為什麼說HTTPS比HTTP安全? HTTPS是如何保證安全的?

来源:https://www.cnblogs.com/smileZAZ/p/18083678
-Advertisement-
Play Games

這裡給大家分享我在網上總結出來的一些知識,希望對大家有所幫助 一、安全特性 在上篇文章中,我們瞭解到HTTP在通信過程中,存在以下問題: 通信使用明文(不加密),內容可能被竊聽 不驗證通信方的身份,因此有可能遭遇偽裝 而HTTPS的出現正是解決這些問題,HTTPS是建立在SSL之上,其安全性由SSL ...


這裡給大家分享我在網上總結出來的一些知識,希望對大家有所幫助

一、安全特性

在上篇文章中,我們瞭解到HTTP在通信過程中,存在以下問題:

  • 通信使用明文(不加密),內容可能被竊聽
  • 不驗證通信方的身份,因此有可能遭遇偽裝

HTTPS的出現正是解決這些問題,HTTPS是建立在SSL之上,其安全性由SSL來保證

在採用SSL後,HTTP就擁有了HTTPS的加密、證書和完整性保護這些功能

SSL(Secure Sockets Layer 安全套接字協議),及其繼任者傳輸層安全(Transport Layer Security,TLS)是為網路通信提供安全及數據完整性的一種安全協議

二、如何做

SSL的實現這些功能主要依賴於三種手段:

  • 對稱加密:採用協商的密鑰對數據加密
  • 非對稱加密:實現身份認證和密鑰協商
  • 摘要演算法:驗證信息的完整性
  • 數字簽名:身份驗證

對稱加密

對稱加密指的是加密和解密使用的秘鑰都是同一個,是對稱的。只要保證了密鑰的安全,那整個通信過程就可以說具有了機密性

非對稱加密

非對稱加密,存在兩個秘鑰,一個叫公鑰,一個叫私鑰。兩個秘鑰是不同的,公鑰可以公開給任何人使用,私鑰則需要保密

公鑰和私鑰都可以用來加密解密,但公鑰加密後只能用私鑰解 密,反過來,私鑰加密後也只能用公鑰解密

混合加密

HTTPS通信過程中,採用的是對稱加密+非對稱加密,也就是混合加密

在對稱加密中講到,如果能夠保證了密鑰的安全,那整個通信過程就可以說具有了機密性

HTTPS採用非對稱加密解決秘鑰交換的問題

具體做法是發送密文的一方使用對方的公鑰進行加密處理“對稱的密鑰”,然後對方用自己的私鑰解密拿到“對稱的密鑰”

這樣可以確保交換的密鑰是安全的前提下,使用對稱加密方式進行通信

舉個例子:

網站秘密保管私鑰,在網上任意分發公鑰,你想要登錄網站只要用公鑰加密就行了,密文只能由私鑰持有者才能解密。而黑客因為沒有私鑰,所以就無法破解密文

上述的方法解決了數據加密,在網路傳輸過程中,數據有可能被篡改,並且黑客可以偽造身份發佈公鑰,如果你獲取到假的公鑰,那麼混合加密也並無多大用處,你的數據扔被黑客解決

因此,在上述加密的基礎上仍需加上完整性、身份驗證的特性,來實現真正的安全,實現這一功能則是摘要演算法

摘要演算法

實現完整性的手段主要是摘要演算法,也就是常說的散列函數、哈希函數

可以理解成一種特殊的壓縮演算法,它能夠把任意長度的數據“壓縮”成固定長度、而且獨一無二的“摘要”字元串,就好像是給這段數據生成了一個數字“指紋”

摘要演算法保證了“數字摘要”和原文是完全等價的。所以,我們只要在原文後附上它的摘要,就能夠保證數據的完整性

比如,你發了條消息:“轉賬 1000 元”,然後再加上一個 SHA-2 的摘要。網站收到後也計算一下消息的摘要,把這兩份“指紋”做個對比,如果一致,就說明消息是完整可信的,沒有被修改

數字簽名

數字簽名能確定消息確實是由發送方簽名併發出來的,因為別人假冒不了發送方的簽名

原理其實很簡單,就是用私鑰加密,公鑰解密

簽名和公鑰一樣完全公開,任何人都可以獲取。但這個簽名只有用私鑰對應的公鑰才能解開,拿到摘要後,再比對原文驗證完整性,就可以像簽署文件一樣證明消息確實是你發的

和消息本身一樣,因為誰都可以發佈公鑰,我們還缺少防止黑客偽造公鑰的手段,也就是說,怎麼判斷這個公鑰就是你的公鑰

這時候就需要一個第三方,就是證書驗證機構

CA驗證機構

數字證書認證機構處於客戶端與伺服器雙方都可信賴的第三方機構的立場

CA 對公鑰的簽名認證要求包括序列號、用途、頒發者、有效時間等等,把這些打成一個包再簽名,完整地證明公鑰關聯的各種信息,形成“數字證書”

流程如下圖:

  • 伺服器的運營人員向數字證書認證機構提出公開密鑰的申請
  • 數字證書認證機構在判明提出申請者的身份之後,會對已申請的公開密鑰做數字簽名
  • 然後分配這個已簽名的公開密鑰,並將該公開密鑰放入公鑰證書後綁定在一起
  • 伺服器會將這份由數字證書認證機構頒發的數字證書發送給客戶端,以進行非對稱加密方式通信

接到證書的客戶端可使用數字證書認證機構的公開密鑰,對那張證書上的數字簽名進行驗證,一旦驗證通過,則證明:

  • 認證伺服器的公開密鑰的是真實有效的數字證書認證機構
  • 伺服器的公開密鑰是值得信賴的

三、總結

可以看到,HTTPSHTTP雖然只差一個SSL,但是通信安全得到了大大的保障,通信的四大特性都以解決,解決方式如下:

  • 機密性:混合演算法
  • 完整性:摘要演算法
  • 身份認證:數字簽名
  • 不可否定:數字簽名

同時引入第三方證書機構,確保公開秘鑰的安全性

參考文獻

  • https://zhuanlan.zhihu.com/p/100657391
  • https://juejin.cn/post/6844903830987997197#heading-7
  • https://cloud.tencent.com/developer/article/1748862

您的分享是我們最大的動力!

-Advertisement-
Play Games
更多相關文章
  • 一.引言 在當前的移動開發生態中,跨平臺框架如uni-app因其高效、靈活的特點受到了開發者們的青睞。同時,隨著物聯網技術的飛速發展,智能列印設備已成為許多業務場景中不可或缺的一環。今天,我們就來探討如何使用uni-app輕鬆對接馳騰品牌的智能印表機,實現無線列印功能。無論您是初學者還是有經驗的開發 ...
  • 我們是袋鼠雲數棧 UED 團隊,致力於打造優秀的一站式數據中台產品。我們始終保持工匠精神,探索前端道路,為社區積累並傳播經驗價值。 本文作者:霜序 本文首發於:https://juejin.cn/post/7299384698882539574 在大數據業務中,時常會出現且或關係邏輯的拼接,有需要做 ...
  • 專註探討UUID的核心原理及其生成機制,並詳細介紹不同版本UUID(如版本1的時間戳+節點ID、版本4的隨機數生成等)背後的數學原理和技術細節。 ...
  • 寫入剪切板 使用 clipboard.js 第三方插件: clipboard.js 安裝clipboard.js yarn yarn add clipboard npm npm install clipboard --save 使用示例(vue) <template> <div> <span v-c ...
  • 目錄一.HTML基本框架二.標題標簽三.段落標簽四.換行與水平線標簽五.文本格式化標簽(加粗、傾斜、下劃線、刪除線)六.圖像標簽擴展:相對路徑,絕對路徑與線上網址七.超鏈接標簽八.音頻標簽九.視頻標簽十.列表標簽十一.表格標簽擴展:表格結構標簽合併單元格十二.表單標簽1.input標簽input占位 ...
  • 一、UDP UDP(User Datagram Protocol),用戶數據包協議,是一個簡單的面向數據報的通信協議,即對應用層交下來的報文,不合併,不拆分,只是在其上面加上首部後就交給了下麵的網路層 也就是說無論應用層交給UDP多長的報文,它統統發送,一次發送一個報文 而對接收方,接到後直接去除首 ...
  • 問題:用html2canvas生成畫布圖片,再轉成pdf。生成圖片時內容結構里的圖片顯示空白。 解決: 首先伺服器設置圖片允許跨域,如阿裡雲騰訊雲配置跨域規則。其次圖片設置crossOrigin=“anonymous”,並且拿到圖片地址加隨機參數如 src +‘?v=’ + Math.random( ...
  • 1、背景: ​ 作者在寫項目的時候,遇到了一個很坑的問題,項目前端基於QUI,但是大部分是js + css實現。 ​ 有一個功能:列表頁面使用Dialog()組件打開編輯、新增窗體,編輯、新增窗體點擊提交關閉窗體,能夠刷新列表頁面,無論怎麼百度就是找不到可以實現的方法,最終功夫不負有心人,終於找到了 ...
一周排行
    -Advertisement-
    Play Games
  • 移動開發(一):使用.NET MAUI開發第一個安卓APP 對於工作多年的C#程式員來說,近來想嘗試開發一款安卓APP,考慮了很久最終選擇使用.NET MAUI這個微軟官方的框架來嘗試體驗開發安卓APP,畢竟是使用Visual Studio開發工具,使用起來也比較的順手,結合微軟官方的教程進行了安卓 ...
  • 前言 QuestPDF 是一個開源 .NET 庫,用於生成 PDF 文檔。使用了C# Fluent API方式可簡化開發、減少錯誤並提高工作效率。利用它可以輕鬆生成 PDF 報告、發票、導出文件等。 項目介紹 QuestPDF 是一個革命性的開源 .NET 庫,它徹底改變了我們生成 PDF 文檔的方 ...
  • 項目地址 項目後端地址: https://github.com/ZyPLJ/ZYTteeHole 項目前端頁面地址: ZyPLJ/TreeHoleVue (github.com) https://github.com/ZyPLJ/TreeHoleVue 目前項目測試訪問地址: http://tree ...
  • 話不多說,直接開乾 一.下載 1.官方鏈接下載: https://www.microsoft.com/zh-cn/sql-server/sql-server-downloads 2.在下載目錄中找到下麵這個小的安裝包 SQL2022-SSEI-Dev.exe,運行開始下載SQL server; 二. ...
  • 前言 隨著物聯網(IoT)技術的迅猛發展,MQTT(消息隊列遙測傳輸)協議憑藉其輕量級和高效性,已成為眾多物聯網應用的首選通信標準。 MQTTnet 作為一個高性能的 .NET 開源庫,為 .NET 平臺上的 MQTT 客戶端與伺服器開發提供了強大的支持。 本文將全面介紹 MQTTnet 的核心功能 ...
  • Serilog支持多種接收器用於日誌存儲,增強器用於添加屬性,LogContext管理動態屬性,支持多種輸出格式包括純文本、JSON及ExpressionTemplate。還提供了自定義格式化選項,適用於不同需求。 ...
  • 目錄簡介獲取 HTML 文檔解析 HTML 文檔測試參考文章 簡介 動態內容網站使用 JavaScript 腳本動態檢索和渲染數據,爬取信息時需要模擬瀏覽器行為,否則獲取到的源碼基本是空的。 本文使用的爬取步驟如下: 使用 Selenium 獲取渲染後的 HTML 文檔 使用 HtmlAgility ...
  • 1.前言 什麼是熱更新 游戲或者軟體更新時,無需重新下載客戶端進行安裝,而是在應用程式啟動的情況下,在內部進行資源或者代碼更新 Unity目前常用熱更新解決方案 HybridCLR,Xlua,ILRuntime等 Unity目前常用資源管理解決方案 AssetBundles,Addressable, ...
  • 本文章主要是在C# ASP.NET Core Web API框架實現向手機發送驗證碼簡訊功能。這裡我選擇是一個互億無線簡訊驗證碼平臺,其實像阿裡雲,騰訊雲上面也可以。 首先我們先去 互億無線 https://www.ihuyi.com/api/sms.html 去註冊一個賬號 註冊完成賬號後,它會送 ...
  • 通過以下方式可以高效,並保證數據同步的可靠性 1.API設計 使用RESTful設計,確保API端點明確,並使用適當的HTTP方法(如POST用於創建,PUT用於更新)。 設計清晰的請求和響應模型,以確保客戶端能夠理解預期格式。 2.數據驗證 在伺服器端進行嚴格的數據驗證,確保接收到的數據符合預期格 ...