浅谈HTTPS协议

前言

　　理解协议是做接口测试的前提。本文主要向大家展示博主对HTTPS协议的理解，网上有诸多资料，有些写得过于晦涩难懂，尤其是需要密码学的一些知识。我做了一下简单的整理，刨除复杂的底层实现，单从理解SSL协议的角度宏观上认识一下HTTPS。（写的不当之处，还请多多指教哦）。一言以弊之，HTTPS是通过一次非对称加密算法（如RSA算法）进行了协商密钥的生成与交换，然后在后续通信过程中就使用协商密钥进行对称加密通信.（说的有点傻逼，因为很多人看不懂这句话）。让我们走进HTTPS协议的世界吧。关于HTTP协议会在另外一篇博文详细讲述。

一.HTTPS和HTTP协议的区别　

　　超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息。HTTP协议以明文方式发送内容，不提供任何方式的数据加密，如果攻击者截取了Web浏览器和网站服务器之间的传输报文，就可以直接读懂其中的信息，因此HTTP协议不适合传输一些敏感信息，比如信用卡号、密码等。为了解决HTTP协议的这一缺陷，需要使用另一种协议：安全套接字层超文本传输协议HTTPS。为了数据传输的安全，HTTPS在HTTP的基础上加入了SSL协议，SSL依靠证书来验证服务器的身份，并为浏览器和服务器之间的通信加密。

　　HTTPS和HTTP的区别主要为以下四点：

　　 一、https协议需要到ca申请证书，一般免费证书很少，需要交费。

　　 二、http是超文本传输协议，信息是明文传输，https 则是具有安全性的ssl加密传输协议。

　　 三、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

　　 四、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

二. SSL说明

　　SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：SSL记录协议（SSL Record Protocol）：它建立在可靠的传输协议（如TCP）之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议（SSL Handshake Protocol）：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

　　SSL协议提供的服务主要有哪些

　　 1）认证用户和服务器，确保数据发送到正确的客户机和服务器

　　 2）加密数据以防止数据中途被窃取

　　 3）维护数据的完整性，确保数据在传输过程中不被改变。

　　SSL协议的工作流程

　　服务器认证阶段：

　　 1）客户端向服务器发送一个开始信息“Hello”以便开始一个新的会话连接；

　　 2）服务器根据客户的信息确定是否需要生成新的主密钥，如需要则服务器在响应客户的“Hello”信息时将包含生成主密钥所需的信息；

　　 3）客户根据收到的服务器响应信息，产生一个主密钥，并用服务器的公开密钥加密后传给服务器；

　　 4）服务器恢复该主密钥，并返回给客户一个用主密钥认证的信息，以此让客户认证服务器。

三.HTTPS协议

　　我们都知道HTTP并非是安全传输，在HTTPS基础上使用SSL协议进行加密构成的HTTPS协议是相对安全的。目前越来越多的企业选择使用HTTPS协议与用户进行通信，如百度、谷歌等。HTTPS在传输数据之前需要客户端（浏览器）与服务端（网站）之间进行一次握手，在握手过程中将确立双方加密传输数据的密码信息。HTTPS协议传输的原理和过程简图如下所示：

一共有8个步骤，我们针对每一步，具体看看发生了什么事：

1.  第一步，客户端发起明文请求：将自己支持的一套加密规则、以及一个随机数（Random_C）发送给服务器。

2.  第二步，服务器初步响应：服务器根据自己支持的加密规则，从客户端发来的请求中选出一组加密算法与HASH算法，生成随机数，并 将自己的身份信息以证书（CA）的形式发回给浏览器。CA证书里面包含了服务器地址，加密公钥，以及证书的颁发机构等信息。这时服务器给客户端的包括选择使用的加密规则、CA证书、一个随机数（Random_S）。

3.  第三步，客户端接到服务器的初步响应后做四件事情：

（1）证书校验： 验证证书的合法性（颁发证书的机构是否合法，证书中包含的网站地址是否与正在访问的地址一致等）。

（2）生成密码：浏览器会生成一串随机数的密码（Pre_master），并用CA证书里的公钥加密(enc_pre_master)，用于传给服务器。

（3）计算协商密钥：此时客户端已经获取全部的计算协商密钥需要的信息：两个明文随机数 Random_C 和 Random_S 与自己计算产生的 Pre-master，计算得到协商密钥enc_key。(enc_key=Fuc(random_C, random_S, Pre-Master)         

（4）生成握手信息：使用约定好的HASH计算握手消息，并使用协商密钥enc_key及约定好的算法对消息进行加密。

4.  第四步，客户端将第三步产生的数据发给服务器：

这里要发送的数据有三条：

（1）用公钥加密过的服务器随机数密码enc_pre_master

（2）客户端发给服务器的通知，"以后我们都要用约定好的算法和协商密钥进行通信的哦"。

（3）客户端加密生成的握手信息。

5.  第五步，服务器接收客户端发来的数据要做以下四件事情：

（1）私钥解密：使用自己的私钥从接收到的enc_pre_master中解密取出密码Pre_master。

（2）计算协商密钥：此时服务器已经获取全部的计算协商密钥需要的信息：两个明文随机数 Random_C 和 Random_S 与Pre-master，计算得到协商密钥enc_key。（enc_key=Fuc(random_C, random_S, Pre-Master)）

（3）解密握手消息：使用协商密钥enc_key解密客户端发来的握手消息，并验证HASH是否与客户端发来的一致。

（4）生成握手消息使用协商密钥enc_key及约定好的算法加密一段握手消息，发送给客户端。

6.  第六步，服务器将第五步产生的数据发给客户端：

这里要发的数据有两条：

（1）服务器发给客户端的通知，”听你的，以后我们就用约定好的算法和协商密钥进行通信哦“。

（2）服务器加密生成的握手信息。

7.  第七步，客户端拿到握手信息解密，握手结束。

客户端解密并计算握手消息的HASH，如果与服务端发来的HASH一致，此时握手过程结束。

8.  第八步，正常加密通信

握手成功之后，所有的通信数据将由之前协商密钥enc_key及约定好的算法进行加密解密。

 

这里客户端与服务器互相发送加密的握手消息并验证，目的是为了保证双方都获得了一致的密码，并且可以正常的加密解密数据，为后续真正数据的传输做一次测试。另外，HTTPS一般使用的加密与HASH算法如下：非对称加密算法：RSA，DSA/DSS对称加密算法：AES，RC4，3DESHASH算法：MD5，SHA1，SHA256。其中非对称加密算法用于在握手过程中加密生成的密码，对称加密算法用于对真正传输的数据进行加密，而HASH算法用于验证数据的完整性。由于客户端生成的密码是整个数据加密的关键，因此在传输的时候使用了非对称加密算法对其加密。非对称加密算法会生成公钥和私钥，公钥只能用于加密数据，因此可以随意传输，而服务器的私钥用于对数据进行解密，所以服务器都会非常小心的保管自己的私钥，防止泄漏。