一篇文章帶你瞭解https是如何作到客戶端與服務端之間安全通訊
https是什麼。
超文本傳輸安全協議(英語:Hypertext Transfer Protocol Secure,縮寫:HTTPS,常稱爲HTTP over TLS,HTTP over SSL或HTTP Secure)是一種經過計算機網絡進行安全通訊的傳輸協議。HTTPS經由HTTP進行通訊,但利用SSL/TLS來加密數據包。HTTPS開發的主要目的,是提供對網站服務器的身份認證,保護交換數據的隱私與完整性。這個協議由網景公司(Netscape)在1994年首次提出,隨後擴展到互聯網上。歷史上,HTTPS鏈接常常用於萬維網上的交易支付和企業信息系統中敏感信息的傳輸。在2000年代晚期和2010年代早期,HTTPS開始普遍使用於保護全部類型網站上的網頁真實性,保護帳戶和保持用戶通訊,身份和網絡瀏覽的私密性。git
維基百科上能夠看出,https是用於互聯網客服端與服務器交互的一個加密協議。數據庫
固然,這篇文章不是來說述https協議的過程,瀏覽器與服務端幾回握手,如何傳輸數據,與http之間的區別;也不是講述如何實現一個https協議。這篇文章只是用來通俗的說法,來說述https是如何作到加密的。瀏覽器
之前看過一個小品,夫妻倆吵架,雙方都不想跟對方說話,正好來了箇中間人,夫妻倆就讓這個中間人來傳話,但這個中間人不安好心,老公說一句"不吵了行不行",他傳到老婆那就變成「你真醜」。這個現象就是典型的中間人攻擊,劫持數據,篡改後再傳遞,http之間是明文通訊,會垂手可得的被中間人攻擊,因此是不安全的。安全
那麼如何作到安全傳輸信息呢。兩個字:加密。服務器
你們都知道加密分爲兩種,網絡
- 對稱加密
- 非對稱加密
一句話說明二者的區別:對稱加密,加密解密使用相同密鑰。非對稱加密,加密解密使用不一樣密鑰。
因此咱們想要作到http信息安全,必定要選擇非對稱加密。ide
ok,當客戶端想要獲取數據時,服務端獲將數據傳輸給客戶端的同時,將非對稱加密的私鑰傳遞給客戶端。當客戶端準備傳遞給服務端數據的時候,使用這個私鑰,加密數據以後,再次傳遞給服務端。這時候,若是有第三人在中間攔截信息,只能攔截到服務端傳遞給客戶端的數據,客戶端傳遞給服務端的數據,由於使用了密鑰加密(非對稱性加密,使用公鑰加密的數據,只能用私鑰解密),中間人沒法破解,也就保證了一端數據安全。網站
那麼如何保證服務器給傳輸到客戶端的數據也安全呢,這就涉及到了一個名詞數字證書,不少人都據說過數字證書,可是這個數字生證書從本質上是什麼?下文我就介紹一下。加密
數字證書
公開密鑰認證(英語:Public key certificate),又稱公開密鑰證書、公鑰證書、數字證書(digital certificate)、數字認證、身份證書(identity certificate)、電子證書或安全證書,是用於公開密鑰基礎建設的電子文件,用來證實公開密鑰擁有者的身份。此文件包含了公鑰信息、擁有者身份信息(主體)、以及數字證書認證機構(發行者)對這份文件的數字簽名,以保證這個文件的總體內容正確無誤。擁有者憑着此文件,可向電腦系統或其餘用戶代表身份,從而對方得到信任並受權訪問或使用某些敏感的電腦服務。電腦系統或其餘用戶能夠經過必定的程序覈實證書上的內容,包括證書有否過時、數字簽名是否有效,若是你信任簽發的機構,就能夠信任證書上的密鑰,憑公鑰加密與擁有者進行可靠的通訊。
關注數字證書理論能夠直接移步wiki,下面講一些通俗的說法。數字證書spa
數字證書是什麼,其實能夠理解爲現實世界的身份證。身份證從哪裏來的,國家;那麼數字證書從哪裏來的,從根證書頒發而來的,二者都是用來驗證一個物質存在的身份的真實性。
那麼身份證能夠被僞造嗎,能夠;那麼數字證書固然也能夠被僞造。可是,僞造的身份證能夠經過檢查嗎,從理論上顯然不能夠,那麼僞造的數字證書能夠經過檢查嗎,當查找鏈路發現不是根證書頒發的證書,就是一個不受保護的證書。
二者都一個相對安全穩定的端,國家身份證的數據庫以及根證書存儲位置。
如今我想知道根證書是如何給下游頒發子證書的呢。
非對稱行加密有個特性,公鑰加密的數據只能用私鑰解密,而私鑰加密的數據只能用公鑰解密。因此說,根證書根據申請者的信息生成對應的公鑰,發佈給服務器,簡單的說,這個公鑰就能夠叫作證書。
因此,當服務器傳遞給客戶端信息的時候,咱們使用這個公鑰加密一段字符串(token),傳遞給客戶端,這時候客戶端進行解密這個字符串(token)並比較這個token是否生效,從而客戶端(瀏覽器)就能夠得知,當前的數據是否被劫持,就能夠保證數據傳遞的安全性。
客戶端的根證書從哪裏來的?有一部分存儲在操做系統的證書列表,也有存儲在瀏覽器中。因此說,在操做系統中儘可能少的去信任未知證書,若是錯誤添加,有可能就會形成僞造證書,以及中間人攻擊的可能性。
最後用一張最簡單的圖片總結,https 是如何保證客戶端與服務端通訊的安全的。
後記
固然https比這複雜的要多,例如隨機字符串,屢次握手,以及對稱加密密鑰的傳遞。數字證書也更復雜,這裏爲了更淺顯的總結並無一一贅述。
- 1. https是如何做到客戶端與服務端之間安全通信
- 2. java 服務端,實現服務端與客戶端之間的通訊以及客戶端之間的通訊
- 3. socket實現客戶端與服務端通訊(一)服務端
- 4. socket實現客戶端與服務端通訊(二)客戶端
- 5. 一篇文章帶你瞭解http/https
- 6. HttpClient 客戶端服務端之間JSON通訊實例
- 7. socket客戶端和服務端通訊
- 8. go 客戶端服務端通訊
- 9. 轉一篇Unity客戶端與Java服務器的通訊
- 10. socket通訊(C#客戶端+Linux_C客戶端+Linux_C服務端)
- 更多相關文章...
- • XSLT - 在客戶端 - XSLT 教程
- • MySQL客戶端和服務器端工具集 - MySQL教程
- • 三篇文章瞭解 TiDB 技術內幕——說存儲
- • 三篇文章瞭解 TiDB 技術內幕 —— 說計算
-
每一个你不满意的现在,都有一个你没有努力的曾经。