wordpress网站语言包,自己能不能做个网站,网站制作企业对比,谷歌搜索引擎3631. HTTP协议存在的问题
阅读本篇需要对HTTP协议有最基本的了解。 借用《图解密码技术》里的图片#xff0c;我们以如下一个购物场景开始介绍#xff1a; 在网购过程中#xff0c;如果使用纯粹的HTTP协议#xff0c;那么用户的账号密码#xff0c;信用卡#xff0c;银行卡…1. HTTP协议存在的问题
阅读本篇需要对HTTP协议有最基本的了解。 借用《图解密码技术》里的图片我们以如下一个购物场景开始介绍 在网购过程中如果使用纯粹的HTTP协议那么用户的账号密码信用卡银行卡信息都将在信息传输过程中直接裸奔。从例子中我们可以看到信用卡信息直接被明文传输了。除了明文传输之外还存在着以下两个问题:无法验证通信方身份的真实性即无法确认对方是否是真正的商家。无法确认信息是否被篡改即无法确认传输过程信用卡信息和收货地址是否被篡改过。
常规情况下可以对通信的内容进行加密来避免明文传输的问题。但是单靠这点无法解决信息完整性和认证问题。为了解决这些问题需要对通信进行加密。也就引入了 HTTPS 。
2. HTTPS结构
2.1 HTTPS与HTTP
HTTPS 本身并不是一个协议它使用 SSL/TLS 作为对通信加密的协议承载 HTTP 将两种协议叠加来实现对 HTTP 通信进行加密的目的。二者的关系为 HTTP 加密 认证 完整性保护HTTPS 单纯从层次上对比二者的差异为 即在 HTTP 协议下又加了一层 SSL计算机网络通信过程的信息流动方向是发送方信息由上到下进行包装然后接收方将信息由下到上进行解包。上述的购物场景如果使用了 SSL/TLS 承载 HTTP那么通信的流程将会变化成如下图 无论是客户端还是服务端消息发送的时候都是从上往下经过了 SSL/TLS 加密然后接收的时候再由下往上解密。看到这里你可能对流程已经有所理解但又存在疑惑 SSL/TLS 是什么东西
2.2 SSL/TLS
SSLSecure Socket Layer称为安全套接层是1994年网景公司设计的一种安全协议用于解决了网络通信安全和数据完整性问题。第一个版本的TLSTransport Layer Security 是在 SSL3.0基础上设计的可以理解为 SSL 3.1。后续的 TLS 版本又加入了更多特性可以把它理解为是 SSL 的升级版。
2.3 SSL/TLS 位于哪一层
目前普遍的说法是 SSL/TLS 无法确切地被划分到 OSI 或者 TCP/IP 的具体某一层。从逻辑上来讲SSL/TLS 的加密功能正好能和 OSI的表示层相对应但是一些应用程序会把它当做传输层。所以比较保守的说法是SSL/TLS介于传输层和应用层之间。
2.4 TLS结构简介
SSL/TLS 不仅可以承载 HTTP也可以承载其他应用层协议。 协议本身可以分成两层上层是握手协议下层是记录协议。如下图 上层又分成了4个子协议其中第一个握手协议是最重要的它的作用是确认双方使用的密码套件双方共享密钥基于证书的认证操作。 其他三个子协议的作用分别是
密码规则更变协议通知对方要交换密码了警告协议把错误信息传给对方应用数据协议将承载的数据传达给对方
记录协议位于下层它的作用是使用对称加密的方式对消息进行加密通信过程可以再进一步细分为
将消息分割成多个片段每个片段进行压缩。压缩后的片段加上消息认证码用于保证完整性并进行数据认证。消息认证码的密钥在握手结束后可以生成下面会介绍。上面生成的东西通过对称加密加密使用CBC模式而CBC模式的初始化向量以及对称加密的密钥都可以在握手完成通过主密码生成下面会介绍。经过上面加密之后再加上一个报头就是最后的报文数据了。这个报头由数据类型版本号压缩后的长度组成。其中数据类型是上层握手协议的4个子协议之一。
HTTPS握手过程
我们知道 HTTP 是基于 TCP 来完成的TCP有握手过程HTTPS同样也有握手过程。当我们谈论 HTTPS的时候其实更侧重的是谈论 SSL。
默认情况下 HTTP 通信客户端会打开一条到服务器端口80的连接。而 HTTPS 则会打开一条到服务器端口443的连接。 TCP 连接建立后会初始化 SSL沟通加密参数交换密钥完成握手过程后SSL 初始化完成。然后就可以加密通信了。
我们在谈论HTTPS握手过程其实就是SSL的握手过程。这个握手过程分成4个部分。下面将详细地解析这4个部分。 一 客户端 - 服务端
客户端向服务端发送Client Hello告诉服务端它能理解的密码套件RSA/3DES等压缩方式会话id,当前时间SSL/TLS 协议的可用版本客户端随机数。
二 服务端 - 客户端
服务端向客户端发送Server Hello。服务端发送Certificate以及把证书清单发给客户端,里面包含了公开密钥的证书。Certificate不足以满足需求的时候还会发送 ServerKeyExchange告诉客户端使用这些信息来进行密钥交换。服务端向客户端发送CertificateRequest消息发送了服务端能理解的证书类型清单和能理解的的认证机构名称清单。ServerHelloDone
三 客户端 - 服务端
如果收到 CertificateRequest会向服务端发送Certificate消息以及发送自己的证书。发送 ClientKeyExchange以及经过加密的预备主密码随机数。这个报文是经过加密的加密的公钥就是服务端发送Certificate时发给客户端的公钥。如果收到 CertificateRequest还会发送 certificateVerify消息告诉服务端它就时客户端证书的持有者本人。客户端发送changeCipherSpec消息告诉服务端要切换密码了实际上这个是密码规则更变协议里的东西。服务端收到这个消息后双方同时切换密码客户端发送 Finished 这时候客户端使用已经切换后的密码套件来发送
四 服务端 - 客户端
服务端发送 changeCipherSpec告诉客户度要切换密码了服务端发送 Finished 表示结束。 然后就切换到了应用数据协议。之后双方使用应用数据协议和TLS记录协议来进行密码通信。
握手过程一共完成的工作有
客户端获得服务端的合法公钥第二部分第二点完成服务端认证。服务端获得客户端的合法公钥第三部分第一点完成客户端认证。双端生成通信中对称加密的共享密钥。双端生成消息认证中的共享密钥。
HTTPS 采用了混合加密机制。在握手环节使用公钥加密方式。通信建立后交换报文时使用共享密钥加密也就是上面第3和第4点。对称加密会比非对称加密快很多提高通信过程的效率。共享密钥的生成过程可以从这张图中去理解。 客户端和服务端可以拥有一样的预备主密码在握手的开始阶段双方协商了共同使用什么密码套件。预备主密码同时使用由密码套件中两个单向散列函数MD5和SHA-1组合的伪随机数生成器生成主密码客户端的预备主密码也是使用伪随机数生成。两端都会根据这个一样的预备主密码计算出一样的主密码。然后再由一样的主密码生成下面三个
用于对称加密的密钥消息认证码的密钥对称密码的CBC模式中使用的初始化向量
每一样都有两份即客户端发往服务端和服务端发往客户端。所以主密码一共可以生成6种信息。 以上就是HTTPS握手过程的详细解析。握手建立完成后客户端和服务端有拥有对称加密的密钥那么就可以使用这个密钥对通信内容进行加密了。
HTTPS相对于HTTP有什么不一样
总结一下HTTPS多做了什么它和HTTP有什么不一样。
HTTP是明文传输HTTPS是加密传输HTTPS需要申请证书有一定成本HTTP使用80端口HTTPS使用443端口HTTP没有身份认证HTTPS有身份认证HTTP报文完整性无法验证可能被篡改。HTTPS可以验证。
参考资料
图解密码技术
图解HTTP
HTTP权威指南
Transport Layer Security
