浅谈https的工作原理

信息安全 TOMORROW 1年前 (2018-07-03) 742次浏览 1个评论 扫描二维码

 

现在全球网站已经逐步进入了 HTTPS 时代,HTTP 协议以明文方式传输数据,不经过任何方式的数据加密处理,如果攻击者截取了 Web 浏览器和网站服务器之间传输的报文数据,那么就可以直接解读其中的信息,因此 HTTP 协议是极其不安全的。为了弥补 HTTP 协议的这一缺陷,引入了安全加密方法,于是 HTTPS 就诞生了:安全套接字层超文本传输协议 HTTPS。为了保证数据传输的安全,HTTPS 在 HTTP 的基础上加入了SSL协议,SSL依靠证书来验证服务器的身份,并对浏览器和服务器之间的通信加密

HTTPS 和 HTTP 的区别

HTTPS 和 HTTP 的区别主要为以下四点:
  • HTTPS 协议需要到 ca 申请证书,现在有很多一年期的免费证书可以申请,阿里云、腾讯云等。
  • HTTP 是超文本传输协议,信息是明文传输,而 HTTPS 则是引入了ssl加密传输协议。
  • HTTP 和 HTTPS 使用的是完全不同的连接方式,使用的端口也不一样,前者使用的是 80,后者是 443。
  • HTTP 的连接很简单,是无状态的;HTTPS 协议是由SSL+HTTP 协议构建的可进行加密传输、身份认证的网络协议,比 HTTP 协议安全。

HTTPS 工作原理

HTTPS 就是在 HTTP 下加入了 SSL 层,从而保护了交换数据隐私和完整性,提供对网站服务器身份认证的功能,简单来说它就是安全版的 HTTP。HTTP 和 HTTPS 协议层模型如下图所示。

现在随着技术的发展,TLS 得到了广泛的应用,关于 SSL 与 TLS 的差别,我们不用在意,只要知道 TLS 是 SSL 的升级版本就好。

浅谈 https 的工作原理

简单来说,HTTPS 主要用途有三个:

  • 一是通过证书等信息确认网站的真实性;
  • 二是建立加密的信息通道;
  • 三是数据内容的完整性。

举个例子

签发证书的 CA 中心会发布一种权威性的电子文档——数字证书,它可以通过加密技术(对称加密与非对称加密)对我们在网上传输的信息进行加密,比如我在 TOMORROW 星辰上输入:

账号:account

密码:passwd345

浅谈 https 的工作原理

如果这个数据被黑客拦截盗窃了,黑客得到的数据是加密后的数据,可能就是这样的:

账号:ç8ø-≤¥6∂ø%®∂˙∆¬

密码:∆ø#^&®†ƒ®=©˚¬

除非黑客攻破网站的服务器拿到了证书的密钥,否则是很难还原得到真实的数据的。

简单来说,HTTPS=数据加密+网站认证+完整性验证+HTTP 。

对称加密与非对称加密

对称加密

对称加密算法是使用最广泛的加密算法之一。常用的对称性加密算法有 DES 算法、AES 算法、3DES 算法、TDEA 算法、Blowfish 算法、RC5 算法、IDEA 算法等。对称加密的特点是,加密和解密两方使用同一密钥进行加、解密。加密算法本身泄露不会对安全性造成影响,密钥才是安全性的关键。按照原理不同,对称加密可以大体分成流加密和分组加密两种类型。

非对称加密

非对称加密算法和对称加密算法的最大区别在于,加密的密钥和解密的密钥不再是一个。这就像两个人互对暗号一样。这种加密方式主要为了应对“多个加密者,一个解密者”的模式,对称密钥只能解决解密用户为一对一的关系。

于是在这种多对一的关系中就出现了一个公钥体系。一个公钥对应一个私钥。公钥是公开的,任何数据发送者都用公钥对数据进行加密,但公钥加密的内容只有私钥才能解开。其中著名的算法包括 DSA 算法、RSA 算法、Elgamal 算法、背包算法、Rabin 算法、D-H 算法、ECC 算法。背后的数学原理从大数分解到复杂的椭圆曲线上的离散对数问题,非常复杂。

目前常见非对称加密算法:RSA,DSA,DH 等。

 

参考:

由古论今,三千年加密算法发展史

HTTPS 到底加密了什么?


TOMORROW 星辰 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明原文链接:浅谈 https 的工作原理
喜欢 (0)
TOMORROW
关于作者:
一个从石头坑掉到泥坑里的攻城狮。
呆萌的小蘑菇发表我的评论  请填写正确的 个人信息
取消评论
表情 加粗 斜体 签到
(1)个小伙伴在吐槽
  1. 哇塞,居然是沙发?留个名
    xiaochipeixun123搜图2019-05-05 19:30 回复 Windows 7 | 未知浏览器