今天我總結(jié)了什么是HTTP三次握手,還有HTTPS握手的過(guò)程以及為什么HTTPS是安全的渐排。
前提
在講述這兩個(gè)握手時(shí)候攒岛,有一些東西需要提前說(shuō)明。
HTTP與TCP/IP區(qū)別鳞滨?
TPC/IP協(xié)議是傳輸層協(xié)議累盗,主要解決數(shù)據(jù)如何在網(wǎng)絡(luò)中傳輸六孵,而HTTP是應(yīng)用層協(xié)議,主要解決如何包裝數(shù)據(jù)幅骄。WEB使用HTTP協(xié)議作應(yīng)用層協(xié)議劫窒,以封裝HTTP 文本信息,然后使用TCP/IP做傳輸層協(xié)議將它發(fā)到網(wǎng)絡(luò)上拆座。
下面的圖表試圖顯示不同的TCP/IP和其他的協(xié)議在最初OSI(Open System Interconnect)模型中的位置:
PS:表格來(lái)自網(wǎng)上資料
CA證書(shū)是什么主巍?
CA(Certificate Authority)是負(fù)責(zé)管理和簽發(fā)證書(shū)的第三方權(quán)威機(jī)構(gòu)冠息,是所有行業(yè)和公眾都信任的、認(rèn)可的孕索。
CA證書(shū)逛艰,就是CA頒發(fā)的證書(shū),可用于驗(yàn)證網(wǎng)站是否可信(針對(duì)HTTPS)搞旭、驗(yàn)證某文件是否可信(是否被篡改)等散怖,也可以用一個(gè)證書(shū)來(lái)證明另一個(gè)證書(shū)是真實(shí)可信,最頂級(jí)的證書(shū)稱(chēng)為根證書(shū)肄渗。除了根證書(shū)(自己證明自己是可靠)镇眷,其它證書(shū)都要依靠上一級(jí)的證書(shū),來(lái)證明自己翎嫡。
HTTP三次握手
HTTP(HyperText Transfer Protocol)超文本傳輸協(xié)議是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議欠动。由于信息是明文傳輸,所以被認(rèn)為是不安全的惑申。而關(guān)于HTTP的三次握手具伍,其實(shí)就是使用三次TCP握手確認(rèn)建立一個(gè)HTTP連接。
如下圖所示圈驼,SYN(synchronous)是TCP/IP建立連接時(shí)使用的握手信號(hào)人芽、Sequence number(序列號(hào))、Acknowledge number(確認(rèn)號(hào)碼),三個(gè)箭頭指向就代表三次握手,完成三次握手,客戶(hù)端與服務(wù)器開(kāi)始傳送數(shù)據(jù)。
PS:圖片來(lái)自網(wǎng)上資料
第一次握手:客戶(hù)端發(fā)送syn包(syn=j)到服務(wù)器蛤奢,并進(jìn)入SYN_SEND狀態(tài),等待服務(wù)器確認(rèn)汪榔;
第二次握手:服務(wù)器收到syn包啊胶,必須確認(rèn)客戶(hù)的SYN(ack=j+1),同時(shí)自己也發(fā)送一個(gè)SYN包(syn=k)慌随,即SYN+ACK包芬沉,此時(shí)服務(wù)器進(jìn)入SYN_RECV狀態(tài);
第三次握手:客戶(hù)端收到服務(wù)器的SYN+ACK包阁猜,向服務(wù)器發(fā)送確認(rèn)包ACK(ack=k+1)丸逸,此包發(fā)送完畢,客戶(hù)端和服務(wù)器進(jìn)入ESTABLISHED狀態(tài)剃袍,完成三次握手黄刚。
HTTPS握手過(guò)程
HTTPS在HTTP的基礎(chǔ)上加入了SSL協(xié)議,SSL依靠證書(shū)來(lái)驗(yàn)證服務(wù)器的身份民效,并為瀏覽器和服務(wù)器之間的通信加密憔维。具體是如何進(jìn)行加密涛救,解密,驗(yàn)證的业扒,且看下圖检吆,下面的稱(chēng)為一次握手。
PS:圖片以下描述摘自:http://zhuqil.cnblogs.com
1. 客戶(hù)端發(fā)起HTTPS請(qǐng)求
2. 服務(wù)端的配置
采用HTTPS協(xié)議的服務(wù)器必須要有一套數(shù)字證書(shū)程储,可以是自己制作或者CA證書(shū)蹭沛。區(qū)別就是自己頒發(fā)的證書(shū)需要客戶(hù)端驗(yàn)證通過(guò),才可以繼續(xù)訪問(wèn)章鲤,而使用CA證書(shū)則不會(huì)彈出提示頁(yè)面摊灭。這套證書(shū)其實(shí)就是一對(duì)公鑰和私鑰。公鑰給別人加密使用咏窿,私鑰給自己解密使用斟或。
3. 傳送證書(shū)
這個(gè)證書(shū)其實(shí)就是公鑰,只是包含了很多信息集嵌,如證書(shū)的頒發(fā)機(jī)構(gòu)萝挤,過(guò)期時(shí)間等。
4. 客戶(hù)端解析證書(shū)
這部分工作是有客戶(hù)端的TLS來(lái)完成的根欧,首先會(huì)驗(yàn)證公鑰是否有效怜珍,比如頒發(fā)機(jī)構(gòu),過(guò)期時(shí)間等凤粗,如果發(fā)現(xiàn)異常酥泛,則會(huì)彈出一個(gè)警告框,提示證書(shū)存在問(wèn)題嫌拣。如果證書(shū)沒(méi)有問(wèn)題柔袁,那么就生成一個(gè)隨即值,然后用證書(shū)對(duì)該隨機(jī)值進(jìn)行加密异逐。
5. 傳送加密信息
這部分傳送的是用證書(shū)加密后的隨機(jī)值捶索,目的就是讓服務(wù)端得到這個(gè)隨機(jī)值,以后客戶(hù)端和服務(wù)端的通信就可以通過(guò)這個(gè)隨機(jī)值來(lái)進(jìn)行加密解密了灰瞻。
6. 服務(wù)段解密信息
服務(wù)端用私鑰解密后腥例,得到了客戶(hù)端傳過(guò)來(lái)的隨機(jī)值(私鑰),然后把內(nèi)容通過(guò)該值進(jìn)行對(duì)稱(chēng)加密酝润。所謂對(duì)稱(chēng)加密就是燎竖,將信息和私鑰通過(guò)某種算法混合在一起,這樣除非知道私鑰要销,不然無(wú)法獲取內(nèi)容构回,而正好客戶(hù)端和服務(wù)端都知道這個(gè)私鑰,所以只要加密算法夠彪悍,私鑰夠復(fù)雜捐凭,數(shù)據(jù)就夠安全拨扶。
7. 傳輸加密后的信息
這部分信息是服務(wù)段用私鑰加密后的信息,可以在客戶(hù)端被還原茁肠。
8. 客戶(hù)端解密信息
客戶(hù)端用之前生成的私鑰解密服務(wù)段傳過(guò)來(lái)的信息患民,于是獲取了解密后的內(nèi)容。
PS: 整個(gè)握手過(guò)程第三方即使監(jiān)聽(tīng)到了數(shù)據(jù)垦梆,也束手無(wú)策匹颤。
總結(jié)
為什么HTTPS是安全的?
在HTTPS握手的第四步中托猩,如果站點(diǎn)的證書(shū)是不受信任的印蓖,會(huì)顯示出現(xiàn)下面確認(rèn)界面,確認(rèn)了網(wǎng)站的真實(shí)性京腥。另外第六和八步赦肃,使用客戶(hù)端私鑰加密解密,保證了數(shù)據(jù)傳輸?shù)陌踩?/p>
HTTPS和HTTP的區(qū)別
1. https協(xié)議需要到ca申請(qǐng)證書(shū)或自制證書(shū)公浪。
2. http的信息是明文傳輸他宛,https則是具有安全性的ssl加密。
3. http是直接與TCP進(jìn)行數(shù)據(jù)傳輸欠气,而https是經(jīng)過(guò)一層SSL(OSI表示層)厅各,用的端口也不一樣,前者是80(需要國(guó)內(nèi)備案)预柒,后者是443队塘。
4. http的連接很簡(jiǎn)單,是無(wú)狀態(tài)的宜鸯;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸憔古、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議,比http協(xié)議安全淋袖。
附錄
HTTPS一般使用的加密與HASH算法如下:
非對(duì)稱(chēng)加密算法:RSA鸿市,DSA/DSS
對(duì)稱(chēng)加密算法:AES,RC4适贸,3DES
HASH算法:MD5灸芳,SHA1涝桅,SHA256
參考鏈接:
