2. 程式人生 > 其它 >Https:深入淺出HTTPS的互動過程

Https:深入淺出HTTPS的互動過程

阿新 發佈:2021-08-02

轉載:https://blog.csdn.net/en_joker/article/details/105533383

說到HTTPS,就需要知道HTTP。我們知道這兩個都是應用層方面的協議,HTTP是無狀態的,因為他的報文是明文,很容易被人擷取後篡改。也就是說,他是不安全的。

然而在我們主機與目標伺服器進行資訊互動的過程中,不可避免地會涉及到支付、登入後等進行的一系列需要保密和其他的相關操作資訊。於是出現了HTTPS協議。

HTTPS 簡介

由於HTTP 協議通訊的不安全性,所以人們為了防止資訊在傳輸過程中遭到洩漏或者篡改,就想出來對傳輸通道進行加密的方式https。https 是一種加密的超文字傳輸協議,它與HTTP 在協議差異在於對資料傳輸的過程中,https 對資料做了完全加密。由於http 協議或者https協議都是處於TCP 傳輸層之上,同時網路協議又是一個分層的結構,所以在tcp 協議層之上增加了一層SSL(Secure Socket Layer,安全層)或者TLS(Transport Layer Security) 安全層傳輸協議組合使用用於構造加密通道;

HTTPS 的實現原理

初始化過程

  1. 首先,服務端需要先申請證書,服務端生成一個公私鑰(s.pub/s.pri)同時儲存自己的私鑰。
  2. 緊接著,需要把公鑰、國家、城市、域名、簽名演算法等重要資訊傳送給CA機構。

CA機構會把服務端傳過來的公鑰進行加密,數字等進行資料,把客戶端的私鑰來加密服務端的公鑰,生成數字證書。並且內建倒瀏覽器裡面。

數字證書我們可以在win10系統去檢視,直接瀏覽器位址列,如果是https協議的一般會有證書的展示:

請求互動時的過程

客戶端發起請求(Client Hello 包)

  1. 三次握手,建立TCP 連線
  2. 支援的協議版本(TLS/SSL)
  3. 客戶端生成的隨機數client.random,後續用於生成“對話金鑰”
  4. 客戶端支援的加密演算法
  5. sessionid,用於保持同一個會話(如果客戶端與伺服器費盡周折建立了一個HTTPS 連結,剛建完就斷了,也太可惜)

服務端收到請求,然後響應(Server Hello)

  1. 確認加密通道協議版本
  2. 服務端生成的隨機數server.random,後續用於生成“對話金鑰”
  3. 確認使用的加密演算法(用於後續的握手訊息進行簽名防止篡改)
  4. 響應伺服器證書(CA 機構頒發給服務端的證書)

客戶端收到證書進行驗證

  1. 驗證證書是否是上級CA 簽發的, 在驗證證書的時候,瀏覽器會呼叫系統的證書管理器介面對證書路徑中的所有證書一級一級的進行驗證,只有路徑中所有的證書都是受信的,整個驗證的結果才是受信。
  2. 服務端返回的證書中會包含證書的有效期,可以通過失效日期來驗證證書是否過期。
  3. 驗證證書是否被吊銷了
  4. 前面我們知道CA 機構在簽發證書的時候,都會使用自己的私鑰對證書進行簽名。證書裡的簽名演算法欄位 sha256RSA 表示CA 機構使用sha256對證書進行摘要,然後使用RSA 演算法對摘要進行私鑰簽名,而我們也知道RSA 演算法中,使用私鑰簽名之後,只有公鑰才能進行驗籤。
  5. 瀏覽器使用內建在作業系統上的CA機構的公鑰對伺服器的證書進行驗籤。確定這個證書是不是由正規的機構頒發。驗籤之後得知CA 機構使用sha256 進行證書摘要,然後客戶端再使用sha256 對證書內容進行一次摘要,如果得到的值和服務端返回的證書驗籤之後的摘要相同,表示證書沒有被修改過。
  6. 驗證通過後,就會顯示綠色的安全字樣。
  7. 客戶端生成隨機數,驗證通過之後,客戶端會生成一個隨機數pre-master secret , 客戶端根據之前的: Client.random +sever.random + pre-master 生成對稱金鑰然後使用證書中的公鑰進行加密,同時利用前面協商好的加密演算法,將握手訊息取HASH 值,然後用“隨機數加密“握手訊息+握手訊息HASH 值(簽名)”然後傳遞給伺服器端;(在這裡之所以要取握手訊息的HASH值,主要是把握手訊息做一個簽名,用於驗證握手訊息在傳輸過程中沒有被篡改過。)

服務端接收隨機數

  1. 服務端收到客戶端的加密資料以後,用自己的私鑰對密文進行解密。然後得到client.random/server.random/pre-master secret. ,再用隨機數密碼 解密 握手訊息與HASH 值,並與傳過來的HASH 值做對比確認是否一致。
  2. 然後用隨機密碼加密一段握手訊息(握手訊息+握手訊息的HASH 值 )給客戶端。

客戶端接收訊息

  1. 客戶端用隨機數解密並計算握手訊息的HASH,如果與服務端發來的HASH 一致,此時握手過程結束,
  2. 之後所有的通訊資料將由之前互動過程中生成的pre master secret /client.random/server.random 通過演算法得出sessionKey,作為後續互動過程中的對稱金鑰。

相關推薦

Https深入淺出HTTPS互動過程

轉載:https://blog.csdn.net/en_joker/article/details/105533383 說到HTTPS,就需要知道HTTP。我們知道這兩個都是應用層方面的協議,HTTP是無狀態的,因為他的報文是明文,很容易被人擷取後篡改。也就是說,他是不

即時通訊安全篇(九)為什麼要用HTTPS深入淺出,探密短連線的安全性

本文由ELab技術團隊分享,原題“探祕HTTPS”,有修訂和改動。 1、引言 對於IM開發者來說,IM裡最常用的通訊技術就是Socket長連線和HTTP短連線(通常一個主流im會是這兩種通訊手段的結合)。從通訊安全的角度來說,So

Jmeter HTTPS介面測試證書匯入過程圖解

python中沒有swich..case,若要實現一樣的功能,又不想用if..elif來實現,可以充分利用字典進行實現

Spring Boot 教程啟用 HTTPS

【注】本文譯自 https://www.tutorialspoint.com/spring_boot/spring_boot_enabling_https.htm Spring Boot 應用預設以 HTTP 8080 埠啟動。

802.11協議幀格式、Wi-Fi連線互動過程、無線破解入門研究

轉自https://www.cnblogs.com/LittleHann/p/3700357.html 相關學習資料 Linux黑客大曝光: 第8章 無線網路

ASP網站強制HTTPS設定,偽靜態規則301跳轉規則寫法

對於ASP網站,使用寶塔設定強制HTTPS時,提示面板無法自動給Aspx/Asp程式強制HTTPS,請將以下程式碼新增到網站目錄下的【web.config】檔案中,新增完畢後重啟IIS生效

瀏覽器安全36 | HTTPS讓資料傳輸更安全

前言該篇說明請見 說明 —— 瀏覽器工作原理與實踐 目錄 再次宣告該目錄下的文章皆是出自 極客時間 - 李兵 老師的《瀏覽器工作原理與實踐》原文,只供本人學習所用,且並不完全保證文章的一致性,文中有些

課外加餐6 | HTTPS瀏覽器如何驗證數字證書?

前言該篇說明請見 說明 —— 瀏覽器工作原理與實踐 目錄 在《36 | HTTPS讓資料傳輸更安全》一文中介紹過

Tomcat原理系列之三對請求的過程詳細分析

請求的處理是整個Tomcat的核心。深入瞭解Tomcat的請求過程,對於我們理解我們的應用專案,對於我們解決問題,對於我們今後開發專案都有深遠的影響

雲管、SDN、OpenStack組成的虛擬化雲端計算主機叢集建立過程

最終返回叢集(aggregate)例項json 叢集例項舉例 { \"aggregate\": { \"availability_zone\": \"ren_min_bei\",

AD的授權還原和主還原深入淺出Active Directory系列(六)

版權宣告原創作品,允許轉載,轉載時請務必以超連結形式標明文章 原始出處 、作者資訊和本宣告。否則將追究法律責任。http://terryli.blog.51cto.com/704315/147037

部署額外域控制器深入淺出Active Directory系列(五)

版權宣告原創作品,允許轉載,轉載時請務必以超連結形式標明文章 原始出處http://terryli.blog.51cto.com/704315/144735 、作者資訊和本宣告。否則將追究法律責任。

RocketMQ原始碼分析 producer啟動以及訊息傳送流程,producer與broker網路互動過程,傳送和接收方式總結

1.proucer傳送訊息本質就是把訊息通過網路傳送給伺服器(broker),broker接收到訊息儲存應答producer成功。

使用TCPdump 抓取http報文 ,解析http報文格式及客戶端、服務端互動過程

技術標籤網路TCP...httptcpiptcpdump 目錄 一.3次握手建立連線 二.客戶端傳送請求: 請求行(URL POST http版本 ) + 請求頭部 + 請求資料

網易雲音樂人格主導色遭微信遮蔽因包含互動測試內容

5 月 26 日訊息 今日,網易雲音樂人格主導色在微博、微信朋友圈中刷屏。截至發稿時,網易雲人格主導色連結已遭微信遮蔽,使用者點選相關連結將提示“已停止訪問該網頁”。

通過雲村交朋友,網易雲音樂社交新專利可提高互動的成功率

8 月 24 日訊息 網易雲音樂是國內最大的幾個線上音樂平臺之一,最被網友認可的一點便是其社交性,也因此得名“雲村”。

《瘟疫傳說無罪》發行商宣佈更名從“家庭互動”擴充套件為“娛樂”

9 月 7 日訊息法國遊戲廠商 Focus Home Interactive 宣佈,將正式更名為 Focus Entertainment。

我不會用 Triton 系列Triton 搭建 ensemble 過程記錄

Triton 搭建 ensemble 過程記錄 本文記錄 Triton ensemble 搭建的過程,在 Triton 這個特性叫做 ensemble,但是這個特性叫做 pipeline 更為常見,後面就叫 pipeline 吧。首先要說明的是,本文中的例子只是為了試試看

團隊專案博物館多媒體互動系統——需求分析心得

團隊專案博物館多媒體互動系統——需求分析心得 專案名稱博物館多媒體互動系統

效能測試Jmeter壓測過程中的簡訊驗證碼讀取

效能測試Jmeter壓測過程中的簡訊驗證碼讀取 01問題背景 現如今國內的大部分軟體或者網站應用,普遍流行使用簡訊業務,比如登入、註冊以及特定的業務通知等。