HTTPS 协议原理
一.HTTPS的定义
大家在刚开始学习的时候是不是也是非常好奇HTTP与HTTPS之间有什么区别和联系,两者都是应用层协议,而HTTPS是在HTTP的基础上引入了加密层,从而将HTTP的明文传输进行加密,保障数据的安全性
二.加密与解密
定义:将明文(要传输的数据)通过一系列变化转换成密文的过程就是加密
将密文通过密钥转换成明文的过程称为解密
关于加密的原因不用想大家肯定都知道是为了防止信息泄露,那么我们就通过另外一个例子来了解加密的重要性;
假如现在你要下载一个名为A的程序软件,但当你的请求在网络中传输时,由于是明文传输,网络运营商就可以获取到你的请求并且可以将其劫持,然后发送其想要你下载的软件,然后你就会发现下载好的内容不对,但是期间就会浪费大量时间与陈本,如果你的下次下载请求还是被劫持,这样是不是就会非常难受,这就是运营商劫持,这也体现出明文传输在网络中的巨大缺点
如下图;
下面我们来了解下加密的方式:
对称加密:
定义:通过单密钥的加密方式,同一个密钥可以同时用作信息的加密和解密,,这种加密方法称为对称加密, 也称为单密钥加密
常见对称加密算法(了解): DES、 3DES、 AES、 TDEA、 Blowfish、 RC2 等
特点: 算法公开、 计算量⼩、 加密速度快、 加密效率⾼
例如:密钥是按位异或,假设原始数据时a,通过密钥key加密得到b,此时接受端得到b,对b^key就得到a,此时就完成解密,双方使同一密钥,当然实际当然不会如此简单
非对称加密:
定义:
通过两个密钥来进行加密和解密, 这两个密钥是公开密钥(public key, 简称公钥) 和私有密钥(private key, 简称私钥)
公钥:是指即使泄露也没关系的密钥,而非是指直接公开的密钥
私钥;是指不能泄露的密钥
常见非对称加密算法(了解): RSA, DSA, ECDSA
特点: 算法强度复杂、 安全性依赖于算法与密钥但是由于其算法复杂, 而使得加
密解密速度没有对称加密解密的速度快
补充点:我们是可以用公钥加密也可以用私钥加密,当然需要对应的另一个来解密
公钥和私钥是配对的. 最大的缺点就是运算速度非常慢, 比对称加密要慢很多
例如:假设A持有B给的一把锁,当其将文件放入柜子时,将柜子锁上,而锁可以有多把,也可以给C,但是钥匙只有B持有,即公钥是指锁,私钥是指钥匙
三.数据摘要 && 数据指纹
数字指纹(数据摘要),其基本原理是利用单向散列函数(Hash 函数)对信息进行运算,生成一串固定⻓度的数字摘要。 数字指纹并不是一种加密机制,但可以用来判断数据有没有被篡改。
摘要常见算法: 有 MD5、 SHA1、 SHA256、 SHA512 等, 算法把无限的映射成有限, 因此可能会有碰撞(两个不同的信息, 算出的摘要相同, 但是概率非常低)
摘要特征: 和加密算法的区别是, 摘要严格意义不是加密, 因为没有解密, 只不
过从摘要很难反推原信息, 通常用来进行数据对比
四,HTTPS加密所用的方案
1.只使用对称加密
如果通信双方都各自持有同一个密钥 X, 且没有别人知道, 这两方的通信安全当然是可以被保证的(除非密钥被破解)
我们知道服务器会同时与多个客户端建立连接,而每一个连接的对称的密钥肯定要保证不同,所以每一个连接都需要双方协商,所以密钥是不是就要传输,从而保证双方都拿到同一个密钥来保证通信,但是密钥如果在传输过程中被截获,双方的通信是不是就相当于对窃取者透明,如果截取者再对密钥修改,是双方的内容必须通过截取者这个中间人,那么信息就会完全泄露而且内容也可能被修改
2.只使用非对称加密
鉴于非对称机制,如果服务器将公钥发送给客户端,那么客户端将信息加密(通过公钥)传递给服务器,服务器就可以通过私钥解密,这样看起来信息就不会泄露,那么不妨我们多想想,如果服务器需要将信息发送客户端,那么服务器是不是就需要用私钥加密,但是我们知道公钥是可以被截取的,那么其他人也可以通过公钥对服务器发送的信息进行解密,这样就会出现信息泄露,所以这种方法也是不安全的
3.双方同时进行非对称加密
服务器持有私钥S和公钥S',客户端持有私钥C和公钥C',双方同时将公钥发送给对方,然后这样是不是就看起来可以实现通信并且保证安全
这种方法首先最严重的问题是效率太低了,并且其实也无法保证安全,后面会讲,而在网络通信时,时间是非常重要的,所以也不是最优解
4.非对称加密和对称加密
服务器持有私钥S和公钥S',当客户端发送https请求时,服务器将公钥发送给客户端,客户端得到公钥后,生成对称加密的密钥X,然后利用公钥加密X,发送给服务器,服务器通过私钥S解密,得到对称加密的密钥X,然后双方就可以通过来进行对称加密由于对称加密效率远高于非对称加密,该方案在后续过程中一直使用对称加密,效率明显提高,那么这种方法是否安全?
如果中间人将后序信息窃取是无法破解的,但是如果中间人在服务器发送公钥S'时就对信息截取并将原本发送给客户端的公钥S'修改成中间人自己的公钥M',这样客户端收到公钥M’,然后将X发送给中间人,这样中间人就毫不费力的截取到对撑加密的密钥,后续的所有信息还是回完全泄露。
目前来看所有的组合是都存在问题的,那么该如何破局呢?
五.证书与签名
服务器在使用HTTPS之前去CA认证一份数字证书,证书中包含了服务器的诸多信息以及公钥,然后服务器将证书发送给浏览器,浏览器得到证书后可以得到对应的公钥,然后双方即可进行通信,下面我们就来一一认识具体的细节:
1.证书的申请:
服务器生成一个公钥S’和私钥S,然后将自身的诸多信息发送给CA认证机构,注意:私钥是不发送的,公钥要发送给CA,CA机构对信息进行审核,然后生成一份包含服务器公钥的证书
对于证书:大家可以看成一个结构化的字符串里面包含了以下信息:
• 证书发布机构
• 证书有效期
• 公钥
• 证书所有者
• 签名
• ......
2.签名的理解:当CA机构得到服务器的申请时,会在自身生成一个公钥A',私钥A,然后将服务器发送的数据形成一份散列值,然后将散列值通过A进行加密形成签名。如果此时在将数据和签名整合,就会形成一份数字签名的数据,后面CA的公钥A会发送给浏览器,此时就可以通过将签名解密和数据形成的散列值进行对比,此时就可以确定数据是否合法,当然这些我们后面会讲,这里简单提下,这个过程叫验证
现在我们知道了证书的相关概念,那么我们是否可以通过证书来实现安全的网络传输呢?
六.非对称加密+对称加密+证书机制
首先,当浏览器对一个服务器明文发送一个请求时,服务器会将一份经过CA机构认证的证书发送给浏览器,证书中包含了服务器的公钥S,然后在浏览器端将数据散列值和签名用公钥解密得到的散列值进行对比,如果相等,说明得到的是安全的数据,然后客户端生成一个对称加密的密钥X,然后通过证书中的服务器公钥进行加密,发送给服务器,服务器通过私钥解密得到密钥X,然后双方就可以对称加密通信
现在问题来了,该方法是如何保证通信安全的呢?
我们知道非对称加密和对称加密的组合只有在服务器第一次发送响应时可以被中间人截取信息,那么证书机制如何保证这个过程的安全呢?
首先,当服务器发送的证书被中间人截获后,其可能已经得到了对应的公钥,所以可以对其解包,得到数据和签名,但是签名由于其根本不掌握对应的私钥是无法修改的,当用户进行验证时,如果中间人对数据做过修改,散列值和签名解密得到的内容是无法做到相等的。
此时你可能好奇,中间人不可以用自己的私钥重新生成一份签名,然后和数据整合形成一份证书吗?
问题来了,我客户端为什么要认中间人的公钥呢?如果我不认中间人对应的公钥是不是就无法做到对签名解密,那么肯定是网络传输中出现了问题,客户端直接丢弃该内容即可
通过以上方案就可以实现网络通信的安全保障了
最后,感谢大家的支持!!!
相关文章:
HTTPS 协议原理
一.HTTPS的定义 大家在刚开始学习的时候是不是也是非常好奇HTTP与HTTPS之间有什么区别和联系,两者都是应用层协议,而HTTPS是在HTTP的基础上引入了加密层,从而将HTTP的明文传输进行加密,保障数据的安全性 二.加密与解密 定义&#…...
Vxe UI 表格行编辑(默认不显示编辑框,点击后可编辑)
效果: HTML代码:(type"integer"为这个,是限制只能输入正整数或负整数,英文和汉字自动转成0) <vxe-tableshow-overflowkeep-sourcev-loading"loading":data"ruleList"ref"Table":row-config"{isHover: true}"height"…...
移远通信闪耀2024香港秋灯展,以丰富的Matter产品及方案推动智能家居产业发展
10月27-30日,2024香港国际秋季灯饰展在香港会议展览中心盛大开展。 作为全球领先的物联网整体解决方案供应商,移远通信再次亮相,并重点展示了旗下支持Matter协议以及亚马逊ACK ( Alexa Connect Kit ) SDK for Matter方案的Wi-Fi模组、低功耗蓝…...
爬虫利器playwright
是什么 它是微软在 2020 年初开源的新一代自动化测试工具,其功能和 selenium 类似,都可以驱动浏览器进行各种自动化操作。还可以录制脚本 案列-01 运行之后我们用它自动打开的谷歌浏览器,打开百度,输入漂亮小姐姐并查找&#x…...
着色器的认识
知识了解: 着色器: 顶点着色器: 用来描述顶点的特性,如位置、颜色等,其中,顶点:是指二维或三维空间中的一个点比如交点或者端点。 片元着色器:用来进行逐片元处理操作,比如光照、颜色叠加等&…...
科技的成就(六十四)
591、《传奇》开始公开测试 "2001 年 9 月,《传奇》开始公开测试。《传奇》(全称《热血传奇》)是由韩国 WeMade 娱乐开发制作的大型多人在线角色扮演游戏,由 Delphi 编写。盛大网络于2001 年获得该游戏在中国的代理权。《传奇…...
银行信贷风控专题:Python、R 语言机器学习数据挖掘应用实例合集:xgboost、决策树、随机森林、贝叶斯等...
全文链接:https://tecdat.cn/?p38026 分析师:Fanghui Shao 在当今金融领域,风险管控至关重要。无论是汽车贷款违约预测、银行挖掘潜在贷款客户,还是信贷风控模型的构建,以及基于决策树的银行信贷风险预警,…...
〈壮志凌云:独行侠〉中的超高音速战机
电影《壮志凌云:独行侠》中使用的黑星(Darkstar)高超音速概念战机模型,虽然看起来像是科幻电影里的产物,但这架飞机实际上是由洛克希德马丁公司的臭鼬工厂(Skunk Works)设计,这是一家…...
k8s集群 ceph rbd 存储动态扩容
k8s 集群 rbd 扩容有两种方法,如下所示 通过StorageClass自动扩容 # kubectl get sc csi-rbd-sc -oyaml|grep allowVolumeExpansion allowVolumeExpansion: true如果搜索有如上字段,说明是可以自动扩容的,修改对应要扩容的 PVC容量…...
C语言笔记(指针题目)例题+图解
本文分为两部分 ,第一部分为数组、字符串、字符指针在sizeof和strlen中的辨析,第二部分是一些笔试题目。若有错误,请批评指正。 目录 1.第一部分 1.1.数组名的使用 1.1.1一维整型数组在sizeof中的使用 1.1.2一维字符数组在sizeof中的使用…...
从零开始的 vue项目部署到服务器详细步骤(vue项目build打包+nginx部署+配置ssl证书)
从零开始的 vue项目部署到服务器详细步骤(vue项目build打包nginx部署配置ssl证书) 文章目录 从零开始的 vue项目部署到服务器详细步骤(vue项目build打包nginx部署配置ssl证书)一、前言二、vue项目部署前配置1、vite.config.js 增加…...
[OceanBase-不止于记录]:揭秘双引擎战略,共探AI时代数据架构未来
前言 又到了一年一度大家最爱的探会文章,非常荣幸收到OceanBase官方的邀请参加2024 OceanBase 年度发布会,作为一个经常参加线下探会的博主,每一次体验都有所不同,每一次新技术的突破都让人感到无比兴奋。同时,作为数…...
项目:抽奖系统
文章目录 1. 项目:抽奖系统 1. 项目:抽奖系统 from faker import Fakerfk Faker(localezh_CN)name_list [] for i in range(100):name_list.append(fk.name()) print(name_list)import randomclass MyFrame(wx.Frame):def __init__(self):wx.Frame.__…...
synchronized进阶原理
synchronized进阶原理 1.轻量级锁 轻量级锁的使用场景:如果一个对象虽然有多个线程访问,但多线程访问的时间是错开的(也就是没有竞争),那么可以使用轻量级锁来优化(如果出现竞争,操作系统会将轻量级锁升级为重量级锁)。轻量级锁对使用者是透明的(由操作系统控制),即语法仍是s…...
C++,STL 052(24.10.29)
内容 1.对map容器的大小进行操作。 2.map容器的交换操作。 运行代码 #include <iostream> #include <map>using namespace std;void printMap(map<int, int> &m) {for (map<int, int>::iterator it m.begin(); it ! m.end(); it){cout <<…...
git下载和配置
git是什么? Git是一种分布式版本控制系统,用于跟踪文件的变化,尤其是源代码。它允许多个开发者在同一项目上进行协作,同时保持代码的历史记录。Git的主要特点包括: 分布式:每个开发者都有项目的完整副本&a…...
Linux基础—基础命令及相关知识5(ubuntu网络配置)
网络的配置方法 centos网络配置 centos的网卡位置 /etc/sysconfig/network-scripts/ifcfg-ens33(centos网卡文件) bootproto表示获得IP地址的方式是静态的还是动态 onboot表示启动系统时是否激活该网络接口 设置IP地址,子网掩码,网关,dns…...
使用 firewall-cmd 管理 Linux 防火墙
firewalld-cmd命令翻译<一> Linux 系统中,firewalld 是一个流行的动态防火墙管理工具, firewall-cmd 是它的命令行接口。通过 firewall-cmd,可以轻松地管理防火墙规则、配置区域(zones)、处理端口等。 这篇文章…...
鸿蒙OS试题
哪些是持续部署最佳实践? A. 灰度发布:先在小部分用户或区域进行部署,观察没问题后再全面推广 B.手工部署:持续部署可以采用手工部署的方式发布软件: 1、有一份非常详尽的文档,该文档描述了执行步骤及每个步骤中易出错的地方; 2、以手工测试来确认该…...
Flutter InkWell组件去掉灰色遮罩
当InkerWell组件内部获取到焦点时,会展示一层灰色遮罩 将focusColor属性设置为透明即可 Flutter InkWell焦点效果源码分析 问题描述 当 InkWell 组件获得焦点时,会显示一层灰色遮罩效果。需要找出这个效果是由哪些组件控制的,以及具体的…...
Android——metaData
获取元数据信息的步骤: 调用 getPackageManager 方法获得当前应用的包管理器调用包管理器的 getActivityInfo 方法获得当前活动的信息对象活动信息对象的 metaData 是 Bundle 包裹类型,调用包裹对象的 getString 即可获得指定名称的参数值 配置 metaDa…...
SLAM|1. 相机投影及相机畸变
一个能思考的人,才真是一个力量无边的人。——巴尔扎克 本章主要内容: 1.针孔相机模型 2.相机成像的几个坐标系图像 3.畸变及相机标定 本节主要介绍在照相机拍摄过程中,现实物体如何跟照片上的像素关联起来,具体涉及相机成像的物…...
nginx配置及虚拟主机
nginx配置及虚拟主机 一、http协议介绍1、网站类型2、涉及的软件3、http协议介绍 二、nginx安装、启动1、nginx介绍2、nginx安装3、nginx启动管理 三、nginx配置文件1、配置文件语法结构2、全局配置3、事件驱动模型的配置4、http的配置 四、虚拟主机配置1、类型2、基于名称的虚…...
ElasticSearch - Bucket Script 使用指南
文章目录 官方文档Bucket Script 官文1. 什么是 ElasticSearch 中的 Bucket Script?2. 适用场景3. Bucket Script 的基本结构4. 关键参数详解5. 示例官方示例:计算每月 T 恤销售额占总销售额的比率百分比示例计算:点击率 (CTR) 6. 注意事项与…...
Android的SQLiteOpenHelper类 笔记241027
SQLiteOpenHelper SQLiteOpenHelper是Android开发中用于管理SQLite数据库的一个非常重要的工具类。以下是对SQLiteOpenHelper的详细介绍: 一、基本概念 SQLiteOpenHelper是一个抽象类,它主要用于管理数据库的创建和版本管理。通过继承这个类ÿ…...
「Mac畅玩鸿蒙与硬件10」鸿蒙开发环境配置篇10 - 项目实战:计数器应用
本篇将通过一个简单的计数器应用,带你体验鸿蒙开发环境的实际操作流程。本项目主要练习组件的使用、事件响应和状态管理,帮助开发者熟悉基本的应用构建流程。 关键词 计数器应用组件操作事件响应状态管理HarmonyOS 应用开发一、创建计数器项目 1.1 在 DevEco Studio 中新建项…...
安卓逆向之ARM汇编寻址,汇编指令
一:ARM汇编寻址 1. 立即数寻址 (Immediate Addressing) 指令中直接给出一个常数值(立即数),并对其进行操作。 MOV R0, #5 ; 将立即数5载入寄存器R02. 直接寻址 (Direct Addressing) 指令中给出的地址直接指定了内存中的一…...
Idea常见插件(超级实用)
文章目录 Idea好用的插件推荐Idea插件安装Chinese(中文版)Alibaba Java Coding Guidelines(代码规范)Auto Filling Java Arguments(自动补全参数)CamelCase(变量名称格式转换)CodeGeeX(智能&…...
C++中如何获取时间并格式化为字符串?
在C中,你可以使用标准库中的 <chrono> 和 <iomanip> 头文件来获取当前时间并将其格式化为字符串。以下是一个简单的示例,展示了如何获取当前时间并将其格式化为一个可读的字符串(例如:YYYY-MM-DD HH:MM:SS)…...
项目1 yolov5鱼苗检测计数
yolov5鱼苗检测 1. yolov5鱼苗检测1.1. 环境配置1.2 Predict1.3 Validate1.4 Train1.5 生成 ONNX 2 代码解析2.1 模型2.2 数据集2.3 损失函数2.4 训练2.5 预测 之前做的项目,再回顾一下 环境:GPU1卡,CPU4核,每显卡12GB,…...