网络-https

Author Avatar
丁起男 12月 09,2020
  • 在其它设备中阅读本文章

网络-https

http与https有哪些区别

  1. http是超文本传输协议,信息是明文传输,存在安全风险的问题。https则解决了http不安全的缺陷,在tcp和http网络层之间加入了ssl/tls安全协议,使得报文能够加密传输
  2. http连接建立相对简单,tcp三次握手之后便可进行http的报文传输。而https在tcp三次握手之后,还需进行ssl/tls的握手过程,才可进行加密报文传输
  3. http的端口号是80,https的端口号的443
  4. https协议需要向ca(证书权威机构)申请数字证书,来保证服务器的身份是可信的

混合加密

通过混合加密的方式可以保证信息的机密性,解决了窃听的风险

https采用的是对称加密和非对称加密结合的混合加密方式:

  • 在通信建立前采用非对称加密的方式交换会话密钥,后续就不再使用非对称加密
  • 在通信过程中全部使用对称加密会话密钥的方式加密明文数据

采用混合加密的原因

  • 对称加密只使用一个密钥,运算速度快,密钥必须保密,无法做到安全的密钥交换
  • 非对称加密使用两个密钥:公钥和私钥,公钥可以任意分发而私钥保密,解决了密钥交换问题但速度慢

摘要算法

摘要算法用来实现完整性,能够为数据生成独一无二的指纹,用于校验数据的完整性,解决了篡改的风险

客户端在发送明文之前会通过摘要算法算出明文的指纹,发送的时候把指纹+名文一同加密成密文后,发送给服务器,服务器解密后,用相同的摘要算法算出发送过来的明文,通过比较客户端携带的指纹和当前算出的指纹作比较,若指纹相同,说明数据是完整的

数字证书

客户端先访问服务器端索要公钥,然后用公钥加密信息,服务器收到密文后,用自己的私钥解密。

这就存在些问题,如何保证不被篡改?

所以这里需要借助第三方权威机构ca(数字证书认证机构),将服务器公钥放在数字证书(由数字证书)中,只要证书是可信的,公钥就是可信的。

SSL/TLS建立连接过程

  1. 首先,由客户端向服务器发起加密通信请求,也就是CientHello请求。

    客户端发送内容:

    • 客户端支持的ssl/tls协议版本,如TLS 1.2版本
    • 客户端产生的随机数(Client Random),后面用于产生会话密钥
    • 客户端支持的密码套件列表,如RSA加密算法
  2. 服务器收到客户端请求后,向客户端发出相应,也就是ServerHello

    服务器回应内容:

    • 确认SSL/TLS协议版本,如果浏览器不支持,则关闭加密通信
    • 服务器产生的随机数(Server Random),后面用于产生会话密钥
    • 确认的密码套件列表,如RSA加密算法
    • 服务器的数字证书
  3. 客户端收到服务器的回应后,首先通过浏览器或操作系统中的ca公钥,确认服务器的数字证书的真实性。

    如果证书没有问题,客户端会从数字证书中取出服务器的公钥,然后使用它加密报文。

    向服务器发送内容:

    • 一个随机数(pre-master key)。该随机数会被服务器公钥加密
    • 加密通信算法改变通知,表示随后的信息都将用会话密钥加密通信
    • 客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做过摘要,用来提供服务端校验

    完成这一阶段后服务器和客户端就同时有三个随机数,接着就用双方协商的加密算法,各自生成本次通信的会话密钥

  4. 服务器收到客户端的第三个随机数(pre-master key)之后,通过协商的加密算法,计算出本次通信的会话密钥。

    向客户端发送最后的信息:

    • 加密通信算法改变通知,表示随后的信息都将用会话密钥加密通信
    • 服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供客户端校验

至此,整个ssl/tls的握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的http协议,只不过用会话密钥加密内容。