【Linux后端服务器开发】HTTPS协议

目录

一、加密算法

二、中间人攻击

三、CA认证


一、加密算法

HTTPS协议是什么?HTTPS协议也是一个应用层协议,是在HTTP协议的基础上引入了一个加密层。

HTTP协议内容是按照文本的方式明文传输的,这就导致在传输过程中出现一些被篡改的情况。

什么是加密?加密就是把明文(需要传输的内容)进行一系列变换,生成密文。解密就是加密的逆过程,将密文还原成明文。

在这个加密和解密的过程中,往往需要一个或多个中间的数据,辅助进行这个过程,这样的数据称为密钥。

对称加密

  • 采用单密钥的加密方法,同一个密钥可以同时用作信息的加密和解密,这种加密方法称作对称加密,也称单密钥加密
  • 特点:算法公开、计算量小、安全性低、加密速度快

非对称加密

  • 需要两个密钥来进行加密和解密,这两个密钥是公钥(public key)和私钥(private key)
  • 通过公钥对明文加密,变成密文;通过私钥对密文解密,得到明文,公钥和私钥可以反着用
  • 特点:算法复杂、安全性较高、加密速度较低

对称加密&&非对称加密

由于对称加密存在密钥易泄漏问题,非对称加密存在加密效率低的问题,我们可以使用非对称加密完成服务器公钥的传递,通过服务器的公钥形成密钥再进行对称加密传输数据。

表面上看对称加密&&非对称加密的组合使用解决了安全性和效率性的问题,但是依然存在被中间人攻击的风险。

二、中间人攻击

中间人攻击 (Man-in-the-MiddleAttack),简称MITM攻击

  1. 服务器有非对称密钥的公钥S、私钥S'
  2. 中间人有非对称密钥的公钥M、私钥M'
  3. 客户端向服务器发送公钥请求,服务器明文传送公钥给客户端
  4. 中间人劫持数据报文,提取S并保存好,然后将被劫持报文中的公钥S替换成自己的公钥M,并将伪造报文发送客户端
  5. 客户端收到报文,提取公钥M(客户端不知道服务器的公钥S已经被换过了),自己形成对称密钥C,用公钥M加密得到密文X,形成报文发送给服务器
  6. 中间人再次劫持后得到密文X,直接用自己的私钥M'进行解密,得到密钥C,再用自己之前保存的服务器公钥S加密C,得到密文Y,再将报文推送给服务器
  7. 服务器拿到密文Y,用私钥S'解密,得到通信密钥C
  8. 双方开始采用对称密钥C进行对称加密通信,但是一切都在中间人的掌握中,劫持数据、进行切图或者篡改数据......

三、CA认证

服务端在使用HTTPS之前,需要向CA机构申领一份数字证书,数字证书里含有证书申请者信息、公钥信息等。服务器把证书给浏览器,浏览器从证书里获取公钥就行了,证书就如身份证,证明服务端公钥的权威性

CA证书可以理解为一个结构化的字符串,里面包含的信息是:证书发布机构、证书有效期、公钥、证书所有者、签名......

当服务端申请CA证书的时候,CA机构会对服务端进行审核,并专门为该网站形成数字签名,过程如下:

  1. CA机构拥有非对称加密的公钥A和私钥A'
  2. CA机构对服务端申请的证书明文数据进行hash,形成数据摘要
  3. CA机构最后对数据摘要用私钥A'加密,得到数字签名S

服务端申请的证书明文和数字签名S共同组成了数字证书,这样的一份数字证书就可以发送给服务端了

数据摘要&&数据指纹

  • 数字指纹(数据摘要),其基本原理是利用单向散列Hash函数对信息进行运算,生成一串固定长度的数字摘要。数字指纹并不是一种加密机制,但可以用来判断数据有没有被篡改。
  • 特点:和加密算法的区别是摘要严格意义上不是加密,因为没有解密,只不过从摘要很难反推原信息,通常用来进行数据对比

数字签名

摘要经过加密,就得到数字签名,签名的形成是基于非对称加密算法的

数字签名的本质是为了防篡改,保证服务器公钥的合法性

非对称加密&&对称加密&&证书认证

在客户端和服务器刚建立连接的时候,服务器给客户端返回一个证书,证书包含了之前服务器的公钥,也包含了网站的身份信息

 

客户端获取到这个证书的时候,会对证书进行校验:

  • 判定证书的有效期是否过期
  • 判定证书的发布机构是否受信任(操作系统中已内置受信任的证书发布机构)
  • 验证证书是否被篡改(从系统中拿到该证书发布机构的公钥,对签名解密,得到一个hash值,称为数字摘要,设为hash1,然后计算整个证书明文信息的hash值,设为hash2,对比hash1和hash2是否相等,如果相等则证明证书是没有被篡改过的) 

HTTPS工作过程中涉及到的密钥有三组:

  • 第一组(非对称加密):用于校验证书是否合法
  • 第二组(非对称加密):用于协商生成对称加密的密钥
  • 第三组(对称加密):客户端和服务器的数据通信

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/46316.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

ROS1ROS2之CmakeList.txt和package.xml用法详解

前言:目前还在学习ROS无人机框架中,,, 更多更新文章详见我的个人博客主页【前往】 文章目录 1. CMakeLists.txt与package.xml的作用2. 生成CMakeLists.txt2.1 ROS12.2 ROS2 3. CMakeLists.txt编写3.1 ROS13.2 ROS2 4. package.xml…

Ubuntu 20.04 Ubuntu18.04安装录屏软件Kazam

1.在Ubuntu Software里面输入Kazam,就可以找不到这个软件,直接点击install就可以了 2.使用方法: 选择Screencast(录屏) Fullscreen(全屏)-----Windows(窗口)--------Ar…

1、传统锁回顾(Jvm本地锁,MySQL悲观锁、乐观锁)

目录 1.1 从减库存聊起1.2 环境准备1.3 简单实现减库存1.4 演示超卖现象1.5 jvm锁1.6 三种情况导致Jvm本地锁失效1、多例模式下,Jvm本地锁失效2、Spring的事务导致Jvm本地锁失效3、集群部署导致Jvm本地锁失效 1.7 mysql锁演示1.7.1、一个sql1.7.2、悲观锁1.7.3、乐观…

fragment

fragment 在vue2中,组件必须有一个跟标签在vue3中,组件可以没有跟标签,内部会将多个标签包含在一个fragment虚拟元素中好处:减少标签层级,减小内存占用 teltport 什么是teltport teleport是一种能够将我们组件html结构移动到指定位置的技术 像是下面的代码不适用teleport:…

信息系统项目管理师(第四版)教材精读思维导图-第三章信息系统治理

请参阅我的另一篇文章,综合介绍软考高项: 信息系统项目管理师(软考高项)备考总结_计算机技术与软件专业技术_铭记北宸的博客-CSDN博客 目录 3.1 IT治理 3.2 IT审计 3.1 IT治理 3.2 IT审计

Java程序设计六大原则设计模式

Java程序设计六大原则 一、单一职责原则: 一个接口或者类只有一个原因引起变化,即一个接口或者类只有一个职责,负责一件事情。(此原则同样适用于方法) 好处:1、复杂性降低;2、可读性提高&…

elasticsearch查询操作(API方式)

说明&#xff1a;elasticsearch查询操作除了使用DSL语句的方式&#xff08;参考&#xff1a;http://t.csdn.cn/k7IGL&#xff09;&#xff0c;也可以使用API的方式。 准备 使用前需先导入依赖 <!--RestHighLevelClient依赖--><dependency><groupId>org.ela…

内存泄漏是什么?有什么危害

内存泄漏是什么&#xff1f;有什么危害 1. 前言1.内存泄漏是什么&#xff1f;2. 为什么会发生内存泄漏3. 内存泄漏的危害4. 总结 1. 前言 在各种项目开发中&#xff0c;内存泄漏是一个很严重的问题。对资源管理、性能优越、系统稳定性&#xff0c;以及是否安全产生极大印象。本…

AndroidStudio设计一个计算器

界面设计 activity_calcuator.xml 设计&#xff1a; <?xml version"1.0" encoding"utf-8"?> <LinearLayout xmlns:android"http://schemas.android.com/apk/res/android"xmlns:app"http://schemas.android.com/apk/res-auto&qu…

2、基于redis实现分布式锁

目录 2.1. 基本实现2.2. 防死锁2.3. 防误删2.4. redis中的lua脚本2.4.1 redis 并不能保证2.4.2 lua介绍 2.5. 使用lua保证删除原子性 2.1. 基本实现 借助于redis中的命令setnx(key, value)&#xff0c;key不存在就新增&#xff0c;存在就什么都不做。同时有多个客户端发送setn…

Easy-Es笔记

一、Easy-ES概述 Easy-Es&#xff08;简称EE&#xff09;是一款由国内开发者打造并完全开源的ElasticSearch-ORM框架。在原生 RestHighLevelClient 的基础上&#xff0c;只做增强不做改变&#xff0c;为简化开发、提高效率而生。Easy-Es采用和MP一致的语法设计&#xff0c;降低…

HDFS异构存储详解

异构存储 HDFS异构存储类型什么是异构存储异构存储类型如何让HDFS知道集群中的数据存储目录是那种类型存储介质 块存储选择策略选择策略说明选择策略的命令 案例&#xff1a;冷热温数据异构存储对应步骤 HDFS内存存储策略支持-- LAZY PERSIST介绍执行使用 HDFS异构存储类型 冷…

C# winform子窗口向父窗口传值

这里我使用一个简单的方法。只需要在父窗口定义一个静态变量就行。 父窗体为Form1,子窗体为Form2。 public static int get_num0; 子窗体直接给get_num赋值即可。 Form1.get_num2; 这样父窗体就能获得get_num修改后这个值了

[start] m40 test

software & update 470 drive version # cd /etc/apt # mv sources.list sources.list.bak # sudo vi /etc/apt/sources.list # 默认注释了源码镜像以提高 apt update 速度&#xff0c;如有需要可自行取消注释 deb https://mirrors.tuna.tsinghua.edu.cn/ubuntu/ ja…

Flask 笔记

Flask 笔记 一、Flask介绍 1、学习Flask框架的原因 2020 Python 开发者调查结果显示Flask和Django是Python Web开发使用的最主要的两个框架。 2、Flask介绍 ​ Flask诞生于2010年&#xff0c;是Armin ronacher用Python 语言基于Werkzeug工具箱编写的轻量级Web开发框架。 ​…

Matlab 点云平面特征提取

文章目录 一、简介二、实现代码2.1基于k个邻近点2.2基于邻近半径参考资料一、简介 点云中存在这各种各样的几何特征,这里基于每个点的邻域协方差来获取该点的所具有的基础几何特征(如下图所示),这样的做法虽然不能很好的提取出点云中的各个部分,但却是可以作为一种数据预处…

SAP ABAP 用户状态锁定案例

一、前言 项目需求是根据当天及前两天的离职员工信息&#xff08;假设这是一个定时器任务每天下午5点执行程序&#xff0c;计算前两天的员工工号是为了将5点之后办理离职的员工工号找出来&#xff09;&#xff0c;将这些员工在用户表 USR02 中的锁定状态设置为 “64”&#xff…

Emacs之实现鼠标/键盘选中即拷贝外界内容(一百二十)

简介&#xff1a; CSDN博客专家&#xff0c;专注Android/Linux系统&#xff0c;分享多mic语音方案、音视频、编解码等技术&#xff0c;与大家一起成长&#xff01; 优质专栏&#xff1a;Audio工程师进阶系列【原创干货持续更新中……】&#x1f680; 人生格言&#xff1a; 人生…

springboot整合ELK+kafka采集日志

一、背景介绍 在分布式的项目中&#xff0c;各功能模块产生的日志比较分散&#xff0c;同时为满足性能要求&#xff0c;同一个微服务会集群化部署&#xff0c;当某一次业务报错后&#xff0c;如果不能确定产生的节点&#xff0c;那么只能逐个节点去查看日志文件&#xff1b;lo…