HTTPS解析

HTTPS 定义

HTTP之下增加的一个安全层,在应用层和传输层中间,用于保障HTTP的加密传输。

HTTPS连接过程

  • 客户端请求建立TLS的连接。

  • 服务器发回给客户端证书。

  • 客户端验证服务器证书。

  • 客户端信任服务器后,使用非对称加密和服务器协商对称密钥。

  • 使用对称密钥开始通信。

客户端请求建立TLS连接(client hello):

客户端会向服务器发送一个名为client hello的字节,表示我想建立一个https的连接,其中发送的数据还包含:

可选的TLS的版本

可选的加密套件

  • 可选的对称加密算法
  • 可选的非对称加密算法
  • 可选的hash算法

客户端随机数1

发送给服务器后,服务器会从可选的TLS版本中找到自己支持的版本。可选的加密套件中选择出自己支持的对称加密算法、非对称加密算法、hash算法。客户端发送给服务器一个客户端随机数之后,服务器保留一份,客户端也保留一份。

服务器发出建立响应(server hello):

服务器从客户端发送的TLS版本,加密套件里面确定支持的版本和加密算法发送给客户端,并且服务器也会向客户端发送一个随机数2,同样服务器也保留一份。

服务器发送证书

证书的核心意义在于发送一个公钥。
其中证书包含下面这些信息:

  • 证书
    • 服务器公钥(用于加密通信)
    • 服务器主机名
    • 服务器地区
  • 证书的签名(使用私钥对证书进行非对称加密)
  • 证书签发机构的公钥(证书的签名的公钥)

    用来解密证书签名,然后使用公钥对证书进行非对称加密(指纹或摘要)做对比。

    • 签发机构的名字
    • 签发机构的地区

但是证书的签发机构有可能是不安全的还需要发送:

  • 证书签发机构公钥的签名
  • 证书签发机构的签发机构的公钥

    用来解密证书签发机构公钥的签名,然后使用公钥对证书签发机构的公钥进行非对称加密(指纹或摘要)作对比。

    • 根证书的名字
    • 根证书的地区

而证书签发机构的签发机构的公钥叫根证书。这个根证书是存在本地的,安卓设备可在设置->安全->信任的凭据中找到。
上面的证书中还包含服务器主机名,这样保证了其他网站的拦截,因为主机名不一样,导致最后解密的证书的摘要也不一样。

客户端发送Pre-master secret数据

客户端再次生成一个随机数,使用从服务中获得公钥进行加密发送给服务器,这个数据叫Pre-master secret
Pre-master secret结合客户端最开始生成的随机数1和服务器发送过来的随机数2生成Master secret,因为客户端和服务端都有客户端随机数服务端随机数和Pre-mastersecret,所以双方都会生成Master secret

解析Master secret

Master secret是进行加密通信的基础,而Master secret又会生成四个数据

  • 客户端加密密钥
  • 服务端加密密钥
  • 客户端MAC secret
  • 服务端MAC serect

客户端和服务器互相发送消息时使用对称加密,客户端对服务器发送消息时使用客户端加密密钥进行加密,服务器使用客户端加密密钥进行解密。服务端对客户端发送消息使用服务端加密密钥加密,客户端接收到消息之后使用服务端的加密密钥进行解密。

其中的MAC secretHMAChash-based message authenticate code, 比如:客户端发送内容,先对内容加上MAC secret进行hash算法,放在内容的后面再使用客户端的加密密钥进行加密,服务端接收到消息之后,先使用客户端的加密密钥进行解密,得到内容和内容加上MAC srecret进行hash后的值,服务器将内容加上服务端的MAC serect后进行hash后得到值和客户端发送过来的内容加上MAC srecret进行hash的值进行比较,这样既能比较内容是否完整是否被篡改又能校验消息发送方。服务器向客户端发送消息亦然。

客户端向服务器提醒将使用加密通信,并将以上的交互加上MAC secrethash之后的值发送给服务端。然后服务端进行验证。然后客户端就可以正式发送应用层信息了。

服务器也向客户端提醒使用加密通信,并将上面的交互加上MAC secrethash之后发送给客户端。

©著作权归作者所有,转载或内容合作请联系作者
平台声明:文章内容(如有图片或视频亦包括在内)由作者上传并发布,文章内容仅代表作者本人观点,简书系信息发布平台,仅提供信息存储服务。