网络原理-HTTPS协议

在前面说到HTTP中,我们通过抓包,可以看到许多信息内容,其中往往会包含一些敏感信息,这些都是明文传输,当我们的请求被黑客或者不法分子截获后,那就很危险了,因此衍生出了HTTPS协议来对传输数据进行加密。

一、加密原理

基本原理如下:

明文 + 密钥 => 密文

密文 + 密钥 => 明文

一般加密解密分为两种:

对称加密:加密和解密都是使用相同的密钥。

不对称加密:生成一对密钥,分别为"公钥"和"私钥",使用公钥进行加密,就得使用私钥进行解密。

二、HTTPS的工作过程

要想实现安全的传输,最简单的方法就是进行加密。

由于双方需要进行加密/解密的操作,因此一方需要先生成一个密钥,传给对方,这样双方才能进行正确的数据交换。

虽然对数据进行了加密,但只要想办法拿到密钥就能还原明文了,然后就查看以及修改了。

此时黑客入侵了路由器,这样在客户端发送密钥的时候,黑客也能收到密钥,后续客户端发送的信息也都成了"明文"。

此时就需要想办法如何将密钥安全的发送给服务器呢?那就再进行加密!显然无穷无尽的进行对称加密操作是不行的,这时候就得用上非对称加密了。

说明:

由于非对称运算涉及的算法比较复杂,因此运算量较大,效率比较低,因此对数据进行加密往往使用对称加密的方式。而上述所使用的的非对称加密是针对对称密钥进行加密操作


虽然非对称+对称加密组合已经是很无敌的配合了,但是还有一种方式可以破解

中间人攻击:

在上述过程中,黑客通过伪造一对自己的密钥,将服务器的公钥进行替换。

因此要解决上述情况需要让客户端能够确认当前收到的公钥是服务器的,而不是伪造的,这就引入了证书机制。

通过一个第三方的认证机构作为担保,保证当前的公钥是有效的


证书机制:

服务器想要将生成的对称公钥发送给客户端,需要先去申请一个证书,然后再将证书发送给客户端。其中证书包含了网站域名、服务器的公钥、数字签名等信息

数字签名是一个类似于校验和的东西,公正机构根据服务器的域名、公钥和其他一些属性进行计算生成校验和,然后再针对生成的校验和使用公正机构的私钥进行加密。

服务器将这个证书发送给客户端,客户端收到后,使用公正机构的公钥对数字签名进行解密,就能得到相应的校验和了,然后再将证书的其他属性进行校验和计算,检查出来是否和解密出来校验和一致,如果一致则说明证书是好的

上述过程理论上能够实现"服务器将公钥安全送达客户端",但是黑客依旧有办法~

黑客可以伪造认证机构,骗客户端安装自己的公钥,这样就可以进行替换数字签名了......

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/655536.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

【每日刷题】Day50

【每日刷题】Day50 🥕个人主页:开敲🍉 🔥所属专栏:每日刷题🍍 🌼文章目录🌼 1. 654. 最大二叉树 - 力扣(LeetCode) 2. 119. 杨辉三角 II - 力扣&#xff08…

Gitlab不允许使用ssh拉取代码的解决方案

一、起因 之前一直是用ssh进行代码拉取,后来公司搞网安行动,不允许ssh进行连接拉取代码了 因为我是用shell写了个小型的CI/CD,部署前端项目用于后端联调的,因此在自动部署时,不方便人机交互,所以需要自动填充账密。 …

如何在群晖NAS安装WPS Office并使用公网地址远程访问处理文档表格

前言 作者简介: 懒大王敲代码,计算机专业应届生 今天给大家聊聊如何在群晖NAS安装WPS Office并使用公网地址远程访问处理文档表格,希望大家能觉得实用! 欢迎大家点赞 👍 收藏 ⭐ 加关注哦!💖&a…

水电自动抄表系统是什么?

1.简述:水电自动抄表系统 水电自动抄表系统是一种现代化计量检定解决方法,为提升公用事业服务项目的效率和精确性。传统式手动抄水表方法已经被这类高效率、精准的自动化系统所替代,它能够实时、远程控制地收集解决水电使用数据。 2.系统原…

列表、元组、字典和集合的区别

自学python如何成为大佬(目录):https://blog.csdn.net/weixin_67859959/article/details/139049996?spm1001.2014.3001.5501 在前面介绍了序列中的列表、元组、字典和集合的应用,下面通过表2对这几个数据序列进行比较。 表2 列表、元组、字典和集合的区别 数 据…

【算法】dd爱转转

✨题目链接: dd爱旋转 ✨题目描述 读入一个n∗n的矩阵,对于一个矩阵有以下两种操作 1:顺时针旋180 2:关于行镜像 如 变成 给出q个操作,输出操作完的矩阵 ✨输入描述: 第一行一个数n(1≤n≤1000),表示矩阵大小 接下来n行&#xff…

【全开源】优校管理系统支持微信小程序+微信公众号+H5

概述 优校管理系统(简称优校管)是基于FastAdmin和ThinkPHP进行开发的中小学信息化管理系统,拥有PC版、UniAPP版(高级授权)。支持微信小程序、H5等多平台,主要用于信息管理、教学管理、素养评价,支持多个学校(标准授权限5个,高级授…

Nat Genet|马丁院士团队利用单细胞和空间多组学描绘宫颈鳞癌免疫微环境图谱

宫颈鳞状细胞癌(CSCC)是宫颈癌最常见的组织学类型。虽然局部疾病预后良好,但晚期、转移性或复发性CSCC的5年生存率仅为16.5%,晚期宫颈癌中对免疫检查点阻断的反应有限。细胞异质性和可塑性是肿瘤进展和肿瘤免疫微环境(TIME)调节的…

自由应用大本营?开源免费的Android应用商店:F-Droid Client

F-Droid Client:拥抱开源,守护隐私,让自由软件成为您生活的一部分- 精选真开源,释放新价值。 概览 F-Droid Client是一个开源的Android应用商店,它在GitHub上免费提供。这个项目致力于收集和展示各类自由及开源软件&a…

响应式流和reactor框架进阶

响应式流和reactor框架进阶 响应式流创建、转换、处理 本文档主要介绍在响应式编程中如何从流中获取数据并处理。 前提条件 假设您已经能掌握Java基础、Maven使用、Lamda表达式、响应式编程等基础。 如何获取流中数据 🌏 说明 1、不要试图从流中获取数据出来&a…

牛客NC391 快乐数【simple 模拟法 Java/Go/PHP】

题目 题目链接: https://www.nowcoder.com/practice/293b9ddd48444fa493dd17da0feb192d 思路 直接模拟即可Java代码 import java.util.*;public class Solution {/*** 代码中的类名、方法名、参数名已经指定,请勿修改,直接返回方法规定的值…

自动化测试和手动测试相比,哪个更具优势?

自动化测试和手动测试都是软件测试中常用的两种方法,它们在不同的场景下具有不同的优势。下面将从各个角度进行详细的比较,以帮助读者更好地了解两种方法。 1. 效率 自动化测试相对于手动测试具有更高的效率。手动测试需要人工操作执行测试步骤、输入测…

3步找回丢失数据,EasyRecovery让数据恢复如此简单!

在数字化时代,数据已成为我们生活和工作中不可或缺的一部分。然而,数据丢失却是一个令人头疼的问题。无论是因为意外删除、硬盘损坏还是系统崩溃,丢失的文件和数据都可能给我们造成巨大的经济损失和时间浪费。因此,如何高效利用现…

M功能-分布式锁-支付平台(五)

target:离开柬埔寨倒计时-218day 珍藏的图片又拿出来了 前言 M系统中的撮合引擎是最最核心的功能,第一版的撮合引擎不是我写的,也没有做交易对的动态分配这样的功能,都是基于抢锁方式来决定谁拥有该交易对的撮合权限,所…

【加密与解密(第四版)】第十四章笔记

第十四章 漏洞分析技术 14.1 软件漏洞原理 缓冲区溢出漏洞:栈溢出 堆溢出、整型溢出(存储溢出、计算溢出、符号问题) UAF(Use-After-Free)漏洞 14.2 ShellCode 功能模块:下载执行、捆绑、反弹shell 14.3 …

构造器--5.28

不用一个个属性赋值的方法: 知道了类的创建与使用,但是每次赋值都是一个个调用,我们可以用构造器使得方法简单一点,不用一个个调用属性赋值,直接传参就OK了; 点击类名然后ctrl可以查看构造器 public yanxi…

2024最新(PC+WEB+IOS+Android)即时通讯系统客户端仿默往IM源码下载

2024最新(PCWEBIOSAndroid)即时通讯系统客户端仿默往IM源码下载(总大小约2.4G) 系统功能配置灵活、海量并发、稳定可靠、数据安全,2小时快速部署、数据安全、单聊群聊、系统通知等通信功能,支持App、PC、Web等多端快速接入。 群功能&#xf…

Vue热更新出现内存溢出

Vue热更新出现内存溢出 vue-cli2遇到此问题的解决办法:vue-cli3遇到此问题的解决办法:方法一(已测试ok)方法二(未尝试) 开发项目有一段时间了,随着项目越来越大,打包的时间也相应的变…

《中国科技投资》是什么级别的期刊?是正规期刊吗?能评职称吗?

问题解答: 问:《中国科技投资》期刊什么级别? 答:国家级 问:《中国科技投资》期刊是核心期刊吗? 答:不是,是万方维普收录的正规期刊。 主管单位:中国信息协会 主办单位&#…

SMB工具横向移动

一. SMB工具介绍和使用 1.介绍 2013年的Defcon上,就引入了smbexec,后续 smbexec 被 Impacket 进一步完善了。在Impacket中支持明文认证,NTLM认证,Aeskey认证等方式! 2. 使用方法 命令: smbexec.exe 用户…