java-信息安全(七)-基于非对称加密,对称加密等理解HTTPS
概述
java-信息安全(一)-BASE64,MD5,SHA,HMAC
java-信息安全(二)-对称加密算法DES,3DES,AES,Blowfish,RC2,RC4
java-信息安全(四)-数据签名、数字证书
java-信息安全(五)-非对称加密算法RSA
如果想要理解好https,请尽量了解好以上信息等。
参看文章:
http://www.ruanyifeng.com/blog/2014/09/illustration-ssl.html
https://cattail.me/tech/2015/11/30/how-https-works.html
http://www.cnblogs.com/binyue/p/4500578.html
基本概念
HTTPS其实是有两部分组成:HTTP + SSL / TLS,也就是在HTTP上又加了一层处理加密信息的模块。服务端和客户端的信息传输都会通过TLS进行加密,所以传输的数据都是加密后的数据。
Https是一种基于SSL/TLS的Http协议,所有的http数据都是在SSL/TLS协议封装之上传输的。
Https协议在Http协议的基础上,添加了SSL/TLS握手以及数据加密传输,也属于应用层协议。
——>HTTP协议运行在TCP之上,所有传输的内容都是明文,客户端和服务器端都无法验证对方的身份。
——>HTTPS是运行在SSL/TLS之上的HTTP协议,SSL/TLS运行在TCP之上。所有传输的内容都经过加密,加密采用对称加密,但对称加密的密钥用服务器方的证书进行了非对称加密。
TLS/SSL中使用了非对称加密,对称加密以及HASH算法。
图例【基于RSA模型】
第一步
浏览器给出协议版本号、一个客户端生成的随机数(Client random),以及客户端支持的一套加密规则发送给网站服务器。
第二步
服务器从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器、以及一个服务器生成的随机数(Server random)。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息。
第三步
浏览器确认数字证书有效,然后生成一个新的随机数(Premaster secret),并使用数字证书中的公钥,加密这个随机数,发给服务器。
获得网站证书之后浏览器要做以下工作:
a) 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等),如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示。
b) 如果证书受信任,或者是用户接受了不受信的证书,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密。
c) 使用约定好的HASH计算握手消息,并使用生成的随机数对消息进行加密,最后将之前生成的所有信息发送给网站。
第四步
服务器使用自己的私钥,获取浏览器发来的随机数(即Premaster secret)。
网站接收浏览器发来的数据之后要做以下的操作:
a) 使用自己的私钥将信息解密取出密码,使用密码解密浏览器发来的握手消息,并验证HASH是否与浏览器发来的一致。
b) 使用密码加密一段握手消息,发送给浏览器。
第五步
浏览器和服务器根据约定的加密方法,使用前面的三个随机数,生成"对话密钥"(session key),用来加密接下来的整个对话过程。
HTTPS一般使用的加密与HASH算法
非对称加密算法:RSA,DSA/DSS
对称加密算法:AES,RC4,3DES
HASH算法:MD5,SHA1,SHA256