HTTPS协议说明
HTTPS协议说明
基本现在最安全的网络连接就是使用https了,http协议有几个不安全的地方:
- 传输信息是明文的。 -- http的传输信息是明文的,基本网络劫持下就束手就擒了。
- 不能防止篡改。 -- 在网络传输层面是无法防止第三方截取请求,篡改请求,再发送给服务器的。
其实从互联网已开始,网络传输的加密协议就有人在研究了。
基本想法就是把通信双方的传输信息使用加密算法加密起来。这样就可以保证两边的通信可以得到保护。
这里的加密方法基本有两种,对称加密或者非对称加密。如果使用非对称加密算法,客户端每次请求之前先去服务端请求一对公钥,服务端生成一个私钥,然后使用公钥加密数据,服务端使用私钥揭秘数据。但是往往非对称加密的加密和解密的过程计算量很大,非常耗时。所以这个方法不可行。
那么就使用对称加密算法,客户端每次请求获取一个秘钥,这个秘钥是用来后续进行信息交互的时候加密信息的。这个秘钥可以不是服务端一次生成的,而是通过几次交互双方获得的秘钥一起组合而成。
TLS算法就是通过证书的方式和非对称加密的方式让双方生成3个随机秘钥,从而组合得到一个安全的内容对称秘钥。
另外,首先有个前提要先说在前面,HTTPS算法也是基于TCP的,那么这个所谓的TLS算法的握手步骤是在TCP握手完成之后才进行安全握手的。
TLS算法

这个图就是非常经典的客户端和服务端进行安全握手的请求过程。
简要来说,这四个过程最主要做了下面几个事情:
- Client Hello(客户端向服务端请求安全握手,并带给服务端第一个随机数)
- Server Hello(服务端返回包含公钥的证书和第二个随机数)
- Client Key Exchange(客户端看到证书后确认服务端身份,并获取证书中的公钥,使用公钥返回第三个随机数)
- Server Finish(服务端通知客户端完成握手)
服务器和客户端安全握手之后,这次的session两边都得到了三个随机数,使用着三个随机数,双方使用事先约定的加密算法生成了“会话秘钥”。后续的对话都是使用这个秘钥进行加密的。
我们一个个步骤看。
Client Hello
客户端向服务器端发送的信息有:
- 支持的安全握手的协议版本,比如TLS1.2
- 客户端生成的随机数
- 客户端支持的会话加密算法,比如DES加密
- 支持的压缩方法
Server Hello
这个过程,服务端了解到客户端的信息了,服务端向客户端发送的信息有:
- 确认使用的安全握手的协议版本,比如TLS1.2
- 确认使用的会话加密算法,比如DES加密
- 服务端生成的随机数
- 服务器的证书
有人可能会问,这里如果直接发送服务器的公钥给客户端行不行,答案是不行,证书除了有公私钥的信息之外,还有一个证书机构进行保证。所以,这个证书是不能伪造的。
Client Key Exchange
客户端看到证书后,去颁发机构确认这个证书正确,然后从证书中获取到公钥。注意,这个公钥只是用来加密第三个随机数的。
- 发送第三个随机数(这个随机数已经被公钥加密,只有对应的服务器用私钥才能打开)
- 告知服务端,客户端已经做好准备了,可以传输数据了。
这第三个随机数有个名称叫pre-master key。
客户端使用TLS1.2规定的算法计算出会话秘钥。
Server Finish
服务端使用私钥获取到第三个随机数。并且使用TLS1.2规定的算法计算出会话秘钥。并告知可以开始传输数据了。
数据传输阶段
客户端和服务端用会话秘钥加上定义好的会话加密算法加密他们之间的所有对话请求。
至此,TLS的安全握手流程就结束了。
参考
Https(SSL/TLS)原理详解
Htttps SSL/TLS Session Secret(Key)计算
图解SSL/TLS协议
SSL/TLS协议运行机制的概述
HTTPS 详解
HTTPS协议说明的更多相关文章
- 网站使用https协议
了解https HTTPS 是以安全为目标的 HTTP 通道,即 HTTP 下加入 SSL 加密层.HTTPS 不同于 HTTP 的端口,HTTP默认端口为80,HTTPS默认端口为443. SSL ...
- 服务器开启https协议
开启Tomcat https服务 发布企业级应用的时候遇到一个问题,就是IOS7.1之后app的下载地址URL必须是https开头的协议,所以服务器必须支持https协议. 实验环境:Mac OSX ...
- 【转】Tomcat启用HTTPS协议配置过程
转载请注明出处: http://blog.csdn.net/gane_cheng/article/details/53001846 http://www.ganecheng.tech/blog/530 ...
- IIS同时实现网站部分使用https协议访问另一部分http访问
一:什么是https SSL(Security Socket Layer)全称是加密套接字协议层,它位于HTTP协议层和TCP协议层之间,用于建立用户与服务器之间的加密通信,确保所传递信息的安全性,同 ...
- HTTPS 协议和原理
1 HTTPS 协议概述 HTTPS 可以认为是 HTTP + TLS.HTTP 协议大家耳熟能详了,目前大部分 WEB 应用和网站都是使用 HTTP 协议传输的. TLS 是传输层加密协议,它的前身 ...
- 浅谈HTTPS以及Fiddler抓取HTTPS协议
最近想尝试基于Fiddler的录制功能做一些接口的获取和处理工作,碰到的一个问题就是简单连接Fiddler只能抓取HTTP协议,关键的登录请求等HTTPS协议都没有捕捉到,所以想让Fiddler能够同 ...
- 下载https协议需要的cer证书
一:https简介 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全 ...
- 大型网站的 HTTPS 实践(1):HTTPS 协议和原理
转自:http://op.baidu.com/2015/04/https-s01a01/ 1 前言 百度已经于近日上线了全站 HTTPS 的安全搜索,默认会将 HTTP 请求跳转成 HTTPS.本文重 ...
- https协议了解,以及相关协议的解析
HTTPS简介 HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版. ...
随机推荐
- Hello Raspberry Pi
Raspberry Pi 入手好一段时间了,原意是想撸 linux,但是后来一整年都在忙孩子房子户口本子的事,这玩意也就搁了一年尘. 最近终于被生活折腾到了尾声,开始找一些东西来折腾折腾. 一.什么是 ...
- asp.net core开发环境准备
1.1 安装sdk和运行时 浏览器打开网址https://www.microsoft.com/net/download, 到.Net Core下载页面. 根据操作系统,下载对应的SDK进行安装.安装 ...
- Wix 安装部署教程(十四) -- 多语言安装包之用户许可协议
在上一篇中,留下了许可协议的问题,目前已经解决.感谢网友武全的指点! 问题 一般我们是用WixVariable 来设定许可协议.如下所示: <WixVariable Id="WixUI ...
- jQuery读取和设定KindEditor的值
在使用Kindeditor的时候,想要利用Ajax传值,但是通过editor封装的方法是行不通的,原因在于编辑器我们是放在另一个jsp页面,通过iframe来加载的,同时这个iframe的 ...
- ECMAScript5的其它新特性
之前两篇博客 ECMAScript5 Object的新属性方法,ECMAScript5 Array新增方法,分别介绍了ECMAScript5对Object和Array的拓展,这两个对象最常用,而且改动 ...
- 十分钟搞定CSS选择器
在最近的web开发中是不是就会用到一些选择器,发现很多尤其是CSS3新增的不太熟悉,在此总结一下. 优先级 不同级别 1. 在属性后面使用 !important 会覆盖页面内任何位置定义的元素样式. ...
- Xamarin 技术全解析
Xamarin 是一套基于C#语言的跨平台移动应用开发工具,今年2月份微软宣布收购Xamarin,而后在4月份进行的Build大会上微软宣布将会在各个版本的Visual Studio中免费提供Xama ...
- IOS 多线程05-OperationQueue 、GCD详解
注:本人是翻译过来,并且加上本人的一点见解. 1. 开始 目前在 iOS中有两套先进的同步 API 可供我们使用:操作队列OperationQueue和 GCD .其中 GCD 是基于 C 的底层 ...
- Java中反射的理解
反射 一.什么是反射 Java 反射是Java语言的一个很重要的特征,它使得Java具体了"动态性". 反射用在 Java 身上指的是我们可以于运行时加载.探知.使用编译期间完全未 ...
- Zabbix安装部署
zabbix服务器端配置:(10.27.98.29服务器端) 1.安装lamp环境 yum -y install autoconf curl-devel gcc gcc-c++ httpd httpd ...