图文结合,帮你理清HTTPS请求中的SSL加密过程

最新推荐文章于 2024-08-22 04:00:37 发布
最新推荐文章于 2024-08-22 04:00:37 发布
阅读量558 收藏 1
点赞数
文章标签: https http ssl 网络协议 openssl

点击上方“蓝色字体”,选择“设为星标

做积极的人,而不是积极废人!

my.oschina.net/u/3412738/blog/3212116:来源

vinci321:作者

首先上图

我们知道HTTP是应用层协议,它会在IP寻址,经过三次TCP握手,建立TCP连接通道后,开始传输数据。在这里,如果有人进行TCP抓包,则可以获取到传输的数据,甚至对数据进行篡改,这会造成安全问题。为了解决这个问题,HTTPS应运而生。

HTTPS 被称为 HTTP Over SSL (基于SSL加密的HTTP),这里的SSL (Secure Socket Layer) 被称为 安全套接层,它是一种加密协议,能加密的东西很多,不止HTTP协议、还有POP3协议、SMTP协议(SMTP Over SSL)、VPN等。当然,还有 TLS (Transport Layer Security)  传输层安全,是公有加密协议,TLS只是对SSLv3做了些修改和增加,有时也一起统称为 SSL。

1,SSL 位于 协议的哪一层?

我们知道,数据的源头来源于HTTP应用层,而TCP/IP负责寻址和数据的打包封装和传输,那对数据的加密,自然就在HTTP 和 TCP/IP 之间工作了,如下图

原来的数据包

加入SSL之后的数据包

 

2,SSL 如何工作

当建立了TCP连接通道后,就可以开始传输HTTP头数据了,但是要用SSL对HTTP数据进行加密。既然是加密,自然涉及到一套加密体系(算法,公钥,私钥等)。但是在浏览器第一次连接服务器进行HTTPS请求的时候,客户端是没有这些加密体系的,那要怎么才能获取到?既然客户端没有,那只能从服务端获取了。所以,客户端要先从服务端获取到SSL加密体系。

如何获取呢?既然建立了TCP连接,那就通过TCP连接通道来获取了。

2.1 通过TCP连接通道,获取SSL加密体系

上图

2.1.0 客户端与服务端建立连接 (已经由TCP握手完成)。

2.1.1 客户端生成一个32位的随机数A (ClientHello.Random),告诉接服务器,我是什么浏览器,我支持哪些SSL协议版本号,支持哪些加密算法,压缩方式,Server Name (域名,这样服务器就知道找那个域名的证书发过来,参考Nginx的Server Name)加上 文本内容“Hello”,发出 ClientHello,开始协商握手。

2.1.2 服务端收到客户端的ClientHello,知道了客户端的一些信息,比如SSL协议版本号,加密算法列表,然后和服务端自己支持的版本号和加密算法进行对比,选择出双方都能使用的协议版本号和算法,加上一个32位的随机数B(ServerHello.Random),把这些信息,打包在一起,向客户端返回一个服务端Hello (ServerHello),告诉客户端,我选择了哪个协议和算法。

2.1.3 随后服务器给客户端发送一个Certificate报文 (数字证书),报文中包含服务端的公钥证书(从CA数字证书管理机构处获取,在nginx配置中相关证书的存放目录)

2.1.4  紧接着服务器给客户端发送Server Hello Done, 表示最初的协商握手过程结束。

2.1.5.0 客户端验证服务端公钥,对证书的有效期、合法性、域名是否与请求的域名一致、证书的公钥(RSA加密)等进行校验。

2.1.5 客户端校验证书等通过后,以Client Key Exchange作为回应,再次产生一个48位的随机密码串C  预主密码 (Pre-Master Secret),

2.1.5.1 若采用RSA,会产生一个新的随机数作为Pre-Master Secret,通过2.1.4步骤中得到的证书中的公钥 或者 Server Key Exchange 消息内的临时RSA密钥,对其进行加密,发到服务器

2.1.5.2 若采用DH,证书中已包含了DH算法需要的两个整数(p, g),直接通过算法根据已经交换的两个随机数可以算出Pre-Master Secret,

图中使用的是 ECDHE 算法,ClientKeyExchange 传递的是 DH 算法的客户端参数,如果使用的是 RSA 算法则此处应该传递 RSA加密过的 预主密钥

此时,客户端有了随机数A,随机数B,随机数Pre-Master Secret,就可以生成 Master Secret了。(参见 2.1.10)

2.1.6 客户端发送Change Cipher Spec 密钥变更说明包,该报文告知服务端,此步骤告诉服务器,之后的所有数据将使用 2.1.5步骤 生成的master secret进行加密;

2.1.7 随后客户端发送Finish报文,此报文中包含连接至今所有报文的整体校验值,用于完整性验证;

2.1.8.0 服务端使用 私钥 对 秘密消息 进行解密,得到 Pre-Master Secret;

此时,服务端有了随机数A,随机数B,随机数Pre-Master Secret,也可以生成 Master Secret了。(参见 2.1.10)

2.1.8 服务端接收到客户端发送的Change Cliper Spec报文后,同样以Change Cliper Spec报文作为回应;

2.1.9 服务端发送Finish报文给客户端,表示服务端已正确解析客户端发送的整体校验值,至此,SSL握手的过程结束。

2.1.10 客户端和服务端,都根据随机数A (ClientHello.random), 随机数B (ServerHello.random), 随机密码串C (Pre-Master Secret)三个参数,通过 PRF (Pseudo-Random Function) 算出 master secret,作为数据传输对称加密的 密钥Session Key。

master_secret = PRF(Pre_master, "master secret", ClientHello.random + ServerHello.random)

2.1.11 此后,开始使用HTTP协议,去传输使用Session Key加密过的数据。

为了解决安全和效率问题,SSL使用了对称加密(加密和解密使用同样的密钥)和非对称加密(公钥加密,私钥解密)组合的方式:使用非对称加密的方式传输对称加密中生成密钥的种子(Pre-master secret)【对应上面的2.1.5】,然后使用对称加密的方式对通信数据进行加密【对应上面的2.1.13】,既保障了密钥的安全性,也提高了加密速度。

 

2.2 归纳SSL五次握手,或四次

2.2.1 客户端请求建立SSL链接,并向服务端发送协议版本号、一个随机数–Client random和客户端支持的加密方法,比如RSA公钥加密,此时是明文传输。

2.2.2 服务端回复一种客户端支持的加密方法、一个随机数–Server random、授信的服务器证书和非对称加密的公钥。

2.2.3 客户端收到服务端的回复后,确认数字证书有效,然后生成新的随机数–Pre-master secret,通过服务端下发的公钥及加密方法进行加密,发送给服务器。

2.2.4 服务端收到客户端的回复,利用自己的私钥解密获得Pre-master secret,

2.2.5 服务端利用Client random、Server random和Premaster secret通过一定的算法生成HTTP链接数据传输的对称加密key – session key(包含于上面提到的master secret中),用来加密接下来的整个对话过程。

握手阶段有三点需要注意。

  1. 生成对话密钥一共需要三个随机数。

  2. 握手之后的对话使用"对话密钥"加密(对称加密),服务器的公钥和私钥只用于加密和解密"对话密钥"(非对称加密),无其他作用

  3. 服务器公钥放在服务器的数字证书之中。

可见,在整个握手阶段都不加密(也没法加密),都是明文的。因此,如果有人窃听通信,他可以知道双方选择的加密方法,以及三个随机数中的两个。整个通话的安全,只取决于第三个随机数(Premaster secret)能不能被破解。

Master secret与session key
由于服务端和客户端都有一份相同的PreMaster secret和随机数,这个随机数将作为后面产生Master secret的种子,结合PreMaster secret,客户端和服务端将计算出同样的Master secret。
Master secret是由一系列的hash值组成的,它将作为数据加解密相关的secret的Key Material。
Master secret最终解析出来的数据如下:


其中,write MAC key,就是session secret或者说是session key。
Client write MAC key是客户端发数据的session secret,Server write MAC secret是服务端发送数据的session key。
MAC(Message Authentication Code),是一个数字签名,用来验证数据的完整性,可以检测到数据是否被串改。

证书
证书由值得信任的第三方机构颁发,用以证明服务器和客户端是实际存在的。
现在主要还是客户端去检验服务端的证书,客户端的证书还不够普及,如银行的网上银行就需要客户端证书。

HTTPS 比 HTTP 要慢 2 到 100 倍
SSL 的慢分两种。一种是指通信慢。另一种是指由于大量消耗CPU 及内存等资源,导致处理速度变慢。
和使用 HTTP 相比,网络负载可能会变慢 2 到 100 倍。除去和TCP 连接、发送 HTTP 请求 • 响应以外,还必须进行 SSL 通信,
因此整体上处理通信量不可避免会增加。另一点是 SSL 必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上讲,比起 HTTP 会更多地消耗服务器和客户端的硬件资源,导致负载增强。
针对速度变慢这一问题,并没有根本性的解决方案,我们会使用SSL 加速器这种(专用服务器)硬件来改善该问题。该硬件为SSL 通信专用硬件,相对软件来讲,能够提高数倍 SSL 的计算速度。仅在 SSL 处理时发挥 SSL 加速器的功效,以分担负载。

参考及引用: 

https://www.jianshu.com/p/569bf898a19a
https://blog.youkuaiyun.com/hik_zxw/java/article/details/50287625
https://www.cnblogs.com/taoshihan/p/11278548.html
https://blog.youkuaiyun.com/pzhier/article/details/86631199

关注公众号「前端布道师」,一起进步,一起成长!

▼ 往期精彩回顾 ▼

 10 多秒到 1.05 秒的端性能优化实践

2019 你应该知道的HTTP/2/3新特性

一名攻城狮都必须懂的前端性能优化~

011. 盛最多水的容器 | Leetcode题解

“在看转发”是最大的支持

苏南South
关注
SSL及其加密通信过程
qq_40149612的博客
09-21 2万+
SSL协议和加密过程一、什么是SSL二、HTTPSSSL三、SSL加密方式3.1 对称加密与非对称加密3.1.1对称加密3.1.2非对称加密3.2 具体的加密过程 一、什么是SSL SSL英文全称Secure Socket Layer,安全套接层,是一种为网络通信提供安全以及数据完整性的安全协议,它在传输层对网络进行加密。它主要是分为两层: SSL记录协议:为高层协议提供安全封装、压缩、加密等...
(一)软件测试规范
jylee的博客
08-02 1154
正确回答通过率:39.0%[ 详情 ] 推荐指数: ★★★★ 试题难度: 高难兼容测试主要是检查软件在不同的硬件平台、软件平台上是否可以正常的运行,即是通常说的软件的可移植性。兼容的类型,如果细分的话,有平台的兼容,网络兼容,数据库兼容,以及数据格式的兼容。兼容测试的重点是,对兼容环境的分析。通常,是在运行软件的环境不是很确定的情况下,才需要做兼容。根据软件运行的需要,或者根据需求文档,一般都能够得出用户会在什么环境下使用该软件,把这些环境整理成表单,就得出做兼容测试的兼容环境了。
httpsSSL加密过程详解,看这一篇就够了!
nb1253587023的博客
06-27 1865
ssl
https协议--SSL加密流程
S5242的博客
04-22 2206
文章目录https协议格式:https加密流程(SSL加密流程)总结: https—即加密http协议,使用了SSL加密。 hhtp服务端口:80 https服务端口:443 https协议格式: 具体信息可以参考:http协议格式 上面请求的资源在请求首行的查询字符串里,请求无正文;然后服务器的响应有正文。 https加密流程(SSL加密流程) http协议使用了SSL加密SSL加密流程为: 1.身份验证:使用CA认证–CA证书(权威机构信息,机构信息,有效期…),一般为找一个通信双发都信任的第三
SSL加密过程
qq_46130027的博客
07-07 730
客户端先从密匙库中拿出一个密匙对,通过网络传输到我们的服务端这边,然后服务端收到了,它就需要验证一下对端是否是可以信任的。对我们的消息进行加密。变成密文后,这样在传输的过程中,即使这些密文被别人劫持,别人也是无法获取到有用的信息的。而双向验证就是我们服务端再从密匙库中取出一个密匙对,通过网络传输到客户端这边,客户端采取同样的方式对服务端进行验证。这个时候,我们的客户端就可以利用我们的密匙,把我们已经编码好的数据流进行加密成密文,然后传送到服务端这边。首先我们的客户端有两个库,一个密匙库,一个信任库。
SSL加密过程
分享Android开发知识
01-31 1128
1、为什么会出现ssl加密算法 HTTP(Hyper TEXT Transfer Protocol超文本传输协议)是目前互联网上应用最为广泛的一种网络协议,用于在Web浏览器和网站服务器之间传递信息,但是HTTP协议以明文的方式发送内容,不提供任何数据加密,攻击者能够很轻易通过抓包的方式截取传输内容并读懂其中的信息,所以HTTP不适合传输一些比较私密的信息,为了解决HTTP这一缺陷,HTTPS(H...
好的,我现在要助这个用户完成他的毕业设计——基于SSM的在线音乐播放系统。用户是Java新手,没有任何基础,时间只有两个月,所以需要详细的开发流程和教程。首先,我需要理清整个项目的结构和步骤,确保每一步都清晰易懂。 用户提到的系统功能分为三块:用户管理、音乐管理、音乐播放。我应该从最基础的环境搭建开始,然后逐步引导他完成各个模块的开发。首先,得确保他安装好必要的开发工具,比如JDK、Maven、Tomcat、MySQL和IDEA。接下来是创建Maven项目,配置SSM框架,这可能会涉及到pom.xml的依赖管理,以及Spring、Spring MVC和MyBatis的配置文件。 然后,用户管理模块需要设计数据库表,比如用户表的结构,包括用户名、密码等字段。接着是实体类、DAO层、Service层和Controller层的代码编写。这里要详细说明每个部分的作用,并提供示例代码。可能需要解释MyBatis的Mapper接口和XML映射文件的使用。 音乐管理模块涉及文件上传和存储,这里需要指导用户如何处理音乐文件的上传,存储路径的配置,以及数据库中的音乐信息管理。同时,音乐播放功能需要前端页面的支持,比如使用HTML5的audio标签,以及后端提供音乐文件流的接口。 考虑到用户的时间有限,每个步骤都需要详细但不过于复杂,避免让他感到困惑。可能需要分阶段指导,比如先完成环境搭建和项目配置,然后逐步实现各个功能模块。同时,要提醒他在开发过程中注意常见错误,比如依赖冲突、配置错误,以及文件路径的问题。 另外,用户可能对SSM框架不熟悉,所以需要解释每个框架的作用和它们之间的整合方式。例如,Spring的IoC和AOP,Spring MVC的控制器和视图解析,MyBatis的数据持久化等。通过简单的示例和注释,助他理解各个组件之间的关系。 最后,测试和部署也是重要的部分。需要指导他如何使用Postman测试接口,如何将项目打包成WAR文件并部署到Tomcat服务器上。可能还需要介绍一些基本的调试技巧,比如查看日志、断点调试等。 总之,我需要将整个开发流程分解成多个小步骤,每个步骤都提供详细的教程和代码示例,确保用户能够逐步跟进,顺利完成毕设。同时,语言要简洁明了,避免使用专业术语,或者在使用时进行解释,以符合他作为新手的理解水平。 以下是为您规划的2个月开发计划,今天我们先开始第一部分:环境搭建与项目初始化 # 一、第1周:环境准备与项目创建(建议用时3天) ## 1. 开发环境安装(必须严格按版本安装) ```markdown 1. JDK 1.8(官网下载安装,配置JAVA_HOME环境变量) 2. Apache Maven 3.6.3(配置MAVEN_HOME和仓库路径) 3. Tomcat 9(解压即可用) 4. MySQL 5.7(建议使用XAMPP集成环境) 5. IntelliJ IDEA 2023社区版(免费) ``` ## 2. 创建Maven项目(图文教程) 步骤: 1. 打开IDEA → New Project → Maven → 勾选`Create from archetype`选择`maven-archetype-webapp` 2. GroupId填`com.yourname`,ArtifactId填`music-system` 3. 确认项目路径 → 完成创建 ## 3. 基础pom.xml配置(复制即可) ```xml <dependencies> <!-- Spring核心 --> <dependency> <groupId>org.springframework</groupId> <artifactId>spring-webmvc</artifactId> <version>5.3.18</version> </dependency> <!-- MyBatis --> <dependency> <groupId>org.mybatis</groupId> <artifactId>mybatis</artifactId> <version>3.5.7</version> </dependency> <!-- MySQL驱动 --> <dependency> <groupId>mysql</groupId> <artifactId>mysql-connector-java</artifactId> <version>8.0.27</version> </dependency> <!-- JSP支持 --> <dependency> <groupId>javax.servlet</groupId> <artifactId>javax.servlet-api</artifactId> <version>4.0.1</version> <scope>provided</scope> </dependency> </dependencies> ``` ## 4. 目录结构调整(必须严格遵循) ```bash src ├── main │ ├── java │ │ └── com │ │ └── yourname │ │ ├── controller │ │ ├── service │ │ ├── dao │ │ └── pojo │ ├── resources │ │ ├── spring │ │ │ ├── applicationContext.xml │ │ │ └── spring-mvc.xml │ │ └── mybatis-config.xml │ └── webapp │ ├── WEB-INF │ │ └── views │ └── static │ ├── css │ ├── js │ └── uploads ``` 下一步建议:是否需要我详细讲解每个配置文件的作用?或者您想先创建数据库?请告诉我您当前的进度和疑问。 先创建数据库
最新发布
03-08
同时,提醒他在后续开发中如何使用实体类映射这些表结构,比如创建User和Music类,对应表中的字段。 最后,确认用户是否成功创建了数据库和表,是否需要进一步助,比如插入测试数据,或者进行简单的CRUD操作测试...
ASP.net难点解析
热门推荐
NDK2010_的专栏
12-02 1万+
认识Asp.net 中相对路径与绝对路径 分类: 技术文档2010-01-1217:051490人阅读评论(1)收藏举报 好多人对相对路径与绝对路径老是混淆记不清楚,我从整理了一下,希望对大家的认识有助。 +++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++ 1.Request.Applicat
SSL加密流程
w1964332的专栏
04-24 1059
昨天研究一天密码学,把一些简单的概念给弄清楚了。   2种加密方式:symmetric-key encryption(对称加密)  public-key encryption(公钥加密)   第一种对称加密:数据经过一个对称密钥加密,然后在解密端通过同一个对称密钥解密。优点:速度快 ,而且大数据的加解密。缺点:共享同一个密钥,安全性有待提高。   第二种公钥加密:数据通过公钥加密后,需
SSL及其加密过程
ahelloyou的博客
07-19 7638
SSL及其加密过程 文章目录SSL及其加密过程一、什么是SSL二、HTTPHTTPS三、SSL加密方式3.1 对称加密与非对称加密3.1.1对称加密3.1.2非对称加密3.2 具体的加密过程于是数字证书出现! 原文链接 一、什么是SSL SSL其实就是Secure Scoket Layer安全套接层,提供了一种为网络通信提供安全以及数据完整性的安全协议,再传输层对网络进行加密SSL记录协议: 为高层协议提供安全封装,压缩,加密等基本功能 SSL握手协议:用与再数据传输开始前进行通信双方的身份验证、加
浅谈https\ssl\数字证书,互联网营销
weixin_34220963的博客
09-02 180
  在互联网安全通信方式上,目前用的最多的就是https配合ssl和数字证书来保证传输和认证安全了。本文追本溯源围绕这个模式谈一谈。 名词解释   首先解释一下上面的几个名词: https:在http(超文本传输协议)基础上提出的一种安全的http协议,因此可以称为安全的超文本传输协议。http协议直接放置在TCP协议之上,而https提出在http和TCP中间加上一层加密层。从发送端看,这一层...
HTTPS加密机制SSL详解
m0_74209411的博客
04-03 1725
HTTPS加密方式的详解,包含对称加密、非对称加密、以及证书的使用
SSL协议之数据加密过程详解
weixin_48720927的博客
07-29 755
SSL 只要你听过HTTPS,不可能没听过SSL协议吧,SSL协议是一种安全协议。 ​HTTP+SSL = HTTPS HTTP是一种明文传输协议,而HTTPS就是在他的基础上加了SSL这个外挂来对传输的数据进行加密SSL具体是如何实现加密的呢? 真相永远只有一个。先看下面两个概念: 对称加密 非对称加密 哈?这是什么东东,我们用最通俗的方式来解释 你有对象吗?没有对象你也谈过恋爱吧?没谈过的请自行面壁五分钟反省一下自己为什么没。有对象的男同胞们会发现,你的人身自由彻底受到限制。酒吧蹦迪别想了,去网吧都会
https建立连接过程
ago_lei的博客
12-27 1580
一、背景 现在大多数的网站都升级为https协议了,包括百度、知乎等,当然还包括对安全性要求高的支付业务和银行业务都是用httpshttps相对于http的劣势是,https建立连接需要多次握手,而且还要进行RSA加密解密,这是个耗时的过程,那么为什么对安全性要求不高的网站也升级为https。那是因为http是用明文传输,在传输过程中,我们的信息可能会被篡改,或者会被第三方截取插入一些别的信息...
Https请求SSL问题)
weixin_30399871的博客
07-26 264
本来最新的 requests 库 是支持 https 请求的,但是一般写脚本时候,我们会用抓包工具 fiddler或者Charles,这时候会 报: requests.exceptions.SSLError: [SSL:CERTIFICATE_VERIFY_FAILED] certificate verify failed (_ssl.c:590) 【解决方案】 方案一 :直接关...
https ssl 请求过程详解
weixin_35334000的博客
08-22 187
http 协议:http 协议是一种无状态,短链接的 通信协议,http 协议建立在 tcp 协议之上。  http 协议 分成 三个 部分 请求行,请求头,请求体  请求行: 就是访问的地址 ( 包含 ? 和后面的参数) 如: 127.0.0.1/server/add?id=1  请求头: http 的 heade...
SSL 加密过程 原理
jinjiang888666的专栏
04-15 6651
2011年4月15日10:50hello客户端                  --------------------------------------->                服务端Hello+公key1+证书(详见下)              用公key1来加密key3        --------------------------------------------> 用私key2来解密,得     到key3                发送确认
https SSL流程原理
u012957549的博客
04-05 420
前面两章介绍了,我们了解对称加密与非对称加密的特点和优缺点,以及数字证书的作用。https没有采用单一的技术去实现,而是根据他们的特点,充分的将这些技术整合进去,以达到性能与安全最大化。这套整合的技术我们称之为SSL(Secure Scoket Layer 安全套接层)。所以https并非是一项新的协议,它只是在http上披了一层加密的外壳。 https的建立 先看一下建立的流程图: 这里把h...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值