1. 程式人生 > >https單向認證和雙向認證

https單向認證和雙向認證

一、Http

HyperText Transfer Protocol,超文字傳輸協議,是網際網路上使用最廣泛的一種協議,所有WWW檔案必須遵循的標準。HTTP協議傳輸的資料都是未加密的,也就是明文的,因此使用HTTP協議傳輸隱私資訊非常不安全。

使用TCP埠為:80

二、Https

Hyper Text Transfer Protocol over Secure Socket Layer,安全的超文字傳輸協議,網景公式設計了SSL(Secure Sockets Layer)協議用於對Http協議傳輸的資料進行加密,保證會話過程中的安全性。

使用TCP埠預設為443

三、SSL協議加密方式

SSL協議即用到了對稱加密也用到了非對稱加密(公鑰加密),在建立傳輸鏈路時,SSL首先對對稱加密的金鑰使用公鑰進行非對稱加密,鏈路建立好之後,SSL對傳輸內容使用對稱加密。

  1. 對稱加密 
    速度高,可加密內容較大,用來加密會話過程中的訊息

  2. 公鑰加密 
    加密速度較慢,但能提供更好的身份認證技術,用來加密對稱加密的金鑰

四、單向認證

Https在建立Socket連線之前,需要進行握手,具體過程如下:

這裡寫圖片描述

  1. 客戶端向服務端傳送SSL協議版本號、加密演算法種類、隨機數等資訊。
  2. 服務端給客戶端返回SSL協議版本號、加密演算法種類、隨機數等資訊,同時也返回伺服器端的證書,即公鑰證書
  3. 客戶端使用服務端返回的資訊驗證伺服器的合法性,包括:

    • 證書是否過期
    • 髮型伺服器證書的CA是否可靠
    • 返回的公鑰是否能正確解開返回證書中的數字簽名
    • 伺服器證書上的域名是否和伺服器的實際域名相匹配

    驗證通過後,將繼續進行通訊,否則,終止通訊

  4. 客戶端向服務端傳送自己所能支援的對稱加密方案,供伺服器端進行選擇
  5. 伺服器端在客戶端提供的加密方案中選擇加密程度最高的加密方式。
  6. 伺服器將選擇好的加密方案通過明文方式返回給客戶端
  7. 客戶端接收到服務端返回的加密方式後,使用該加密方式生成產生隨機碼,用作通訊過程中對稱加密的金鑰,使用服務端返回的公鑰進行加密,將加密後的隨機碼傳送至伺服器
  8. 伺服器收到客戶端返回的加密資訊後,使用自己的私鑰進行解密,獲取對稱加密金鑰。 
    在接下來的會話中,伺服器和客戶端將會使用該密碼進行對稱加密,保證通訊過程中資訊的安全。

五、雙向認證

雙向認證和單向認證原理基本差不多,只是除了客戶端需要認證服務端以外,增加了服務端對客戶端的認證,具體過程如下:

這裡寫圖片描述

  1. 客戶端向服務端傳送SSL協議版本號、加密演算法種類、隨機數等資訊。
  2. 服務端給客戶端返回SSL協議版本號、加密演算法種類、隨機數等資訊,同時也返回伺服器端的證書,即公鑰證書
  3. 客戶端使用服務端返回的資訊驗證伺服器的合法性,包括:

    • 證書是否過期
    • 髮型伺服器證書的CA是否可靠
    • 返回的公鑰是否能正確解開返回證書中的數字簽名
    • 伺服器證書上的域名是否和伺服器的實際域名相匹配

    驗證通過後,將繼續進行通訊,否則,終止通訊

  4. 服務端要求客戶端傳送客戶端的證書,客戶端會將自己的證書傳送至服務端
  5. 驗證客戶端的證書,通過驗證後,會獲得客戶端的公鑰
  6. 客戶端向服務端傳送自己所能支援的對稱加密方案,供伺服器端進行選擇
  7. 伺服器端在客戶端提供的加密方案中選擇加密程度最高的加密方式
  8. 將加密方案通過使用之前獲取到的公鑰進行加密,返回給客戶端
  9. 客戶端收到服務端返回的加密方案密文後,使用自己的私鑰進行解密,獲取具體加密方式,而後,產生該加密方式的隨機碼,用作加密過程中的金鑰,使用之前從服務端證書中獲取到的公鑰進行加密後,傳送給服務端
  10. 服務端收到客戶端傳送的訊息後,使用自己的私鑰進行解密,獲取對稱加密的金鑰,在接下來的會話中,伺服器和客戶端將會使用該密碼進行對稱加密,保證通訊過程中資訊的安全。