网络基础—HTTPS

HTTPS 概念

  • HTTPS:Hypertext Transfer Protocol Secure, 超文本传输安全协议,HTTPS通过HTTP进行通信,但是利用SSL/TLS来加密数据包。
  • HTTPS: HTTP + SSL/TLS(SSL与TLS都为应用层协议)
  • SSL: 安全套接层 (Secure Sockets Layer,缩写作 SSL)是一种安全协议
  • TLS:传输层安全性协议(英语:Transport Layer Security,缩写作 TLS)

网络基础—HTTPS_第1张图片

HTTPS 诞生的原因——HTTP 明文(未经加密的报文)

  • HTTP通讯使用明文传输,内容容易被窃听
  • 不验证对方身份,容易遭遇伪装
  • 内容容易被篡改(中间人攻击,Man-in-the-Middle attack,MITM);
  • HTTPS,构建加密通道,提供对网站服务器的身份认证,保护交换数据的隐私与完整性

加密算法

对称加密

  • 概念:加密和解密使用同一个密钥;
  • 特点:算法公开、计算量小、加密速度快、加密效率高;
  • 缺点:无法保证安全性、密钥管理困难;
  • 算法:DES算法,3DES算法,TDEA算法,Blowfish算法,RC5算法,IDEA算法;

非对称加密

  • 概念:加密使用的密钥和解密使用的密钥是不相同的,分别称为:公钥、私钥,公钥和算法都是公开的,私钥是保密的。公钥加密的信息,仅仅只有私钥可以解密,而私钥加密的信息,公钥可以解密;
  • 特点:性能较低、安全;
  • 算法:RSA、DSA、ECDSA、 DH、ECDHE;

哈希算法

  • 概念:又叫散列算法,将任意长度信息转换为固定长度的值,算法不可逆
  • 用途:
    • 验证信息是否相同(搜索大文件);
    • 验证信息是否正确(服务器保持密码)
  • 算法:MD5、SHA-1、SHA-2、SHA-256 等;

数字证书

  • 概念:是网络通信中标志通讯各方身份信息的一系列数据,其作用类似于现实生活中的身份证。它是由一个权威机构发行的,人们可以在交往中用它来识别对方的身份。
  • 特点:包含服务器公钥

HTTPS 的演变流程:

  1. 对称加密,要解决如何将共享密钥告知对方;
  2. 混合加密机制(对称加密和非对称加密,非对称加密来加密共享密钥协商过程),要解决公钥合法性问题(发送公钥时的过程被调包);
  3. 使用第三方机构(数字证书认证机构 CA,Certificate Authority)私钥加密服务器的公钥,客户端再使用第三方机构的公钥进行解密;
  4. 要防范第三方机构不小心给中间人颁发了证书,中间人还是有机会对证书进行调包?
  5. 客户端本地通过证书编号辨别证明证书是否被篡改(证书会告知客户端如何验证真伪);
  6. 要解决第三方机构的公钥到客户端的问题;
  7. 浏览器和操作系统会维护一个权威第三方机构公钥列表;(如果系统和浏览器被攻破了那就没有办法了);

《图解HTTP》, HTTPS握手流程:

步骤 1: 客户端通过发送 Client Hello 报文开始 SSL 通信。报文中包含客户端支持的 SSL 的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。
步骤 2: 服务器可进行 SSL 通信时,会以 Server Hello 报文作为应答。和客户端一样,在报文中包含 SSL 版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。
步骤 3: 之后服务器发送 Certificate 报文。报文中包含公开密钥证书。
步骤 4: 最后服务器发送 Server Hello Done 报文通知客户端,最初阶段的SSL握手协商部分结束。

步骤 5: SSL 第一次握手结束之后,客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为 Pre-master secret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。
步骤 6: 接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器,在此报文之后的通信会采用 Pre-master secret 密钥加密。
步骤 7: 客户端发送 Finished 报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。

步骤 8: 服务器同样发送 Change Cipher Spec 报文。
步骤 9: 服务器同样发送 Finished 报文。

步骤 10: 服务器和客户端的 Finished 报文交换完毕之后,SSL 连接就算建立完成。当然,通信会受到 SSL 的保护。从此处开始进行应用层协议的通信,即发送 HTTP请求。
步骤 11: 应用层协议通信,即发送 HTTP 响应。
步骤 12: 最后由客户端断开连接。断开连接时,发送 close_notify 报文。上图做了一些省略,这步之后再发送 TCP FIN 报文来关闭与 TCP 的通信。在以上流程中,应用层发送数据时会附加一种叫做 MAC(Message Authentication Code)的报文摘要。MAC 能够查知报文是否遭到篡改,从而保护报文的完整性。

HTTPS的问题–速度慢

  • 通信慢:多次握手信息(就是为了协商出对称加密算法);
  • 处理速度慢:加密解密等需要耗费大量的CPU以及内存资源;

参考

《图解HTTP》
《https原理通俗了解》

你可能感兴趣的:(网络基础)