科普文:HTTPS协议

概叙

        HTTPS(Secure Hypertext Transfer Protocol)即安全超文本传输协议,是一个安全通信通道。用于计算机网络的安全通信,已经在互联网得到广泛应用。

        HTTPS 是基于 HTTP 的扩展,其相当于 HTTP协议+SSL(安全套接层)/TLS(安全传输层协议)协议加密。因此 HTTPS 也常指 HTTP over SSL 或 HTTP over TLS。

HTTP 的缺点:

  1. HTTP 通信使用明文,内容可能会被窃听。
  2. HTTP 无法验证报文的完整性,所以有可能遭到篡改。
  3. HTTP 不验证通信方的身份,有可能遭遇伪装。
  4. HTTP 通信使用明文,且不验证通信方的身份,会被中间人挟持。

        HTTPS 与 HTTP 的区别:HTTP 协议的数据传输是通过明文的形式做传输,即使约定了加密方式,但是第一次传输的时候还是明文;鉴于此,HTTPS使用的是非对称加密,为秘钥的传输外层再做一层保护,非对称加密的一组秘钥对中,包含一个公钥和一个私钥。明文既可以用公钥加密,用私钥解密;也可以用私钥加密,用公钥解密。

  • HTTPS 协议需要到 CA 申请证书;
  • HTTP 是明文传输,HTTPS 则是具有安全性的 SSL 加密传输协议;
  • HTTP 和 HTTPS 使用的是完全不同的连接方式,端口也不一样。前者是 80,后者是 443;
  • HTTP 的连接是无状态的,HTTPS 协议是由 SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 更安全。

        总的来说:HTTPS 目前是最流行的 HTTP 安全形式。使用 HTTPS 时,所有的 HTTP 请求和响应数据在发送到网络之前,都要进行加密。

        HTTPS 在 HTTP 下面提供了一个传输级的密码安全层: SSL 和 TLS。

HTTPS解决的问题是什么?

        答:信任主机的问题

        采用https的服务器必须从CA (Certificate Authority)申请一个用于证明服务器用途类型的证书。该证书只有用于对应的服务器的时候,客户端才信任此主机。所以目前所有的银行系统网站,关键部分应用都是https 的。客户通过信任该证书,从而信任了该主机。其实这样做效率很低,但是银行更侧重安全。这一点对我们没有任何异议,我们的服务器,采用的证书不管是自己发布的还是从公众的地方发布的,其客户端都是自己人,所以我们也就肯定信任该服务器。

        通讯过程中的数据的泄密和被篡改

        1. 一般意义上的https,就是服务器有一个证书。

                a) 主要目的是保证服务器就是他声称的服务器,这个跟第一点一样。

                b)服务端和客户端之间的所有通讯,都是加密的。

                i. 具体讲,是客户端产生一个对称的密钥,通过服务器的证书来交换密钥,即一般意义上的握手过程。

                ii. 接下来所有的信息往来就都是加密的。第三方即使截获,也没有任何意义,因为他没有密钥,当然篡改也就没有什么意义了。

        2. 少许对客户端有要求的情况下,会要求客户端也必须有一个证书。

                a) 这里客户端证书,其实就类似表示个人信息的时候,除了用户名/密码,还有一个CA 认证过的身份。因为个人证书一般来说是别人无法模拟的,所以这样能够更深的确认自己的身份。

                b) 目前少数个人银行的专业版是这种做法,具体证书可能是拿U盘(即U盾)作为一个备份的载体。

SSL 与 TLS 概述

        SSL(Secure Socket Layer)即,位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。SSL 通过互相认证、使用数字签名确保完整性、使用加密确保私密性,以实现客户端和服务器之间的安全通讯。

SSL 协议可分为两层:

  • SSL 记录协议(SSL Record Protocol):它建立在可靠的传输协议(如 TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。
  • SSL 握手协议(SSL Handshake Protocol):它建立在 SSL 记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

        TLS:安全传输层协议(TLS)用于在两个通信应用程序之间提供保密性和数据完整性。TLS 记录协议用于封装各种高层协议。作为这种封装协议之一的握手协议允许服务器与客户机在应用程序协议传输和接收其第一个数据字节前彼此之间相互认证,协商加密算法和加密密钥。该协议由两层组成: TLS 记录协议(TLS Record)和 TLS 握手协议(TLS Handshake)

        SSL/TLS 协议为了解决 HTTP 协议的缺点,希望达到:

  • 所有信息都是加密传播,第三方无法被窃听。
  • 具有校验机制,一旦被篡改,通信双方立刻会发现。
  • 配备身份证书,方式身份被冒充。

        SSL 是一个二进制协议,与 HTTP 完全不同,其流量是承载在另一个端口上的(通常是 443),如果 SSL 和 HTTP 的流量都从 80 端口到达,大部分 web 服务器会将二进制 SSL 流量理解为错误的 HTTP 并关闭连接。

SSL证书

        SSL证书是一种数字证书,可以由组织或个人购买,并允许Web服务器和浏览器之间的安全连接。它通过将加密密钥绑定到组织的详细信息来做到这一点。

        证书包含有关证书持有者的姓名、证书序列号和到期日期、证书持有者的公钥副本以及证书颁发机构的数字签名等信息。这会对网站进行身份验证,证明它确实是它声称的网站,而不是冒充该网站的黑客。

        在服务器向客户端发送公钥这一过程中,客户端可能会收到黑客假冒服务器发送的假的公钥。为了安全考虑,就需要用到 SSL 证书了。在通信时,服务器将证书发送给客户端,客户端会对证书的真伪进行校验,保证了安全。

        从本质上讲,它会验证该站点是否如其所说。

SSL 与 TLS 二者之间关系

        TLS 是 SSL3.0 的后续版本。TLS 与 SSL3.0 之间存在着显著的差别,主要是它们所支持的加密算法不同,所以 TLS 与 SSL3.0 不能互操作。

        SSL 是 Netscape 开发的专门用户保护 Web 通讯的,目前版本为 3.0。最新版本的 TLS 是 IETF(Internet Engineering Task Force,Internet 工程任务组)制定的一种新的协议。最新版本的 TLS1.0,它建立在 SSL3.0 协议规范之上,是 SSL3.0 的后续版本。两者差别极小,可以理解为 SSL3.1。

通过证书防止中间人攻击

        中间人获取信息后,模拟客户端和服务器,并使用伪造的服务器证书发送给客户端的情况,是一种常见的中间人攻击手法。

        为了避免这种情况,SSL/TLS 协议和浏览器等客户端采取了多种措施:

证书链验证
        客户端会验证服务器证书是否由受信任的证书颁发机构(CA)签署。证书链验证过程如下:
服务器提供的证书会包括一个完整的证书链,根证书在客户端的受信任证书库中。
客户端验证从服务器证书到根证书的整个链条。如果任意一个证书不匹配或无效,连接将被终止。


证书透明度(Certificate Transparency, CT)
        这是一个公开的日志系统,所有颁发的证书都会被记录在透明日志中。客户端可以检查收到的证书是否在这些日志中,并验证其合法性。通过这种方式,可以防止恶意CA颁发伪造的证书。

在线证书状态协议(Online Certificate Status Protocol, OCSP)
        OCSP用于检查证书是否被吊销。客户端在连接服务器时,会请求OCSP响应,确认证书仍然有效。如果证书被吊销,客户端将拒绝连接。

HTTP严格传输安全(HTTP Strict Transport Security, HSTS)
        HSTS允许服务器告知浏览器只能通过HTTPS连接,并拒绝所有HTTP连接。这可以防止降级攻击,中间人无法通过强制降级到HTTP来进行中间人攻击。

证书钉扎(Certificate Pinning)
        证书钉扎将特定服务器的证书或公钥绑定到客户端,确保只有特定的证书或公钥可以用于该服务器。即使中间人使用伪造的证书,也无法通过验证。

域名系统安全扩展(DNSSEC)
        DNSSEC通过对DNS数据进行签名,确保DNS响应的真实性和完整性,防止中间人篡改DNS记录并进行流量劫持。

双因素认证(2FA)
        即使在建立安全连接后,中间人成功截获了会话,双因素认证提供了额外的安全层,防止未经授权的访问

HTTPS如何加密数据

        对安全或密码学基础有了解的同学,应该知道常见的加密手段。一般来说,加密分为对称加密、非对称加密(也叫公开密钥加密)。

        1.客户端浏览器和服务器,通过三次握手,创建TCP链接。             

        2.浏览器请求https链接,服务端返回证书公钥。

        3.浏览器产生随机数[key1],作为后面传输数据时的对称加密密钥,并用证书公钥非对称加密随机数传给服务器。(上图中234三步所示)

        4.服务器收到随机数[key1]密文,用证书私钥非对称解密,同时服务器将解密到的随机数[key

1]作为后面传输数据时的对称加密密钥[key1],[key1]保存在服务端,同时服务端产生一个随机数random2,服务端用[key1]对random2进行对称加密,加密后的密文和明文返回给浏览器。

        5.浏览器收到密文,用本地的密钥[key1],进行对称解密,解密到的明文和服务端传过来的明文比对,一致,则说明,身份验证完成。后面即可用本地的密钥[key1]进行数据的对称加密和解密。

        6.SSL/TLS的4次握手完成,即可进行https通信。

        7.浏览器将请求数据用本地的密钥[key1]进行对称加密,发给服务器。

        8.服务器收到浏览器的加密请求,用本地的密钥[key1]进行对称解密,同时将响应也用本地的密钥[key1]进行对称加密,发给浏览器。

        9.浏览器收到服务器的加密响应,用本地的密钥[key1]进行对称解密,然后完成浏览器的数据渲染展示。

        10.https通信结束,浏览器发起TCP4次握手断开TCP链接。

HTTPS 下浏览器访问一个网站的全过程

        https的整个通信过程可以分为两大类:证书验证和数据传输阶段。数据传输阶段又分为非对称加密和对称加密两个阶段。

img

        具体流程如下:

  1. 首先客户端请求 https 网址,然后连接到 Server 的 443 端口(https 默认端口)。
  2. 采用 https 协议的服务器必须要有一套数字 CA 证书。颁发证书的同时会产生一个私钥和公钥。私钥由服务端自己保存,不可泄漏。公钥则附加在证书中,可以公开。证书本身附带一个电子签名,可以用来验证证书的完整性和真实性,可以防止证书被篡改。
  3. 服务器响应客户端请求,将证书传递给客户端。证书包含公钥和大量其他的信息,比如证书颁发机构信息、公司信息和证书有效期等。
  4. 客户端解析证书并对其进行验证,如果证书不是可信的机构颁布,或者证书的域名与实际域名不一致,或证书已经过期,就会向访问者显示一个警告。如果证书没有问题,客户端就会从服务器证书中取出服务器的公钥A,并生成一个随机码KEY,并使用公钥对其进行加密。
  5. 客户端会把加密后的随机码KEY发送给服务器,作为后面对称加密的密钥。
  6. 服务器在收到随机码KEY之后会使用私钥B将其解密。经过以上这些步骤,客户端和服务器终于建立了安全的连接,接下来可以使用对称加密进行通信了。
  7. 服务器使用密钥(随机码KEY)对数据进行对称加密并发送给客户端,客户端使用相同的密钥解密数据。
  8. 双方使用对称加密传输所有的数据。

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/44503.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

0708,LINUX目录相关操作

主要是冷气太足感冒了&#xff0c;加上少吃药抗药性差&#xff0c;全天昏迷&#xff0c;学傻了学傻了 cat t_chdir.c #include <stdio.h> #include <unistd.h> #include <error.h> #include <errno.h> #include <sys/stat.h>int main(int argc…

鲁棒控制器设计方法:systune,hinfsyn,musyn,slTuner

systune和hinfsyn更侧重于基于数学模型的控制器设计&#xff0c;而musyn则特别考虑了系统的不确定性。slTuner则提供了在Simulink环境中进行控制器设计和调整的能力。 指定结构的控制器整定&#xff1a;systune, hinfstruct广义控制对象整定&#xff1a;musyn, mixed musyn, h…

应急响应-ELK日志分析系统

&#x1f3bc;个人主页&#xff1a;金灰 &#x1f60e;作者简介:一名简单的大一学生;易编橙终身成长社群的嘉宾.✨ 专注网络空间安全服务,期待与您的交流分享~ 感谢您的点赞、关注、评论、收藏、是对我最大的认可和支持&#xff01;❤️ &#x1f34a;易编橙终身成长社群&#…

2024年PMP考试备考经验分享

PMP是项目管理领域最重要的认证之一,本身是IT行业比较流行的证书&#xff0c;近几年在临床试验领域也渐渐流行起来&#xff0c;是我周围临床项PM几乎人手一个的证书。 考试时间&#xff1a;PMP认证考试形式为180道选择题&#xff0c;考试时间为3小时50分。 考试计划&#xff…

NFS综合项目

现有主机 node01 和 node02&#xff0c;完成如下需求&#xff1a; 1、在 node01 主机上提供 DNS 和 WEB 服务 2、dns 服务提供本实验所有主机名解析 3、web服务提供 www.rhce.com 虚拟主机 4、该虚拟主机的documentroot目录在 /nfs/rhce 目录 5、该目录由 node02 主机提供的NFS…

NI 5G大规模MIMO测试台:将理论变为现实

目录 概览引言MIMO原型验证系统MIMO原型验证系统硬件LabVIEW通信系统设计套件&#xff08;简称LabVIEW Communications&#xff09;CPU开发代码FPGA代码开发硬件和软件紧密集成 LabVIEW Communications MIMO应用框架MIMO应用框架特性单用户MIMO和多用户MIMO基站和移动站天线数量…

常用控件(三)

输入类控件 QLineEditQTextEditQComboBoxQSpinBoxQDateTimeEditQDialQSlider QLineEdit QLineEdit用来表示单行输入框&#xff0c;可以输入一段文本&#xff0c;但是不能换行; 核心属性: 属性说明text输入框中的文本inputMask输入内容格式约束maxLength最大长度frame是否添加边…

FOLANNIC FD31 UPS工作原理介绍

1&#xff0e;1简介 FOLANNIC FD31系列UPS系工业级电厂型不间断电源&#xff0c;是为重要负载提供不受电网干扰、稳压、稳频的电力供应的电源设备&#xff0c;在市电掉电后&#xff0c;UPS可给负载继续提供一段时间供电&#xff0c;此系列UPS采用带输出隔离变压器的高频双变换结…

链表---头插法+尾插法

本博客介绍了单链表的实现&#xff0c;以及头插法尾插法的代码实现 1.定义一个结点类 class ListNode{int value;ListNode next;public ListNode(int value) {super();this.value value;}Overridepublic String toString() {return "ListNode{" "value" …

Windows部署MySQL环境

一、下载MySQL数据库 进入官网&#xff1a;https://www.mysql.com 找到红框位置&#xff0c;点击DOWNLOADS页面下翻&#xff0c;找到红框位置并点击进入&#xff08;图片右下方那个&#xff09; 选择红框部分 这里按照红框选择的是离线安装&#xff0c;之间点击download即可&…

JFlash读取和烧录加密stm32程序

JFlash读取和烧录加密stm32程序 安装后JFlash所在的目录&#xff1a;C:\Program Files\SEGGER\JLink 一、烧写加密程序 1、打开C:\Program Files\SEGGER\JLink目录&#xff0c;找到JFlash.exe,双击它&#xff0c;就可以打开该执行程序。见下图&#xff1a; 2、选择“Create …

Nature Renderer 2022(植被渲染工具插件)

渲染大量详细的植被。 自然渲染器通过替换Unity的默认地形细节和树系统来提高植被渲染的质量。一切都适用于现有数据:使用相同的草地、植被和树木,并保留现有地形。我们只是升级您的渲染器。 Unity验证的解决方案 Nature Renderer受到25000多名开发人员的信任,是Unity验证的…

Llama-2 vs. Llama-3:利用微型基准测试(井字游戏)评估大模型

编者按&#xff1a; 如何更好地评估和比较不同版本的大语言模型&#xff1f;传统的学术基准测试固然重要&#xff0c;但往往难以全面反映模型在实际应用场景中的表现。在此背景下&#xff0c;本文作者别出心裁&#xff0c;通过让 Llama-2 和 Llama-3 模型进行井字游戏对决&…

STM32智能机器人手臂控制系统教程

目录 引言环境准备智能机器人手臂控制系统基础代码实现&#xff1a;实现智能机器人手臂控制系统 4.1 数据采集模块 4.2 数据处理与控制算法 4.3 通信与网络系统实现 4.4 用户界面与数据可视化应用场景&#xff1a;机器人手臂管理与优化问题解决方案与优化收尾与总结 1. 引言 …

Linux系统中磁盘管理LVM与挂载

Linux系统中磁盘管理LVM与挂载 本文以属于Linux系统基本概念&#xff0c;如果以查找教程教程&#xff0c;解决问题为主&#xff0c;只需要查看本文后半部分。如需要系统性学习请查看本文前半部分。 本文操作极容易导致主机无法自动重启&#xff0c;请慎重操作。操作前务必要进…

火热夏季:浦语*书生InternLM大模型实战闯关-入门岛之Linux基础知识

一、ssh链接与端口映射并运行hello_wold.py 1.创建开发机 InternStudio创建开发机 2.进入开发机 3.Ssh链接开发机 powerShell终端ssh链接开发机。 4.创建一个hello_world.py文件web demo 5.运行web demo 6.端口映射 7.本地浏览器打开web 二、 VSCODE 远程连接开发机并创建一个…

【最强八股文 -- 计算机网络】【快速版】TCP 与 UDP 头部格式

目标端口和源端口: 应该把报文发给哪个进程包长度: UDP 首部的长度跟数据的长度之和校验和: 为了提供可靠的 UDP 首部和数据而设计&#xff0c;接收方使用检验和来检查该报文段中是否出现差错 源端口号和目的端口号: 用于多路复用/分解来自或送到上层应用的数据。告诉主机报文段…

[机器学习]-人工智能对程序员的深远影响——案例分析

机器学习和人工智能对未来程序员的深远影响 目录 机器学习和人工智能对未来程序员的深远影响1. **自动化编码任务**1.1 代码生成1.2 自动调试1.3 测试自动化 2. **提升开发效率**2.1 智能建议2.2 项目管理 3. **改变编程范式**3.1 数据驱动开发 4. **职业发展的新机遇**4.1 AI工…

数字统计

import java.util.Scanner;// 注意类名必须为 Main, 不要有任何 package xxx 信息 public class Main {public static void main(String[] args) {Scanner in new Scanner(System.in);// 注意 hasNext 和 hasNextLine 的区别// 注意 while 处理多个 caseint a in.nextInt();i…

【计算机毕业设计】基于Springboot的足球青训俱乐部管理系统【源码+lw+部署文档】

包含论文源码的压缩包较大&#xff0c;请私信或者加我的绿色小软件获取 免责声明&#xff1a;资料部分来源于合法的互联网渠道收集和整理&#xff0c;部分自己学习积累成果&#xff0c;供大家学习参考与交流。收取的费用仅用于收集和整理资料耗费时间的酬劳。 本人尊重原创作者…