文章总结： 本文阐述了HTTPS工作原理、SSL握手流程及证书验证机制，解释了传输需切换至对称加密以兼顾安全与性能的原因。文章对比了对称与非对称加密的优缺点，剖析了中间人劫持HTTPS数据的原理，并推广了汽车网络安全相关社群与活动。 综合评分： 60 文章分类： 网络安全,WEB安全,软文广告

深入浅出HTTPS、对称加密、非对称加密

谈思实验室

2026年1月26日 17:51 上海

点击上方蓝字谈思实验室

获取更多汽车网络安全资讯

01

HTTPS 是如何工作的？

超文本传输安全协议（HTTPS）是超文本传输协议（HTTP）的扩展。HTTPS 使用传输层安全协议（TLS）传输加密数据。如果数据在线上被劫持，劫持者得到的就是二进制代码。

数据是如何加密和解密的？

步骤 1 – 客户端（浏览器）与服务器建立 TCP 连接。

步骤 2 – 客户端向服务器发送“客户端问候”消息。该消息包含一组必要的加密算法（密码套件）以及它支持的最新 TLS 版本。服务器响应“服务器问候”，以便浏览器知道它是否支持这些算法和 TLS 版本。

服务器随后将 SSL 证书发送给客户端。证书包含公钥、主机名、有效期等信息。客户端验证证书。

步骤 3 – 在验证 SSL 证书后，客户端生成会话密钥，并使用公钥加密。服务器接收加密的会话密钥，并使用私钥解密。

步骤4 – 既然客户端和服务器都持有相同的会话密钥（对称加密），加密数据通过安全的双向通道传输。

为什么 HTTPS 在数据传输过程中切换到对称加密？

有两个主要原因：

• 安全性：非对称加密只能单向工作。这意味着如果服务器尝试将加密数据发送回客户端，任何人都可以使用公钥解密数据。
• 服务器资源：非对称加密会带来相当大的数学开销。它不适合长时间会话的数据传输。

02

HTTPS、SSL 握手和数据加密详解

• HTTPS：保护您的数据免受窃听者和入侵。了解加密和数字证书如何创建一个坚不可摧的盾牌。
• SSL 握手：幕后揭秘——见证建立安全连接的加密协议。体验密钥的复杂交换和协商过程。
• 安全数据传输：穿越隧道——通过 HTTPS 建立的加密隧道进行旅程。学习您的信息如何在受到网络威胁保护的情况下传输。
• HTML 的作用：深入了解 HTML 在构建网页中的作用。揭示超链接和内容如何无缝结合。以及为什么它被称为超文本。

03

HTTPS 安全吗？

如果 HTTPS 是安全的，那么像 Fiddler 这样的工具如何捕获通过 HTTPS 发送的网络数据包？

下图展示了一个恶意中间人劫持数据包的场景。

前提条件：中间服务器的根证书存在于信任存储中。

数据包如何被劫持：

步骤 1 – 客户端请求与服务器建立 TCP 连接。该请求被恶意路由到中间服务器，而不是真正的后端服务器。然后，在客户端和中间服务器之间建立 TCP 连接。

步骤 2 – 中间服务器与实际服务器建立 TCP 连接。

步骤 3 – 中间服务器将 SSL 证书发送给客户端。证书包含公钥、主机名、有效期等信息。客户端验证该证书。

步骤 4 – 合法服务器将其证书发送给中间服务器。中间服务器验证该证书。

步骤 5 – 客户端生成会话密钥，并使用中间服务器的公钥对其进行加密。中间服务器接收加密的会话密钥，并使用其私钥进行解密。

步骤 6 – 中间服务器使用实际服务器的公钥加密会话密钥，然后将其发送到实际服务器。合法服务器使用其私钥解密会话密钥。

步骤 7 和 8 – 现在，客户端和服务器可以使用会话密钥（对称加密）进行通信。加密数据通过安全的双向通道传输。中间服务器始终可以解密数据。

04

对称加密与非对称加密

对称加密和非对称加密是两种用于保护数据和通信的加密技术，但它们在加密和解密方法上有所不同。

• 在对称加密中，使用同一个密钥进行数据的加密和解密。它速度更快，可以应用于大量数据的加密/解密。例如，我们可以用它来加密大量的个人身份信息（PII）数据。它在密钥管理方面存在挑战，因为发送者和接收者共享同一个密钥。
• 非对称加密使用一对密钥：一个公钥和一个私钥。公钥可以自由分发，用于加密数据，而私钥是保密的，用于解密数据。与非对称加密相比，它更安全，因为私钥永远不会被共享。然而，非对称加密速度较慢，因为密钥生成和数学计算的复杂性。例如，HTTPS 使用非对称加密在 TLS 握手期间交换会话密钥，之后 HTTPS 使用对称加密进行后续通信。

来源：知乎@xnliu

https://zhuanlan.zhihu.com/p/1998477010905866924

谈思-汽车出海安全合规（欧洲）

交流群

谈思 AutoSec Europe 峰会旨在搭建一个能融汇全球视野与中国实践、连接技术前沿与落地应用的国际性专业平台，以助力中国汽车应对在出海过程中面临的网络与数据安全合规痛点。从前沿技术研讨、合规要点解析到经验交流，都将通过本平台为您提供持续支持。社群已超过200人，需邀请加入，如需入群，欢迎添加社群小助手微信taaslabs01。

谈思-SDV&AIDV技术出海

交流群

诚邀行业同仁加入谈思SDV&AIDV出海技术交流群，聚焦软件定义汽车、AI定义汽车、下一代EEA、智能座舱、智能驾驶、软件架构、域控制器开发、芯片技术、软件工具等核心议题，欢迎大家加群交流探讨~~社群已超过200人，需邀请加入，如需入群，欢迎添加社群小助手微信taaslabs01。

end

谈思汽车媒体门户

精品活动推荐

AutoSec系列沙龙

专业社群

部分入群专家来自：

新势力车企：

特斯拉、理想、极氪、小米、零跑汽车、阿维塔汽车、智己汽车、小鹏、岚图汽车、蔚来汽车、吉祥汽车、赛力斯……

外资传统主流车企代表:

大众中国、大众酷翼、奥迪汽车、宝马、福特、戴姆勒-奔驰、通用、保时捷、沃尔沃、现代汽车、日产汽车、捷豹路虎、斯堪尼亚……

内资传统主流车企：

吉利汽车、上汽乘用车、长城汽车、上汽大众、长安汽车、北京汽车、东风汽车、广汽、比亚迪、一汽集团、一汽解放、东风商用、上汽商用……

全球领先一级供应商：

博世、大陆集团、联合汽车电子、安波福、采埃孚、科世达、舍弗勒、霍尼韦尔、大疆、日立、哈曼、华为、百度、联想、联发科、普瑞均胜、德赛西威、蜂巢转向、均联智行、武汉光庭、星纪魅族、中车集团、潍柴集团、地平线、紫光同芯、字节跳动、……

二级供应商(500+以上)：

中科数测、ETAS、BlackDuck、NXP、上海软件中心、Deloitte、奇安信、为辰信安、云驰未来、信长城、泽鹿安全、纽创信安、复旦微电子、天融信、奇虎360、中汽中心、中国汽研、上海汽检、加特兰微电子、浙江大学……

人员占比

公司类型占比

文章

不要错过哦，这可能是汽车网络安全产业最大的专属社区！

关于涉嫌仿冒AutoSec会议品牌的律师声明

一文带你了解智能汽车车载网络通信安全架构

网络安全：TARA方法、工具与案例

汽车数据安全合规重点分析

浅析汽车芯片信息安全之安全启动

域集中式架构的汽车车载通信安全方案探究

系统安全架构之车辆网络安全架构

车联网中的隐私保护问题

智能网联汽车网络安全技术研究

AUTOSAR 信息安全框架和关键技术分析

AUTOSAR 信息安全机制有哪些？

信息安全的底层机制

汽车网络安全

Autosar硬件安全模块HSM的使用

首发!小米雷军两会上就汽车数据安全问题建言：关于构建完善汽车数据安全管理体系的建议

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：谈思实验室 《深入浅出HTTPS、对称加密、非对称加密》