您当前的位置:首页 > 电脑百科 > 程序开发 > 架构

一篇一看就懂的Https的实现过程梳理

时间:2021-03-11 09:48:47  来源:Java高级架构师  作者:

结合最近做支付遇到的一些问题,以及查阅的一些资料,整理了一下https的安全实现;希望多家多多支持!

1.Https的产生背景:

我们最开始用的较多的是HTTP协议用于数据传输,但是http数据是明文传输,这对于比如支付、转账等场景是不安全的,

很容易被第三方窃取并篡改参数信息,造成无法挽回的损失.

 

2.Https与http的不同

Https与http最的不同是把下层的协议由 TCP/IP 换成了 SSL/TLS(TLS可以理解为SSL的前身),而SSL/TLS 是信息安全领域中的权威标准,

采用多种先进的加密技术保证通信安全;OpenSSL 是著名的开源密码学工具包,是 SSL/TLS 的具体实现;

一篇一看就懂的Https的实现过程梳理

 

3.Https特性及其关键词介绍

特性:

机密性、完整性、身份认证、不可否认; 通常实现了这四个特性,我们就基本可以保证数据传输是‘安全’的了;

机密性:指的是传输的信息不能随意给某人看,只有可信任的人能看到;

完整性:指的是服务器接收到你传输的数据是没有被修改过的,比如去掉了数据的某些部分;

身份认证:指的是发送数据的客户端怎么证明我就是我,不一样的花朵,让接收方(服务器)可以识别你的身份;

不可否认:也是就你发出的数据无法抵赖;

关键词:

对称加密、非对称加密、摘要、数字签名、数字证书

对称加密:也就是加密和解密用的是同一个秘钥,常见对称加密算法:AES、ChaCha20

一篇一看就懂的Https的实现过程梳理

 

非对称加密:加密和解密用的不是同一个秘钥,也就是出现了'私钥'和'公钥'的概念,对于服务器私钥只有一个,必须严格保密,而公钥可以有很多个,随意分发给客户端

常用的非对称加密算法:DSA、RSA(常用)、ECC

一篇一看就懂的Https的实现过程梳理

 

注意:公钥和私钥有个特别的“单向”性,虽然都可以用来加密解密,但公钥加密后只能用私钥解 密,反过来,私钥加密后也只能用公钥解密。

这里提个2个问题:

1.为什么有了对称加密还需要非对称加密呢?

2.我们使用的https协议到底是使用对称加密还是非对称加密呢?

问题先放这,原理剖析中会一 一解答;

摘要:这个主要可以保证上面说的数据完整性,也就是数据没有被篡改,生成唯一"指纹",可以与我们常说的"加盐"结合使用;与服务器协商规则即可;

数字签名:可以作为服务器识别用户的真实身份,证明我是我,一般也就是通过秘钥给摘要加密就可以实现;

数字证书:由第三方认证机构颁发,具有高信任度的,由它来给各个公钥签名,用自身的信誉来保证公钥无法伪造,是可信的;

 

4.Http实现原理剖析

=========== 好了,重点来了===========

我们先从上面的问题引入:为什么有了对称加密还需要非对称加密呢?

前面提到 对称加密加密和解密用的是同一个秘钥,基于此如果用对称加密,那如果别黑客拦截,那就可以随意解密我们的数据,

这就要求我们客户端与服务器要约定一种只有对方可以破解的公钥和私钥,也就是非对称的加密方式;

那么问题来了........... 我们如何约定客户端和服务器加密规则呢?何如解决服务器的公钥安全的传输呢?

如果再用非对称进行加密一层呢?那是不是还要一层一层有一层..... 形成俄罗斯套娃啦......

 

直接上结论:我们可以用非对称加码来约定双方的传输秘钥规则,约定好之后就可以通过对称加密来传输数据

流程如下(图片来源网络):

一篇一看就懂的Https的实现过程梳理

 

1.客户端发起https请求,服务端返回Ca证书,包含公钥的信息

2.客户端收到返回内容,会对证书进行校验(浏览器自带机制),如果此时被黑客拦截,篡改了证书内容,则会进行告警提示

3.客户端生成随机数+摘要等等信息通过证书中的公钥进行加密传输给服务端,此时即使黑客拦截,因为没有私钥,也无法进行解密

4.服务端解密,并通过客户端传入的随机数构造对称加密算法,对返回结果内容进行加密后传输(这一步就约定好了对称加密算法,完成对称秘钥传输)

5.双方可以通过约定好的算法进行加密传输数据

 

5.小结

1.https用了对称加密和非对称加密两种算法,非对称加密解决了"秘钥交换"的问题,对称加密则用于真正的数据传输;

2.非对称加密的效率要远远低于对称加密,所以两者一般混合使用;

3. 摘要算法用来实现完整性,能够为数据生成独一无二的“指纹”,常用的算法是 SHA2;

4. 数字签名是私钥对摘要的加密,可以由公钥解密后验证,实现身份认证和不可否认;

5. 公钥的分发需要使用数字证书,必须由 CA 的信任链来验证,否则就是不可信的;

6. 作为信任链的源头 CA 有时也会不可信,解决办法有 CRL、OCSP,还有终止信任;

 

6.借助一张经典的网络图

一篇一看就懂的Https的实现过程梳理

 



Tags:Https   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
1. 前言本文主要讲解如何在Linux上使用tinyproxy搭建HTTP/HTTPS代理器。tinyproxy是一个HTTP/HTTPS代理。它是轻量级的、快速的、非常容易配置的,而且是一个开源的代理服务。...【详细内容】
2021-12-08  Tags: Https  点击:(16)  评论:(0)  加入收藏
由于https 使用了 TLS/SSL 加密条件,我们无法直接在wireshark的中读取到数据内容,我们先看一下正常的http包的内容。可以直接读取到http的header 和body。 但如果是https 则不...【详细内容】
2021-12-01  Tags: Https  点击:(29)  评论:(0)  加入收藏
这段时间毕竟也是 “金九银十” 的面试的黄金季节,阿粉当然也想去面试,但是因为自身受限,所以只能采访一下出去面试的同学们都问了什么内容,其中有一个,阿粉觉得有必要给大家分享...【详细内容】
2021-11-05  Tags: Https  点击:(45)  评论:(0)  加入收藏
自互联网出现以来,超文本传输协议http协议被广泛用于在Web浏览器和网站服务器之间传递信息,但随着互联网的发展,另一种协议——https出现,并与http一同服务于这个互联...【详细内容】
2021-10-20  Tags: Https  点击:(44)  评论:(0)  加入收藏
背景最近做微信小程序开发比较多,大家知道线上微信小程序为了安全起见,要求后端通信协议必须是HTTPS,这就要求需要安装证书。为了测试预发布线上环境,特地买了个最便宜的域名,为...【详细内容】
2021-09-14  Tags: Https  点击:(124)  评论:(0)  加入收藏
随着互联网安全越来越被重视,几乎所有的大网站都已经默认启用了https协议,浏览器输入http网址也会自动跳转到https,比如百度、腾讯、搜狗、谷歌等等。简单来说就是https协议数...【详细内容】
2021-09-06  Tags: Https  点击:(76)  评论:(0)  加入收藏
为什么要优化 Ngin HTTPS 延迟Nginx 常作为最常见的服务器,常被用作负载均衡 (Load Balancer)、反向代理 (Reverse Proxy),以及网关 (Gateway) 等等。一个配置得当的 Nginx 服...【详细内容】
2021-08-11  Tags: Https  点击:(53)  评论:(0)  加入收藏
我们日常用https访问网站的时候,和网站交互的数据是加密的,所用的协议就是SSL/TLS。所以即使我们截获了这些数据包,我们也不能看到加密的内容。比如我们随便打开百度的网址,用wi...【详细内容】
2021-07-16  Tags: Https  点击:(127)  评论:(0)  加入收藏
1. 实验说明:前面的章节我们已经简单学习了windows server2019上如何搭建web服务器的,有的同学可能在上网的过程中会发现有些域名是使用的http访问而有的域名则是使用https加...【详细内容】
2021-07-07  Tags: Https  点击:(147)  评论:(0)  加入收藏
说明最近项目上遇到一些https的问题,需要在tomcat里面测试一下如何开启https协议访问网站,在网上查了一些资料,自己也试了很多次,终于成功搞定了,下面跟大家分享一下我的一点经验...【详细内容】
2021-04-20  Tags: Https  点击:(162)  评论:(0)  加入收藏
▌简易百科推荐
为了构建高并发、高可用的系统架构,压测、容量预估必不可少,在发现系统瓶颈后,需要有针对性地扩容、优化。结合楼主的经验和知识,本文做一个简单的总结,欢迎探讨。1、QPS保障目标...【详细内容】
2021-12-27  大数据架构师    Tags:架构   点击:(3)  评论:(0)  加入收藏
前言 单片机开发中,我们往往首先接触裸机系统,然后到RTOS,那么它们的软件架构是什么?这是我们开发人员必须认真考虑的问题。在实际项目中,首先选择软件架构是非常重要的,接下来我...【详细内容】
2021-12-23  正点原子原子哥    Tags:架构   点击:(7)  评论:(0)  加入收藏
现有数据架构难以支撑现代化应用的实现。 随着云计算产业的快速崛起,带动着各行各业开始自己的基于云的业务创新和信息架构现代化,云计算的可靠性、灵活性、按需计费的高性价...【详细内容】
2021-12-22    CSDN  Tags:数据架构   点击:(10)  评论:(0)  加入收藏
▶ 企业级项目结构封装释义 如果你刚毕业,作为Java新手程序员进入一家企业,拿到代码之后,你有什么感觉呢?如果你没有听过多模块、分布式这类的概念,那么多半会傻眼。为什么一个项...【详细内容】
2021-12-20  蜗牛学苑    Tags:微服务   点击:(8)  评论:(0)  加入收藏
我是一名程序员关注我们吧,我们会多多分享技术和资源。进来的朋友,可以多了解下青锋的产品,已开源多个产品的架构版本。Thymeleaf版(开源)1、采用技术: springboot、layui、Thymel...【详细内容】
2021-12-14  青锋爱编程    Tags:后台架构   点击:(20)  评论:(0)  加入收藏
在了解连接池之前,我们需要对长、短链接建立初步认识。我们都知道,网络通信大部分都是基于TCP/IP协议,数据传输之前,双方通过“三次握手”建立连接,当数据传输完成之后,又通过“四次挥手”释放连接,以下是“三次握手”与“四...【详细内容】
2021-12-14  架构即人生    Tags:连接池   点击:(16)  评论:(0)  加入收藏
随着移动互联网技术的快速发展,在新业务、新领域、新场景的驱动下,基于传统大型机的服务部署方式,不仅难以适应快速增长的业务需求,而且持续耗费高昂的成本,从而使得各大生产厂商...【详细内容】
2021-12-08  架构驿站    Tags:分布式系统   点击:(23)  评论:(0)  加入收藏
本系列为 Netty 学习笔记,本篇介绍总结Java NIO 网络编程。Netty 作为一个异步的、事件驱动的网络应用程序框架,也是基于NIO的客户、服务器端的编程框架。其对 Java NIO 底层...【详细内容】
2021-12-07  大数据架构师    Tags:Netty   点击:(16)  评论:(0)  加入收藏
前面谈过很多关于数字化转型,云原生,微服务方面的文章。虽然自己一直做大集团的SOA集成平台咨询规划和建设项目,但是当前传统企业数字化转型,国产化和自主可控,云原生,微服务是不...【详细内容】
2021-12-06  人月聊IT    Tags:架构   点击:(23)  评论:(0)  加入收藏
微服务看似是完美的解决方案。从理论上来说,微服务提高了开发速度,而且还可以单独扩展应用的某个部分。但实际上,微服务带有一定的隐形成本。我认为,没有亲自动手构建微服务的经历,就无法真正了解其复杂性。...【详细内容】
2021-11-26  GreekDataGuy  CSDN  Tags:单体应用   点击:(35)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条