3.比 HTTP 更安全的 HTTPS(工作原理理解、非对称加密理解、证书理解)

所谓的协议

  1. 协议只是一种规则,你不按规则来就无法和目标方进行你的工作

  2. 协议说白了只是人定的规则,任何人都可以定协议

  3. 我们不需要太了解细节,这些制定和完善协议的人去做的,我们只需要知道协议的一个大概


HTTPS 协议

1、概述
  1. HTTPS(Hypertext Transfer Protocol Secure)是一种安全的超文本传输协议,主要用于在客户端和服务器之间安全地传输数据

  2. HTTPS 在 HTTP 的基础上通过传输加密和身份认证保证了传输过程的安全性

  3. HTTPS 的安全基础是 SSL(Secure Sockets Layer,安全套接字层)协议或其继任者 TLS(Transport Layer Security,传输层安全性)协议

2、优缺点
(1)优点
  1. 数据加密:通过 SSL/TLS 协议对传输的数据进行加密,保护用户隐私和敏感信息

  2. 身份验证:通过 SSL/TLS 证书对服务器进行身份验证,确保用户连接的是合法的服务器,防止中间人攻击

  3. 数据完整性:使用消息认证码等机制确保数据在传输过程中不被篡改

  4. 信任度高:使用 HTTPS 的网站会获得更高的信任度,因为 HTTPS 被视为安全可靠的通信方式

(2)缺点
  1. 性能开销:加密和解密数据会增加服务器和客户端的计算量

  2. 成本高昂:获取和维护 SSL/TLS 证书需要一定的成本和技术支持

  3. 部署复杂:需要在服务器端配置和管理 SSL/TLS 证书

  4. 缓存限制:HTTPS 通信不能像 HTTP 一样被中间设备缓存

3、工作原理
(1)客户端发起连接请求
  1. 客户端尝试访问一个 HTTPS 网站,例如,https://www.example.com

  2. 客户端发起一个到服务器 443 端口的连接请求(HTTPS 默认端口)

(2)服务器返回证书和相关信息
  1. 服务器响应客户端的连接请求,并发送其 SSL/TLS 证书,这个证书通常包含服务器的公钥、服务器的名称(通常是域名)、证书颁发机构(CA)的信息、证书的有效期等

  2. 服务器还可能发送其他 SSL/TLS 握手消息,包括它支持的加密套件列表等

(3)客户端验证服务器证书的合法性
  • 客户端收到服务器的证书后,会进行一系列验证步骤来确保证书的合法性,如果证书验证失败,客户端会向用户显示一个错误消息,并可能阻止连接
  1. 检查证书是否由受信任的证书颁发机构(CA)签发

  2. 检查证书是否已过期

  3. 检查证书上的域名是否与正在访问的域名匹配(防止域名欺骗)

  4. 可能还会检查证书链(如果服务器证书是由中间 CA 签发的),以确保整个链都是有效的

    假设用户试图访问 https://www.example.com,但服务器返回的证书是为 https://www.malicious-example.com 签发的
    客户端会检查证书上的域名,发现与正在访问的域名不匹配,因此会向用户显示一个"证书不匹配"的错误消息,并阻止连接

(4)客户端生成随机数并加密发送给服务器
  1. 一旦客户端验证了服务器的证书,它会生成一个随机数,这通常称为"预主密钥"或"客户端随机数"

  2. 客户端使用服务器证书中的公钥对这个随机数进行加密,并将加密后的结果发送给服务器

    1、客户端生成一个随机数 ClientRandom
    2、客户端使用服务器证书中的公钥对 ClientRandom 进行加密,得到 EncryptedClientRandom
    3、客户端将 EncryptedClientRandom 发送给服务器

(5)服务器解密随机数并生成会话密钥
  1. 服务器收到 EncryptedClientRandom 后,使用自己的私钥进行解密,得到原始的 ClientRandom

  2. 服务器也会生成一个随机数,通常称为"服务器随机数"

  3. 服务器将 ClientRandomServerRandom 以及其他参数(例如,加密算法、哈希算法)组合在一起,通过一系列复杂的计算生成一个会话密钥,通常称为"主密钥"或"会话密钥"

    1、服务器解密得到 ClientRandom
    2、服务器生成一个随机数 ServerRandom
    3、服务器将 ClientRandom、ServerRandom 以及选择的加密算法和哈希算法组合在一起,通过预定的密钥交换算法(如 Diffie-Hellman 或 RSA 密钥交换)计算出会话密钥 SessionKey

(6)双方使用会话密钥进行通信
  1. 一旦会话密钥生成,客户端和服务器都会使用这个密钥对后续的数据进行加密和解密

  2. 这种加密通常是使用对称加密算法(例如,AES)进行的,因为对称加密算法在处理大量数据时比公钥加密算法(例如,RSA)更快

    1. 客户端想要发送一条消息给服务器
    2. 客户端使用会话密钥 SessionKey 对消息进行加密,得到密文
    3. 客户端将密文发送给服务器
    4. 服务器收到密文后,使用相同的会话密钥 SessionKey 对密文进行解密,得到原始的消息

内容补充

1、非对称加密
(1)基本介绍
  1. 公钥加密:发送方使用接收方的公钥来加密消息,这样只有拥有对应私钥的接收方才能解密这条消息,从而保证了消息的安全性和隐私性

  2. 私钥解密:接收方使用自己的私钥来解密由发送方使用公钥加密的消息,由于私钥是保密的,只有接收方自己知道,因此只有接收方能够读取这条消息

(2)代码演示
  • 这里使用 Java 加密扩展(Java Cryptography Extension,JCE)来实现非对称加密
  1. 生成 RSA 密钥对

    KeyPairGenerator keyPairGenerator = KeyPairGenerator.getInstance("RSA");
    keyPairGenerator.initialize(2048, new SecureRandom());
    KeyPair keyPair = keyPairGenerator.generateKeyPair();
    PublicKey publicKey = keyPair.getPublic();
    PrivateKey privateKey = keyPair.getPrivate();

  2. 准备待加密的数据

java 复制代码
String originalData = "Hello World";
byte[] originalDataBytes = originalData.getBytes();
  1. 使用公钥加密数据
java 复制代码
Cipher encryptCipher = Cipher.getInstance("RSA/ECB/OAEPWithSHA-256AndMGF1Padding");
encryptCipher.init(Cipher.ENCRYPT_MODE, publicKey);
byte[] encryptedData = encryptCipher.doFinal(originalDataBytes);
String encryptedDataBase64 = Base64.getEncoder().encodeToString(encryptedData);
System.out.println("Encrypted - Base64: " + encryptedDataBase64);
  1. 使用私钥解密数据
java 复制代码
Cipher decryptCipher = Cipher.getInstance("RSA/ECB/OAEPWithSHA-256AndMGF1Padding");
decryptCipher.init(Cipher.DECRYPT_MODE, privateKey);
byte[] decryptedData = decryptCipher.doFinal(encryptedData);
String decryptedDataString = new String(decryptedData);
System.out.println("Decrypted: " + decryptedDataString);
2、证书签发
(1)自签名证书
  1. 会有不是由证书颁发机构(CA)签发的证书,这些证书通常被称为自签名证书(self-signed certificates)或内部证书(internal certificates)

  2. 它们可能由组织内部创建,用于测试、开发或内部网络中的通信

  3. 自签名证书是由创建证书的同一实体(例如,一个组织或开发者)签名和颁发的,而不是由公认的、独立的第三方证书颁发机构(CA)签发的

  4. 因此,自签名证书通常不会被大多数操作系统、浏览器或应用程序默认信任,因为它们没有被广泛认可的根证书颁发机构所背书

  5. 在开发和测试环境中,使用自签名证书是很常见的,因为它们允许你设置一个加密的、安全的 HTTPS 连接,而无需购买和配置来自 CA 的证书,然而,在使用自签名证书时,需要在客户端(例如,Android 应用程序)中配置信任存储或信任管理器,以显式地信任这些证书

(2)CA 签发证书
  1. 在生产环境中,应该始终使用由受信任的 CA 签发的证书,以确保你的 HTTPS 连接的安全性和可信度

  2. 这些证书经过了严格的验证和审计,并且被广泛认可和信任,使用来自 CA 的证书可以确保应用程序与服务器之间的通信受到加密保护,并且可以验证服务器的身份,从而防止中间人攻击和其他安全威胁

3、客户端差异性
  • 浏览器能直接发送 HTTPS 请求,而 Java 请求库不能直接请求,它们有如下差异
  1. 浏览器内置支持 HTTPS,浏览器通过内置的 SSL/TLS 协议栈来处理 HTTPS 请求,确保数据传输的安全性

  2. Java 请求库虽然也支持HTTPS请求,但通常需要开发者进行额外的配置,这包括设置 SSL/TLS 协议版本、信任库(TrustStore)和密钥库(KeyStore)等,如果没有正确配置,就可能导致请求失败

相关推荐
魔道不误砍柴功2 小时前
Java 中如何巧妙应用 Function 让方法复用性更强
java·开发语言·python
NiNg_1_2342 小时前
SpringBoot整合SpringSecurity实现密码加密解密、登录认证退出功能
java·spring boot·后端
闲晨2 小时前
C++ 继承:代码传承的魔法棒,开启奇幻编程之旅
java·c语言·开发语言·c++·经验分享
_.Switch2 小时前
高级Python自动化运维:容器安全与网络策略的深度解析
运维·网络·python·安全·自动化·devops
JokerSZ.2 小时前
【基于LSM的ELF文件安全模块设计】参考
运维·网络·安全
SafePloy安策2 小时前
软件加密与授权管理:构建安全高效的软件使用体系
安全
芯盾时代3 小时前
数字身份发展趋势前瞻:身份韧性与安全
运维·安全·网络安全·密码学·信息与通信
Chrikk3 小时前
Go-性能调优实战案例
开发语言·后端·golang
幼儿园老大*3 小时前
Go的环境搭建以及GoLand安装教程
开发语言·经验分享·后端·golang·go