑客截取服务器传输的公钥(pub1),自己产生一对公钥(pub2)和私钥(pri2),并将自己产生的pub2传输给客户端,自己保留pri2
  3. 客户端收到黑客产生的公钥(pub2),利用这个公钥对产生的对称密钥进行加密,然后生成密文请求,将密文请求发送给服务器
  4. 黑客截取产生的密文请求,利用自己产生的私钥(pri2)解密对称密钥,得到对称密钥,解密密文请求
  5. 黑客将得到的明文请求使用服务器产生的公钥(pub1)进行加密,传输给服务器
  6. 服务器收到经pub1加密的密文请求,使用pri1解密,得到明文请求

整个过程黑客成功实现了瞒天过海,服务器收到经pub1加密的数据,就认为传输的过程中没有发生解密的过程,实际上黑客利用自己产生的一对密钥进行了调包

那如何解决中间人问题呢–引入公正机构

中间人问题产生的原因在于客户端没有判别能力,他不知道传输过来的公钥属于黑客还是属于服务器,第三方机构就让客户端拥有了判别能力

4.公正机构(数字签名)解决中间人问题

首先,网站的开发者在搭建网站时,生成一对服务器的公钥和私钥,并向公正机构申请一个证书,服务器需要提供一些服务器相关的数据(网站域名/服务器公钥等),公正机构根据这些信息进行审核,审核通过产生一个证书,证书不是纸质的,而是一段结构化数据,证书内部有很多属性,比如网站域名,公钥,证书的过期时间等,其中最重要的属性是数字签名,数字签名是一个被加密过的校验和,通过证书中的属性计算出一个校验和,再利用公正机构自己产生的私钥进行加密,就得到了数字签名,这个属性,将是客户端验证公钥的关键!公正机构产生的公钥一般都是内置在客户端的操作系统之中

客户端在和服务器进行通信时,也会向服务器申请服务器的证书,证书中包含服务器产生的公钥

客户端收到传输过来的公钥(服务器产生),就可以利用数字签名来校验公钥是否被替换过,这个过程也被称作证书的校验,核心就是计算这里面的校验和

客户端利用操作系统内置的公正机构的公钥对数字签名进行解密,得到证书的校验和,客户端重新对证书进行校验和的计算,得到一个新的校验和,将这个计算出的校验和和解密得到的校验和进行对比,如果相同,就证明服务器的公钥没有被篡改,证书是可信的

如果黑客使用自己的公钥替换了服务器的公钥,那么客户端计算出的校验和就会解密出的校验和不一致,此时就会警告客户端(往往是弹出一个小框,显示有风险)

同时,黑客也无法修改证书之中的数字签名,数字签名的解密需要通过公正机构的公钥,但是这个公钥是客户端操作系统内置的,黑客无法获取

那黑客不能自己申请一个证书么?不能,如果要申请证书,就要向公正机构提供服务器的域名和持有者信息,黑客不是服务器的持有者,从而就无法申请证书

上述就是HTTPS加密的整个过程,看得出来攻击和防御是"相辅相成"的,网络安全在现在也是一个巨大的挑战!

总结:HTTPS的加密

  1. 对称密钥,加密业务数据
  2. 非对称密钥,加密对称密钥
  3. 中间人攻击
  4. 使用证书的数字签名,校验服务器的公钥

以上就是<<网络原理(5)–HTTPS是如何进行加密的>>的所有内容,至此,网络原理章节完结撒花!


目录
相关文章
|
2天前
|
SQL 安全 算法
网络防御先锋:洞悉安全漏洞与应用加密技术的实战指南
【5月更文挑战第25天】在数字信息时代,网络安全和信息安全已成为维护数据完整性、确保信息传输保密性和保障系统可用性的关键。本文将深入探讨网络安全领域的重要议题——安全漏洞的识别与防护,以及加密技术的应用与实践。通过对常见安全威胁的分析,结合最新的加密方法,文章旨在提升读者对网络防御策略的理解,并增强个人及组织的安全防护意识。
|
2天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:漏洞、加密技术与安全意识的三重奏
在数字化时代,网络安全与信息安全已成为我们生活的重要组成部分。本文将探讨网络安全漏洞、加密技术和安全意识的重要性,以及它们如何共同保护我们的在线世界。我们将深入了解这些概念,并分享一些实用的知识,以帮助我们更好地理解和应对网络安全挑战。
|
2天前
|
安全 网络安全 数据安全/隐私保护
网络安全与信息安全:漏洞、加密与安全意识的探索
本文深入探讨了网络安全与信息安全的关键领域,包括网络安全漏洞、加密技术和安全意识。首先,我们将分析网络安全漏洞的类型和来源,然后深入研究加密技术如何保护数据免受未经授权的访问。最后,我们将讨论安全意识的重要性以及如何提高个人和组织的安全意识。通过这篇文章,我们希望读者能够更好地理解网络安全的重要性,并采取必要的措施来保护自己的信息。
|
2天前
|
安全 算法 网络安全
网络安全与信息安全:防范之道与加密技术的深度剖析
【5月更文挑战第25天】 在数字化时代,网络安全与信息安全已成为我们不可忽视的重要议题。本文将深入探讨网络安全漏洞的成因,加密技术的应用以及提升安全意识的必要性。我们将从技术层面解析网络攻击的常见手段,如恶意软件、钓鱼攻击等,并讨论如何通过防火墙、入侵检测系统等手段进行有效防御。同时,本文还将详细解读公钥加密、对称加密等加密技术的工作原理及其在数据保护中的关键作用。最后,我们将强调培养良好的网络安全习惯的重要性,并提出一系列实用的安全建议,以帮助个人和组织构建更坚固的信息安全防线。
|
3天前
|
SQL 监控 安全
网络安全与信息安全:漏洞、加密技术与安全意识的深度解析
本文将深入探讨网络安全与信息安全的重要性,重点关注网络安全漏洞、加密技术和安全意识等方面。我们将分析网络安全漏洞的类型和原因,探讨加密技术的应用和挑战,以及提升个人和企业的安全意识的方法。此外,我们还将分享一些实用的网络安全策略和工具,帮助读者更好地保护自己的网络和信息安全。
|
3天前
|
SQL 安全 网络安全
网络安全与信息安全:防范之道与加密技术
【5月更文挑战第23天】 在数字化时代,数据成为了新的货币。因此,确保网络和信息的安全变得至关重要。本文将深入探讨网络安全漏洞的概念、成因及其潜在危害,同时分享当前最前沿的加密技术以及如何培养强大的安全意识来抵御日益复杂的网络威胁。通过案例分析、风险评估和技术解读,我们旨在为读者提供一套综合的网络及信息安全策略。
|
3天前
|
存储 SQL 安全
网络安全与信息安全:防范漏洞、应用加密技术与提升安全意识
【5月更文挑战第23天】在数字化时代,个人和组织的数据都面临着前所未有的风险。本文旨在探讨网络安全的核心问题,包括网络漏洞的成因、加密技术的运用以及提升公众的安全意识。通过对这些领域的深入分析,我们能够更好地理解如何保护信息资产,并采取有效措施预防潜在的安全威胁。
|
4天前
|
JSON 安全 网络协议
【Linux 网络】网络基础(二)(应用层协议:HTTP、HTTPS)-- 详解
【Linux 网络】网络基础(二)(应用层协议:HTTP、HTTPS)-- 详解
|
5天前
|
SQL 安全 网络安全
数字堡垒的构筑者:网络安全与信息加密的智慧
【5月更文挑战第22天】 在数字化浪潮不断推进的今天,网络安全与信息安全已经成为了维护个人隐私、企业商业秘密和国家安全的重要屏障。本文深入探讨网络安全漏洞的本质、加密技术的演进以及提升安全意识的重要性,旨在为读者提供一道防护数据泄露和网络攻击的坚固防线。通过对常见网络威胁的分析,我们将了解如何通过技术和教育双重手段来强化这道防线。
|
6天前
|
安全 算法 网络安全
网络安全与信息安全:防范漏洞、加密技术与提升安全意识
【5月更文挑战第21天】在数字化时代,网络安全与信息安全成为维护社会稳定、保护个人隐私和商业秘密的关键。本文将深入探讨网络安全漏洞的成因与危害,分析加密技术的基本原理及其在数据保护中的重要性,并提出提高个人和企业安全意识的有效策略。通过综合分析,旨在为读者提供一套全面的网络安全知识框架,以应对日益复杂的网络威胁。