[信息安全] 3.HTTPS工作流程

最新推荐文章于 2024-05-28 16:54:39 发布
最新推荐文章于 2024-05-28 16:54:39 发布
阅读量339 收藏
点赞数
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sD7O95O/article/details/78096230
版权

0. 简单回顾

在前面两篇博客中介绍了密码相关的一些基本工具,包括(对称密码,公钥密码,密码散列函数,混合密码系统,消息认证码码,数字签名,伪随机数,数字证书)这几个。其中它们之间也是互相依赖的,我们来简单的梳理一下它们的依赖关系。

  1. 对称密码:无。

  2. 公钥密码:无。

  3. 密码散列函数:无。

  4. 伪随机数:可以利用密码散列函数来实现,也可以不使用。

  5. 混合密码系统:对称密码 + 公钥密码 + 密码散列函数。

  6. 消息认证码:密码散列函数 + 对称密码。

  7. 数字签名:密码散列函数 + 公钥密码。

  8. 数字证书:公钥密码 + 数字签名。

这篇要介绍的HTTPS,则把以上这些全都派上场了。

1. HTTPS 简史

在早期HTTP诞生的这几年间,1990年~·1994年,HTTP作为一个应用层协议,它是这样工作的:

后来网景公司开发了SSL(Secure Sockets Layer)技术,然后它就变成了这样的HTTP,也就是HTTPS了:

后来爆发了与IE的世纪大战,网景败北,SSL移交给了IETF(Internat Engineering Task Force)互联网工程任务组,标准化之后变成了现在的TLS,现在一般会把它们两个放在一起称为SSL/TLS。本篇并不关注SSL/TLS具体是如何工作的,只是抽象的解释下HTTPS的一个工作流程。

2. HTTPS 工作流程

  1. Client发起一个HTTPS(https:/demo.linianhui.dev)的请求,根据RFC2818的规定,Client知道需要连接Server的443(默认)端口。

  2. Server把事先配置好的公钥证书public key certificate)返回给客户端。

  3. Client验证公钥证书:比如是否在有效期内,证书的用途是不是匹配Client请求的站点,是不是在CRL吊销列表里面,它的上一级证书是否有效,这是一个递归的过程,直到验证到根证书(操作系统内置的Root证书或者Client内置的Root证书)。如果验证通过则继续,不通过则显示警告信息。

  4. Client使用伪随机数生成器生成加密所使用的会话密钥,然后用证书的公钥加密这个会话密钥,发给Server。

  5. Server使用自己的私钥private key)解密这个消息,得到会话密钥。至此,Client和Server双方都持有了相同的会话密钥

  6. Server使用会话密钥加密“明文内容A”,发送给Client。

  7. Client使用会话密钥解密响应的密文,得到“明文内容A”。

  8. Client再次发起HTTPS的请求,使用会话密钥加密请求的“明文内容B”,然后Server使用会话密钥解密密文,得到“明文内容B”。

简单总结下,HTTPS是使用了证书的一个混合密码系统,其中证书的作用在于传递会话密钥,以及验证网站的真实性;而HTTPS真正的加密操作是由对称密码这个工具负责的(有兴趣的可以找找每个步骤中都用到了密码工具箱中的那些工具)。在windows系统中,可以配置一个名为 SSLKEYLOGFILE 的环境变量,Chrome和Firefox在访问HTTPS站点的时候,会把第4步生成的会话密钥以及其他附属信息,写入到这个文件中:

比如下图:

具体的格式可以参考MDN的一个说明https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/Key_Log_Format。

以上只是一个抽象的HTTPS的一个工作流程,实际上SSL/TLS所做的工作远不止这这些,更详细的解释请参考这篇文章:http://www.infoq.com/cn/articles/HTTPS-Connection-Jeff-Moser。

如有错误之处,欢迎指正!

3. 参考

SSL/TLS:https://en.wikipedia.org/wiki/Transport_Layer_Security

IETF:https://en.wikipedia.org/wiki/Internet_Engineering_Task_Force

HTTPS:https://en.wikipedia.org/wiki/HTTPS

HTTPS 连接最初的若干毫秒:http://www.infoq.com/cn/articles/HTTPS-Connection-Jeff-Moser

HTTPS on Stack Overflow: The End of a Long Road:https://nickcraver.com/blog/2017/05/22/https-on-stack-overflow/

SSL/TLS部署最佳实践:https://github.com/ssllabs/research/wiki/SSL-and-TLS-Deployment-Best-Practices

HTTP Over TLS:https://tools.ietf.org/html/rfc2818

SSLKEYLOGFILE:https://developer.mozilla.org/en-US/docs/Mozilla/Projects/NSS/Key_Log_Format

原文地址:http://www.cnblogs.com/linianhui/p/security-https-workflow.html

.NET社区新闻,深度好文,微信中搜索dotNET跨平台或扫描二维码关注

dotNET跨平台
关注
网络安全等级保护工作流程
gaomei2009的专栏
11-10 6637
一、等级保护工作依据 网络安全等级保护制度是一项国家级别制度。网络运营者依照《信息安全等级保护管理办法 公通字[2007]43号》、《中华人民共和国计算机信息系统安全保护条例》、《中华人民共和国网络安全法》等相关法律法规要求对本单位的信息系统进行等级保护建设。 二、等级保护工作中用到的主要标准 (一)基础类 1、《计算机信息系统安全保护等级划分准则》GB 17859-1999 2、《网络安全等级保护实施指南》GB/T 25058 (二)系统定级环节 3、《网络安全保护等级定...
HTTPS具体流程
m0_46364778的博客
05-20 1万+
【前两天被同学问到了这个问题,结果自己答成了三握...炒鸡尴尬,所以特此学习记录一下】 三次握手是建立TCP可靠通信的~ HTTPS通信流程环节 HTTPS通信主要包括几个节点,发起请求、验证身份、协商秘钥、加密会话,具体流程如下(此例子只有客户端对服务端的单向验证):   1、客户端向服务端发起建立HTTPS请求。   2、服务器向客户端发送数字证书。   3、客户端验证数字证书,证书验证通过后客户端生成会话密钥(双向验证则此处客户端也会向服务器发送证书)。   4、服务器生成会话密钥(
企业信息安全管理流程
xiaoxi1988001的博客
08-05 1269
规定公司IT服务团队活动中,对客户关键应用所关联的资产进行风险等级评估、确定信息安全威胁源,并采取相应的控制措施的方法,以保证公司IT服务团队及所运维客户的IT环境信息资产的安全, 降低安全风险, 保证信息技术服务业务的连续性, 提高信息技术服务质量。各种安全相关的技术不断的推陈出新,需要安全管理人员不断的学习。在风险评估方法中,公司的风险方针为:接受处于可接受级别之下的风险,对于超出可接受级别的风险,在满足适当的法律法规要求以及合同要求的情况下,如果降低风险所付出的成本大于风险所造成的损失,则选择接受。.
网络知识--3.HTTPS
liqun3yue25的专栏
03-06 898
1.HTTPS简单说明 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。 即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的H...
3.Https服务器的配置
weixin_34106122的博客
05-26 152
1.前言:     所谓区块链,简而言之就是一种数据结构,每一个区块都像账本的每一页纸记录了该网络上的交易信息,而众多区块在时间的基础上按照顺序连接起 来就形成了区块链。区块链能够以数字方式识别和跟踪交易,并通过计算机的分布式网络共享这些信息,在某种意义上创建分布式信任网络。区块链提供 的分布式账本技术为追踪资产的所有权、交易信息和资产的转移提供了透明和安全的手段   其实区块链并不是一门...
HTTPS协议工作流程(原理)
m0_65004039的博客
10-28 3925
Http作为网络上的常用协议,主要用于浏览器端到服务器端的通信,是应用层的协议,在运输层基于TCP协议而完成数据的传输,而Https是安全的HTTP协议,在HTTP的基础上附加了SSL(安全套接层),通过一系列的机制实现了浏览器和服务器之间的安全数据传输。用户通过浏览器请求https网站,服务器收到请求,选择浏览器支持的加密和hash算法,同时返回数字证书给浏览器,包含颁发机构、网址、公钥、证书有效期等信息。浏览器对证书的内容进行校验,如果有问题,则会有一个提示警告。否则,就生成随机秘钥X。
信息安全从业者工作规划及能力建设
博大汽车信息安全
03-10 4524
首先需要具备整个信息安全工作的总体框架,企业信息安全做什么?怎么做?当你知道做什么,就知道应该去学些什么?
16.第二十二章.信息安全管理
老毛的博客
02-04 8141
文章目录22.1 信息系统的安全策略(方法措施)22.2 信息安全系统工程22.3 PKI公开密钥基础设施22.4 PMI权限(授权)管理基础设施22.5 信息安全审计 22.1 信息系统的安全策略(方法措施) 1、安全策略 定义:一定是定制的,都是针对本单位的“安全风险(威胁)”进行防护的。 内容:七定,即定方案、定岗、定位、定员、定目标、定制度、定工作流程首先要解决定方案,其次就是定岗。 原则:把信息系统的安全目标定位于“系统永不停机、数据永不丢失网络永不瘫痪、信息永不泄密”,是错误的,是不现实的,也是
信息安全与网络安全考试
写代码的姜总的博客
05-28 4515
B. 处理过程中应确保个人数据的安全,采取合理的技术手段、组织措施,避免数据未经授权即被处理或遭到非法处理,避免数据发生意外毁损或灭失。D. 个人数据应当是准确的,如有必要,必须及时更新;必须采取合理措施确保不准确的个人数据,即违反初始目的的个人数据,及时得到擦除或更正。B. 未经客户书面授权,携带含客户网络数据(含个人数据)的设备或存储介质离开客户场所。B. 未经客户书面授权,携带含客户网络数据(含个人数据)的U盘离开客户场所。C. 个人数据的处理应当是为了实现数据处理目的而适当的、相关的和必要的。
信息安全工程师(中级)—重要知识点总结
1ance's blog
11-02 2万+
中级信息安全工程师重要知识点;软考。
网络安全应急响应具体操作流程
maoguan121的博客
07-24 2332
标识信息系统的资产价值,识别信息系统面临的自然的和人为的威胁,识别信息系统的脆弱性,分析各种威胁发生的可能性。 风险评估具体内容见GB/T 20984-2007的第5章风险评估实施和第6章信息系统生命周期各阶段的风险评估。...
信息安全保障》一2.2 我国信息安全保障工作主要内容
weixin_34203426的博客
07-03 4306
本节书摘来自华章出版社《信息安全保障》一书中的第2章,第2.2节,作者 吴世忠 江常青 孙成昊 李华 李静,更多章节内容可以访问云栖社区“华章计算机”公众号查看 2.2 我国信息安全保障工作主要内容 为构建信息安全保障体系,我国已经在信息安全标准化、应急处理与信息通报、等级保护、风险评估和人才队伍建设等方面展开工作,并取得了一些成果。 2.2.1 信息安...
信息安全工程师第二版考试总结+笔记
热门推荐
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
java-ssm+vue旅游资源网站实现源码(项目源码-说明文档)
最新发布
09-18
旅游资源网站的主要使用者分为管理员和用户,实现功能包括管理员:首页、个人中心、用户管理、景点信息管理、购票信息管理、酒店信息管理、客房类型管理、客房信息管理、客房预订管理、交流论坛、系统管理,用户:首页、个人中心、购票信息管理、客房预订管理、我的收藏管理,前台首页;首页、景点信息、酒店信息、客房信息、交流论坛、红色文化、个人中心、后台管理、客服等功能。 项目关键技术 开发工具:IDEA 、Eclipse 编程语言: Java 数据库: MySQL5.7+ 后端技术:ssm 前端技术:Vue 关键技术:springboot、SSM、vue、MYSQL、MAVEN 数据库工具:Navicat、SQLyog
【高创新】基于粒子群优化算法PSO-Transformer-BiLSTM实现故障识别Matlab实现.rar
09-18
1.版本:matlab2014/2019a/2024a 2.附赠案例数据可直接运行matlab程序。 3.代码特点:参数化编程、参数可方便更改、代码编程思路清晰、注释明细。 4.适用对象:计算机,电子信息工程、数学等专业的大学生课程设计、期末大作业和毕业设计。 替换数据可以直接使用,注释清楚,适合新手
这里收集那些神奇的产品经理为我们带来的意想不到的产品功能和改版,又称_MDZZ_PM_awesome-pm.zip
09-18
这里收集那些神奇的产品经理为我们带来的意想不到的产品功能和改版,又称_MDZZ_PM_awesome-pm
AI City track 5数据集-voc-xml格式
09-18
有戴头盔的人、未戴头盔的人、摩托车三种类别,包含736张图像、对应voc格式标签(xml)
4-3_Business_BLUE_2017_16-CL-20180524MTAX.potx
09-18
微软演示材料
VB075期刊信息管理系统(SQL).7z
09-18
VB075期刊信息管理系统(SQL).7z
2019年信息安全风险评估技术详解与流程
信息安全风险评估技术方案2019最新文档详细介绍了XXX单位在2019年进行的一项信息安全风险评估工作,该方案旨在确保XXX系统的安全性,遵循相关标准和等保规定。以下是从文档中提炼出的关键知识点: 1. **项目背景**...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值