我要评论https加密
https的混合加密
我们知道加密方式有三种
- 对称加密
- 非对称加密
- 混合加密
https采用的就是对称加密和非对称加密的混合加密方法。
- 混合加密解决了信息的机密性,防止数据被窃听
- 摘要算法实现了数据的完成性,防止了数据被篡改
- 数字证书提供了身份验证,防止了被冒充风险
在通信建立前采用非对称加密的方式交换「会话秘钥」,后续就不再使用非对称加密。
在通信过程中全部使用对称加密的「会话秘钥」的方式加密明文数据。
采用「混合加密」的方式的原因:
- 对称加密只使用一个密钥,运算速度快,密钥必须保密,无法做到安全的密钥交换。
- 非对称加密使用两个密钥:公钥和私钥,公钥可以任意分发而私钥保密,解决了密钥交换问题但速度慢。
https 是如何建立连接的?
ssl/tls 协议基本流程:
- 客户端向服务器索要并验证服务器的公钥。
- 双方协商生产「会话秘钥」。
- 双方采用「会话秘钥」进行加密通信。
前两步也就是 ssl/tls 的建立过程,也就是握手阶段。
ssl/tls 的「握手阶段」涉及四次通信,可见下图:
ssl/tls 协议建立的详细流程:
1. clienthello
首先,由客户端向服务器发起加密通信请求,也就是 clienthello 请求。
在这一步,客户端主要向服务器发送以下信息:
(1)客户端支持的 ssl/tls 协议版本,如 tls 1.2 版本。
(2)客户端生产的随机数(client random),后面用于生产「会话秘钥」。
(3)客户端支持的密码套件列表,如 rsa 加密算法。
2. severhello
服务器收到客户端请求后,向客户端发出响应,也就是 severhello。服务器回应的内容有如下内容:
(1)确认 ssl/ tls 协议版本,如果浏览器不支持,则关闭加密通信。
(2)服务器生产的随机数(server random),后面用于生产「会话秘钥」。
(3)确认的密码套件列表,如 rsa 加密算法。
(4)服务器的数字证书。
3.客户端回应
客户端收到服务器的回应之后,首先通过浏览器或者操作系统中的 ca 公钥,确认服务器的数字证书的真实性。
如果证书没有问题,客户端会从数字证书中取出服务器的公钥,然后使用它加密报文,向服务器发送如下信息:
(1)一个随机数(pre-master key)。该随机数会被服务器公钥加密。
(2)加密通信算法改变通知,表示随后的信息都将用「会话秘钥」加密通信。
(3)客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供服务端校验。
上面第一项的随机数是整个握手阶段的第三个随机数,这样服务器和客户端就同时有三个随机数,接着就用双方协商的加密算法,各自生成本次通信的「会话秘钥」。
4. 服务器的最后回应
服务器收到客户端的第三个随机数(pre-master key)之后,通过协商的加密算法,计算出本次通信的「会话秘钥」。然后,向客户端发生最后的信息:
(1)加密通信算法改变通知,表示随后的信息都将用「会话秘钥」加密通信。
(2)服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时把之前所有内容的发生的数据做个摘要,用来供客户端校验。
至此,整个 ssl/tls 的握手阶段全部结束。接下来,客户端与服务器进入加密通信,就完全是使用普通的 http 协议,只不过用「会话秘钥」加密内容。
到此这篇关于关于https的加密流程详解的文章就介绍到这了,更多相关https的加密流程内容请搜索代码网以前的文章或继续浏览下面的相关文章希望大家以后多多支持代码网!
发表评论