HTTPS的加密流程

weixin_419658312025-02-26 19:41

1.HTTPS是什么?

HTTPS是一个应用层协议,是在HTTP协议的基础上引入一个加密层,对报头(header)和正文(body)进行加密,以免在传输中被黑客截获或篡改。

2.加密的方法

加密通常有两种方式,对称加密和非对称加密。对称加密是使用一个密钥进行加密和解密:

  • 加密过程:明文加密钥,生成密文;
  • 解密过程:密文加密钥,生成明文;

非对称加密有两个密钥,公钥和私钥,使用公钥加密时,需要使用私钥解密,使用私钥加密时,需要使用公钥解密:

  • 加密过程:明文加公钥/私钥,生成密文;
  • 解密过程:密文加私钥/公钥,生成明文;

3.对称加密

服务器通过使用密钥对明文请求加密,生成密文请求,再将密文请求传输给服务器。服务器接收到密文请求后,使用密钥解密生成明文请求。同理,服务器使用相同的方法,给客户端发送响应。中间即使经过黑客的设备,黑客的设备因为没有密钥,即使截获到密文请求/响应,也没有办法解密或者篡改。

但是实际上,服务器需要和许多客户端进行通讯,那么就需要知道每个客户端的密钥,每个客户端的密钥必须是不同的,否则黑客也会很容易获取密钥进行破解。比较理想的做法是,每次进行通讯时,服务器都和客户端协商好本次通讯的密钥。但密钥不能明文传输,同样也需要进行加密,这就需要用到新的密钥取给原本的密钥加密,新的密钥也需要告知服务器。因此这个过程最开始总会先涉及到明文传输密钥,有可能被黑客截获。此时使用对称加密的方式不可行,需要引入非对称加密。

对称加密的通讯过程:

4.非对称加密

为了解决对称加密的安全问题,引入了非对称加密。非对称加密需要用到公钥和私钥。服务器首先会生成一对公钥和私钥,把公钥返回给客户端,并将私钥保存好。每次进行通讯时,客户端会和服务器协商本次通讯使用的对称密钥,再将协商好的对称密钥使用公钥加密,传输给服务器,服务器会用手中的私钥进行解密,获取对称密钥。之后客户端和服务器使用对称密钥加密,进行通讯。即使中间设备被黑客入侵,黑客只能截获到加密后的对称密钥,而黑客手中没有私钥,无法获取到对称密钥,对数据进行篡改。

引入非对称加密,通讯过程如下:

问题:既然已经引入非对称加密,为啥还要用对称加密进行通讯?为什么不用非对称加密完成所有业务数据的传输?

非对称加密的运算成本比较高,运算速度也比较慢。对称加密的运算成本低,且运算速度快。因此非对称加密只用于关键环节,比如传输对称密钥,这样运算成本可控。后续要传输大量的业务数据,使用效率更高的对称加密,是更加合理的做法。如果所有业务数据都使用非对称加密,那么传输效率会受到严重影响。

5.中间人攻击

上述对称加密结合非对称加密的方式,是HTTPS的主要逻辑。但是上述流程还有一个比较严重的漏洞,仍然可能会出现数据泄露或被篡改的问题,这个问题就是中间人攻击。

服务器会提前生成一对公钥pub1和私钥pri1,黑客设备也会提前生成一对公钥pub2和私钥pri2。客户端在和服务器刚开始建立连接的时候,客户端会向服务器询问公钥,服务器会给客户端返回公钥pub1,黑客设备会替换公钥pub1,将自己的公钥pub2发送给客户端,客户端拿到pub2后,会将自己的对称密钥通过pub2加密,发送给服务器,黑客设备会通过自己的私钥pri2解密拿到对称密钥key1,并将自己的对称密钥key2通过pub1加密后发送给服务器。服务器收到数据后,会使用私钥pri1解密,拿到对称密钥key2。之后黑客设备就可以通过key1和key2分别和客户端服务器通讯,拿到所有的通讯数据。

中间人攻击过程如下图:

6.解决中间人攻击问题的方法

为了解决中间人攻击的问题,引入了证书。当客户端和服务器建立连接的时候,服务器给客户端返回一个证书。证书类似于网站的身份证,搭建一个HTTPS网站都需要向第三方公证机构申请一个证书。证书可以理解为是一段结构化的数据,包含证书发布机构,证书有效期,服务器公钥,网站的域名,数字签名等信息。

公证机构也会生成一对公钥和私钥,公证机构自己持有私钥,公钥发布给各个客户端设备。颁发证书的时候公证机构会针对数字证书的各个属性计算出一个检验和,再使用自己的私钥对校验和进行加密,最终得到数字签名。

客户端拿到数字证书之后,会使用第三方公证机构的公钥进行解密,拿到数字证书的校验和以及服务器的公钥。客户端同样也会重新计算数字证书的校验和,并和解密得到的校验和进行对比,如果相同,则认为证书没有被篡改过。

如果黑客拿到证书后,篡改里面的公钥,客户端收到数字证书校验的时候就会发现校验和不一致,并提示用户存在安全风险。并且黑客也无法篡改数字签名,因为数字签名的生成是需要使用第三方公证机构的私钥对校验和进行加密,黑客没有这个私钥,因此无法篡改数字签名。

7.总结

HTTPS的加密过程分为以下3个过程:

  • 1.使用对称密钥对业务数据进行加密;
  • 2.使用非对称密钥加密对称密钥;
  • 3.使用第三方公证机构的数字证书,校验服务器公钥,避免中间人攻击;

结合上述三个机制确保HTTPS协议的安全性。

相关推荐
丁总学Java9 分钟前
SSL/TLS 协议、SSL证书 和 SSH协议 的区别和联系
网络协议·ssh·ssl
萤火夜1 小时前
网络应用层之HTTPS
网络协议·http·https
fengfeng N2 小时前
AxiosError: Network Error
前端·https·axios·跨域换源
追风赶月、3 小时前
【网络】网络层IP协议
网络·网络协议·tcp/ip
network_tester7 小时前
5G毫米波测试规范详解:3GPP核心标准、测试流程与实战挑战
网络·网络协议·测试工具·5g·信息与通信·信号处理·射频工程
红豆和绿豆7 小时前
如何实现http请求到不同机房机器的负载均衡和路由转发
网络协议·http·负载均衡
爱写Bug的小孙7 小时前
【Http和Https区别】
网络协议·http·https
Tony__Ferguson8 小时前
浅谈HTTP及HTTPS协议
网络协议·http·https
星星岛屿8 小时前
网络原理---HTTP/HTTPS
网络·网络协议·tcp/ip
热门推荐
01DeepSeek各版本说明与优缺点分析02本地部署DeepSeek教程(Mac版本)03如何在WPS和Word/Excel中直接使用DeepSeek功能04微软正式发布.NET 10 Preview 1:开启下一代开发框架新篇章05太炸裂了!清华大学deepseek从入门到精通使用手册又出第三版了,《普通人如何抓住DeepSeek红利》(无套路,直接下载)06DeepSeek本地部署详细指南07DeepSeek R1本地化部署 Ollama + Chatbox 打造最强 AI 工具08本地化部署AI知识库:基于Ollama+DeepSeek+AnythingLLM保姆级教程09DeepSeek r1本地安装全指南10保姆级教程:利用Ollama与Open-WebUI本地部署 DeedSeek-R1大模型