当前位置：首页 > news >正文

【Linux 网络 (三)】：https协议加密解密分析 —— 秘钥协商

news 来源：原创 2025/5/23 23:57:24

网络

一、https协议
二、https相关概念
- 1）加密、解密
- 2）常见加密方式（对称加密和非对称加密）
- - 对称加密
  - 非对称加密
- 3）数据摘要 && 数据指纹
- 4）数字签名
三、HTTPS 的⼯作过程探究
- 1）只使⽤对称加密
- 2）只使用非对称加密
- 3）双方都使用非对称加密
- 4) 非对称加密 + 对称加密
四、引入证书

一、https协议

https是一个应用层协议，是在http的基础上引入一层加密层，防止数据在以明文的方式在网络中"裸传’，导致数据被篡改。

在这里插入图片描述

为啥需要加密？最典型的就是臭名昭著的 "运营商劫持“事件

在当时有一个名为‘天天动听’ 的听歌软件。下载⼀个天天动听，未被劫持的效果, 点击下载按钮, 就会弹出天天动听的下载链接。

在这里插入图片描述

已被劫持的效果, 点击下载按钮, 就会弹出 QQ 浏览器的下载链接。

在这里插入图片描述

当前，除了百度还保留了http服务端口。国内互联网应用层大多都切换为https了

二、https相关概念

1）加密、解密

加密就是把明⽂ (要传输的信息)进⾏⼀系列变换⽣成密⽂。
解密就是把密⽂再进⾏⼀系列变换, 还原成明文。
在这个加密和解密的过程中, 往往需要⼀个或者多个中间的数据, 辅助进⾏这个过程, 这样的数据称为密钥 !

2）常见加密方式（对称加密和非对称加密）

对称加密

对称加密就是采用但密钥进行加密解密，也称为单密钥加密。这种加密方式算法公开、计算量⼩、加密速度快、加密效率⾼！

常⻅对称加密算法：DES、3DES、AES、TDEA、Blowfish、RC2等

非对称加密

非对称加密要两个密钥来进⾏加密和解密，这两个密钥是公开密钥（public key，简称公钥）和私有密钥。公钥和私钥是配对的，一般将公钥进行公开，而私钥自己私有，谁都不要告诉。并且公钥和私钥都可以对数据进行加密，但公钥加密只能由私钥解密；私钥加密只能由公钥解密。
这种加密方式算法强度复杂，更加安全；但运算速度⾮常慢！

常⻅⾮对称加密算法(了解)：RSA，DSA，ECDSA

3）数据摘要 && 数据指纹

数字指纹(数据摘要)，其基本原理是利⽤单向散列函数(Hash函数，如md5)对信息进⾏运算,⽣成⼀串固定⻓度的数字摘要。数字指纹并不是⼀种加密机制，通常⽤来进⾏数据对⽐，⽤来判断数据有没有被窜改。

• 摘要常⻅算法：有MD5、SHA1、SHA256、SHA512等，算法把⽆限的映射成有限，因此可能会有
碰撞（两个不同的信息，算出的摘要相同，但是概率⾮常低）

4）数字签名

服务器使用自己的私钥对数据（如证书中的信息）进行加密，生成数字签名。这个签名是数据的一个 “指纹”，它是独一无二的。

三、HTTPS 的⼯作过程探究

因为http的内容是明⽂传输的，明⽂数据会经过路由器、wifi热点、通信服务运营商、代理服务器等多个物理节点，如果信息在传输过程中可能被劫持，传输的内容就完全暴露了。劫持者还可以篡改传输的信息且不被双⽅察觉，这就是中间⼈攻击。所以接下来我们来探讨下HTTPS 的⼯作过程！

1）只使⽤对称加密

如果通信双⽅都各⾃持有同⼀个密钥X，且没有别⼈知道，这两⽅的通信安全当然是可以被保证的。
但服务器同⼀时刻其实是给很多客⼾端提供服务的. 这么多客⼾端, 每个⼈⽤的秘钥都必须是不同的(如果是相同那密钥就太容易扩散了, ⿊客就也能拿到了). 因此服务器就需要维护每个客户端和每个密钥之间的关联关系, 这也是个很⿇烦的事情，不现实。
在这里插入图片描述

更实现的方式是在通信前，双方需要进行秘钥协商。及将密钥告知对方。在该过程中”中间人“即可通过抓包或其他方案获得报文，从而获取双方通信的密钥。此时双发通信和明文通信几乎没有区别，不安全。
在这里插入图片描述

2）只使用非对称加密

如果服务器先把公钥以明⽂⽅式传输给浏览器，之后浏览器向服务器传数据前都先⽤这个公钥加密好再传，从客⼾端到服务器信道似乎是安全的(有安全问题)，因为只有服务器有相应的私钥能解开公钥加密的数据。

3）双方都使用非对称加密

对称加密的特点就是算法强度复杂，更加安全。但该方式双方还是进行密钥协商。首先服务器将公钥传给客户端，客户端在用服务端公钥对自己的公钥进行加密，将自己的公钥告知服务端。从而交换双方的公钥！

当在第一步，服务端将自己公钥传给客户端时，中间人就可以立即获取服务端公钥；然后在对客户端的报文进行解密，获取客户端公钥。在该过程中，中间人不修改通信双方报文，但它可以获取到双方的公钥。此时数据加密失败！

双方都使用非对称加密不仅速度慢，还不安全，pass!

4) 非对称加密 + 对称加密

先解决效率问题
首先客户端发起http请求，获取服务端公钥。然后客⼾端在本地⽣成对称密钥C, 通过公钥S加密, 发送给服务器。服务端私钥解密后，即可获取到客⼾端在本地⽣成对称密钥C。此时双方通信就使用对称密钥，更快！！

安全问题
但上述获取服务端公钥时，中间人可能篡改数据，或获取服务端公钥，不安全。为解决该问题，我们引入证书！！

四、引入证书

CA认证：服务端在使⽤HTTPS前，需要向CA机构申领⼀份数字证书，数字证书⾥含有证书申请者信息、公钥信息等。服务器把证书传输给浏览器，浏览器从证书⾥获取公钥就⾏了，证书就如⾝份证，证明服务端公钥的权威性。
在这里插入图片描述

首先申请者在自己本地通过非对称加密，生产一对密钥。其中私有自己私有，然后将公钥和其他真实数据（域名、申请者…）打包成一个.crs压缩包。然后上传该CA机构。
在CA机构内部也早就通过非对称加密生产一对密钥。此时CA机构会对申请者的信息进行认证，比如走访，会接入对应国家的工商管理局，验证信息的真实性。完成之后，CA机构签发证书并进行签名（签名的本质时CA机构通过内部特定md5等算法，CA机构内部的公钥进行加密）
所以客户端发送http请求时，服务端的响应除了目标数据外，还需要携带证书。客户端收到后，会通过md5算法将目标数据生成对应的hash值，然后CA机构通过内部持有的私钥进行解密。对比两者结果，如果发现不一样，方向数据被篡改，重写开始。

网络

一、https协议

二 、https相关概念

1）加密、解密

2） 常见加密方式（对称加密和非对称加密）

对称加密

非对称加密

3）数据摘要 && 数据指纹

4）数字签名

三、HTTPS 的⼯作过程探究

1）只使⽤对称加密

2）只使用非对称加密

3）双方都使用非对称加密

4) 非对称加密 + 对称加密

四、引入证书

相关文章：

二、https相关概念

2）常见加密方式（对称加密和非对称加密）