HTTPS协议说明

基本现在最安全的网络连接就是使用https了,http协议有几个不安全的地方:

  • 传输信息是明文的。 -- http的传输信息是明文的,基本网络劫持下就束手就擒了。
  • 不能防止篡改。 -- 在网络传输层面是无法防止第三方截取请求,篡改请求,再发送给服务器的。

其实从互联网已开始,网络传输的加密协议就有人在研究了。

基本想法就是把通信双方的传输信息使用加密算法加密起来。这样就可以保证两边的通信可以得到保护。

这里的加密方法基本有两种,对称加密或者非对称加密。如果使用非对称加密算法,客户端每次请求之前先去服务端请求一对公钥,服务端生成一个私钥,然后使用公钥加密数据,服务端使用私钥揭秘数据。但是往往非对称加密的加密和解密的过程计算量很大,非常耗时。所以这个方法不可行。

那么就使用对称加密算法,客户端每次请求获取一个秘钥,这个秘钥是用来后续进行信息交互的时候加密信息的。这个秘钥可以不是服务端一次生成的,而是通过几次交互双方获得的秘钥一起组合而成。

TLS算法就是通过证书的方式和非对称加密的方式让双方生成3个随机秘钥,从而组合得到一个安全的内容对称秘钥。

另外,首先有个前提要先说在前面,HTTPS算法也是基于TCP的,那么这个所谓的TLS算法的握手步骤是在TCP握手完成之后才进行安全握手的。

TLS算法

这个图就是非常经典的客户端和服务端进行安全握手的请求过程。

简要来说,这四个过程最主要做了下面几个事情:

  • Client Hello(客户端向服务端请求安全握手,并带给服务端第一个随机数)
  • Server Hello(服务端返回包含公钥的证书和第二个随机数)
  • Client Key Exchange(客户端看到证书后确认服务端身份,并获取证书中的公钥,使用公钥返回第三个随机数)
  • Server Finish(服务端通知客户端完成握手)

服务器和客户端安全握手之后,这次的session两边都得到了三个随机数,使用着三个随机数,双方使用事先约定的加密算法生成了“会话秘钥”。后续的对话都是使用这个秘钥进行加密的。

我们一个个步骤看。

Client Hello

客户端向服务器端发送的信息有:

  • 支持的安全握手的协议版本,比如TLS1.2
  • 客户端生成的随机数
  • 客户端支持的会话加密算法,比如DES加密
  • 支持的压缩方法

Server Hello

这个过程,服务端了解到客户端的信息了,服务端向客户端发送的信息有:

  • 确认使用的安全握手的协议版本,比如TLS1.2
  • 确认使用的会话加密算法,比如DES加密
  • 服务端生成的随机数
  • 服务器的证书

有人可能会问,这里如果直接发送服务器的公钥给客户端行不行,答案是不行,证书除了有公私钥的信息之外,还有一个证书机构进行保证。所以,这个证书是不能伪造的。

Client Key Exchange

客户端看到证书后,去颁发机构确认这个证书正确,然后从证书中获取到公钥。注意,这个公钥只是用来加密第三个随机数的。

  • 发送第三个随机数(这个随机数已经被公钥加密,只有对应的服务器用私钥才能打开)
  • 告知服务端,客户端已经做好准备了,可以传输数据了。

这第三个随机数有个名称叫pre-master key。

客户端使用TLS1.2规定的算法计算出会话秘钥。

Server Finish

服务端使用私钥获取到第三个随机数。并且使用TLS1.2规定的算法计算出会话秘钥。并告知可以开始传输数据了。

数据传输阶段

客户端和服务端用会话秘钥加上定义好的会话加密算法加密他们之间的所有对话请求。

至此,TLS的安全握手流程就结束了。

参考

Https(SSL/TLS)原理详解
Htttps SSL/TLS Session Secret(Key)计算
图解SSL/TLS协议
SSL/TLS协议运行机制的概述
HTTPS 详解

HTTPS协议说明的更多相关文章

  1. 网站使用https协议

    了解https HTTPS 是以安全为目标的 HTTP 通道,即 HTTP 下加入 SSL 加密层.HTTPS 不同于 HTTP 的端口,HTTP默认端口为80,HTTPS默认端口为443. SSL ...

  2. 服务器开启https协议

    开启Tomcat https服务 发布企业级应用的时候遇到一个问题,就是IOS7.1之后app的下载地址URL必须是https开头的协议,所以服务器必须支持https协议. 实验环境:Mac OSX ...

  3. 【转】Tomcat启用HTTPS协议配置过程

    转载请注明出处: http://blog.csdn.net/gane_cheng/article/details/53001846 http://www.ganecheng.tech/blog/530 ...

  4. IIS同时实现网站部分使用https协议访问另一部分http访问

    一:什么是https SSL(Security Socket Layer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同 ...

  5. HTTPS 协议和原理

    1 HTTPS 协议概述 HTTPS 可以认为是 HTTP + TLS.HTTP 协议大家耳熟能详了,目前大部分 WEB 应用和网站都是使用 HTTP 协议传输的. TLS 是传输层加密协议,它的前身 ...

  6. 浅谈HTTPS以及Fiddler抓取HTTPS协议

    最近想尝试基于Fiddler的录制功能做一些接口的获取和处理工作,碰到的一个问题就是简单连接Fiddler只能抓取HTTP协议,关键的登录请求等HTTPS协议都没有捕捉到,所以想让Fiddler能够同 ...

  7. 下载https协议需要的cer证书

    一:https简介 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全 ...

  8. 大型网站的 HTTPS 实践(1):HTTPS 协议和原理

    转自:http://op.baidu.com/2015/04/https-s01a01/ 1 前言 百度已经于近日上线了全站 HTTPS 的安全搜索,默认会将 HTTP 请求跳转成 HTTPS.本文重 ...

  9. https协议了解,以及相关协议的解析

    HTTPS简介 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版. ...

随机推荐

  1. PyCharm 3.0 发布,提供免费开源版本

    PyCharm 发布最新的 3.0 版本,该版本新特性详见: http://www.jetbrains.com/pycharm/whatsnew/index.html 该版本最主要的是提供了免费开源的 ...

  2. 分享:写了一个 java 调用 C语言 开发的动态库的范例

    分享:写了一个 java 调用 C语言 开发的动态库的范例 cfunction.h   代码#pragma once#ifdef __cplusplusextern "C" {#e ...

  3. Xamarin.Android绑定库分享

    使用Xamarin.Android时,会用到各种第三方库,而这些库基本上是java编写的,要在Xamarin.Android中使用这些库,就需要通过Android Binding Project绑定对 ...

  4. 【腾讯Bugly干货分享】移动互联网测试到质量的转变

    本文来自于腾讯bugly开发者社区,非经作者同意,请勿转载,原文地址:http://dev.qq.com/topic/57ee0934b690d84c3188d7c7 Dev Club 是一个交流移动 ...

  5. 64位进程池HashCode兼容处理

    背景 net旧项目使用32位生成的HashCode,存储到数据库中.迁移到64位上,就需要对HashCode做兼容处理. 解决方案 1:进程池配置支持32位程序. 2:对Hashcode做兼容处理,[ ...

  6. 熟用js中的Date

    js中的Date类型是使用UTC(国际协调时间)自1970年1月1日午夜(零时)开始,经过的毫秒数来保存日期. 1. 创建日期对象  ---> 获得当前日期和时间  var now = new ...

  7. python 实现web框架simfish

    python 实现web框架simfish 本文主要记录本人利用python实现web框架simfish的过程.源码github地址:simfish WSGI HTTP Server wsgi模块提供 ...

  8. redis(二)高级用法

    redis(二)高级用法 事务 redis的事务是一组命令的集合.事务同命令一样都是redis的最小执行单元,一个事务中的命令要么执行要么都不执行. 首先需要multi命令来开始事务,用exec命令来 ...

  9. 《OOC》笔记(1)——C语言const、static和extern的用法

    <OOC>笔记(1)——C语言const.static和extern的用法 C语言中const关键字用法不少,我只喜欢两种用法.一是用于修饰函数形参,二是用于修饰全局变量和局部变量. 用c ...

  10. 这里有个坑---js日期格式yyyy-MM-dd与yyyy/MM/dd

    这里有个坑,---------每一个遇到的坑总结后都是一比财富. 我们写脚本的时候,一般定义一个日期格式会使用“2015-12-21”和“2015/12/21”两种数据格式,由于各取所需日期格式并没有 ...