可以在家做兼职的网站,大连网页设计制作公司,wordpress仪表盘登录,电子商务网站建设维护学期总结文章目录 Pre发展历史Http VS HttpsHTTPS 解决了 HTTP 的哪些问题HTTPS是如何解决上述三个风险的混合加密摘要算法 数字签名数字证书 Pre
PKI - 数字签名与数字证书
PKI - 借助Nginx 实现Https 服务端单向认证、服务端客户端双向认证 发展历史
HTTP#xff08;超文本传输协… 文章目录 Pre发展历史Http VS HttpsHTTPS 解决了 HTTP 的哪些问题HTTPS是如何解决上述三个风险的混合加密摘要算法 数字签名数字证书 Pre
PKI - 数字签名与数字证书
PKI - 借助Nginx 实现Https 服务端单向认证、服务端客户端双向认证 发展历史
HTTP超文本传输协议的发展历史
HTTP的起源可以追溯到1990年代早期由蒂姆·伯纳斯-李Tim Berners-Lee在CERN欧洲核子研究组织开发出来最初被用于在客户端和服务器之间传输HTML文档。HTTP/0.9是最早的版本只支持简单的GET请求并且没有头部信息。随着互联网的发展HTTP逐渐演进为HTTP/1.0和HTTP/1.1引入了更多的请求方法、状态码、头部字段等功能提高了性能和可靠性。近年来HTTP/2和HTTP/3相继发布引入了新的特性如多路复用、头部压缩、服务器推送等进一步优化了网络性能。 HTTPS安全超文本传输协议的发展历史
随着互联网的普及人们开始意识到HTTP传输的数据存在安全隐患容易被窃听和篡改。HTTPS的发展是为了解决HTTP的安全性问题。最早的HTTPS版本是在1994年由网景公司推出的称为SSL安全套接层协议。SSL协议通过加密传输数据保护了信息的机密性和完整性。后来SSL逐渐演进为TLS传输层安全协议。目前TLS协议的版本包括TLS 1.0、TLS 1.1、TLS 1.2和TLS 1.3不断提升加密算法的安全性和性能并修复协议本身的安全漏洞。HTTPS在保障网站安全、防止信息泄露和劫持等方面发挥了重要作用逐渐成为互联网传输数据的标准协议。 Http VS Https
HTTP与HTTPS之间存在几个关键区别
安全性
HTTP传输的数据是明文的容易被窃听和篡改而HTTPS通过SSL/TLS加密传输数据更安全可靠。
加密方式
HTTP不提供数据加密机制而HTTPS使用SSL/TLS协议对传输的数据进行加密保护数据的隐私性。
连接方式
HTTP连接建立相对简单只需要进行TCP三次握手即可而HTTPS除了TCP三次握手外还需要进行SSL/TLS握手过程增加了连接建立的复杂度和时间。
默认端口
HTTP的默认端口号是80HTTPS的默认端口号是443这样的设定方便了浏览器和服务器识别和处理不同协议的请求。
证书
HTTPS需要服务器方使用数字证书来验证身份确保数据传输的安全性通常由CA证书颁发机构颁发的证书来确认服务器的身份而HTTP不需要证书验证。
综上所述HTTPS相比于HTTP在安全性方面更可靠但在性能方面可能稍有损耗因为加密解密过程需要消耗额外的计算资源。 HTTPS 解决了 HTTP 的哪些问题
HTTPS解决了HTTP的三个主要安全问题
窃听风险
HTTP传输的数据是明文的容易被窃听者截获和查看通信内容。HTTPS通过SSL/TLS协议对通信内容进行加密使得窃听者无法直接获取敏感信息。 篡改风险
在HTTP通信过程中攻击者可以篡改传输的数据插入恶意内容或修改原始数据造成信息被篡改的风险。HTTPS通过SSL/TLS协议保证数据的完整性一旦数据被篡改通信双方会立即发现从而确保数据的可靠性。 冒充风险
HTTP无法验证通信方的真实身份攻击者可以轻易冒充合法网站引诱用户输入敏感信息或进行欺诈行为。HTTPS利用SSL/TLS协议的身份验证机制使用数字证书来证明服务器的身份确保通信双方的身份是可信的从而防止了冒充风险。
综上所述HTTPS通过在HTTP与TCP层之间加入SSL/TLS协议解决了HTTP在信息加密、数据完整性和身份认证方面存在的安全问题提高了网络通信的安全性和可信度。 HTTPS是如何解决上述三个风险的
信息机密性 (混合加密)
HTTPS利用混合加密的方式实现信息的机密性通过使用公钥加密和私钥解密的方式确保通信内容只能被预期的接收方解密从而解决了窃听的风险。 数据完整性(摘要算法)
HTTPS利用摘要算法来实现数据的完整性验证。在通信过程中发送方会对数据进行哈希运算生成唯一的摘要然后将该摘要与数据一起传输给接收方。接收方接收到数据后会重新计算数据的摘要并与发送方传输的摘要进行比较从而验证数据是否被篡改解决了篡改的风险。 身份认证(数字证书)
HTTPS使用数字证书来解决冒充的风险。服务器在数字证书中包含了其公钥并由可信的证书颁发机构CA签名客户端可以使用CA的公钥来验证证书的真实性。这样客户端就可以确信与服务器通信的确是预期的服务器而不是攻击者的冒充从而解决了冒充的风险。
综上所述HTTPS通过混合加密、摘要算法和数字证书等技术手段有效地解决了HTTP通信过程中的窃听、篡改和冒充等安全风险提高了通信的安全性和可信度。 混合加密
通过混合加密的方式可以保证信息的机密性解决了窃听的风险。 对称加密的快速性和密钥保密性
对称加密算法速度快因为它只使用一个密钥进行加密和解密操作。然而由于对称加密需要双方共享同一个密钥而密钥的传输容易受到窃听者的攻击无法安全地进行密钥交换。
非对称加密的密钥交换能力
非对称加密算法使用一对密钥公钥和私钥。公钥可以自由分发而私钥必须保密。这种机制解决了密钥交换的问题但由于非对称加密算法的运算速度较慢因此不适合对大量数据进行加密。
因此HTTPS采用混合加密的方式利用对称加密算法和非对称加密算法的优势。在通信建立阶段双方使用非对称加密的方式交换会话密钥对称密钥之后通信过程中使用对称加密的方式加密和解密数据既保证了加密效率又解决了密钥交换的安全性问题。 摘要算法 数字签名
摘要算法也称为哈希函数用于计算内容的哈希值或“指纹”。这个哈希值是根据内容计算出来的固定长度的唯一字符串即使内容稍微有所改动其哈希值也会完全不同。因此通过比较接收到的哈希值和发送方发送的哈希值可以判断内容是否被篡改。
常用的摘要算法包括MD5、SHA-1、SHA-256等它们都是单向函数即从内容计算出哈希值很容易但从哈希值反推内容几乎是不可能的。这使得摘要算法在保证数据完整性方面非常有用同时也被广泛应用于密码学、数字签名等领域。 数字签名是非对称加密的一种应用它用于验证消息的完整性和身份认证。数字签名使用私钥对消息的哈希值进行加密生成签名。接收方使用公钥解密签名然后再对接收到的消息进行哈希计算如果哈希值与解密出来的签名匹配则可以确认消息的完整性和发送方的身份。
数字签名的工作原理如下
发送方对消息进行哈希计算得到消息的哈希值。发送方使用私钥对哈希值进行加密生成数字签名。发送方将消息和数字签名一起发送给接收方。接收方使用公钥解密数字签名得到消息的哈希值。接收方对接收到的消息进行哈希计算得到一个新的哈希值。接收方将计算得到的哈希值与解密出来的哈希值进行比较如果两者一致则确认消息的完整性和发送方的身份。
通过哈希算法可以确保内容不会被篡改但是并不能保证「内容 哈希值」不会被中间人替换因为这里缺少对客户端收到的消息是否来源于服务端的证明 举个例子你想向老师请假一般来说是要求由家长写一份请假理由并签名老师才能允许你请假。 但是你有模仿你爸爸字迹的能力你用你爸爸的字迹写了一份请假理由然后签上你爸爸的名字老师一看到这个请假条查看字迹和签名就误以为是你爸爸写的就会允许你请假。 那作为老师要如何避免这种情况发生呢现实生活中的可以通过电话或视频来确认是否是由父母发出的请假但是计算机里可没有这种操作。 那为了避免这种情况计算机里会用非对称加密算法来解决共有两个密钥
一个是公钥这个是可以公开给所有人的一个是私钥这个必须由本人管理不可泄露。
这两个密钥可以双向加解密的比如可以用公钥加密内容然后用私钥解密也可以用私钥加密内容公钥解密内容。
公钥加密、私钥解密
目的保证内容传输的安全。流程发送者使用接收者的公钥加密数据只有接收者持有相应的私钥才能解密数据因此确保了只有接收者能够读取原始内容而其他人无法解密。示例应用安全地传输敏感信息如密码、银行信息等。
私钥加密、公钥解密
目的保证消息的身份验证和完整性。流程发送者使用自己的私钥对数据进行加密接收者使用发送者的公钥解密数据。只有发送者持有私钥因此只有发送者能够对数据进行加密这样接收者就能够确认数据确实来自发送者。示例应用数字签名、身份验证等场景。
这种加密方式的使用确保了通信的安全性和可信度对于网络通信和数据传输至关重要。 私钥是由服务端保管然后服务端会向客户端颁发对应的公钥。如果客户端收到的信息能被公钥解密就说明该消息是由服务器发送的。
数字签名算法的确提供了一种可靠的方法来确认消息的来源和完整性。通过使用发送者的私钥对消息进行加密签名接收者可以使用发送者的公钥来解密验证签名从而确认消息确实来自于发送者并且在传输过程中未被篡改。
在这个例子中如果你想请假你的父亲服务器持有着私钥而你的老师持有着公钥。你可以使用你父亲的私钥对请假条进行签名然后将签名的请假条发送给老师。老师收到请假条后使用你父亲的公钥来验证签名。如果验证成功并且确认内容完整老师就可以确定请假条确实是由你父亲发起的从而批准你的请假。
这种方式有效地防止了身份伪造和消息篡改提高了通信的安全性和可信度。 数字证书
通过数字证书的方式保证服务器公钥的身份解决冒充的风险。 前面我们知道
可以通过哈希算法来保证消息的完整性可以通过数字签名来保证消息的来源可靠性能确认消息是由持有私钥的一方发送的
但是这还远远不够还缺少身份验证的环节万一公钥是被伪造的呢
还是拿请假的例子虽然你爸爸持有私钥老师通过是否能用公钥解密来确认这个请假条是不是来源你父亲的。
但是我们还可以自己伪造出一对公私钥 中间人攻击
在这种攻击中攻击者截取了通信双方你父亲和老师之间的通信并试图篡改或伪造通信内容。
攻击者替换了老师的公钥使得老师无法确认通信是否来自于真正的发送者。因此老师使用攻击者提供的公钥来解密攻击者的私钥的数字签名从而误认为通信来自于你的父亲。这种情况下即使你使用了数字签名也无法保证通信的安全性和身份验证。 你找了个夜晚偷偷把老师桌面上和你爸爸配对的公钥换成了你的公钥那么下次你在请假的时候你继续模仿你爸爸的字迹写了个请假条然后用你的私钥做个了「数字签名」 既然伪造公私钥那么随意所以你爸把他的公钥注册到警察局警察局用他们自己的私钥对你父亲的公钥做了个数字签名然后把你爸爸的「个人信息 公钥 数字签名」打包成一个数字证书也就是说这个数字证书包含你爸爸的公钥。
这样你爸爸如果因为家里确实有事要向老师帮你请假的时候不仅会用自己的私钥对内容进行签名还会把数字证书给到老师。
老师拿到了数字证书后首先会去警察局验证这个数字证书是否合法因为数字证书里有警察局的数字签名警察局要验证证书合法性的时候用自己的公钥解密如果能解密成功就说明这个数字证书是在警察局注册过的就认为该数字证书是合法的然后就会把数字证书里头的公钥你爸爸的给到老师。
由于通过警察局验证了数字证书是合法的那么就能证明这个公钥就是你父亲的于是老师就可以安心的用这个公钥解密出请假条如果能解密出就证明是你爸爸写的请假条。
正是通过了一个权威的机构来证明你爸爸的身份所以你的伪造公私钥这个小伎俩就没用了。
在计算机里这个权威的机构就是 CA 数字证书认证机构将服务器公钥放在数字证书由数字证书认证机构颁发中只要证书是可信的公钥就是可信的。
