HTTPS协议工做流程

被问到了，复习一下HTTPS的工做流程

提到https，不得不提SSL

SSL

1.        安全套接字（Secure Socket Layer，SSL）协议是Web浏览器与Web服务器之间安全交换信息的协议。

2.    SSL协议的三个特性

Ø  保密：在握手协议中定义了会话密钥后，全部的消息都被加密。

Ø  鉴别：可选的客户端认证，和强制的服务器端认证。

Ø  完整性：传送的消息包括消息完整性检查（使用MAC）。

3.    SSL的位置

客户端在使用HTTPS方式与Web服务器通讯时有如下几个步骤，如图所示。

1)    客户端请求创建SSL链接，并将本身支持的一套加密规则发送给网站。

2)    网站从中选出一组加密算法与HASH算法，并将本身的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址，加密公钥，以及证书的颁发机构等信息

3)    得到网站证书以后浏览器要作如下工做：

Ø  验证证书的合法性

Ø  若是证书受信任，浏览器会生成一串随机数的密码，并用证书中提供的公钥加密。

Ø  使用约定好的HASH计算握手消息，

Ø  使用生成的随机数对消息进行加密，最后将以前生成的全部信息发送给网站。

4)    网站接收浏览器发来的数据以后要作如下的操做：

Ø  使用本身的私钥将信息解密取出密码

Ø  使用密码解密浏览器发来的握手消息，并验证HASH是否与浏览器发来的一致。

Ø  使用密码加密一段握手消息，发送给浏览器

5)    浏览器解密并计算握手消息的HASH，若是与服务端发来的HASH一致，此时握手结束。

6)    使用随机密码和对称加密算法对传输的数据加密，传输。

4.     密与HASH算法以下：

1)     非对称加密算法：RSA，DSA/DSS，用于在握手过程当中加密生成的密码。

2)     对称加密算法：AES，RC4，3DES，用于对真正传输的数据进行加密。

3)     HASH算法：MD5，SHA1，SHA256，验证数据的完整性。

5.     HTTP与HTTPS的区别：

1)     https协议须要申请证书。

2)     http是超文本传输协议，明文传输；https使用的是具备安全性的SSL加密传输协议。

3)     http端口80,；https端口443。

4)     http链接简单无状态；https由SSL+HTTP协议构件的可进行加密传输、身份验证的网络协议