HTTPS加密传输过程

HTTPS加密传输过程

HTTPS全称Hyper Text Transfer Protocol over SecureSocket Layer，是以安全为目标的HTTP通道，在HTTP的基础上通过传输加密和身份认证保证了传输过程的安全性。HTTPS在HTTP的基础下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

知识储备

HTTP

HTTP是应用层协议，默认运行在80端口，是一种不安全的传输协议，经其传输的数据都是未加密的明文数据，可以被中间人攻击，获取到你的网络传输数据，这也就是尽量不要使用公共场所WIFI的原因。

HTTPS

HTTPS是应用层协议，默认运行在443端口，是一种安全的传输协议，通过在HTTP层与运输层的TCP直接加入一个加密/身份验证层来保证安全传输。

SSL

SSL安全套接层Secure Sockets Layer，位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议可分为两层：

SSL记录协议SSL Record Protocol：它建立在可靠的传输协议如TCP之上，为高层协议提供数据封装、压缩、加密等基本功能的支持。

SSL握手协议SSL Handshake Protocol：它建立在SSL记录协议之上，用于在实际的数据传输开始前，通讯双方进行身份认证、协商加密算法、交换加密密钥等。

TLS

TLS传输层安全性协议Transport Layer Security用于在两个通信应用程序之间提供保密性和数据完整性，其由TLS记录协议和TLS握手协议组成。TLS1.0即为SSL3.0的标准化版本，SSL最初由网景Netscape提出研发，在SSL3.0时由国际互联网工程任务组IETF进行了标准化并添加了少量机制，并更名为TLS1.0。

对称加密

简单来说对称加密的加密密钥和解密密钥是相同的，对称加密的效率要比非对称加密高。

非对称加密

简单来说非对称加密的加密密钥与解密密钥是不同的，需要一把公钥与一把私钥，私钥不能被其他任何人知道，公钥则可以随意公开。公钥加密，私钥解密；私钥数字签名，公钥验证。

CA

由于公钥是放在服务器的，在建立连接的过程中将公钥传输到用户，但是如何避免中间人攻击，即在传输公钥的过程中避免劫持，于是引入第三方认证权威机构CA，大多数操作系统的CA证书是默认安装的，CA也拥有一个公钥和私钥。任何人都可以得到CA的证书，其包含公钥，用以验证它所签发的证书。CA为服务申请者颁发证书，在CA判明申请者的身份后，便为他分配一个公钥，并且CA将该公钥与申请者的身份信息绑在一起，并为之签字后，便形成证书发给申请者。如果一个用户想鉴别一个证书的真伪，他就用CA的公钥对那个证书上的签字进行验证，一旦验证通过，该证书就被认为是有效的。证书实际是由证书签证机关CA签发的对用户的公钥的认证。

传输过程

1. 首先TCP三次握手建立链接，这是数据传输基础，在此之上开始SSL
2. 客户端首先发送Client Hello开始SSL通信，报文中包含客户端支持的SSL版本、随机值Random1、加密算法以及密钥长度等。
3. 服务器发送Server Hello，和客户端一样，在报文中包含SSL版本、随机值Random2以及加密组件，此后服务端将证书也发送到客户端。
4. 此时客户端需要对服务端发送的证书进行验证，通过操作系统内置的CA证书，将服务器发送的证书的数字签名进行解密，并将证书的公钥进行相同算法的HASH与解密的数字签名解密的内容进行对比，验证证书是否合法有效，是否被劫持更换。
5. 客户端验证证书合法，然后生成一个随机值Random3，用公钥对Random3进行加密，生成Pre-Master Key，客户端以Client Key Exchange报文将Pre-Master Key发送到服务端，此后发送Change Cipher Spec报文表示此后数据传输进行加密传输。
6. 服务端将Pre-Master Key用自己的私钥解密为Random3,服务端发送Change Cipher Spec报文表示此后数据传输进行加密传输。
7. 此时客户端与服务端都拥有三个随机字符串，且Random3是密文传输的，是安全状态的，此时则可以使用这三个字符串进行对称加密传输。由于非对称加密慢，不能每次传输数据都进行非对称加密，所以使用非对称加密将密钥协商好然后使用对称加密进行数据传输。
8. 此时便正常进行HTTP数据传输，但是由于SSL加密的作用，此时的HTTP传输便是安全的，此为HTTPS的传输过程，其中2、3、5、6也被称为SSL四次握手。

参考

https://www.cnblogs.com/yangtianle/p/11202574.html
https://www.cnblogs.com/liyulong1982/p/6106132.html
https://blog.csdn.net/lyztyycode/article/details/81259284
https://blog.csdn.net/lihuang319/article/details/79970774
https://blog.csdn.net/qq_32998153/article/details/80022489