HTTPS的加密流程

huohaiyu2026-03-23 10:48

目录

一、HTTPS

[1、HTTPS 的概念](#1、HTTPS 的概念)

[2、" 加密 "是什么](#2、“ 加密 ”是什么)

[二、HTTPS 的工作过程](#二、HTTPS 的工作过程)

1、引入对称加密

2、引入非对称加密

3、中间人攻击

4、引入证书

三、总结流程

一、HTTPS

1、HTTPS 的概念

HTTPS = HTTP + 加密(TLS / SSL)

HTTP :明文传输,不安全容易被篡改、劫持、窃听

HTTPS :也是一个应用层协议,在HTTP的基础上用 SSL / TLS 协议加密通信,可靠、完整、加密、可信

运营商劫持情况:

比如我们在浏览器下载一系列软件时,点击高速下载------>会下载应用宝 / 乱七八糟的软件,绝大多数就是运营商HTTP劫持,HTTPS 运营商劫持不了

2、" 加密 "是什么

明文 :要传输的原始数据

加密 :将明文进行了一系列变换之后生成密文

解密 :将密文再进行一系列变换还原成明文

加密和解密的过程中会使用到一个特殊的数据:密钥

二、HTTPS 的工作过程

1、引入对称加密

是通过同一个 " 密钥 ",把明文加密成密文,把密文解密成明文

一个简单的对称加密:

**密钥 :**所有字母向后移动三位

明文:ABC

加密:DEF(密文)

**解密:**同样密钥,向前移动3位,密文变回明文ABC

客户端 / 服务器生成一个密钥,让对方也持有这个密钥,客户端发送给服务器的数据就使用这个密钥进行加密,服务器使用这个密钥对客户端发送的数据进行解密

流程:

但服务器要处理很多不同客户端的请求,必然不可能使用同一个密钥,那么就可以让客户端随机生成一个对称密钥然后**通过网络传输给服务器,**那么将密钥传输的过程有极大可能被黑客拦截

那么我们再次使用对称加密吗?显然肯定不行,在嵌套的对称加密密钥还是会被窃取,那么我们就需要引入非对称加密了

2、引入非对称加密

非对称加密要用到两个密钥:一个 " 公钥 "、一个 " 私钥 "

公钥和私钥是配对使用的,最大缺点为运算速度慢,比对称加密慢的多

使用:

  • 常规使用公钥加密,私钥解密。也可以反着用

服务器生成公钥和私钥,然后将公钥发放出去:

  1. 客户端在本地生成对称密钥,使用公钥对其进行加密,发送给服务器
  2. 由于中间网络设备没有持有私钥,即使截获了数据,也无法对其进行解密,获取到对称密钥
  3. 服务器通过私钥对客户端发送的请求进行解密后使用这个对称密钥进行加密并返回响应
  4. 后续双方使用对称密钥进行数据传输即可,因为只有双方知道

那么只使用非对称加密是否可以?

非对称加密对资源的占用多,效率低,所以我们使用非对称加密来加密对称密钥,规避掉开销大的问题,由于对称密钥已经到达对方, 所以我们之后使用对称密钥加密也同样安全

上述方案其实存在 " 致命缺陷 ",接下来我们介绍黑客如何进行攻击

3、中间人攻击

服务器可以生成公钥和私钥,那么黑客也可以生成公钥和私钥

流程:

  1. 客户端向服务器发起请求,服务器明文传输公钥给客户端
  2. 在传输过程中,黑客截取服务器的数据报文并保存公钥 ,将报文中的公钥改为自己的公钥并打包 (伪造)发送给客户端
  3. 客户端收到报文 ,提取公钥(并不知道公钥已经被替换),自己形成对称密钥,使用黑客的公钥进行加密,形成报文并发送给服务器
  4. 中间人劫持后, 使用自己的私钥进行解密,再用之前保存的服务器公钥进行加密,将报文发送给服务器
  5. 服务器拿到报文,用私钥进行解密
  6. 双方开始使用对称密钥进行数据传输,但中间人已经知道对称密钥,对数据进行修改、窃取都可以

那么我们如何应对中间人攻击?

4、引入证书

数字证书(SSL / CA 证书)

**概念:**把某人 / 某网站的公钥,盖上权威机构(CA)的公章,证明这个公钥确实属于它,不是伪造的

证书中主要包含这些东西:

1、使用者(域名/人名) 2、它的公钥 3、有效期

4、颁发机构 5、CA使用自己私钥做的签名(核心)

流程:

  • 在客户端和服务器进行连接时,服务器给客户端返回一个证书
  • 这个证书包含了公钥,也包含了网站信息

那么黑客是否可以对 pub3 进行中间人攻击呢?

答案是不可以,pub3 不是通过网络传输的,而是操作系统内置的

客户端会对证书的真实性进行验证:

  1. 客户端使用同样的算法计算校验和 check1
  2. 客户端使用公证机构的公钥(pub3)对签名进行解密得到校验和 check2
  3. 判断check1==check2 ,如果相同证书有效

三、总结流程

客户端和服务器流程:

HTTPS工作过程涉及的密钥有三组:

  • 非对称加密:用于验证证书是否被篡改,客户端持有公钥,服务器持有私钥,服务器使用这个私钥对证书的签名进行加密,客户端通过公钥进行解密和校验是否有效
  • 非对称加密:用于协商生成对称加密的密钥,服务器生成公钥------私钥对,通过证书传递公钥给客户端,客户端使用公钥对对称密钥进行加密,传输给服务器,服务器通过私钥解密获取到对称密钥
  • 对称加密:服务器和客户端后续的传输都使用这个对称密钥进行加密和解密
相关推荐
德迅云安全杨德俊2 小时前
直面 DDoS 威胁:从现状到解决方案
网络·安全·web安全·https·ddos
花月C2 小时前
基于WebSocket的 “聊天” 业务设计与实战指南
java·网络·后端·websocket·网络协议
Barkamin3 小时前
HTTPS的工作过程
网络协议·http·https
小鱼不会骑车3 小时前
TCP 核心知识精讲:是什么 · 为什么 · 怎么做
网络·网络协议·tcp/ip
cccyi74 小时前
支持 HTTP 协议的主从 Reactor 高性能服务器组件
服务器·http·reactor
Bling_Bling_14 小时前
【无标题】
前端·网络协议
Predestination王瀞潞20 小时前
5.4.2 通信->WWW万维网内容访问标准(W3C):WWW(World Wide Web) 核心技术规范
网络·网络协议·https·www
虾..21 小时前
TCP协议
网络·网络协议·tcp/ip
上去我就QWER21 小时前
详解HTTP协议中的multipart/form-data
网络·网络协议·http
热门推荐
01GitHub 镜像站点02Qwen3.5 开源全解析:从 0.8B 到 397B,代际升级 + 全场景选型指南03围棋-html版本04小黑课堂计算机二级WPSoffice题库软件下载安装教程(2026年3月最新版)05班级宠物园部署指南06OpenClaw 使用和管理 MCP 完全指南07AI 编程三剑客:Spec-Kit、OpenSpec、Superpowers 深度对比与实战指南08OpenClaw Control UI安全上下文访问配置09UV安装并设置国内源10“wsl --install -d Ubuntu-22.04”下载慢,中国地区离线安装 Ubuntu 22.04 WSL方法(亲测2025年5月6日)