浏览器直接进入网站的注意事项,免费咨询牙科医生,服务器上做网站,wordpress 上传目录权限设置本章节主要探讨三个问题#xff1a;1. SSL/TSL 的区别和联系是什么#xff1f;2. 我们常说的 “三次握手” 发生在哪个阶段#xff0c;SSL/TSL层有参与吗?3. HTTPS混合加密发生在哪个层?一、SSL 和 TLS 联系继承关系#xff1a;TLS 直接基于 SSL 3.0 设计#xff0c;可以…本章节主要探讨三个问题1. SSL/TSL 的区别和联系是什么2. 我们常说的 “三次握手” 发生在哪个阶段SSL/TSL层有参与吗?3. HTTPS混合加密发生在哪个层?一、SSL 和 TLS 联系继承关系TLS 直接基于 SSL 3.0 设计可以视为 SSL 的升级版TLS 1.0 最初命名为 SSL 3.1后因标准化需要更名为 TLS。核心目标一致两者的核心目标都是为网络通信提供安全及数据完整性保障它们都位于 TCP/IP 协议与各种应用层协议之间为数据通讯提供安全支持。区别开发者SSL 由 Netscape 开发而 TLS 是 IETF 在 SSL 的基础上进行开发的。版本SSL 有 SSL 1.0、2.0、3.0 等版本其中 SSL 3.0 是最后一个版本TLS 有 TLS 1.0、1.1、1.2、1.3 等版本TLS 1.3 是目前最新的版本。安全性SSL 存在一些已知的安全漏洞如 SSL 2.0 和 SSL 3.0 都有安全问题已逐渐被弃用TLS 解决了 SSL 中存在的许多安全问题引入了更强的加密算法和更安全的握手过程安全性更高。握手过程SSL 的握手过程相对简单TLS 的握手过程则更加安全和复杂。加密算法SSL 支持一些较弱的加密算法TLS 支持更强的加密算法如 AES、ChaCha20 等。兼容性现代系统通常禁用 SSL普遍使用 TLS。二、SSL/TLS 会参与三次握手吗答不会三次握手仅发生在传输层的 TCP 协议中与安全层SSL/TLS没有直接关联。要理解这一点需要先明确 TCP 三次握手的本质、以及 TCP 与 SSL/TLS 在网络分层中的位置和分工。1. 先理清核心概念TCP 三次握手的作用TCP传输控制协议是传输层的核心协议其设计目标是为应用层提供可靠的、面向连接的字节流服务。而 “三次握手” 是 TCP 建立连接的核心机制目的是确认客户端和服务器的 “发送能力” 和 “接收能力” 均正常协商双方初始的序列号ISN为后续数据传输的有序性、去重提供基础最终建立起一条双向的、可靠的传输通道。简单来说三次握手是 TCP “建立连接” 的专属流程只和传输层相关在 SSL/TLS 启动之前就已经完成。2. 再看分层关系TCP传输层是 SSL/TLS安全层的 “基础”根据 TCP/IP 分层模型或 OSI 模型的简化理解各层的依赖关系是 “下层为上层提供服务”传输层TCP先通过三次握手建立可靠连接为上层如 SSL/TLS提供 “稳定的字节流传输通道”传输安全层SSL/TLS在 TCP 连接建立后才在这个 “基础通道” 上启动自己的 “握手流程”即 SSL/TLS 握手协商加密算法、交换随机数、验证证书、生成会话密钥应用层如 HTTPSSSL/TLS 握手完成后才基于加密通道传输 HTTP 数据即 HTTPS HTTP SSL/TLS。三者的启动顺序是TCP 三次握手建立连接→ SSL/TLS 握手建立安全通道→ HTTP 数据传输应用层通信
3. 关键区别TCP 三次握手 vs. SSL/TLS 握手很多人会混淆这两个 “握手”但它们的层级、目的完全不同对比如下对比维度TCP 三次握手SSL/TLS 握手所属层级传输层TCP 协议传输层与应用层之间安全层发生时机通信刚开始SSL/TLS 启动前TCP 连接建立后HTTP 数据传输前核心目的建立可靠的连接确认收发能力、协商序列号建立安全的加密通道协商算法、验证身份、生成密钥参与方交互次数3 次交互客户端→服务器→客户端视版本不同如 TLS 1.2 约 4-6 次TLS 1.3 优化为 2 次总结
三次握手只属于传输层的 TCP 协议是建立可靠连接的前提和 SSL/TLS安全层无关SSL/TLS 是在 TCP 连接的基础上额外增加的 “安全增强层”它有自己独立的 “握手流程”但不是三次握手整个 HTTPS 的通信流程是 “TCP 三次握手打底 → SSL/TLS 握手加安全 → HTTP 传输数据” 的层层依赖关系。
三、HTTPS混合加密发生在哪个层?HTTPS 的混合加密即 “非对称加密 对称加密” 的组合机制完全发生在 TLS 层更具体地说是在 TLS 协议的 “握手阶段” 和 “记录阶段” 中协同实现的与 TCP 层传输层或 HTTP 层应用层无直接关联。要理解这一点需要先明确 HTTPS 混合加密的核心逻辑 ——用非对称加密解决 “对称密钥的安全传输问题”用对称加密解决 “大量数据的高效加密问题”而这两个步骤的执行载体正是 TLS 协议的分层设计1. 混合加密的两个关键步骤均由 TLS 层实现TLS 协议本身分为 “握手协议” 和 “记录协议” 两层混合加密的两个核心动作分别在这两层中完成1非对称加密用于 TLS 握手阶段安全交换 “对称密钥的种子”在 TLS 握手开始后客户端和服务器会通过非对称加密完成两件关键事服务器向客户端发送 “数字证书”含服务器的公钥客户端通过信任链验证证书合法性确认服务器身份防止中间人攻击客户端生成一个临时的 “预主密钥Pre-Master Secret”用服务器证书中的公钥非对称加密的公钥 加密后发送给服务器服务器用自己的私钥非对称加密的私钥 解密得到 “预主密钥”。至此客户端和服务器通过 “非对称加密” 安全共享了 “预主密钥”—— 这一步的核心是 “避免对称密钥在传输中被窃取”而整个过程完全在 TLS 握手协议中执行TCP 层仅负责传输这些加密后的握手数据不理解数据含义HTTP 层此时尚未参与。2对称加密用于 TLS 记录阶段高效加密 HTTP 数据TLS 握手完成后客户端和服务器会基于 “预主密钥”“客户端随机数Client Random”“服务器随机数Server Random”通过相同的算法如 HKDF生成最终的 “会话密钥Session Key”—— 这个 “会话密钥” 就是对称加密的密钥。之后进入 “TLS 记录阶段”所有 HTTP 层的原始数据如请求头、响应体会先交给 TLS 记录协议由其完成三件事对 HTTP 数据进行分段按 TLS 规定的最大长度切割用 “会话密钥” 通过对称加密算法如 AES-GCM对分段数据加密对加密后的数据添加 “消息认证码MAC” 或 “认证标签Tag”确保数据完整性防止被篡改。最终这些加密后的 “TLS 记录数据” 会被交给 TCP 层由 TCP 传输到对方对方接收后再通过 TLS 记录协议用相同的 “会话密钥” 解密、验证完整性最后将原始 HTTP 数据交给应用层HTTP 层。简言之对称加密的核心是 “高效处理大量 HTTP 数据”其加密 / 解密动作由 TLS 记录协议执行HTTP 层只负责处理解密后的原始数据完全感知不到加密过程。2. 为什么混合加密不会发生在其他层TCP 层传输层TCP 的作用是 “可靠传输字节流”仅负责数据的分段、重传、有序交付不具备任何加密能力也不理解 TLS/HTTP 数据的含义无法参与加密HTTP 层应用层HTTP 本身是 “明文协议”没有加密逻辑HTTPS 的 “安全” 本质是给 HTTP 套了一层 TLS “保护壳”——HTTP 数据是 “被 TLS 加密的对象”而非加密的执行者。总结HTTPS 的混合加密是 TLS 层的核心功能非对称加密在 TLS 握手阶段解决 “对称密钥的安全共享”对称加密在 TLS 记录阶段解决 “HTTP 数据的高效加密”整个过程中TCP 层仅负责传输 TLS 加密后的数据HTTP 层仅负责处理 TLS 解密后的原始数据二者均不参与加密逻辑。
