众所周知,Https能够加密信息,防止在数据传输过程中被恶意拦截和修改。所以那些安全级别高的服务都会使用Https协议。
Https简介
在介绍Https之前先简单的说一下Http,HTTP协议是我们使用比较多的协议,比如我们平时浏览网页时候使用的一种协议。HTTP协议传输的数据都是未经过加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全。为了保证这些隐私数据能加密传输不被拦截和修改,于是网景公司设计了SSL(Secure Sockets Layer 安全套接字层)/TLS(Transport Layer Security,传输层安全协议)协议用于对HTTP协议传输的数据进行加密,这样Https就出现了,也就是说Https就是Http+SSL / TLS,也就是在Http的外层又加了一层处理加密信息的模块。不管是客户端还是服务端传输的数据都是经过TLS进行加密后的数据。简而言之,HTTPS是通过一次非对称加密算法(如RSA算法)进行了协商密钥的生成与交换,然后在后续通信过程中就使用协商密钥进行对称加密通信。下面通过下图来详细看一下Https的加密传输原理。
Https加密传输原理
1.客户端发起Https请求
这个就没有什么可说的啦,就是在浏览器输入url之后点击回车发送请求就可以啦。此时客户端发起的是明文的请求,客户端将自己支持的一套加密规则和一个随机数(Random_C)发送给服务器,以便能够实现数据的加密和解密。
2.服务器响应
服务端在接收到客户端的请求后,根据自己的加密规则从请求中选出一组加密算法和HASH算法,生成随机数,并将自己的身份信息以证书(CA)的形式返回给浏览器。大家可能对这个CA证书存在疑惑,什么是CA证书呢?这套证书其实就是一对公钥和私钥。如果对公钥和私钥还是不太理解,可以把它想象成一把钥匙和一个锁头,区别就是全世界只有你一个人有这把钥匙,你可以把锁头给别人,别人用这个锁头锁住东西,然后发给你,由于只有你一个人有这把钥匙,所以也就只有你才能看见用这个锁锁住的东西。在这里再说一下这个证书怎么获得的?有两种方式获得这个证书,一种是自己制作,另一种是去相关的机构去申请。区别就是第一种需要客户端认证,第二种则不会弹出认证提示页面。CA证书里面包含了服务器地址,加密公钥,以及证书的颁发机构等信息。这时服务器给客户端的包括选择使用的加密规则、CA证书、一个随机数(Random_S)。
3.解析证书
当客户端接收到服务器给的这些信息的时候,进行解析证书,这部分工作就由客户端的SSL/TLS来完成的,SSL/TLS介于应用层和TCP层之间。应用层和传输层进行交互的话需要先把数据传输到SSL/TLS层,SSL/TLS层对应用层的数据进行加密,并增加自己的SSL头再传到应用层(如下图)。解析证书大概分为以下几个步骤:
SSL/TLS层的位置
a.验证公钥是否有效,比如颁发机构,过期时间等等,如果发现异常,则会弹出一个警告框,提示证书存在问题。
b.生成密码,如果证书不存在问题,那么先生成一串随机数密码(Pre_master),之后用CA证书里的公钥进行加密。
c.根据随机数来计算协商秘钥,就是用锁头(公钥)将Random_C Random_S和Pre_master锁在一起,只有有钥匙(私钥)才能看见被锁住的内容。
d.生成用于握手的信息,使用约定好的HASH计算握手消息,并使用协商密钥及约定好的算法对消息进行加密。
4.向服务器发送加密信息
在这里客户端将其产生的加密后的随机数密码和握手信息发送给服务器端,并通知服务器以后进行通信就要使用咱们约定好的算法和协商秘钥。
5.服务器进行解密
现在用锁头锁住的信息收到了,现在就要使用钥匙打开锁住的信息进行阅读,具体的做法如下:
a.将公钥加密的随机数密码进行解密成Pre_master。
b.计算协商秘钥,也是根据Random_C Random_S和Pre_master来计算的。
c.解密握手信息,使用协商密钥解密客户端发来的握手消息,并验证HASH是否与客户端发来的一致。
d.再次生成握手信息,使用协商秘钥以及已经约定的加密方式来生成握手信息,准备发送给客户端。
6.将握手信息发送给客户端
服务器端将生成的握手信息发送给客户端,并通知客户端这个加密信息是根据约定好的算法和协商秘钥进行加密的。
7.客户端解密信息
客户端进行计算握手信息中的HASH值,并和服务端发来的HASH值进行比对,如果一致的话就代表握手过程结束,以后服务端和客户端之间就可以根据约定好的算法和协商秘钥进行数据加密来通信。
有的人就会问,客户端和服务端在握手期间为什么要那么麻烦的加密解密进行传输啊?那是因为这样做既保证了双方都获得了一致的密码,并能够正常的加密解密数据,为后续真正数据的传输做一次测试。
附:Https一般使用的加密和HASH算法如下:
非对称加密算法:RSA,DSA/DSS
对称加密算法:AES,RC4,3DES
HASH算法:MD5,SHA1,SHA256
希望通过这篇文章大家可以对Https有一定的了解。
网友评论