网站建设规划书 简版,档案网站建设思考,wordpress站点转移,大良营销网站公司上一篇博客#xff08;HTTP详解_徐憨憨#xff01;的博客-CSDN博客#xff09;详细讲解了关于HTTP的知识#xff0c;了解到HTTP协议下的数据传输是一种明文传输#xff0c;既然是明文传输#xff0c;可能导致在传输过程中出现一些被篡改的情况#xff0c;此时就需要对所…上一篇博客HTTP详解_徐憨憨的博客-CSDN博客详细讲解了关于HTTP的知识了解到HTTP协议下的数据传输是一种明文传输既然是明文传输可能导致在传输过程中出现一些被篡改的情况此时就需要对所传输的数据进行加密达到数据安全的效果所以在HTTP协议的基础上引入了另一种应用层协议——HTTPS协议(升级版的HTTP协议一HTTP中的“运行商劫持”问题我们通过网络传输的任何数据包都会经过运营商的网络设备路由器交换机等由于是明文传输那么我们的数据对于运营商网络设备来说就是公开的运营商的网络设备就可以解析出传输的数据内容从而进行数据篡改如图所示不止运营商可以劫持其他黑客也可以用类似的手段进行劫持来窃取用户隐私信息或者篡改内容如果黑客在用户登录支付宝的时候获取到用户账户余额甚至获取到用户的支付密码后果不堪设想所以明文传输是比较危险的事情二HTTPSHTTPS的加密1.概念为了避免HTTP协议明文传输数据的危险HTTPS协议在HTTP协议的基础上进行了加密进一步的来保护用户的信息安全。2.加密加密就是把明文要传输的信息进行一系列变换变成密文解密就是把密文再进行一系列变换还原成明文在这个加密和解密的过程中往往需要一个或者多个中间的数据辅助进行这个过程这样的数据称为密钥2.HTTPS的工作过程既然要保证数据的安全就需要进行“加密”网络传输中不再直接传输明文了而是加密之后的“密文”加密的方式有很多但是整体可以分成两大类对称加密和非对称加密对称加密对称加密其实就是通过同一个“密钥”把明文加密成密文并且也能把密文解密成明文一个简单的对称加密, 按位异或假设明文 a 1234, 密钥 key 8888则加密 a ^ key 得到的密文 b 为 9834. 然后针对密文 9834 再次进行运算 b ^ key, 得到的就是原来的明文 1234. (对于字符串的对称加密也是同理, 每一个字符都可以表示成一个数字)当然, 按位异或只是最简单的对称加密. HTTPS 中并不是使用按位异或HTTPS中更复杂引入对称加密后即使数据被截获由于黑客不知道密钥是啥因此就无法进行解密也就不知道请求的真是内容是什么了但是密钥从何而来呢服务器还是客户端呢假设客户端生成一个密钥此时客户端就需要把密钥告知服务器客户端生成密钥发送给服务器由于密钥刚刚生成服务器还不知道密钥只能明文传输此时密钥可能就被黑客给截获了一旦黑客获取到了密钥后续对传输的数据进行加密操作都可以被黑客解密因此密钥的传输也必须加密传输但是要想对密钥进行对称加密就仍然需要先协商确定一个“密钥的密钥”这就变成了“无限套娃”的问题了此时密钥的传输就不也可以用对称加密就需要引入非对称加密非对称加密非对称加密要用到两个密钥一个叫做“公钥”一个叫做“私钥”公钥和私钥是配对的最大的缺点就是运算速度非常慢比对称加密要慢很多。通过公钥对明文加密, 变成密文通过私钥对密文解密, 变成明文.反过来也可以通过私钥对明文加密, 变成密文通过公钥对密文解密, 变成明文.客户端在本地生成对称密钥通过公钥加密发送给服务器由于中间设备密钥私钥即使截获了数据也无法还原出内部的原文也就无法获取到对称密钥服务器通过私钥解密还原出客户端发送的对称密钥并且使用这个对称密钥加密给客户端返回的响应数据后续客户端和服务器的通信都只用对称加密即可由于该密钥只有客户端和服务器两个主机知道其他主机/设备不知道密钥即使截获数据也没有意义由于对称加密的效率非常比非对称加密高很多因此只是开始阶段协商密钥的时候使用非对称加密后续的传输操作让然使用对称加密.现在的加密方式还存在一个小问题客户端如何获取到公钥客户端如何确定这个公钥不是黑客伪造的引入证书在客户端和服务器刚一建立连接的时候服务器给客户端返回一个证书这个证书包含了刚才的公钥也包含了网站的身份信息.当客户端获取到这个证书之后会对证书进行校验防止证书是伪造的判定证书的有效期是否过期判定证书的发布机构是否受信任操作系统中已内置的受信任的证书发布机构验证证书是否被篡改从系统拿到证书发布机构的公钥对签名解密得到一个hash值称为数学摘要设为hash1然后计算整个证书的hash值设为hash2对比hash1和hash2是否相等如果相等则说明证书是没有被篡改过.总结HTTPS工作过程涉及到的密钥有三组第一组(非对称加密): 用于校验证书是否被篡改. 服务器持有私钥(私钥在注册证书时获得), 客户端持有公钥(操作系统包含了可信任的 CA 认证机构有哪些, 同时持有对应的公钥). 服务器使用这个私钥对证书的签名进行加密. 客户端通过这个公钥解密获取到证书的签名, 从而校验证书内容是否是篡改过第二组(非对称加密): 用于协商生成对称加密的密钥. 服务器生成这组 私钥-公钥 对, 然后通过证书把公钥传递给客户端. 然后客户端用这个公钥给生成的对称加密的密钥加密, 传输给服务器, 服务器通过私钥解密获取到对称加密密钥第三组(对称加密): 客户端和服务器后续传输的数据都通过这个对称密钥加密解密. 其实一切的关键都是围绕这个对称加密的密钥. 其他的机制都是辅助这个密钥工作的第二组非对称加密的密钥是为了让客户端把这个对称密钥传给服务器第一组非对称加密的密钥是为了让客户端拿到第二组非对称加密的公钥.
