HTTPS:初識SSL

2021-02-02    分類: 網(wǎng)站建設(shè)

HTTPS:初識ssl

一、ssl簡介

ssl中文名為安全套接字層(Secure Sockets Layer),現(xiàn)如今是應(yīng)用最廣泛的數(shù)據(jù)加密協(xié)議,該協(xié)議是由網(wǎng)景公司在90年代設(shè)計的主要用于Web的安全傳輸協(xié)議。該協(xié)議歷經(jīng)了三個版本,分別是ssl1.0、ssl2.0、ssl3.0。直到IETF將ssl進行了標(biāo)準(zhǔn)化,并將其稱為TLS(Transport Layer Security)傳輸層安全。嚴(yán)格來說TLS(傳輸層安全)是更為安全的升級版 ssl,而現(xiàn)在用的也基本是TLS協(xié)議。但是由于ssl這一術(shù)語更為常用,因此我們?nèi)匀粚⑽覀兊陌踩C書稱作 ssl或者ssl/TLS。到現(xiàn)在TLS也已經(jīng)經(jīng)歷了四個版本,分別是TLS1.0,TLS1.1(2006),TLS1.2(2008),TLS1.3(2018)。

1.1 非對稱加密算法

所謂的“非對稱加密技術(shù)”,意思就是說:“加密”和“解密”使用不同的密鑰 即每個用戶都有兩把鑰匙,一把公鑰一把私鑰。公鑰是對外發(fā)布的,所有人都看的到所有人的公鑰,私鑰是自己保存,每個人都只知道自己的私鑰而不知道別人的。用該用戶的公鑰加密后只能該用戶的私鑰才能解密。這種情況下,公鑰是用來加密信息的,確保只有特定的人(用誰的公鑰就是誰)才能解密該信息。1.2 對稱加密算法

所謂的“對稱加密技術(shù)”比較簡單,意思就是說:“加密”和“解密”使用相同的密鑰。就好比你用 7zip 或 WinRAR 創(chuàng)建一個帶密碼(口令)的加密壓縮包。當(dāng)你下次要把這個壓縮文件解開的時候,你需要輸入同樣的密碼。在這個例子中,密碼/口令就如同剛才說的“密鑰”。

1.3 特點

? ssl可對傳輸?shù)臄?shù)據(jù)進行加密,防止第三方竊取數(shù)據(jù)

? ssl協(xié)議具有防篡改機制,如果傳輸?shù)臄?shù)據(jù)在傳輸過程中被人篡改,通信雙方就會立刻發(fā)現(xiàn)

? ssl也具有身份驗證機制,防止身份被人冒充

1.4 ssl在TCP/IP模型中的位置



二、. 基本運行過程

ssl/TLS協(xié)議基本思路是采用的非對稱加密算法,客戶端先向服務(wù)器請求公鑰,然后再用公鑰進行數(shù)據(jù)加密,服務(wù)器接收到密文之后,再用自己的私鑰解密。

? 1.客戶端向服務(wù)器端索要并驗證公鑰

? 2.雙方協(xié)商生成“對話密鑰”

? 3.雙方采用“對話密鑰”進行加密通信

從上面的簡要過程可以看出,我們還使用了對稱加密算法,這是因為,如果客戶端與服務(wù)器的每一次會話都使用公鑰進行加密運算,由于公鑰加密的計算量是非常大的,因此為了減少這個加密計算消耗的時間,我們對交互數(shù)據(jù)使用對稱加密算法(時間消耗相比于非對稱算法少很多),我們只需要使用在最開始的公鑰加密算法獲取服務(wù)器給的對稱加密算法的對話密鑰,接下來的數(shù)據(jù)交互使用對話密鑰進行加解密就行了。

而上面的1和2我們又將其稱之為"握手階段" 握手階段客戶端與服務(wù)器之間存在四次通信,且通信的數(shù)據(jù)都是明文傳輸?shù)?/strong>。

2.1客戶端請求



客戶端向服務(wù)器發(fā)出需要加密通信的請求,這一步叫做ClientHello請求 客戶端提供的信息如下

信息

客戶端支持的TLS協(xié)議版本

客戶端生成一個隨機數(shù),用于后續(xù)生成“對話密鑰”

客戶端支持的加密方法,比如DHE-RSA非對稱加密算法

支持的壓縮算法


2.2 服務(wù)器回應(yīng)




信息

確認(rèn)需要使用的TLS協(xié)議版本

服務(wù)器也會生成一個隨機數(shù),用于后續(xù)生成“對話密鑰”

確認(rèn)使用的加密算法,比如DHE-RSA非對稱加密算法

服務(wù)器的證書

如果服務(wù)器需要確認(rèn)客戶端的身份,就會包含一個證書請求,要求客戶端提供客戶端證書確認(rèn)身份


2.3客戶端再回應(yīng)

客戶端得到響應(yīng)之后,先驗證服務(wù)器的證書,如果有問題,就會向用戶提示警告是否繼續(xù)訪問,如果沒有問題,客戶端就取出證書中的公鑰,然后向服務(wù)器發(fā)送以下數(shù)據(jù)



信息

發(fā)送一個用公鑰加密的隨機數(shù)數(shù)據(jù),這個隨機數(shù)也被稱為pre-master key

編碼更改通知,告訴服務(wù)器以后的數(shù)據(jù)都將采用已商定的加密方法和密鑰發(fā)送

客戶端握手結(jié)束通知,這一項同時也是前面發(fā)送的所有內(nèi)容的hash值,用來提供給服務(wù)器做防篡改驗證

到這里,我們可能會有疑問,為什么一定要用三個隨機數(shù)來生成會話密鑰,原因如下:

不管是客戶端還是服務(wù)器,都需要隨機數(shù),這樣生成的密鑰才不會每次都一樣。由于ssl協(xié)議中證書是靜態(tài)的,因此十分有必要引入一種隨機因素來保證協(xié)商出來的密鑰的隨機性。

對于RSA密鑰交換算法來說,pre-master-key本身就是一個隨機數(shù),再加上hello消息中的隨機,三個隨機數(shù)通過**一個密鑰導(dǎo)出器最終導(dǎo)出一個對稱密鑰**。

pre master的存在在于

ssl協(xié)議不信任每個主機都能產(chǎn)生完全隨機的隨機數(shù),如果隨機數(shù)不隨機,那么pre master secret就有可能被猜出來,那么僅適用pre master secret作為密鑰就不合適了,因此必須引入新的隨機因素,那么客戶端和服務(wù)器加上pre master secret三個隨機數(shù)一同生成的密鑰就不容易被猜出了,一個偽隨機可能完全不隨機,可是是三個偽隨機就十分接近隨機了,每增加一個自由度,隨機性增加的可不是一。"

2.4服務(wù)器最后的回應(yīng)

服務(wù)器收到客戶端的第三個隨機數(shù)pre-master key之后,計算生成本次會話所用的"會話密鑰"。

信息

編碼更改通知,告訴服務(wù)器以后的數(shù)據(jù)都將采用已商定的加密方法和密鑰發(fā)送

服務(wù)器握手結(jié)束通知,這一項同時也是前面發(fā)送的所有內(nèi)容的hash值,用來提供給客戶端做數(shù)據(jù)防篡改驗證

到這里,整個握手階段全部結(jié)束,之后,客戶端就可以與服務(wù)器進行加密通信了,對數(shù)據(jù)使用“會話密鑰”做對稱加密。

網(wǎng)站標(biāo)題:HTTPS:初識SSL
分享鏈接:http://www.muchs.cn/news39/98739.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供網(wǎng)站導(dǎo)航網(wǎng)站設(shè)計、品牌網(wǎng)站建設(shè)域名注冊、小程序開發(fā)商城網(wǎng)站

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)