HTTPS的加密过程

原创 已于 2024-11-15 15:52:33 修改 · 515 阅读 · 6 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#https #网络协议 #http

于 2024-11-15 14:57:23 首次发布

原来的http是明文传输的,可以随意截获或篡改,所以需要HTTPS加密
HTTPS为对称加密+非对称加密

HTTPS的非对称加密与对称加密

连接建立时的请求:使用非对称加密
1.客户端发起连接请求,同时计算出一个ClientRandom发送给客户端
2.服务器使用CA私钥将CA签名、签名算法、公钥加密,同时计算出一个ServerRandom一起发送给客户端
3.客户端使用系统中内置的CA公钥进行验证解密,得到签名算法,通过算法验证签名是否有效,验证通过后可以得到服务器公钥
4.客户端计算出一个随机数,称为预主密钥(Pre-Master Secret),通过服务器公钥将随机数加密,传输给服务器
5.双方使用ClientRandom、ServerRandom、预主密钥共同计算出2个会话密钥,这两个密钥存在客户端和服务器中,不会经过网络传输
连接建立后:使用对称加密
双方通过计算出的会话密钥进行传输数据和解密
连接断开后,共同销毁对称私钥

怎么保证公钥能正确的发送到客户端而防止被掉包?

1.需要第三方CA的密钥对公钥计算摘要、签名加密,生成一个密文,这段密文,只能由CA的公钥解密,而CA的公钥如果在网络中传输也一样被截获,所以直接内置到了客户端的操作系统中,
2.CA发来的密文,使用客户端中保存的CA公钥对其解密,获得摘要
3.由于客户端系统中已经保存有数字签名,那么就可以通过CA计算的摘要,被客户端使用同样的算法得出摘要,对比2个摘要是否一致,如果一致,那么就是服务器发来的正确的未经篡改的公钥
4.客户端得到服务器的公钥后,这时就可以进行数据的传输了

如果服务器发的公钥被截获,会发生什么?

1.假如公钥被第三方截获,那么第三方就可以通过他们自己的加密工具,生成一个假的公钥,再发回给客户端
2.客户端使用假的公钥加密数据传输给服务器
3.第三方截获由客户端假加密的数据,进行解密,这时就可以获取到客户端的数据了,然后进行篡改并发去服务器

有了证书是否就安全了?

答案是不一定安全的,第三方也可以向CA申请数字签名,当服务器发回给客户端公钥时,被第三方截获,此时第三方可以进行以下操作
1.将数字签名换为第三方的数字签名,并且将其返回给客户端
2.如果客户端安装了第三方的数字签名,那么在解密CA加密的密文时,会发现使用第三方的公钥可以进行解密
3.客户端使用第三方解密之后会发现客户端计算后的摘要与CA的摘要一致,则会认为这个证书是有效的
4.之后就拿到了由第三方的服务器发来的公钥,之后再发送的密文也会被第三方解密了
所以保证数据安全重点是不能允许其他不明的证书安装进系统

证书验证的过程,只会在握手建立连接的时候进行验证,连接完成后就不需要验证了

Sator1
关注
HTTPS加密过程 详解
weixin_68074170的博客
07-19 1174
发送方对内容计算出一个「指纹」,然后同内容一起传输给对方。接受方对内容也计算出一个「指纹」,然后跟发送方发送的「指纹」做一个比较。如果「指纹」相同,说明内容没有被篡改,否则就可以判断出内容被篡改了。常见摘要算法:MD5(消息摘要算法第五版)输入任意长度的原文,经过处理(见下),输出为128位的信息(数字指纹);不同的输入得到的不同的结果(唯一性);MD5属不属于加密算法MD5不可逆,因为本质使用的是hash算法,在计算过程中原文的部分信息是丢失了的。
HTTPS加密过程
u010386121的博客
05-28 1102
https具体工作原理。
https加密过程详解
weixin_60214397的博客
10-30 1566
详细解释HTTPS密钥生成以及加密解密过程
Https加密过程
Wulawuba的博客
09-01 1448
Https加密过程
HTTPS加密过程详解
热门推荐
m0_46672151的博客
03-25 2万+
HTTPS加密过程详解!干货满满!准备好时间再看!
HTTPS 加密过程详解
m0_52083255的博客
01-28 5314
密文传输协议 HTTPSHTTPS 中的概念对称加密非对称加密 HTTPS 中的概念 对称加密 非对称加密
详解HTTPS加密过程
qq_63525426的博客
05-20 6163
众所周知,HTTPS要比HTTP要安全,但是为什么HTTPS要比HTTP安全呢?这篇文章主要研究HTTPS加密机制。HTTPS 工作过程中涉及到的密钥有三组第一组(非对称加密): 用于校验证书是否被篡改. 服务器持有私钥(私钥在注册证书时获得), 客户端持有公钥(操作系统包含了可信任的 CA 认证机构有哪些, 同时持有对应的公钥). 服务器使用这个私钥对证书的签名进行加密. 客户端通过这个公钥解密获取到证书的签名, 从而校验证书内容是否是篡改过。
HTTPS &加密过程详解
警警的博客
03-21 2483
HTTPS(Hypertext Transfer Protocol Secure)是一种基于 HTTP 协议的安全通信协议,通过 SSL/TLS 协议对传输数据进行加密和身份验证,解决了 HTTP 明文传输的安全隐患。HTTPS加密过程主要依赖于 SSL/TLS 协议,它确保了客户端与服务器之间的通信是加密的、安全的。• 客户端验证证书的有效性,包括检查证书是否由受信任的 CA 签发、证书是否在有效期内、以及证书中的域名是否与请求的域名匹配。证书中包含服务器的公钥和证书颁发机构(CA)的签名。
详解HTTPS加密过程
weixin_62848751的博客
12-21 1327
加密就是把明文经过一系列变换,生成密文。解密就是把密文经过一系列变换,还原成明文。
HTTPS加密过程和TLS证书验证
包磊磊的博客
03-04 1986
HTTPS加密过程和TLS证书验证 前言 大家都知道,苹果在2016年WWDC上宣布了关于应用需要强制使用HTTPS的规定。这也算是个好消息吧,虽然开发者们可能需要适配下HTTPS,但是我们的应用可算是披上一个安全的保护罩了。本篇文章就算是笔者在学习HTTPS过程中的一个记录吧。 HTTPS加密过程 最近重新了解了下HTTPHTTPS: 首先二者都是网络传输协议;HTTPS在传输过程中是...
详解https 加密完整过程
10-19
以下是对HTTPS加密完整过程的详细解析: 1. **初始连接**: 当用户在浏览器中输入HTTPS网址并按下回车键时,客户端(通常是用户的浏览器)向服务器发送一个TCP连接请求。一旦连接建立,通信开始。 2. **握手阶段*...
Cobalt Strike渗透之HTTPS/SMB/TCP Beacon横向移动实战3(跳板机Windows)
最新发布
mooyuan的网络安全博客
12-04 588
本文详细介绍了利用Cobalt Strike的TCPBeacon进行内网横向渗透的技术方案。通过创建HTTPS和TCP监听器,生成对应木马程序,先控制跳板机再横向渗透内网目标主机。重点阐述了TCP Beacon的两种应用模式(正向直连和横向渗透)及其实战步骤,包括监听器配置、木马生成、会话创建、文件传输和目标连接等关键环节。整个过程采用HTTPS会话控制跳板机,再通过TCP管道连接内网主机,最终实现隐蔽的横向移动和数据通信。
《基于iptables的nginx的https的搭建》
2301_80348933的博客
11-30 483
本文介绍了在RHEL9系统上搭建Nginx HTTPS服务的完整流程。主要内容包括:1) 安装并配置Nginx服务;2) 使用iptables设置防火墙规则,开放HTTP/HTTPS端口;3) 生成自签名SSL证书;4) 配置Nginx实现HTTPS加密HTTP自动跳转;5) 设置基本账户认证功能。通过详细的操作步骤和验证方法,最终实现了具备账户验证、SSL/TLS加密且不关闭防火墙的安全Web服务,并提供了测试页面验证各项功能正常运行。所有操作均通过命令行完成,适合系统管理员参考实施。
Cobalt Strike渗透之HTTPS/SMB/TCP Beacon横向移动实战2(跳板机Windows)
mooyuan的网络安全博客
12-04 610
本文介绍了使用CobaltStrike的SMB Beacon进行内网渗透的技术原理和实战流程。SMB Beacon利用Windows命名管道实现隐蔽通信,无需直接连接公网,特别适合内网横向移动。本文演示了从创建SMB监听器、生成木马、通过跳板机上传到目标主机、建立SMB会话连接的全过程。该技术通过跳板机转发流量,使内网主机通过SMB管道相连,成功实现了权限维持和横向拓展。
[Linux网络基础——Lesson6.「HTTPS」]
2401_83386596的博客
12-02 929
本文系统阐述了HTTPS安全传输协议的实现原理与演进过程。首先分析了HTTP协议存在的窃听、篡改等安全问题,进而介绍了加密技术(对称/非对称)、数字摘要和数字签名等基础概念。为解决密钥分发和身份认证问题,详细探讨了从单纯对称加密到混合加密(非对称+对称)的方案优化,最终引入CA证书机制构建完整安全体系。通过四种中间人攻击场景分析,验证了"非对称加密+对称加密+CA证书"组合方案的可靠性,该方案既保证了密钥传输安全,又实现了高效数据加密和可信身份认证。文章由浅入深地揭示了HTTPS协议背后
Charles抓包怎么用 Charles抓包工具详细教程、网络调试方法、HTTPS配置与手机抓包实战
2501_91510632的博客
12-04 724
以工程流程为线索介绍 Charles 抓包怎么用,涵盖配置教程、手机抓包、链路分析、HTTPS 抓取与常见问题排查,是开发者定位网络异常的重要参考。 ------
C#Netcore支持Https
rainmanqqst的专栏
12-01 269
完成安装。
https加密过程
07-10
HTTPS协议的加密通信过程主要依赖于SSL/TLS协议,它通过结合**非对称加密**与**对称加密**的方式,确保数据在传输过程中的安全性与完整性。整个过程可以分为以下几个关键阶段: ### 1. 客户端发起连接请求 当用户在浏览器中输入一个 HTTPS 网址时,客户端(例如浏览器)会向服务器发送一个 `ClientHello` 消息,其中包含支持的 TLS 版本、加密套件(Cipher Suite)以及一个随机生成的客户端随机数(Client Random)[^3]。 ### 2. 服务器响应并提供证书 服务器收到请求后,会回应一个 `ServerHello` 消息,包括: - 选择使用的 TLS 版本和加密套件; - 一个由服务器生成的随机数(Server Random); - 服务器的数字证书(通常基于 X.509 标准),该证书包含服务器的公钥和由可信 CA(证书颁发机构)签名的信息,用于身份验证[^4]。 ### 3. 客户端验证证书并生成密钥 客户端接收到证书后,会执行以下操作: - 验证证书的有效性,包括检查是否由受信任的 CA 签发、是否过期、域名是否匹配等; - 如果证书有效,则客户端生成一个**预主密钥(Pre-Master Secret)**,并通过服务器的公钥进行加密,并将加密后的数据发送给服务器(即 `ClientKeyExchange` 消息)[^1]。 ### 4. 服务器解密并生成会话密钥 服务器使用自己的私钥解密出客户端发送的预主密钥,并结合之前交换的客户端随机数和服务器随机数,计算出**主密钥(Master Secret)**。随后,双方各自根据主密钥派生出多个**会话密钥(Session Keys)**,这些密钥用于后续的对称加密和消息认证码(MAC)生成[^2]。 ### 5. 双方确认加密通道建立 客户端和服务器分别发送 `ChangeCipherSpec` 消息以通知对方切换到加密模式,并发送 `Finished` 消息以验证之前的握手过程是否被篡改。此时,加密通信通道已经成功建立,接下来的数据传输都通过对称加密方式进行[^3]。 ### 6. 数据传输阶段 一旦安全通道建立完成,客户端与服务器之间传输的所有数据都会使用会话密钥进行加密和解密。通常采用的是 AES、ChaCha20 等对称加密算法,同时配合 HMAC 或 AEAD(如 AES-GCM)机制来确保数据完整性和防篡改。 ### 加密流程总结图示 ``` ClientHello ↓ ServerHello + 证书 ↓ ClientKeyExchange + ChangeCipherSpec + Finished ↓ ChangeCipherSpec + Finished ↓ 加密数据传输 ``` ### 关键技术点说明 - **非对称加密**:用于密钥交换阶段,保证预主密钥的安全传输,常用算法为 RSA 或 ECDHE。 - **对称加密**:用于实际数据传输阶段,具有更高的性能,常用算法包括 AES、ChaCha20。 - **数字证书与CA**:用于验证服务器身份,防止中间人攻击。 - **前向保密(Forward Secrecy)**:使用 ECDHE 等密钥交换算法可实现即使长期密钥泄露也不会影响过去的通信安全[^2]。 HTTPS加密过程通过 SSL/TLS 协议的多层安全保障机制,实现了在网络上传输敏感信息时的高度安全性与可靠性。
评论 1
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值