HTTPS
发布日期:2021-11-21 16:35:35 浏览次数:16 分类:技术文章

本文共 2543 字,大约阅读时间需要 8 分钟。

HTTPS:

HTTP协议是明文传输协议,通信过程中被中间人进行劫持、监听、篡改,会造成个人隐私泄露等严重的安全问题,HTTPS在传输层和应用层加了TSL/SSL

https的优势:

  1. 通讯过程的hash生成的摘要,保证数据完整性
  2. 握手过程的非对称加密,传输过程的对称加密,保证数据私密性
  3. 证书保证双方身份的真实性

https大致过程

  1. 建立服务器443端口连接
  2. SSL握手:随机数,证书,密钥,加密算法
  3. 发送加密请求
  4. 发送加密响应
  5. 关闭SSL
  6. 关闭TCP

SSL握手大致过程:

  1. 客户端发送随机数1,支持的加密方法(如RSA公钥加密)
  2. 服务端发送随机数2,和服务器公钥,并确认加密方法
  3. 客户端发送用服务器公钥加密的随机数3
  4. 服务器用私钥解密这个随机数3,用加密方法计算生成对称加密的密钥给客户端,
  5. 接下来的报文都用双方协定好的加密方法和密钥,进行加密

SSL握手详细过程:

一、客户端发出加密通信请求ClientHello

提供: 

1,协议版本(如TSL1.0) 
2,随机数1(用于生成对话密钥) 
3,支持的加密方法(如RSA公钥加密) 
4,支持的压缩方法

二、服务器回应SeverHello

回应内容: 

1,确认使用的加密通信协议版本(TSL1.0) 
2,随机数2(用于生成对话密钥) 
3,确认加密方法(RSA) 
4,服务器证书(包含非对称加密的公钥) 
5,(可选)要求客户端提供证书的请求

三、客户端验证证书

如果证书不是可信机构颁布,或证书域名与实际域名不符,或者证书已经过期,就会向访问者显示一个警告,是否继续通信

四、客户端回应

证书没有问题,就会取出证书中的服务器公钥 

然后发送: 
1,随机数3(pre-master key,此随机数用服务器公钥加密,防止被窃听) 
2,编码改变通知(表示随后的信息都将用双方商定的方法和密钥发送) 
3,客户端握手结束通知

五、双方生成会话密钥

双方同时有了三个随机数,接着就用事先商定的加密方法,各自生成同一把“会话密钥” 

服务器端用自己的私钥(非对称加密的)获取第三个随机数,会计算生成本次所用的会话密钥(对称加密的密钥),如果前一步要求客户端证书,会在这一步验证

六、服务器最后响应

服务器生成会话密钥后,向客户端发送: 

1,编码改变通知(后面的信息都用双方的加密方法和密钥来发送) 
2,服务器握手结束通知

至此,握手阶段全部结束,接下来客户端与服务器进入加密通信,用会话密钥加密内容

 

 

 

 

 

 

 

目的

为了解决HTTP明文传输带来的信息安全问题。

基本原理:

采用非对称加密。

客户端:向服务端请求公钥,然后用公钥将信息加密后传输给服务端。

服务端:服务端用私钥将信息解密。

问题:
1. 如何防止中间人攻击?即客服端获取了伪造的公钥,攻击人截获客户端向服务端发送的信息,用自己的私钥解密信息。
数字证书有效解决了公钥的信任问题。

2. 如何解决非对称加密性能问题?

解决方法:每一次对话(session),客户端和服务器端都生成一个"对话密钥"(session key),用它来加密信息。由于"对话密钥"是对称加密,所以运算速度非常快,而服务器公钥只用于加密"对话密钥"本身,这样就减少了加密运算的消耗时间。
PS:这就是常见的为了解决非对称加密性能不好的方案,采用对称加密加密正文,非对称仅用于加密 对称加密密钥。实现用对称密钥加密文本,用非对称加密传输密钥。既保证性能也保证安全性。

数字签名
数字签名是为了保证文本不被篡改。
其运作流程如下:
首先,A将撰写的文本利用hash函数压缩,成为摘要(digest)。
A利用私钥将摘要加密产生数字签名。并将数字签名与明文文本一同传输给B。
B将明文文本hash产生h1,将数字签名用公钥解密产生h2,比对两者hash值,从而确定文本是否被篡改。

数字证书

数字证书是为了保证客户端获取到可信的公钥。
将网站的相关信息与公钥发送到证书中心"(certificate authority,简称CA),CA会核实身份(验证你对域名的所有权),成功后将网站的相关信息与网站服务端生成的公钥加上用CA的私钥产生的***数字签名***作为证书发给申请者。

中间人劫持
客户端如何获取服务器的公钥?
(1)三次握手阶段:Server发送自己的公钥给Client,中间人H拿到Server的公钥,然后发送自己的公钥给client。
(2)Client用H的公钥进行加密,发给Server,中间人H劫持到消息,用自己的私钥进行解密,然后用server的公钥进行加密,发送给Server,Server用自己的私钥进行解密,得到消息。
(3)Client、Server都觉得消息在正常传输,但是已经被中间人劫持了。

HTTPS通信过程:
(1)Client发送Client Hello报文给Server开启SSL通信,报文中包含Random_1
(2)服务器支持SSL通信的话,发送Server Hello报文回应,报文中包含Random_2
(3)服务器之后发送Certificate报文,报文中包含数字证书
(4)服务器再发送Server Hello Done通知Client,最初的SSL握手阶段协商部分结束
(5)Client对数字证书校验,正确后,解密得到服务器的公钥。通过RSA算法随机生成Pre-Master Secret,并且用服务器的公钥进行加密,包含在Client Key Exchange报文中,发送给Server
(6)客户端继续发送Change Cipher Spec报文,告知Server端,客户端切换协商的加密套件,准备使用协商的加密套件加密数据并传输。
(7)Client发送Finished报文,该报文包含了连接至今全部报文的整体校验值(也就是hash值)
(8)Server接收到Client的请求,用私钥解密,把Pre-master secret取出来。Server发送同样的Change Cipher Spec报文
(9)Server同样发送Finished报文,提供Client校验
(10)Server和Client的Finished报文交换完毕,SLL连接建立。开始通信。

 

转载地址:https://blog.csdn.net/yyychocolate/article/details/108076472 如侵犯您的版权,请留言回复原文章的地址,我们会给您删除此文章,给您带来不便请您谅解!

上一篇:BFC
下一篇:HTTP优缺点

发表评论

最新留言

路过按个爪印,很不错,赞一个!
[***.219.124.196]2024年06月28日 11时08分48秒