https详解

http存在的隐患

HTTP是属于应用层的协议,它是基于TCP/IP的,所以它只是规定一些要传输的内容,以及头部信息,然后通过TCP协议进行传输,依靠IP协议进行寻址,通过一幅最简单的图来描述:

image.png

客户端发出请求,服务端进行响应,就是这么简单。在整个过程中,没有任何加密的东西,所以它是不安全的,中间人可以进行拦截,获取传输和响应的数据,造成数据泄露。

对称加密

对于这种情况,我们想到的最直接的办法就是对数据加密

数据加密.png

这种加密方式叫做:对称加密。 加密和解密用同一个秘钥的加密方式叫做对称加密。但是对称加密却解决不了任何问题,比如 多个客户端怎么办?

多个客户端.png

为所有的客户端都应用同一个秘钥A,这种方式很显然是不合理的,破解了一个用户,所有的用户信息都会被盗取。

但是如果每个客户端 都准备一个密钥也不是很现实,服务端需要维护的太多。

另外对称加密还存在一个问题就是对称加密的秘钥也需要传输,如果在传输秘钥的过程中被拦截,秘钥也会被获取,也是非常不安全的

非对称加密

在对称加密的路上走不通了,我们换个思路,还有一种加密方式叫非对称加密,比如RSA。 非对称加密会有一对秘钥:公钥和私钥。 公钥加密的内容,只有私钥可以解开,私钥加密的内容,所有的公钥都可以解开(当然是指和秘钥是一对的公钥)。

非对称加密.png

私钥只保存在服务器端,公钥可以发送给所有的客户端。

在传输公钥的过程中,肯定也会有被中间人获取的风险,但在目前的情况下,至少可以保证客户端通过公钥加密的内容,中间人是无法破解的,因为私钥只保存在服务器端,只有私钥可以破解公钥加密的内容。

现在我们还存在一个问题,如果公钥被中间人拿到篡改呢:

MITM:Man-in-the-MiddleAttack

image.png

客户端拿到的公钥是假的,如何解决这个问题?

第三方认证

公钥被掉包,是因为客户端无法分辨传回公钥的到底是中间人,还是服务器,这也是密码学中的身份验证问题。 在HTTPS中,使用 证书 + 数字签名 来解决这个问题。

image.png

这里假设加密方式是MD5,将网站的信息加密后通过第三方机构的私钥再次进行加密,生成数字签名。

数字证书 = 网站信息 + 数字签名

假如中间人拦截后把服务器的公钥替换为自己的公钥,因为数字签名的存在,会导致客户端验证签名不匹配,这样就防止了中间人替换公钥的问题。

image.png

浏览器安装后会内置一些权威第三方认证机构的公钥,比如VeriSign、Symantec以及GlobalSign等等,验证签名的时候直接就从本地拿到相应第三方机构的公钥,对私钥加密后的数字签名进行解密得到真正的签名,然后客户端利用签名生成规则进行签名生成,看两个签名是否匹配,如果匹配认证通过,不匹配则获取证书失败。

为什么要有签名?

大家可以想一下,为什么要有数字签名这个东西呢?

第三方认证机构是一个开放的平台,我们可以去申请,中间人也可以去申请呀:

image.png

如果没有签名,只对网站信息进行第三方机构私钥加密的话,会存在下面的问题:

image.png

因为没有认证,所以中间人也向第三方认证机构进行申请,然后拦截后把所有的信息都替换成自己的,客户端仍然可以解密,并且无法判断这是服务器的还是中间人的,最后造成数据泄露。

对称加密

在安全的拿到服务器的公钥之后,客户端会随机生成一个对称秘钥,使用服务器公钥加密,传输给服务端,此后,相关的 Application Data 就通过这个随机生成的对称秘钥进行加密/解密,服务器也通过该对称秘钥进行解密/加密:

image.png

整体流程图

HTTPS = HTTP + TLS/SSL

image.png

HTTPS中具体的内容还有很多,可以通过下图做一个参考:

image.png

总结

HTTPS就是使用SSL/TLS协议进行加密传输,让客户端拿到服务器的公钥,然后客户端随机生成一个对称加密的秘钥,使用公钥加密,传输给服务端,后续的所有信息都通过该对称秘钥进行加密解密,完成整个HTTPS的流程。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 层序遍历?套模板就够了

    顾名思义,对于树型结构,层序遍历就是按层从上到下,每层按一定顺序对树的节点进行遍历。我们通过如图所示的二叉树进行说明:对于左边的二叉树,按层划分后可得到右边的分...

    程序员养成日记
  • php数组hashtable的巧妙设计

    一个数组在 PHP 内核里是长什么样的呢?我们可以从 PHP 的源码里看到其结构如下:

    程序员养成日记
  • redis不小心清空了数据库(flushall),只能跑路吗?

    一名程序员因为对公司不满,删除了公司的数据库,后来被判7年,这也给咱们程序员敲响了一记警钟,无论发生什么,这种做法都是非常不妥当的,不光是职业道德的问题,而且还...

    程序员养成日记
  • 身份证校验

    longzeqiu
  • python之自动化测试

    pywinauto 下载地址:http://sourceforge.net/projects/pywinauto/

    py3study
  • https与TLS/SSL 握手协议、record protocol简介

    https即 HTTP Secure,HTTP的通信接口部分用SSL和TLS协议代替,并非是一种新的协议。

    爬蜥
  • 3D建模软件中涉及的技术

    3D建模可使用建模软件,常用的通用商业3D软件有3Dmax以及Maya,cad 软件有autocad、solidworks、sroe。上面这两类...

    要不要吃火锅
  • 流沙:宜信安全数据平台实践

    OpenSOC是思科在BroCON大会上亮相了的一个安全大数据分析架构,它是一个针对网络包和流的大数据分析框架,是大数据分析与安全分析技术的结合, 能够实时的检...

    宜信技术学院
  • python之文件操作、OS模块、CSV

    D closed 检查当前文件是否关闭,若为True ,则表示已关闭,若为False,则表示未关闭

    py3study
  • 勒索病毒不要赎金或跟风“WannaRen" 火绒已解密并阻断传播渠道

    近日,有多位网友向火绒反馈遭遇勒索病毒攻击,火绒工程师远程查看后,发现攻击者通过一款后门病毒向用户植入了该勒索病毒:工程师一边对后门病毒进行溯源分析,同时升级产...

    用户6477171

扫码关注云+社区

领取腾讯云代金券