web基础系列(五)---https是如何实现安全通讯的

https是如何实现安全通讯的

若是有不正确的地方,还望指出！

web基础系列目录

• 总结几种常见web攻击手段极其防护方式
• 总结几种常见的安全算法
• 这是个人博客目录，欢迎阅读

回顾

总结几个概念(具体描述能够看上一篇文章)

数字签名和数字证书的应用

• 场景是这样的：rose给jiajun写情书
• 刚开始用非对称加密的方式，rose用jiajun的公钥对情书进行加密，那么这样的话，若是Billy截获到情书，也没法对情书进行解密，由于只有jiajun有私钥，除非私钥泄露了
• jiajun收到，要回信给rose，这个时候jiajun要证实这封信是他本身写的，并且中途没有被别人修改
• 这个时候，jiajun将信进行摘要，而后对摘要用私钥进行加密，这就是一个数字签名，而后我将数字签名和信一块儿发送给rose
• rose接到后，用公钥对数字签名进行解密，获得的是一个摘要（这个时候不知道有没有被人修改过），而后对信进行摘要，这样的话，对两个摘要进行比较，若是不一样那么说明这封信被修改过。
• 后来，Billy想冒充jiajun（让rose和jiajun分手），他把jiajun的公钥换成他本身的公钥，而后按照上面的同样的操做发送给rose。这样Billy就能够得手
• 再后来，为了避免让Billy得逞，jiajun想出一个方法，要解决这个问题就是要向rose肯定这个公钥是不是jiajun的，因此jiajun去找证书中心(CA),为公钥作认证，证书中心用本身的私钥对公钥和一些相关中心进行加密，这样产生的就是数字证书
• 那么之后，jiajun发送消息给rose的时候，就将数字签名和数字证书发送个rose，这样rose经过数字证书就能够获得真实的公钥，就能够经过数字签名判断是否更改过

https的安全通讯

SSL/TLS

• SSL（Secure Sockets Layer安全套接层），是一种网络安全协议
• TLS（Transport Layer Security传输层安全协议），是基于SSL协议的通用化协议，正逐步替代SSL。
• SSL/TLS分为两层，一层是记录协议（创建在可靠的传输协议上（好比tcp），提供数据封装，加密解密，数据建议等基本功能），一层是握手协议（创建在记录协议上，在实际的数据传输开始前，进行加密算法的协商，通讯密钥的交换等）。

什么是https

• 全称是hypertext protocol over secure socket layer，也就是基于ssl的http协议，http的安全版，能够理解为https=http+ssl
• https支持单向认证（只验证服务端证书的有效性），也支持双向验证（既验证服务端证书的有效性也验证客户端证书的有效性）
• https协议在http协议与tcp协议之间增长一层安全层，数据在网络传输以前，会先进行加密，再进行传输

为何用https

• 有时候，咱们访问一个国外的http站点，发现下面会有国内的一些小广告，事实上是中间人（一些网络节点，好比wifi热点，路由器，防火墙等）劫持，在html注入了一段广告的html。而只是注入广告的话还只是小问题，若是有一些有一些重要的信息被抓取的话，那么问题就挺严重的
• 打个比喻，http是三轮车，没有封闭，里面装的什么东西能够被看到，https是封闭的汽车，看不到里面装了什么

https功能

• 内容加密，用对称密钥进行加密
• 身份认证，数字证书验证身份

https协商过程

• 浏览器向服务器发出请求
• 服务器响应浏览器，将证书发送给浏览器，浏览器确认证书有效
• 浏览器和服务器经过非对称密钥算法协商好对话密钥（用于对称加密）
• 后面双方都使用对话密钥作对称加解密就能完成整个通讯
• 总的来讲，通讯内容用对称加密算法机密，而对称加密的加密密钥经过非对称加密协商

握手过程（以RSA密钥协商为例，不一样的算法实现不同）

• 客户端发送消息，消息包含协议的版本信息，客户端支持的加密算法，客户端产生的随机数
• 服务端响应消息，消息包括服务端产生的随机数，协议版本信息，服务端数字证书，从客户端提供的加密算法确认使用的加密算法
• 客户端根据证书管理器，验证服务端证书（验证有效期，证书中的域名和浏览器中域名是否匹配等）的有效性
• 验证经过后，从证书获取公钥，生成随机数，此时经过这3个随机数通过必定的算法生成一个对话密钥，而后发送随机数（用证书的公钥进行加密），
• 服务器端用私钥解密第三个随机数，而后经过3个随机数计算生成对话密钥
• 握手阶段结束，客户端和服务端进入加密通讯，用对话密钥加密内容

https的性能问题

• 对比http，咱们多了一个ssl握手的过程，而这个过程，有对称加密和非对称加密的过程，那么天然会消耗cpu资源了

用故事总结本文内容

• 场景同样，一样是rose给jiajun写情书
• rose和jiajun协商好用对称加密的方式给情书加密，但是如今有一个问题对称密钥怎么解决，没法安全地生成和保管对称密钥
• 因而jiajun想了办法，jiajun生成一对公钥和私钥，公钥是公开的，因而rose生成一个用于对称加密的对话密钥，而后用公钥加密这个对话密钥，那么这样的话，即便中间lBilly截获了这部份内容，由于对话密钥很安全，因此没法获取内容
• Billy很聪明，想到一个方法，假装成jiajun，把他的公钥给rose，此时非对称协商密钥协商的对象是Billy
• jiajun也不笨，很快他发现问题，要解决这个问题根本上就是要向rose证实这个公钥是谁的。因而jiajun找到了认证中心CA，生成一份数字证书

我以为分享是一种精神，分享是个人乐趣所在，不是说我以为我讲得必定是对的，我讲得可能不少是不对的，可是我但愿我讲的东西是我人生的体验和思考，是给不少人反思，也许给你一秒钟、半秒钟，哪怕说一句话有点道理，引起本身心里的感触，这就是我最大的价值。（这是我喜欢的一句话，也是我写博客的初衷）

做者：jiajun 出处： http://www.cnblogs.com/-new/
本文版权归做者和博客园共有，欢迎转载，但未经做者赞成必须保留此段声明，且在文章页面明显位置给出原文链接，不然保留追究法律责任的权利。若是以为还有帮助的话，能够点一下右下角的【推荐】，但愿可以持续的为你们带来好的技术文章！想跟我一块儿进步么？那就【关注】我吧。