一篇文章带你了解https是如何作到客户端与服务端之间安全通讯
https是什么。
超文本传输安全协议(英语:Hypertext Transfer Protocol Secure,缩写:HTTPS,常称为HTTP over TLS,HTTP over SSL或HTTP Secure)是一种经过计算机网络进行安全通讯的传输协议。HTTPS经由HTTP进行通讯,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。这个协议由网景公司(Netscape)在1994年首次提出,随后扩展到互联网上。历史上,HTTPS链接常常用于万维网上的交易支付和企业信息系统中敏感信息的传输。在2000年代晚期和2010年代早期,HTTPS开始普遍使用于保护全部类型网站上的网页真实性,保护帐户和保持用户通讯,身份和网络浏览的私密性。git
维基百科上能够看出,https是用于互联网客服端与服务器交互的一个加密协议。数据库
固然,这篇文章不是来说述https协议的过程,浏览器与服务端几回握手,如何传输数据,与http之间的区别;也不是讲述如何实现一个https协议。这篇文章只是用来通俗的说法,来说述https是如何作到加密的。浏览器
之前看过一个小品,夫妻俩吵架,双方都不想跟对方说话,正好来了个中间人,夫妻俩就让这个中间人来传话,但这个中间人不安好心,老公说一句"不吵了行不行",他传到老婆那就变成“你真丑”。这个现象就是典型的中间人攻击,劫持数据,篡改后再传递,http之间是明文通讯,会垂手可得的被中间人攻击,因此是不安全的。安全
那么如何作到安全传输信息呢。两个字:加密。服务器
你们都知道加密分为两种,网络
- 对称加密
- 非对称加密
一句话说明二者的区别:对称加密,加密解密使用相同密钥。非对称加密,加密解密使用不一样密钥。
因此咱们想要作到http信息安全,必定要选择非对称加密。ide
ok,当客户端想要获取数据时,服务端获将数据传输给客户端的同时,将非对称加密的私钥传递给客户端。当客户端准备传递给服务端数据的时候,使用这个私钥,加密数据以后,再次传递给服务端。这时候,若是有第三人在中间拦截信息,只能拦截到服务端传递给客户端的数据,客户端传递给服务端的数据,由于使用了密钥加密(非对称性加密,使用公钥加密的数据,只能用私钥解密),中间人没法破解,也就保证了一端数据安全。网站
那么如何保证服务器给传输到客户端的数据也安全呢,这就涉及到了一个名词数字证书,不少人都据说过数字证书,可是这个数字生证书从本质上是什么?下文我就介绍一下。加密
数字证书
公开密钥认证(英语:Public key certificate),又称公开密钥证书、公钥证书、数字证书(digital certificate)、数字认证、身份证书(identity certificate)、电子证书或安全证书,是用于公开密钥基础建设的电子文件,用来证实公开密钥拥有者的身份。此文件包含了公钥信息、拥有者身份信息(主体)、以及数字证书认证机构(发行者)对这份文件的数字签名,以保证这个文件的总体内容正确无误。拥有者凭着此文件,可向电脑系统或其余用户代表身份,从而对方得到信任并受权访问或使用某些敏感的电脑服务。电脑系统或其余用户能够经过必定的程序核实证书上的内容,包括证书有否过时、数字签名是否有效,若是你信任签发的机构,就能够信任证书上的密钥,凭公钥加密与拥有者进行可靠的通讯。
关注数字证书理论能够直接移步wiki,下面讲一些通俗的说法。数字证书spa
数字证书是什么,其实能够理解为现实世界的身份证。身份证从哪里来的,国家;那么数字证书从哪里来的,从根证书颁发而来的,二者都是用来验证一个物质存在的身份的真实性。
那么身份证能够被伪造吗,能够;那么数字证书固然也能够被伪造。可是,伪造的身份证能够经过检查吗,从理论上显然不能够,那么伪造的数字证书能够经过检查吗,当查找链路发现不是根证书颁发的证书,就是一个不受保护的证书。
二者都一个相对安全稳定的端,国家身份证的数据库以及根证书存储位置。
如今我想知道根证书是如何给下游颁发子证书的呢。
非对称行加密有个特性,公钥加密的数据只能用私钥解密,而私钥加密的数据只能用公钥解密。因此说,根证书根据申请者的信息生成对应的公钥,发布给服务器,简单的说,这个公钥就能够叫作证书。
因此,当服务器传递给客户端信息的时候,咱们使用这个公钥加密一段字符串(token),传递给客户端,这时候客户端进行解密这个字符串(token)并比较这个token是否生效,从而客户端(浏览器)就能够得知,当前的数据是否被劫持,就能够保证数据传递的安全性。
客户端的根证书从哪里来的?有一部分存储在操做系统的证书列表,也有存储在浏览器中。因此说,在操做系统中尽可能少的去信任未知证书,若是错误添加,有可能就会形成伪造证书,以及中间人攻击的可能性。
最后用一张最简单的图片总结,https 是如何保证客户端与服务端通讯的安全的。
后记
固然https比这复杂的要多,例如随机字符串,屡次握手,以及对称加密密钥的传递。数字证书也更复杂,这里为了更浅显的总结并无一一赘述。
- 1. https是如何做到客户端与服务端之间安全通信
- 2. java 服务端,实现服务端与客户端之间的通讯以及客户端之间的通讯
- 3. socket实现客户端与服务端通讯(一)服务端
- 4. socket实现客户端与服务端通讯(二)客户端
- 5. 一篇文章带你了解http/https
- 6. HttpClient 客户端服务端之间JSON通讯实例
- 7. socket客户端和服务端通讯
- 8. go 客户端服务端通讯
- 9. 转一篇Unity客户端与Java服务器的通讯
- 10. socket通讯(C#客户端+Linux_C客户端+Linux_C服务端)
- 更多相关文章...
- • XSLT - 在客户端 - XSLT 教程
- • MySQL客户端和服务器端工具集 - MySQL教程
- • 三篇文章了解 TiDB 技术内幕——说存储
- • 三篇文章了解 TiDB 技术内幕 —— 说计算
-
每一个你不满意的现在,都有一个你没有努力的曾经。