在如今互聯網高速發展,技術人員技術日益精深的情況下,網絡安全越來越受到大家的重視,而HTTPS作爲網絡安全中比較基礎的部分, 絕大部分的客戶端都在使用,那麼你真的清楚HTTPS的加密原理嗎?下面就讓我用簡單易懂的方式瞭解下。
首先我們先思考下面幾個問題:
1、客戶端如何進行簽名的?
2、簽名的驗證是在哪,服務端?客戶端?
3、如何驗證簽名?
首先我們說下使用HTTPS的作用,主要有三個:
驗證服務器或客戶端的身份合法
報文加密
驗證數據完整性
採用HTTPS可以有效抵禦中間人攻擊、報文監聽攻擊和報文篡改攻擊。不過,針對報文監聽這種攻擊的抵禦不是絕對的,HTTPS是基於TLS的HTTP,可以將HTTP請求的URL path、request header、request body等內容加密,由於轉發需要提供IP及端口信息,所以監聽者還是能夠監聽到目的IP(甚至域名)、目的端口、源IP、源端口、報文大小、通信時間等信息的。
HTTPS爲了兼顧安全與效率,同時使用了對稱加密和非對稱加密。數據是被對稱加密傳輸的,對稱加密過程需要客戶端的一個密鑰,爲了確保能把該密鑰安全傳輸到服務器端,採用非對稱加密對該密鑰進行加密傳輸,總的來說,對數據進行對稱加密,對稱加密所要使用的密鑰通過非對稱加密傳輸。
HTTPS在傳輸的過程中會涉及到三個密鑰:
1、服務器端的公鑰和私鑰,用來進行非對稱加密
2、客戶端生成的隨機密鑰,用來進行對稱加密
一個HTTPS請求實際上包含了兩次HTTP傳輸,可以細分爲7步。
1、客戶端向服務器發起HTTPS請求,攜帶客戶端SSL/TLS信息,服務器端有一個密鑰對,即公鑰和私鑰,是用來進行非對稱加密使用的,服務器端保存着私鑰,將公鑰下發到客戶端。
2、客戶端收到服務器端的公鑰之後,會對公鑰進行檢查,驗證其合法性,如果發現發現公鑰有問題,那麼HTTPS傳輸就無法繼續。公鑰的驗證:在設備中存儲了全球公認的知名CA的公鑰。當客戶端接收到服務器的數字證書的時候,會通過系統中內置的CA公鑰進行解密,如果解密成功說明公鑰是有效的,否則就是不受信任的證書。
3、如果公鑰合格,那麼客戶端會生成一個隨機值,這個隨機值就是用於進行對稱加密的密鑰,我們將該密鑰稱之爲client key,即客戶端密鑰,這樣在概念上和服務器端的密鑰容易進行區分。然後用服務器的公鑰對客戶端密鑰進行非對稱加密,這樣客戶端密鑰就變成密文了,至此,HTTPS中的第一次HTTP請求結束。
4、客戶端會發起HTTPS中的第二個HTTP請求,將加密之後的客戶端密鑰發送給服務器。
5、服務器接收到客戶端發來的密文之後,會用自己的私鑰對其進行非對稱解密,解密之後的明文就是客戶端密鑰,然後用客戶端密鑰對數據進行對稱加密,這樣數據就變成了密文。
6、然後服務器將加密後的密文發送給客戶端。
7、客戶端收到服務器發送來的密文,用客戶端密鑰對其進行對稱解密,得到服務器發送的數據。這樣HTTPS中的第二個HTTP請求結束,整個HTTPS傳輸完成。