美文网首页
网络底层原理之HTTPS

网络底层原理之HTTPS

作者: 甲乙飞鱼 | 来源:发表于2021-05-31 15:22 被阅读0次

    HTTPS (HyperText Transfer Protocol Secure) 超文本传输安全协议

    • 常称为 HTTP over TLS、HTTP over SSL、HTTP Secure
    • 由网景公司于1994年首次提出
    • HTTPS的默认端口号是 443 (HTTP是80)
    SSL / TLS
    • HTTPS 是在 HTTP 的基础上使用 SSL/TLS来 加密报文,对窃听和中间人攻击提供合理的防护

    • TLS (Transport Layer Security),译为:传输层安全性协议
      前身是 SSL (Secure Sockets Layer),译为:安全套接层

    SSL/TLS 工作在传输层与应用层中间
    TLS:SSL工作在那一层.png
    OpenSSL
    • OpenSSL 是SSL/TLS协议的开源实现,始于1998年,支持Windows、Mac、Linux等平台
    • Linux、Mac 一般自带 OpenSSL
    • Windows下载安装OpenSSL:https://slproweb.com/products/Win32OpenSSL.html
    • 常用命令
    • 生成私钥:openssl genrsa -out mj.key
    • 生成公钥:openssl rsa -in mj.key -pubout -out mj.pem
    HTTPS的成本
    • 证书的费用
    • 加解密计算
    • 降低了访问速度
    • 有些企业的做法是:包含敏感数据的请求才使用HTTPS,其他保持使用HTTP
    HTTPS的通信过程
    • 总的可以分为3大阶段
    1. TCP的3次握手
    2. TLS的连接
    3. HTTP请求和响应
    HTTPS链接建立过程.png
    TLS 1.2 的连接(ECDHE密钥交换算法)
    通道建立流程.png
    1. Client Hello
    • TLS的版本号
    • 支持的加密组件 (Cipher Suite) 列表
    • 加密组件是指所使用的加密算法及密钥长度等
    • 一个随机数 (Client Random)
    Client Hello.png
    1. Server Hello
    • TLS的版本号
    • 选择的加密组件
    • 是从接收到的客户端加密组件列表中挑选出来的
    • 一个随机数 (Server Random)
    Client Hello.png
    1. Certificate
    • 服务器的公钥证书(被CA签名过的)


      Certificate.png
    1. Server Key Exchange
    • 用以实现ECDHE算法的其中一个参数 (Server Params)
      ECDHE是一种密钥交换算法
      为了防止伪造,Server Params 经过了服务器私钥签名
    Server Key Exchange.png
    1. Server Hello Done
    • 告知客户端:协商部分结束
      目前为止,客户端和服务器之间通过明文共享了
    1. Client Key Exchange
    • 用以实现ECDHE算法的另一个参数 (Client Params)


      Client Key Exchange.png
    • 目前为止,客户端和服务器都拥有了ECDHE算法需要的2个参数:Server Params、Client Params

    • 客户端、服务器都可以

    • 使用ECDHE算法根据Server Params、Client Params计算出一个新的随机密钥串:Pre-master secret

    • 然后结合 Client Random、Server Random、Pre-master secret 生成一个主密钥

    • 最后利用主密钥衍生出其他密钥:客户端发送用的会话密钥、服务器发送用的会话密钥等

    1. Change Cipher Spec
    • 告知服务器:之后的通信会采用计算出来的会话密钥进行加密
    1. Finished
    • 包含连接至今全部报文的整体校验值(摘要),加密之后发送给服务器
    • 这次握手协商是否成功,要以服务器是否能够正确解密该报文作为判定标准
    1. Change Cipher Spec
    2. Finished
    • 到此为止,客户端服务器都验证加密解密没问题,握手正式结束
    • 后面开始传输加密的HTTP请求和响应

    相关文章

      网友评论

          本文标题:网络底层原理之HTTPS

          本文链接:https://www.haomeiwen.com/subject/pmassltx.html