HTTPS协议
安全超文本传输协议
HTTPS协议概述
-
1、HTTPS协议 = HTTP协议 + SSL/TLS协议,在HTTPS数据传输的过程中,需要用SSL/TLS对数据进行加密和解密,需要用HTTP对加密后的数据进行传输,由此可以看出HTTPS是由HTTP和SSL/TLS一起合作完成的。
-
2、SSL协议:网络安全协议(安全套接层)
-
1、SSL协议是在传输通信协议上实现的一种安全协议,采用公开秘钥技术,广泛支持各种类型的网络,同时提供三种基本的安全服务:
-
1)
认证用户和服务器,确保数据发送到正确的客户机和服务器; -
2)
加密数据以防止数据中途被窃取; -
3)
维护数据的完整性,确保数据在传输过程中不被篡改。
-
-
2、SSL协议的优势在于他是与应用层协议独立无关的,高层的应用层协议能透明的建立于SSL协议之上,SSL协议在应用层协议通信之前就已经完成加密算法,通信秘钥的协商以及服务器认证工作,在此之后应用层协议所传送的数据都会被加密,从而保证通信的私密性以及完整性。
-
HTTPS协议通信过程
- 一、客户端给服务端发送第一个http协议请求,进行三步操作:
- 1、客户端向服务端发送请求获取身份认证(非对称加密公钥);
- 2、客户端向服务端发送一个比如a = 1的常量;
- 3、客户端向服务端发送客户端支持的加密算法的列表,服务端中意哪个算法,确定后返回给客户端。
- 二、服务端接收到客户端的请求后,进行三步操作:
- 1、服务端采取一种非对称的加密算法,如:RSA算法生成公钥跟私钥对;
- 2、对公钥通过CA认证机构颁发的证书进行签名,(相当于数字签名);
- 3、给客户端返回四类数据:
- 1、将经过签名的公钥返回给客户端;
- 2、给客户端返回一个如 b = 3 的常量;
- 3、返回一个如:
func = a + b + '随机字符串' 的计算公式; - 4、从客户端发送过来的包含加密算法的列表中确定一个加密算法如:MD5算法 返回给客户端。
- 三、客户端接收到服务端返回的四类数据后,进行六步操作:
- 1、获取到服务端返回的经过证书签名后的公钥后,通过CA认证机构校验本次访问的服务端的真伪,如果没问题,则服务端就是真的;
- 2、客户端生成一个随机字符串 如:kfdn,结合服务端返回的 func = a + b + ‘kfdn’ 这个计算公式生成一个 协议秘钥 比如:sss;
- 3、对 刚生成的 协议秘钥 sss 通过 服务端发送过来的公钥 加密成密文如:xxx;
- 4、对 请求数据 ddd 通过刚生成的协议秘钥进行 对称加密 成密文如:kkk;
- 5、对 (xxx + kkk)通过服务端返回的加密算法 MD5,进行加密即:MD5(xxx + kkk) = ooo;
- 6、给服务端发送第二个http协议请求,请求数据中包括三类数据:
- 1、发送 xxx ;
- 2、发送 kkk ;
- 3、发送 ooo。
-
四、服务端接收到客户端发送过来的三类数据后,进行两步操作:
-
1、通过MD5算法对 (xxx + kkk) 加密 看是否等于 ooo,等于则可证明数据未被篡改;
-
2、通过RSA算法生成的 公私钥对 中的 私钥 对 客户端发送过来 的 经过公钥加密后 的 协议秘钥 进行解密:
- 即对接收到的数据中的 xxx 解密为 sss;
- 注意:
- 或者可以让客户端将 kfdn 这个随机字符串发送过来,服务端 通过 func = a + b + kfdn 这个计算公式也可以得到协议秘钥 sss (推荐)
-
3、通过得到的协议秘钥 sss 对 密文数据 kkk 进行 解密为 ddd 。
-
图解
思考:
客户端在确认服务端的身份之后,完全可以利用服务端发送过来的公钥对请求数据进行非对称加密后再发送给服务端,服务端照样可以借助生成公钥时生成的私钥对数据进行解密,为什么客户端还要自己生成一个用于对称加密的协议秘钥呢?
解释:
对称加密可以提高效率,即客户端对称加密后的数据发送给服务端,服务端可以很快解密出来,提高数据传输效率,节省了网络占用空间。