HTTPS原理

最新推荐文章于 2024-08-13 14:23:27 发布
最新推荐文章于 2024-08-13 14:23:27 发布
阅读量93 收藏
点赞数
文章标签: https 网络 http
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59497335/article/details/128573086
版权

HTTP 由于是明文传输,所谓的明文,就是说客户端与服务端通信的信息都是肉眼可见的,随意使用一个抓包工具都可以截获通信的内容。

所以安全上存在以下三个风险:

窃听风险,比如通信链路上可以获取通信内容,用户号容易没。

篡改风险,比如强制植入垃圾广告,视觉污染,用户眼容易瞎。

冒充风险,比如冒充淘宝网站,用户钱容易没。

HTTPS 在 HTTP 与 TCP 层之间加入了 TLS 协议,来解决上述的风险。

谁来加密 加密密钥 ,加密密钥如何从客户端安全传输到服务端,客户端如何识别服务端的合法性,传输信息如何高效进行

 

TLS 协议是如何解决 HTTP 的风险的呢?

-信息加密:HTTP 交互信息是被加密的,第三方就无法被窃取;

校验机制:校验信息传输过程中是否有被第三方篡改过,如果被篡改过,则会有警告提示;

身份证书:证明淘宝是真的淘宝网;

可见,有了 TLS 协议,能保证 HTTP 通信是安全的了,那么在进行 HTTP 通信前,需要先进行 TLS 握手。TLS 的握手过程,如下图:

 

上图简要概述来 TLS 的握手过程,其中每一个「框」都是一个记录(*record*),记录是 TLS 收发数据的基本单位,类似于 TCP 里的 segment。多个记录可以组合成一个 TCP 包发送,所以**通常经过「四个消息」就可以完成 TLS 握手,也就是需要 2个 RTT 的时延**,然后就可以在安全的通信环境里发送 HTTP 报文,实现 HTTPS 协议。

## 二、RSA密钥协商握手过程

TLS 第一次握手

客户端首先会发一个「**Client Hello**」消息,字面意思我们也能理解到,这是跟服务器「打招呼」。

消息里面有客户端使用的 TLS 版本号、支持的密码套件列表,支持的压缩算法,以及生成的**随机数(\*Client Random\*)**,这个随机数会被服务端保留,它是生成对称加密密钥的材料之一。

#### TLS 第二次握手

当服务端收到客户端的「Client Hello」消息后,会确认 TLS 版本号是否支持,和从密码套件列表中选择一个密码套件,还有选择压缩算法(安全性原因,一般不压缩),以及生成**随机数(\*Server Random\*)**。

接着,返回「**Server Hello**」消息,消息里面有服务器确认的 TLS 版本号,也给出了随机数(Server Random),然后从客户端的密码套件列表选择了一个合适的密码套件。

可以看到,服务端选择的密码套件是 “Cipher Suite: TLS_RSA_WITH_AES_128_GCM_SHA256”。

这个密码套件看起来真让人头晕,好一大串,但是其实它是有固定格式和规范的。基本的形式是「**密钥交换算法 + 签名算法 + 对称加密算法 + 摘要算法**」, 一般 WITH 单词前面有两个单词,第一个单词是约定密钥交换的算法,第二个单词是约定证书的验证算法。比如刚才的密码套件的意思就是:

- 由于 WITH 单词只有一个 RSA,则说明握手时密钥交换算法和签名算法都是使用 RSA;

- 握手后的通信使用 AES 对称算法,密钥长度 128 位,分组模式是 GCM;

- 摘要算法 SHA256 用于消息认证和产生随机数;

就前面这两个客户端和服务端相互「打招呼」的过程,客户端和服务端就已确认了 TLS 版本和使用的密码套件,而且你可能发现客户端和服务端都会各自生成一个随机数,并且还会把随机数传递给对方。

那这个随机数有啥用呢?其实这两个随机数是后续作为生成「会话密钥」的条件,所谓的会话密钥就是数据传输时,所使用的对称加密密钥。

然后,服务端为了证明自己的身份,会发送「**Server Certificate**」给客户端,这个消息里含有数字证书。

随后,服务端发了「**Server Hello Done**」消息,目的是告诉客户端,我已经把该给你的东西都给你了,本次打招呼完毕。

#### TLS 第三次握手

客户端验证完证书后,认为可信则继续往下走。接着,客户端就会生成一个新的**随机数 (pre-master)**,用服务器的 RSA 公钥加密该随机数,通过「**Change Cipher Key Exchange**」消息传给服务端。

服务端收到后,用 RSA 私钥解密,得到客户端发来的随机数 (pre-master)。

至此,**客户端和服务端双方都共享了三个随机数,分别是 Client Random、Server Random、pre-master**。

于是,双方根据已经得到的三个随机数,生成**会话密钥(Master Secret)**,它是对称密钥,用于对后续的 HTTP 请求/响应的数据加解密。

生成完会话密钥后,然后客户端发一个「**Change Cipher Spec**」,告诉服务端开始使用加密方式发送消息。

然后,客户端再发一个「**Encrypted Handshake Message(Finishd)**」消息,把之前所有发送的数据做个摘要,再用会话密钥(master secret)加密一下,让服务器做个验证,验证加密通信是否可用和之前握手信息是否有被中途篡改过。

可以发现,「Change Cipher Spec」之前传输的 TLS 握手数据都是明文,之后都是对称密钥加密的密文。

#### TLS 第四次握手

服务器也是同样的操作,发「**Change Cipher Spec**」和「**Encrypted Handshake Message**」消息,如果双方都验证加密和解密没问题,那么握手正式完成。

最后,就用「会话密钥」加解密 HTTP 请求和响应了。

 

m0_59497335
关注
基于RSA密钥的密钥交互协议
baron-周贺贺-代码改变世界ctw
08-03 373
密钥协商算法用于在通信双方之间协商和生成共享密钥,以便在后续的通信过程中使用对称加密算法进行加密和解密。对称加密算法使用相同的密钥进行加密和解密,因此需要确保双方都拥有相同的共享密钥,而密钥协商算法就是用于生成这样的共享密钥。ECDH是一种基于椭圆曲线的密钥交换算法,它主要用于协商双方的共享密钥,而RSA是一种非对称加密算法,用于加密、解密和数字签名。请注意,RSA本身不是用于密钥协商的算法,但可以与其他密钥协商算法一起使用。:基于RSA算法的密钥交换方案,但由于性能和安全性的原因,通常不被广泛使用。
HTTPS和密钥协商小结
走好每一步!
12-12 4955
HTTPSHTTPS使用的TLS协议,主要版本是TLS1.1和TLS1.2,TLS1.3目前还是草案的形式,具体的标准尚未形成。 HTTP当前版本主要是HTTP1.0 HTTP1.1 HTTP协议的瓶颈以及优化技巧都是基于TCP协议本身的特性的。 HTTP优化的主要目标是带宽和延时,但是带宽现在来说已经不是问题,主要优化目标是延时。 HTTP的延时体现在几个方面: - 浏览器阻塞(HO
HTTPS 工作原理
奇葩也是花
03-20 428
1、浏览器发起往服务器的 443 端口发起请求,请求携带了浏览器支持的加密算法和哈希算法。 2、服务器收到请求,选择浏览器支持的加密算法和哈希算法。 3、服务器下将数字证书返回给浏览器,这里的数字证书可以是向某个可靠机构申请的,也可以是自制的。 4、浏览器进入数字证书认证环节,这一部分是浏览器内置的 TSL 完成的: 4.1 首先浏览器会从内置的证书列表中索引,找到服务器下发证书对应的机构...
https工作原理详解
最新发布
时光不语的博客
08-13 6129
https工作原理详解/一文了解HTTPS工作全貌
HTTPS原理——RSA密钥协商算法详解
weixin_51525416的博客
07-28 6307
客户端和服务端各自会生成随机数,并以此作为私钥,然后根据公开的 DH 计算公示算出各自的公钥,通过 TLS 握手双方交换各自的公钥,这样双方都有自己的私钥和对方的公钥,然后双方根据各自持有的材料算出一个随机数,这个随机数的值双方都是一样的,这就可以作为后续对称加密时使用的密钥。Cipher Suites ( 密码加密套件):客户端支持的加密套件列表。特性:确保用户随时可以完成对数据的读取,即数据的”在需要时的可获取性“ 以上三点,均是围绕着用户的数据提出的,可见安全最本质的一方面,就是要保证数据的安全。
【计算机网络https加密密钥的协商
weixin_44580764的博客
03-05 651
Https用非对称加密算法协商生成一个加密密钥用于对称加解密传输的内容。 RSA算法如下: 加密:m^e mod n=c 解密:c^d mod n=m 其中,c是密文,m是原始数据,n和e是公钥,d和n是私钥。 以下是使用非对称密钥生成对称密钥的过程。 clientserverrandom1用证书生成公钥和私钥证书、公钥、random2生成一个premaster_secret,用random1和r...
网安—https原理--RSA密钥协商算法
weixin_64311421的博客
12-31 1222
https原理--RSA密钥协商算法
https原理
chivalry
08-17 8210
http://www.cnblogs.com/zhuqil/archive/2012/07/23/2604572.html 我们都知道HTTPS能够加密信息,以免敏感信息被第三方获取。所以很多银行网站或电子邮箱等等安全级别较高的服务都会采用HTTPS协议。 HTTPS简介 HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。
HTTPS原理介绍.pptx
06-13
HTTPS原理介绍 HTTPS(Hypertext Transfer Protocol Secure)是一种基于 TLS/SSL 协议的安全通信协议,用于在互联网上提供安全的通信环境。以下是 HTTPS 原理的相关知识点: 一、密码基础 HTTPS 使用了双向加密...
不能不知道的https原理 --- RSA密钥协商算法
m0_59082856的博客
01-02 289
http是明文传输,所以数据容易暴露。https是在http和TCP层之间加入了TLS协议数据的传输过程中要保证不被别人截获查看、修改数据的内容、确保传输的对象是自己想要的对象所以TLS协议在此应用。
密钥协商算法的演变 —— RSA算法 - DH算法 - DHE算法 - ECDHE算法
weixin_60297362的博客
02-21 7817
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录1. RSA算法RSA握手过程RSA秘钥协商算法最大的缺陷2. DH算法3. DHE算法4. ECDHE算法ECDHE秘钥协商算法的TSL握手: 1. RSA算法 传统的 TLS 握⼿基本都是使⽤ RSA 算法来实现密钥交换的。在 RSA 密钥协商算法中,客户端会⽣成随机密钥,并使⽤服务端的公钥加密后再传给服务端。根据⾮对称加密算法,公钥加密的消息仅能通过私钥解密,这样服务端解密后,双⽅就得到了相同的密钥,再⽤它加密应⽤消息。 R
密钥协商算法
xcxhzjl的博客
10-13 1772
密钥协商算法(学习自用)
HTTPS系列之RSA算法
Jolie_Yang的博客
07-26 1802
简介加密算法总的可以分为两种,对称加密与非对称加密算法。 RSA是1977年三位数学家Rivest,Shamir,Adleman设计的一种非对称的加密算法,该算法破解的关键在于寻找大数的两个质数因子。大数长度越大,破解难度也就越大,目前768位的密钥已被破解,安全性建立在公钥长度足够的基础上,如iOS9中引入的新特性ATS中对公钥长度就有明确的要求,至少为2048位。 “RSA是第一个也是目前唯
HTTPS原理详解
qq_40825921的博客
07-28 1126
一、了解HTTPS 1、定义 是一种通过计算机网络进行安全通信的传输协议。HTTPS是在HTTP上建立SSL/TLS加密层,并对传输数据进行加密,简单来说就是安全版的HTTP协议。 2、TLS/SSL 协议介绍 TLS/SSL 的功能实现主要依赖于三类基本算法:散列算法 、对称加密和非对称加密,其利用非对称加密实现身份认证和密钥协商,对称加密算法采用协商的密钥对数据加密,基于散列函数验证信息的完整性。 3、加解密相关知识介绍 3.1、对称加密   加密和解密同用一个密钥的方式称为对称加密,也被叫
RSA、DH密钥协商的算法描述
CyberQuirk
03-07 680
RSA、DH密钥协商的算法描述
HTTPS SSL RSA 数字证书 等
zlt的博客
04-18 606
HTTPS 概念 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer 或 Hypertext Transfer Protocol Secure,超文本传输安全协议),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 HTTPS...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值