|
http和https的區(qū)別
1、https協(xié)議需要到ca申請(qǐng)證書
2����、http是超文本傳輸協(xié)議����,信息是明文傳輸����,https 則是具有安全性的ssl加密傳輸協(xié)議
3、http和https使用的是完全不同的連接方式�����,用的端口也不一樣�,http默認(rèn)端口是80�,https是443
4��、http的連接很簡(jiǎn)單��,是無(wú)狀態(tài)的;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸�、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議���,比http協(xié)議安全�。
1�����、ssl協(xié)議位于tcp/ip協(xié)議與各種應(yīng)用層之間����,為數(shù)據(jù)的通訊提供安全支持。
2���、ssl協(xié)議分了兩層:ssl記錄協(xié)議、ssl握手協(xié)議
ssl記錄協(xié)議�,它建立在可靠的傳輸協(xié)議(如tcp)之上��,為高層協(xié)議提供數(shù)據(jù)封裝�����、壓縮�、加密等基本功能的支持���。
ssl握手協(xié)議,它建立在ssl記錄協(xié)議之上�,用于在實(shí)際的數(shù)據(jù)傳輸開始前���,通訊雙方進(jìn)行身份認(rèn)證�、協(xié)商加密算法�����、交換加密密鑰等�。
3��、ssl協(xié)議提供的服務(wù)主要有
1)認(rèn)證用戶和服務(wù)器,確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取
3)維護(hù)數(shù)據(jù)的完整性�,確保數(shù)據(jù)在傳輸過(guò)程中不被改變�����。
4��、ssl協(xié)議的工作流程
服務(wù)器認(rèn)證階段:
1)客戶端向服務(wù)器發(fā)送一個(gè)開始信息“hello”以便開始一個(gè)新會(huì)話連接
2)服務(wù)器根據(jù)客戶的信息確定是否需要生成新的主密鑰����,如需要?jiǎng)t服務(wù)器在響應(yīng)客戶的“hello”信息時(shí)將包含生成的主密鑰所需的的信息
3)客戶根據(jù)收到的服務(wù)器響應(yīng)信息���,產(chǎn)生一個(gè)主密鑰���,并用服務(wù)器的公開密鑰加密后傳給服務(wù)器
4)服務(wù)器解密該主密鑰���,并返回給客戶一個(gè)用主密鑰認(rèn)證的信息,以此讓客戶認(rèn)證服務(wù)器
用戶認(rèn)證階段
經(jīng)過(guò)認(rèn)證的服務(wù)器發(fā)送一個(gè)提問(wèn)給客戶�����,客戶返回?cái)?shù)字簽名后的提問(wèn)和其公開密鑰��,從而向服務(wù)器提供認(rèn)證
為了便于更好的認(rèn)識(shí)和理解SSL 協(xié)議��,這里著重介紹SSL 協(xié)議的握手協(xié)議。SSL 協(xié)議既用到了公鑰加密技術(shù)又用到了對(duì)稱加密技術(shù)����,對(duì)稱加密技術(shù)雖然比公鑰加密技術(shù)的速度快�����,可是公鑰加密技術(shù)提供了更好的身份認(rèn)證技術(shù)��。SSL 的握手協(xié)議非常有效的讓客戶和服務(wù)器之間完成相互之間的身份認(rèn)證����,其主要過(guò)程如下:
1)客戶端的瀏覽器向服務(wù)器傳送客戶端SSL 協(xié)議的版本號(hào)�,加密算法的種類�,產(chǎn)生的隨機(jī)數(shù)�����,以及其他服務(wù)器和客戶端之間通訊所需要的各種信息���。
2)服務(wù)器向客戶端傳送SSL 協(xié)議的版本號(hào),加密算法的種類���,隨機(jī)數(shù)以及其他相關(guān)信息,同時(shí)服務(wù)器還將向客戶端傳送自己的證書���。
3)客戶利用服務(wù)器傳過(guò)來(lái)的信息驗(yàn)證服務(wù)器的合法性��,服務(wù)器的合法性包括:證書是否過(guò)期��,發(fā)行服務(wù)器證書的CA 是否可靠,發(fā)行者證書的公鑰能否正確解開服務(wù)器證書的“發(fā)行者的數(shù)字簽名”����,服務(wù)器證書上的域名是否和服務(wù)器的實(shí)際域名相匹配。如果合法性驗(yàn)證沒有通過(guò)��,通訊將斷開����;如果合法性驗(yàn)證通過(guò)�����,將繼續(xù)進(jìn)行第四步�����。
4)用戶端隨機(jī)產(chǎn)生一個(gè)用于后面通訊的“對(duì)稱密碼”���,然后用服務(wù)器的公鑰(服務(wù)器的公鑰從步驟②中的服務(wù)器的證書中獲得)對(duì)其加密,然后將加密后的“預(yù)主密碼”傳給服務(wù)器��。
5)如果服務(wù)器要求客戶的身份認(rèn)證(在握手過(guò)程中為可選)�����,用戶可以建立一個(gè)隨機(jī)數(shù)然后對(duì)其進(jìn)行數(shù)據(jù)簽名,將這個(gè)含有簽名的隨機(jī)數(shù)和客戶自己的證書以及加密過(guò)的“預(yù)主密碼”一起傳給服務(wù)器��。
6)如果服務(wù)器要求客戶的身份認(rèn)證��,服務(wù)器必須檢驗(yàn)客戶證書和簽名隨機(jī)數(shù)的合法性����,具體的合法性驗(yàn)證過(guò)程包括:客戶的證書使用日期是否有效����,為客戶提供證書的CA 是否可靠�����,發(fā)行CA 的公鑰能否正確解開客 戶 證書的發(fā)行CA 的數(shù)字簽名��,檢查客戶的證書是否在證書廢止列表(CRL)中�。檢驗(yàn)如果沒有通過(guò)����,通訊立刻中斷�;如果驗(yàn)證通過(guò)���,服務(wù)器將用自己的私鑰解開加密的“預(yù)主密碼”�,然后執(zhí)行一系列步驟來(lái)產(chǎn)生主 通訊密碼(客戶端也將通過(guò)同樣的方法產(chǎn)生相同的主通訊密碼)����。
7)服務(wù)器和客戶端用相同的主密碼即“通話密碼”��,一個(gè)對(duì)稱密鑰用于SSL 協(xié)議的安全數(shù)據(jù)通訊的加解密通訊���。同時(shí)在SSL 通訊過(guò)程中還要完成數(shù)據(jù)通訊的完整性���,防止數(shù)據(jù)通訊中的任何變化��。
8)客戶端向服務(wù)器端發(fā)出信息��,指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對(duì)稱密鑰���,同時(shí)通知服務(wù)器客戶端的握手過(guò)程結(jié)束��。
9)服務(wù)器向客戶端發(fā)出信息��,指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對(duì)稱密鑰,同時(shí)通知客戶端服務(wù)器端的握手過(guò)程結(jié)束�。
10)SSL 的握手部分結(jié)束���,SSL 安全通道的數(shù)據(jù)通訊開始����,客戶和服務(wù)器開始使用相同的對(duì)稱密鑰進(jìn)行數(shù)據(jù)通訊��,同時(shí)進(jìn)行通訊完整性的檢驗(yàn)����。
|
