HTTPS全称Hyper text transfer protocol over secure Socket Layer超文本传输安全协议,是以安全为目标的http通道。即http下加入SSL/TLS层,HTTPS的安全基础是SSL,HTTPS在HTTP跟TCP之间多了一个加密/身份校验层。
HTTP没有使用加密技术,传输内容明文裸奔在通信管道中,容易被截获报文并解析内容,不利于网络安全。为了解决这个问题,网景公司1994年创建了HTTPS,后被逐渐推广并使用。
HTTPS在HTTP基础上使用SSL/TLS协议(目前常用TLS1.1/1.2),SSL依靠证书来校验服务器身份,并为浏览器跟服务器之间通信加密。
一般HTTPS通信方式如下:
目前HTTPS一般为保证通信速度,通信传输以对称加密进行加密,而对称加密所需的的秘钥则以前置的方式用非对称加密算法在客户端及服务端之间确认,同时为防止攻击者伪造服务器身份跟客户端通信,服务券首先需要用证书同客户端确认身份。
第一步:在服务器同客户端正式传输数据之前,客户端向服务端发起会话请求,服务端作为相应向客户端发送SSL证书,证书的内容包括:1)证书发证机构CA 2)证书有效期 3)签名 4)公钥 5)证书所有者等信息。客户端首先校验证书有效期、所有者等信息,通过内置的CA列表认证CA颁发机构是否在允许的范围内,如果允许,再通过CA的公钥计算请求证书的hash值,通过比较请求中签名来确定证书是否是被伪造等方式来认证服务端身份,防止恶意攻击者伪造证书进行通信,最后取出公钥用作后续通信使用。
第二步:客户端生成一个后续需要使用的对称密码,通过之前取出的公钥对此密码进行加密,发送给服务端,服务端收到后以同样的公钥进行解密,取出密码,此步骤使用非对称加密算法(常用RSA),这样可以防止攻击者解析出密码。若服务端需要校验客户端身份(可选),则客户端发送自己的证书以及对一个生成的随机数的签名数据。服务券对此进行校验。
第三步:服务端跟客户端使用对称加密算法及之前的密码作为Key进行数据加密并相互通信,这样可以防止信息被第三方窃取后的解析。常用对称加密算法:DES、3DES、AES。
986
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
