- HTTPS是傳輸協(xié)議嗎?
- HTTPS與HTTP有什么關(guān)系?
- HTTPS為什么會安全?
閑扯一下
目前創(chuàng)新互聯(lián)建站已為上1000家的企業(yè)提供了網(wǎng)站建設(shè)�、域名����、網(wǎng)站空間���、網(wǎng)站托管運(yùn)營、企業(yè)網(wǎng)站設(shè)計(jì)��、泰安網(wǎng)站維護(hù)等服務(wù)�,公司將堅(jiān)持客戶導(dǎo)向���、應(yīng)用為本的策略,正道將秉承"和諧��、參與���、激情"的文化����,與客戶和合作伙伴齊心協(xié)力一起成長����,共同發(fā)展。
Mac筆記本�、Windows臺式機(jī)、Linux主機(jī)��。像這三種類型�,它們硬件不同,系統(tǒng)不同��,服務(wù)端處理的編程語言不同���。它們之間卻可以在網(wǎng)絡(luò)的世界了自由聯(lián)通�。靠的是什么呢?
靠的是它們遵守相同的規(guī)則(如:HTTP)�����。應(yīng)用層用什么格式(語言編碼�,報(bào)文字段)封裝報(bào)文、傳輸層如何將大量的數(shù)據(jù)分段���,并給每幀數(shù)據(jù)添加編號和端口信息��、網(wǎng)絡(luò)層如何給沒幀數(shù)據(jù)添加IP地址,目標(biāo)MAC地址����、數(shù)據(jù)鏈路層如何將數(shù)字信息通過網(wǎng)卡發(fā)出去。
HTTPS是傳輸協(xié)議嗎?
目前常見的應(yīng)用層協(xié)議
好像沒有看到HTTPS啊?
沒錯(cuò)����,HTTPS并非TCP/IP協(xié)議族中的一員,它其實(shí)是HTTP協(xié)議+SSL協(xié)議的組合體����,是披著SSL外衣的HTTP。
HTTPS與HTTP有什么關(guān)系?
HTTP實(shí)現(xiàn)的功能:一種機(jī)制簡單(這也是從早期眾多傳輸協(xié)議中走出來的原因)的超文本傳輸協(xié)議,為客戶端和服務(wù)器通信服務(wù)�,是處在TCP/IP協(xié)議族中的應(yīng)用層協(xié)議。
HTTP在發(fā)送請求時(shí)��,采用四層架構(gòu)��。
應(yīng)用層:提供多種應(yīng)用服務(wù)���,如:HTTP FTP DNS等�,可以直接提供給開發(fā)者使用����。
傳輸層:網(wǎng)絡(luò)間數(shù)據(jù)的傳輸,如:TCP TDP�,報(bào)文數(shù)據(jù)分割打包成幀
網(wǎng)絡(luò)層:處理網(wǎng)絡(luò)中流動的數(shù)據(jù)包,在復(fù)雜的網(wǎng)絡(luò)段中選擇一條傳輸路線��,將數(shù)據(jù)包送到目的地�。將現(xiàn)實(shí)中的寄快遞(在快遞上寫上收件地址等信息,送到快遞點(diǎn)(類似于路由器))
數(shù)據(jù)鏈路層:處理鏈接網(wǎng)絡(luò)的硬件部分�����,如:網(wǎng)絡(luò)適配器��,硬件驅(qū)動,操作系統(tǒng)��,光纖��。
HTTP請求過程中的重要概念!
1.數(shù)據(jù)包在網(wǎng)絡(luò)層怎么走的呢?
在數(shù)據(jù)包傳輸過程中�,需要不斷使用地址解析協(xié)議(IP和MAC地址對應(yīng)的表,互相反查)�����,進(jìn)行路由選擇(將數(shù)據(jù)包丟給一個(gè)路由器���,路由器會根據(jù)數(shù)據(jù)包上帶的地址����,自動分揀�����,傳給它認(rèn)為比較好的下一站路�,直到到達(dá)目的地)
2.TCP通訊三次握手
- 客戶端先發(fā)送一個(gè)SYN(synchronize)
- 服務(wù)端收到后����,返回一個(gè)SYN(synchronize)/ACK(acknowledgement)
- 客戶端發(fā)送一個(gè)ACK(acknowledgement)
3.DNS域名解析服務(wù):在瀏覽器輸入url后,點(diǎn)擊enter。
- 網(wǎng)絡(luò)首先會拿填寫的域名到dns服務(wù)器查詢對應(yīng)的IP地址�。
- 瀏覽器將請求傳給返回的IP地址。
4.HTTP與HTTPS通信的區(qū)別
只是在應(yīng)用層與傳輸層之間添加了一個(gè)SSL層
HTTPS為什么會安全?
既然HTTPS是披著SSL外衣的HTTP�����,那SSL是什么呢?
SSL是安全套接字層��,是目前比較成熟的提供可靠數(shù)據(jù)傳輸?shù)陌踩珔f(xié)議��。SSL可以提供證書認(rèn)證����,數(shù)據(jù)加密,完整性保護(hù)等保護(hù)性策略��。
數(shù)據(jù)加密原理
SSL采用的加密策略是:非對此加密+對稱加密的混合加密方式
- 對成加密:單純的對稱加密�,加密解密的效率高,但是在客戶端于服務(wù)端共享密鑰時(shí)�����,容易被中間劫持泄露����,不夠安全
- 非對稱加密:是新一代加密方案��,加密解密銷量低����,但是可以實(shí)現(xiàn)密鑰的安全傳輸��,想通過公鑰解出私鑰難道極大���,基本不可能����。
最中采用交換共享密鑰時(shí)��,使用非對稱加密��。然后用共享密鑰加密�。這樣既避免了密鑰被劫持,又保證了效率
數(shù)據(jù)完整性策略
采用報(bào)文摘要的策略�,防止報(bào)文主題被修改。
在報(bào)文發(fā)送前�����,先通過md5-base64加密���,得到一個(gè)報(bào)文主體的摘要�,把這個(gè)摘要放到請求首部中�,等服務(wù)器收到信息,采用同樣的算法�,加密報(bào)文主體,根據(jù)得到的結(jié)果是否和報(bào)文摘要一致來判斷數(shù)據(jù)的完整性��。
SSL和TLS的關(guān)系
目前常見的加密協(xié)議有兩個(gè)SSL3.0和TLS1.0����,它們之間有什么區(qū)別呢?
- SSL:是有瀏覽器開發(fā)商網(wǎng)景通信公司發(fā)起并開發(fā)到了SSL3.0版本
- TLS(Transport Layer Security):后面主導(dǎo)權(quán)移交給了IETF組織,他們在SSL3.0基礎(chǔ)上開發(fā)了 TLS一系列版本����。它們是“父子”關(guān)系。
HTTPS協(xié)議安全通信步驟
HTTPS協(xié)議安全通信步驟中有三個(gè)主角元素:客戶端���,服務(wù)器����,第三方可信任的證書頒發(fā)機(jī)構(gòu)�。
過程如下:
- 服務(wù)器的運(yùn)維人員向“第三方可信任的證書頒發(fā)機(jī)構(gòu)”提供公司的有效信息+公鑰。
- “第三方可信任的證書頒發(fā)機(jī)構(gòu)”認(rèn)證公司有效�����,就用“第三方可信任的證書頒發(fā)機(jī)構(gòu)”的私鑰給服務(wù)器的公鑰簽名,然后創(chuàng)建一個(gè)證書���,證書中加入了公鑰+公鑰簽名結(jié)果�,發(fā)給服務(wù)器�。服務(wù)器運(yùn)營人員需要支付一定的費(fèi)用。
- 客服端安裝瀏覽器�����,瀏覽器內(nèi)部內(nèi)置了“第三方可信任的證書頒發(fā)機(jī)構(gòu)”的根證書���,里面包含了“第三方可信任的證書頒發(fā)機(jī)構(gòu)”的公鑰信息
- //正式開始SSL通信
- 客戶端發(fā)送請求給ClientHello到服務(wù)器���,請求報(bào)文中包含客戶端支持的SSL指定版本號,加密組件列表(使用的加密算法和密鑰長度)
- 服務(wù)端收到請求后���,也回發(fā)生個(gè)ClientHello回應(yīng)��,里面包含了使用的SSL版本和加密組件(該加密組件是從客戶端發(fā)生的列表中篩選出來的)
- 緊接著服務(wù)器發(fā)生證書報(bào)文(Certificate)����,將服務(wù)器申請的公鑰證書傳給客戶端
- 然后服務(wù)器發(fā)生一個(gè)Server Hello Done報(bào)文給客戶端�,表示初期階段的SSL握手協(xié)商結(jié)束。
- 客戶端收到服務(wù)器發(fā)來的公鑰證書后���,拿本地存儲的第三方機(jī)構(gòu)根證書中的公鑰對證書中的簽名信息解密�,如果解密的結(jié)構(gòu)同證書中的原始服務(wù)器公鑰信息一樣����,證明服務(wù)器可信。
- 接著客戶端在本地生成一個(gè)隨機(jī)密碼字符串�。用服務(wù)器的公鑰加密這個(gè)字符串,將得到的結(jié)果傳遞給服務(wù)器器��。
- 然后客戶端再發(fā)送一個(gè)Change Cipher Spec報(bào)文(修改加密規(guī)則說明)給服務(wù)器��,告訴服務(wù)器下面的通信將采用剛才的隨機(jī)密碼字符串作為加密密鑰�����。
- 客戶端發(fā)生一個(gè)Finish報(bào)文�,報(bào)文中包含了從連接到現(xiàn)在所有報(bào)文的整體校驗(yàn)碼,上面一系列的握手協(xié)商是否能成功����,就看服務(wù)器能否正確解密這個(gè)Finish報(bào)文了��。
- 服務(wù)器正確解密后����,也發(fā)送個(gè)Change Cipher Spec報(bào)文(修改加密規(guī)則說明)給客戶端����。
- 服務(wù)端也發(fā)送個(gè)Finish報(bào)文讓客戶端解密驗(yàn)證。
- 等客戶端����、服務(wù)器兩者的Finished報(bào)文都正常交換后,SSL連接算是正式建立完成����。下面的通信就會受到SSL的加密保護(hù)。
- 現(xiàn)在客戶端就可以安全的給服務(wù)器發(fā)送簡單的應(yīng)用層協(xié)議(http)了�,并得到受保護(hù)的響應(yīng)
- 通訊完成,由客戶端發(fā)送close_notify報(bào)文�����,通知服務(wù)器斷開鏈接����。
當(dāng)前名稱:一文科普:白話HTTPS
地址分享:
http://uogjgqi.cn/article/dpjejgd.html
