网络:HTTPS = HTTP + SSL/TLS

网络:HTTPS = HTTP + SSL/TLS


一、 HTTP

HTTP的名称是超文本传输协议,其特点是无状态性、不安全、单向通信(即不支持服务端推送,至少在HTTP1.1版本不支持)。

由于HTTP协议使用 《明文》 进行传输,因此存在数据被窃听的风险。此外,HTTP也没有使用《单向散列函数》《消息认证码》 等机制,因此数据存在被篡改和伪装的风险,所以说HTTP协议是不安全的协议。为了解决HTTP的不安全性,人们开始使用HTTPS协议进行数据传输。

二、HTTPS

HTTPS的名称是超文本传输安全协议,HTTPS经由HTTP进行通信,但利用 《SSL/TLS》 来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。HTTPS并不是一种新的应用层协议,只是HTTP接口通信部分用SSL/TLS代替而已。简而言之,HTTPS就是身披SSL/TLS外壳的HTTP。

HTTP与HTTPS的网络分层模型如下:
在这里插入图片描述

三、SSL/TLS

SSL和TLS都是加密协议,旨在基于不安全的基础设施提供安全通信。这意味着,如果正确部署这些协议,就可以对互联网上的任意一个服务打开通信信道,并且可以确信能够与正确的服务器通信,安全地交换信息。简而言之,SSL和TLS旨在为不安全的应用层协议(如:HTTP)提供安全可靠的数据传输。其中TLS是SSL的升级版本,下面的介绍都是基于TLS的。

3.1 TLS层次结构

TLS是由“TLS记录协议”跟“TLS握手协议”组成的。其中,"TLS记录协议"负责对数据进行加密,而“TLS握手协议”则负责除加密之外的其他操作。

加密、消息认证码跟数字签名都需要使用密钥,既然TLS能够对数据进行加密和认证,那么它也必须使用到密钥,那么TLS通信双方的密钥是如何进行协商的呢?这就是“TLS握手协议”最主要的功能了,接下来重点介绍“TLS握手协议”,即TLS是如何协商产生加密与认证所需的密钥的。

3.2 TLS握手协议

TLS握手协议负责生成共享密钥和交换证书。其中 《共享密钥》 是为了进行加密通信, 《交换证书》 是为了通信双方能够相互认证。

TLS握手协议的细节如下:

  1. ClientHello(客户端→服务端)
    客户端发送消息给客户端,告诉服务端自己支持的加密套件与其他信息。主要包含:支持的密码套件、支持的压缩套件、可用的版本号、《客户端随机数》、会话id。

  2. ServerHello(服务端→客户端)
    服务端回复客户端通信过程中使用的加密套件与其他信息。主要包含:使用的密码套件、使用的压缩套件、使用的版本号、《服务端随机数》、会话id。

  3. Certificate(服务端→客户端)
    服务端发送证书给客户端。证书中包含了服务端的公钥,可用于后续的加密或认证。

  4. ServerKeyExchange(服务端→客户端)
    当第3步的信息不足以满足需求时,服务端会在这一步发送其他必要的加密需要的信息给客户端。

  5. CertificateRequest(服务端→客户端)
    接着服务端向客户端请求证书信息,这一步不是必要的,取决于服务端是否需要对客户端身份进行验证。

  6. ServerHelloDone(服务端→客户端)
    服务端问候信息结束。

  7. Certificate(客户端→服务端)
    客户端发送自己的证书给服务端(如果服务端有请求客户端的证书的话)。

  8. ClientKeyExchange(客户端→服务端)
    客户端发送经过加密的预备主密钥给服务端。预备主密钥由客户端加密,可用于生成主密钥,主密钥则是整个会话过程中用户加密和认证的密钥。那么客户端是如何对预备主密钥进行加密的呢?别忘了在第3步,服务端已经把它的证书发送给客户端了,而证书中包含了服务端的公钥,所以这里客户端是使用服务端的公钥加密预备主密钥的。

  9. CertificateVerify(客户端→服务端)
    客户端向服务端证实自己的确持有客户端私钥,即证明客户端确实是客户端证书的持有者。

  10. ChangeCipherSpec(客户端→服务端)
    客户端告诉服务端自己要切换密钥了。由于在第8步,服务端跟客户端已经协商了预备主密钥了,而在第2步也协商了密钥交换算法,所以在这一步,服务端跟客户端就可以根据密钥交换算法跟预备主密钥生成主密钥了。因此这一步客户端告诉服务端自己将使用主密钥进行通信了。

  11. Finished(客户端→服务端)
    客户端告诉服务端握手协议结束了。

  12. ChangeCipherSpec(服务端→客户端)
    服务端告诉客户端自己也要切换密钥进行通信了。

  13. Finished(服务端→客户端)
    服务端告诉客户端握手协议结束了。

  14. 切换到TLS记录协议
    客户端与服务端将切换到TLS记录协议进行通信。

以上就是TLS握手协议的全过程。

疑问: 主密钥是根据预备主密钥生成的,那么究竟是怎样生成的呢?还有就是第1步跟第2步的随机数有什么用呢?其实第一步跟第2步的随机数正是为了生成主密钥而服务的。主密钥正是由预备主密钥跟客户端随机数还有服务端随机数生成的。至于怎么生成,取决于具体的密钥交换算法,常见的密钥交换算法是 《RSA密钥交换》《DH密钥交换》

生成的主密钥主要有2个用途:

  1. 作为对称加密的密钥,对数据进行加密,防止窃听。
  2. 作为消息认证码的密钥,对数据进行认证。防止篡改和伪装。

故而实现了安全通信。以上就是HTTPS的原理了


参考:

  1. https://mp.weixin.qq.com/s/vOm0zsHdY_NvdA7UZsMzQw
©️2020 CSDN 皮肤主题: Age of Ai 设计师:meimeiellie 返回首页