网络协议与攻击模拟-23-HTTPS协议

HTTPS 协议

https = http + ssl / tls

1、加密算法
2、 PKI 体系（公明基础设施）
3、证书
4、部署 HTTPS 服务器 部署 CA 证书服务器
5、分析 HTTPS 流量 分析 TLS 交互过程

一、 HTTPS 协议

在 http 的通道上增加了安全性，传输过程通过加密和身份认证来确保传输安全性

传输层安全协议， SSL 和 TLS 其实是一个协议，SSL2.0版本，自SSL3.0版本后，更名为TLS1.0，目前最高版本TLS1.3，使用最为广泛的是TLS1.2版本

设计目标

保密性：所有的信息都加密传输

完整性：校验机制

认证：双方都配备证书，防止冒充

互操作、通用性

可扩展

高效率

发展史

SSL2.0
SSL3.0
TLS1.0
TLS1.1
TLS1.2
TLS1.3

2、 http 的缺陷

明文传输

只对传输数据的长度进行完整性校验，数据是否有被篡改是不做确认的

3、 HTTPS 好处

在传输数据之前，客户端会和服务器端去协商数据在传输过程中的加密算法，包含自己的非对称加密的密钥交换算法（ RSA / DH ),数据签名摘要算法（MD5/SHA)，加密传输数据的对称加密算法（ DES /3DES/ AES )

客户端生成随机的字符串，通过协商好的非对称加密算法，使用服务端的公钥对该字符串进行加密，发送给服务端。服务端接收到之后，使用自己的私钥解密得到该字符串。在随后的数据传输当中，使用这个字符串作为密钥进行对称加密

二、加密算法

1、对称加密算法

加密和解密的密钥相同（密钥如何传输问题）
密钥如何传输问题
密钥多，难管理

常见的对称加密算法

DES /3DES
AES
RC
IDEA

2、非对称加密算法

加密和解密使用的是不同的密钥（公钥（公开密钥）和私钥），每个用户都可以有自己的公钥和私钥，公钥是公开的，私钥是又自己
保存，只要一个密钥加密就必须使用另一个密钥解密

加密算法比较复杂，对于大规模的数据进行加密，比较影响效率

常见的算法

Elgamal :基于 DH 密钥交换算法来的
RSA
ECC
Rabin

三、 PKI 体系

1、基本概念

公钥基础设施

通过使用公钥技术（非对称加密算法）和数字签名来确保信息安全

公钥加密技术（非对称加密算法）、数字证书、 CA （证书颁发机构）、 RA （证书注册机构）组成

实现的功能

身份验证
数据完整性
数据机密性
操作不可否认性

身份认证及完整性验证

发送方 Alice 首先将原始数据通过摘要算法（ SHA ）算出信息摘要，并且用自己的私钥进行签名得到数字签名，将数字签名和原始数据发送给接收方 bob

接收方 bob 收到 Alice 发来的原始数据和数字签名后，将原始数据通过相同的摘要算法（ SHA ）得出信息摘要，再使用 Alice 的公钥将数字签名解开得出 Alice 的信息摘要（这里就完成了 Alice 的身份认证），比对两个摘要是否一致，如果一致，说明数据在传输过程中没有被修改

数字证书

保证密钥的合法性
证书的主体可以是用户、计算机、服务等

证书包含的信息

使用者的公钥
使用者的标识
有效期
颁发者的标识信息
颁发者的数字签名

2、数据安全传输案例

3、数字证书颁发机构

CA 主要是进行颁发和管理数字证书
CA 作用