深入浅出HTTPS-阿里云开发者社区

开发者社区> 不才黄某> 正文

深入浅出HTTPS

简介: 前言 在之前的文章《深入浅出密码学(上)》、《深入浅出密码学(中)》与《深入浅出密码学(下)》中,沉思君为大家介绍了密码学中一些重要的概念,例如:加密、单向散列函数、消息认证码与数字签名等,如果不太清楚的朋友可以点击文章链接进行阅读。
+关注继续查看

前言

在之前的文章《深入浅出密码学(上)》、《深入浅出密码学(中)》与《深入浅出密码学(下)》中,沉思君为大家介绍了密码学中一些重要的概念,例如:加密、单向散列函数、消息认证码与数字签名等,如果不太清楚的朋友可以点击文章链接进行阅读。今天我们要讲的是密码学的一个非常广泛且重要的应用——HTTPS。

在讲解HTTPS前,我们先来讲下HTTP。HTTP的名称是超文本传输协议,其特点是无状态性、不安全、单向通信(即不支持服务端推送,至少在HTTP1.1版本不支持)。关于无状态性,沉思君在之前的文章《谈谈HTTP状态保持》中有所提及,感兴趣的读者可以点击链接进行阅读。今天我们要讲的主要是HTTP的不安全性,为什么说HTTP是不安全的呢?原因是HTTP协议使用明文进行传输,因此存在数据被窃听的风险,此外,HTTP也没有使用单向散列函数与消息认证码等机制,因此数据存在被篡改和伪装的风险,所以说HTTP协议是不安全的协议。为了解决HTTP的不安全性,人们开始使用HTTPS协议进行数据传输。接下来将为大家介绍下HTTPS的原理。

HTTPS概述

HTTPS的名称是超文本传输安全协议,HTTPS经由HTTP进行通信,但利用SSL/TLS来加密数据包。HTTPS开发的主要目的,是提供对网站服务器的身份认证,保护交换数据的隐私与完整性。HTTPS并不是一种新的应用层协议,只是HTTP接口通信部分用SSL/TLS代替而已。简而言之,HTTPS就是身披SSL/TLS外壳的HTTP。HTTP与HTTPS的网络分层模型如下:

由此可见,HTTPS的核心是SSL/TLS,接下来将为大家介绍SSL/TLS。

SSL/TLS概述

SSL和TLS都是加密协议,旨在基于不安全的基础设施提供安全通信。这意味着,如果正确部署这些协议,你就可以对互联网上的任意一个服务打开通信信道,并且可以确信你会与正确的服务器通信,安全地交换信息。简而言之,SSL和TLS旨在为不安全的应用层协议(如:HTTP)提供安全可靠的数据传输。其中TLS是SSL的升级版本,下文的介绍都是基于TLS。

TLS层次结构

首先,我们来看下TLS的层次结构。TLS是由“TLS记录协议”跟“TLS握手协议”组成的。其中,"TLS记录协议"负责对数据进行加密,而“TLS握手协议”则负责除加密之外的其他操作。在之前介绍密码学的文章中,我们知道,加密、消息认证码跟数字签名都需要使用密钥,既然TLS能够对数据进行加密和认证,那么它也必须使用到密钥,那么TLS通信双方的密钥是如何进行协商的呢?这就是“TLS握手协议”最主要的功能了,接下来我们将重点介绍“TLS握手协议”,即TLS是如何协商产生加密与认证所需的密钥的。

TLS握手协议

TLS握手协议负责生成共享密钥和交换证书。其中共享密钥是为了进行加密通信,交换证书是为了通信双方能够相互认证。握手协议的细节如下:

  1. ClientHello(客户端→服务端)

    客户端发送消息给客户端,告诉服务端自己支持的加密套件与其他信息。主要包含以下信息:

    支持的密码套件、支持的压缩套件、可用的版本号、客户端随机数、会话id。其中,客户端随机数的作用在后文会介绍。

  2. ServerHello(服务端→客户端)

    服务端回复客户端通信过程中使用的加密套件与其他信息。主要信息如下:

    使用的密码套件、使用的压缩套件、使用的版本号、服务端随机数、会话id。其中,服务端随机数与客户端随机数无关,其作用在后文会介绍。

  3. Certificate(服务端→客户端)

    服务端发送证书给客户端。证书中包含了服务端的公钥,可用于后续的加密或认证。

  4. ServerKeyExchange(服务端→客户端)

    当第3步的信息不足以满足需求时,服务端会在这一步发送其他必要的加密需要的信息给客户端。

  5. CertificateRequest(服务端→客户端)

    接着服务端向客户端请求证书信息,这一步不是必要的,取决于服务端是否需要对客户端身份进行验证。

  6. ServerHelloDone(服务端→客户端)

    服务端问候信息结束。

  7. Certificate(客户端→服务端)

    客户端发送自己的证书给服务端(如果服务端有请求客户端的证书的话)。

  8. ClientKeyExchange(客户端→服务端)

    客户端发送经过加密的预备主密钥给服务端。预备主密钥由客户端加密,可用于生成主密钥,主密钥则是整个会话过程中用户加密和认证的密钥。那么客户端是如何对预备主密钥进行加密的呢?别忘了在第3步,服务端已经把它的证书发送给客户端了,而证书中包含了服务端的公钥,所以这里客户端是使用服务端的公钥加密预备主密钥的。

  9. CertificateVerify(客户端→服务端)

    客户端向服务端证实自己的确持有客户端私钥,即证明客户端确实是客户端证书的持有者。

  10. ChangeCipherSpec(客户端→服务端)

    客户端告诉服务端自己要切换密钥了。由于在第8步,服务端跟客户端已经协商了预备主密钥了,而在第2步也协商了密钥交换算法,所以在这一步,服务端跟客户端就可以根据密钥交换算法跟预备主密钥生成主密钥了。因此这一步客户端告诉服务端自己将使用主密钥进行通信了。

  11. Finished(客户端→服务端)

    客户端告诉服务端握手协议结束了。

  12. ChangeCipherSpec(服务端→客户端)

    服务端告诉客户端自己也要切换密钥进行通信了。

  13. Finished(服务端→客户端)

    服务端告诉客户端握手协议结束了。

  14. 切换到TLS记录协议

    客户端与服务端将切换到TLS记录协议进行通信。

以上就是TLS握手协议的全过程。

读者也许会有疑问,主密钥是根据预备主密钥生成的,那么究竟是怎样生成的呢?还有就是第1步跟第2步的随机数有什么用呢?其实第一步跟第2步的随机数正是为了生成主密钥而服务的。主密钥正是由预备主密钥跟客户端随机数还有服务端随机数生成的。至于怎么生成,取决于具体的密钥交换算法,常见的密钥交换算法是RSA密钥交换和DH密钥交换,有兴趣的朋友可以去深入了解下。

生成的主密钥主要有2个用途:

  • 作为对称加密的密钥,对数据进行加密,防止窃听。

  • 作为消息认证码的密钥,对数据进行认证。防止篡改和伪装。

故而实现了安全通信。

以上就是HTTPS的原理了,如果觉得这篇文章对你有帮助,可以扫描下方二维码关注本公众号。

 

版权声明:本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《阿里云开发者社区用户服务协议》和《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。

相关文章
阿里云服务器怎么设置密码?怎么停机?怎么重启服务器?
如果在创建实例时没有设置密码,或者密码丢失,您可以在控制台上重新设置实例的登录密码。本文仅描述如何在 ECS 管理控制台上修改实例登录密码。
9494 0
UML之深入浅出类图讲义
一张类图应该注重表达系统静态结构的一个方面,这意味,若是系统较为复杂,可能要绘制多张类图。类图是描述类、协作(类或对象间的协作)、接口及其关系的图。
762 0
评侯捷的<深入浅出MFC>和李久进的<MFC深入浅出>
侯捷的<深入浅出mfc>相信大家都已经很熟悉了,论坛上也有很多介绍,这里我就不多说了。 而李久进的<mfc深入浅出>,听说的人可能就少得多。原因听说是这本书当时没有怎么宣传,而自从1999年第1版后,似乎也没有重印过,现在市面上根本找不到,所以大部分人都不知道。
1154 0
《深入浅出设计模式》小结
       由于最近参加笔试的原因,我感觉到了学习“设计模式”的重要性。为此,我从网上下载了一份资料,叫做《深入浅出设计模式》。在这份资料中,作者一共提到了22种设计模式,大致按照“引言”->“定义/分类”->“程序实现”->“实例”->“小结”的顺序将各“设计模式”为我们简要地一一道来。
838 0
阿里云服务器端口号设置
阿里云服务器初级使用者可能面临的问题之一. 使用tomcat或者其他服务器软件设置端口号后,比如 一些不是默认的, mysql的 3306, mssql的1433,有时候打不开网页, 原因是没有在ecs安全组去设置这个端口号. 解决: 点击ecs下网络和安全下的安全组 在弹出的安全组中,如果没有就新建安全组,然后点击配置规则 最后如上图点击添加...或快速创建.   have fun!  将编程看作是一门艺术,而不单单是个技术。
10843 0
阿里云服务器如何登录?阿里云服务器的三种登录方法
购买阿里云ECS云服务器后如何登录?场景不同,阿里云优惠总结大概有三种登录方式: 登录到ECS云服务器控制台 在ECS云服务器控制台用户可以更改密码、更换系.
13177 0
深入浅出工厂模式
一、引子       话说十年前,有一个暴发户,他家有三辆汽车——Benz奔驰、Bmw宝马、Audi奥迪,还雇了司机为他开车。
739 0
HTTP深入浅出http请求
HTTP(HyperText Transfer Protocol)是一套计算机通过网络进行通信的规则。计算机专家设计出HTTP,使HTTP客户(如Web浏览器)能够从HTTP服务器(Web服务器)请求信息和服务,HTTP目前协议的版本是1.1.HTTP是一种无状态的协议,无状态是指Web浏览器和Web服务器之间不需要建立持久的连接,这意味着当一个客户端向服务器端发出请求,然后W
1308 0
+关注
10
文章
0
问答
文章排行榜
最热
最新
相关电子书
更多
《2021云上架构与运维峰会演讲合集》
立即下载
《零基础CSS入门教程》
立即下载
《零基础HTML入门教程》
立即下载