HTTP知识合集HTTP

HTTPS原理

2016-08-25  本文已影响0人  shinoo

http 具有相当优秀和出色的一面,但是事物皆有两面性,他也有不足之处。

Http的不足

明文传递信息,容易遭监听。

不认证通信方身份,容易遭遇伪装。

无法证明报文完整性检测,容易被篡改。

为了解决上述问题,需要在http中再加入加密处理和认证等机制。我们把添加了加密以及认证机制的http成为https。

https并非是应用层的一种新协议,只是http通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已。

通常,http直接和tcp通信,当使用ssl时,则演变成先和ssl通信再有ssl和tcp通信了。

ssl是独立于http的协议,所以不光是http协议,其他运行在应用层的smtp和telnet等协议均可配合ssl使用。

ssl的公开密钥加密

ssl采用公开密钥加密(Public-key cryptography)的加密处理方式。

首先让我们先了解一下共享密钥加密。共享密钥加密过程,是加解密双方使用同一把密钥对数据进行加密解密。

而使用共享密钥加密的安全问题在于是否有第三人知道密钥。这种加密也叫做对称加密。

而公开密钥加密很好的解决了这个问题。

公开密钥加密使用一对非对称的密钥。一把叫做私有密钥(private key),另一把叫做公开密钥(public key)。顾名思义,私有密钥不能让其他任何人知道,而公开密钥则可以随意发布,任何人都可以获得。

使用公开密钥加密方式,发送密文的一方使用对方的公开密钥进行加密处理,对方收到被加密的信息后,再使用自己的私有密钥进行解密。利用这种方式,不需要发送用来解密的私有密钥,也不必担心密钥被攻击者窃听而盗走。

https的混合加密

公开密钥加密虽然安全性非常高,但是其加密解密过程,处理速度相对较慢。若对称加密的密钥能够实现安全交换,那么就可以使用效率非常高的共享密钥加密了。

在交换密钥缓解使用公开密钥加密,之后建立通信交换信息阶段使用共享密钥加密。

证书

虽然加密环节已经能保证安全了,但是还是有一个问题。那就是无法证明公开密钥本身就是真的公钥。

为了解决这个问题,数字证书认证机构CA(Certificate Authority)会颁发一个公钥证书。

数字证书认证机构是一个通信双方都信任的第三方机构。首先服务器运营人员会向CA递交公开密钥的申请。CA在审核通过之后,会用自己的私钥对已申请的公钥做数字签名,然后分配给这个已签名的公钥,并将该公钥放入公钥证书后绑定起来。绑定起来的东西就叫做证书。CA的公钥事先植入在了浏览器中。客户端拿到服务器的证书后,用CA的公钥验证数字签名,以确认服务器公钥的真实性。

https的安全通信步骤

为了更好的理解https,我们来总结一下https的通信步骤

1.浏览器向服务器发出加密通讯(Cient Hello)请求。报文中包涵客户单支持的ssl指定版本,加密组建,所使用的算法及密钥长度等等。

2.服务器可以进行SSL通信的时候,会以Server Hello报文作为回应。报文中包涵以下内容,ssl版本和确认使用的加密算法等。

3.服务器发送Certificate报文,报文包含公钥证书。

4.最后服务器发送Server Hello Done,通知客户端SSL握手协商结束。

5.SSL第一次握手完事后,客户端发送Client Key Exchange报文作为回应。报文中包涵通信加密中使用的随机数(pre-master secret)。由客户端使用rsahuozhe diffie-hellman等加密算法生成的。 此报文通过证书中的公钥加密。

6.接着客户端发送Change Cipher Spec报文。此报文告知服务器以后通信会都采用Pre-master secret进行加密。

7.客户端发送Finished报文,报文包含连接至今所有报文的整体校验值。第二次握手成功与否,是以服务器能否正确解析此报文为标准。

8.验证成功,服务器同样发送Change Cipher Spec.

9.服务器发送Finished报文。

10.服务器和客户端的Finished报文交换完毕之后,SSL链接建立完成。从此处开始应用层协议。

11.断开链接应由客户端发起,向服务器发送一个close_notify报文。这步之后再关闭与TCP的通信。

上一篇下一篇

猜你喜欢

热点阅读