【HTTPS】
目录
1. 运营商劫持
2. 明文和密文
3. HTTPS 的基本工作过程
3.1 对称密钥
3.2 非对称密钥
3.3 中间人攻击
3.4 引入证书 第三方权威机构颁布证书
4. Tomcat
HTTPS 是在 HTTP 协议的基础上,增加了加密层。HTTP 协议是按照文本的方式明文传输的,这就意味着,在传输的过程中,数据会遭受篡改。
1. 运营商劫持
由于通过网络传输的任何数据包都会经过运营商的网络设备,如路由器或交换机,那么运营商的网络设备就可以解析出你传输的数据内容,并进行篡改。这便是典型的运营商劫持。举一个具体的例子:比如下载一个 天天动听,按理说,点击下载按钮,会弹出天天动听的下载链接:
但如果被运营商劫持了,点击下载按钮,弹出的却是 QQ浏览器的下载链接:
为了改善上述情况,就给 HTTP 协议加密,这也就是 HTTPS了。
2. 明文和密文
明文:实际要传达的信息,也就是说间谍是谁。
密文:明文根据一定的方式,转换后得到的信息。
把明文变成密文:加密。把密文变成明文:解密。在加密和解密的过程中,需要一个关键的钥匙,也就是密钥。
3. HTTPS 的基本工作过程
HTTPS 的加密过程是针对 HTTP 的各种 header 和 body 来说的。
3.1 对称密钥
对称密钥:只有一个密钥,key。
服务器对应的客户端有很多个,不同的客户端使用的密钥是不同的!如果大家都用一个密钥,黑客自己也可以作为一个客户端,把密钥拿到手。
既然是不同的客户端,不同的密钥。此处就要求让客户端在连接到服务器的时候,自己生成一个密钥,让每个客户端自己生成自己的,互不相关,也就生成了不同的密钥了。
既然客户端需要自己生成一个密钥,如何把这个密钥告诉给服务器呢?通过网络传输!
客户端生成了自己的密钥之后,就把 key 通过网络发给服务器,但这个数据报可能会被黑客截获,此时黑客就知道密钥了。这样一来,数据就会被截获了。
看起来似乎要针对 key 进行加密了,总不能要嵌套一个 key2 来对 key 进行加密吧?那这样一来,key2 又有被截获的风险。
为了更进一步的提高安全性,就需要引入非对称加密了。
3.2 非对称密钥
非对称加密:需要两个密钥,一个叫做公钥,一个叫做私钥。为了保证对称密钥能够安全到达服务器,引入了非对称加密,保护对称密钥。非对称加密在对称密钥传输完成之后,就不再使用了。
客户端希望自己的 key 安全传给服务器,不被黑客拿到。
黑客跟客户端都能拿到公钥 pub ,黑客拿到这个密文后,由于这个数据是使用 pub 加密的,想要解密,只能使用和 pub 成对的这个 pri 才行,而黑客是没有 pri 私钥的。黑客无法解密,也就拿不到 key!!就相当于黑客手里有一把一模一样的锁头 (pub) ,但没有钥匙 (pri),因此也就拿不到 key 。由于黑客没有拿到 key,所以黑客无法针对密文数据进行解析和篡改。而客户端后续的业务数据,客户端都是使用 key 来进行加密的,也就是使用对称加密的方式。对称加密速度快,成本低。
3.3 中间人攻击
但即便是这种方式,安全也是相对的。黑客依旧有别的办法来截获客户端的数据,比如以下情况:
黑客自己生成了一对非对称密钥 pri2 和 pub2,同时黑客将公钥 pub 记住了。后续黑客就可以使用自己的 pri2 针对密文解密,拿到 key。之后黑客可以继续使用服务器中的 pub,来重新对 key 进行加密,把密文发给服务器。后续客户端传输的所有数据,都会被黑客截取到!
这是非对称加密会产生的一个弊端,也叫中间人攻击。中间人攻击破解的关键,在于让客户端能够信任公钥。
3.4 引入证书 第三方权威机构颁布证书
服务器向权威机构申请证书,该证书有以下内容:服务器的 url ,证书的过期时间,颁布证书的机构是啥,服务器的公钥 pub。这些都是明文的。还有一份加密后的签名。该签名针对证书的所有属性,计算一个校验和(签名)。再由证书颁发机构,使用自己的私钥对这个签名进行加密。需要注意的是,如果所有属性不变,即数据相同,那么按照相同的算法计算得到的结果,也一定相同。反之,但凡有一个属性不一样,得到的校验和就会不同。
客户端拿到证书之后,首先针对证书进行校验。
1. 得到初始的签名之后,客户端使用系统中内置的权威机构公钥 pub2,针对上述证书中的加密签名进行解密,这个签名是权威机构计算出来的,设为 sum1。
2. 计算现在的签名:客户端使用同样的签名计算算法,基于证书中的属性重新计算,得到 sum2。
3. 比较两个签名是否相同。如果相同,说明证书中的数据是从未被篡改过的数据!!如果签名不同,说明证书的数据被篡改了,客户端的浏览器弹框报错!!
在这种情况下,黑客还能不能篡改数据呢?
黑客如果要篡改,要这样做:
1. 黑客把证书中的服务器的公钥 (pub),替换成自己的公钥,这是他能做到的。
2. 黑客针对证书的各个属性,重新计算签名
3. 黑客需要把签名进行重新加密。但是所有人手里的 pub2 只能解开被 pri2 加密过的。也就意味着,黑客一定要知道权威机构的私钥(pri2),但这里的关键就是,黑客没有!!!
4. Tomcat
HTTP 是前后端交互的桥梁。前端是浏览器,而后端是 HTTP 服务器。HTTP 服务器本质上是一个 TCP 服务器(HTTP 是基于 TCP),这个服务器按照 HTTP 协议的约定,解析请求,构造响应。业界有许多现成的 HTTP 服务器,可以直接使用。在 java 圈子中,最知名的 HTTP 服务器要数 Tomcat !
下载 tomcat 并不一定要选择最新的。大部分公司都在使用 8,新的版本可能会有 bug。
启动 tomcat ,进入 bin 目录,如果是 windows 的话,双击 startup.bat,如果是 linux/mac,运行 startup.sh。
tomcat 是一个 http 服务器,从外形上来看,就是一个黑框框。tomcat 的端口号为 8080。
tomcat 启动之后,可以在网页上输入下述 url:
便可看到 tomcat 的欢迎界面。
部署一个网站到 tomcat 上,就是把对应的内容拷贝到 tomcat 的 webapps 目录即可。
将博客系统放入到 webapps 中,在地址栏中输入以下路径,便可访问到博客的详情页:
为什么要把网页往 tomcat 中部署?
直接双击 html 运行的网页与在 tomcat 中部署网页有什么区别呢?前者只能在自己的电脑中打开,别人无法直接访问,而后者可以通过网络访问,这是跨主机的。别人就可以通过网络访问我的页面。
构造一个 HTTP 服务器,要根据 HTTP 协议解析请求报文,还要根据 HTTP 协议构造响应报文,但这些东西 Tomcat 已经做好了。Tomcat 提供了一系列的 API,这组 API 也称为 Servlet ,可以让程序员在程序中直接调用,如此一来,程序员就可以更加专注于业务逻辑了。
