|
http和https的區(qū)別
1���、https協(xié)議需要到ca申請證書
2�����、http是超文本傳輸協(xié)議,信息是明文傳輸��,https 則是具有安全性的ssl加密傳輸協(xié)議
3����、http和https使用的是完全不同的連接方式��,用的端口也不一樣�����,http默認端口是80�����,https是443
4��、http的連接很簡單,是無狀態(tài)的���;HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進行加密傳輸、身份認證的網(wǎng)絡協(xié)議,比http協(xié)議安全��。
1、ssl協(xié)議位于tcp/ip協(xié)議與各種應用層之間,為數(shù)據(jù)的通訊提供安全支持�����。
2、ssl協(xié)議分了兩層:ssl記錄協(xié)議�、ssl握手協(xié)議
ssl記錄協(xié)議,它建立在可靠的傳輸協(xié)議(如tcp)之上�����,為高層協(xié)議提供數(shù)據(jù)封裝�����、壓縮�����、加密等基本功能的支持�。
ssl握手協(xié)議��,它建立在ssl記錄協(xié)議之上��,用于在實際的數(shù)據(jù)傳輸開始前�,通訊雙方進行身份認證、協(xié)商加密算法���、交換加密密鑰等���。
3、ssl協(xié)議提供的服務主要有
1)認證用戶和服務器�����,確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器
2)加密數(shù)據(jù)以防止數(shù)據(jù)中途被竊取
3)維護數(shù)據(jù)的完整性,確保數(shù)據(jù)在傳輸過程中不被改變����。
4、ssl協(xié)議的工作流程
服務器認證階段:
1)客戶端向服務器發(fā)送一個開始信息“hello”以便開始一個新會話連接
2)服務器根據(jù)客戶的信息確定是否需要生成新的主密鑰����,如需要則服務器在響應客戶的“hello”信息時將包含生成的主密鑰所需的的信息
3)客戶根據(jù)收到的服務器響應信息�,產(chǎn)生一個主密鑰��,并用服務器的公開密鑰加密后傳給服務器
4)服務器解密該主密鑰��,并返回給客戶一個用主密鑰認證的信息���,以此讓客戶認證服務器
用戶認證階段
經(jīng)過認證的服務器發(fā)送一個提問給客戶����,客戶返回數(shù)字簽名后的提問和其公開密鑰����,從而向服務器提供認證
為了便于更好的認識和理解SSL 協(xié)議�����,這里著重介紹SSL 協(xié)議的握手協(xié)議。SSL 協(xié)議既用到了公鑰加密技術又用到了對稱加密技術,對稱加密技術雖然比公鑰加密技術的速度快,可是公鑰加密技術提供了更好的身份認證技術�。SSL 的握手協(xié)議非常有效的讓客戶和服務器之間完成相互之間的身份認證,其主要過程如下:
1)客戶端的瀏覽器向服務器傳送客戶端SSL 協(xié)議的版本號�,加密算法的種類����,產(chǎn)生的隨機數(shù)�,以及其他服務器和客戶端之間通訊所需要的各種信息。
2)服務器向客戶端傳送SSL 協(xié)議的版本號��,加密算法的種類���,隨機數(shù)以及其他相關信息��,同時服務器還將向客戶端傳送自己的證書。
3)客戶利用服務器傳過來的信息驗證服務器的合法性����,服務器的合法性包括:證書是否過期����,發(fā)行服務器證書的CA 是否可靠�,發(fā)行者證書的公鑰能否正確解開服務器證書的“發(fā)行者的數(shù)字簽名”,服務器證書上的域名是否和服務器的實際域名相匹配。如果合法性驗證沒有通過���,通訊將斷開;如果合法性驗證通過���,將繼續(xù)進行第四步。
4)用戶端隨機產(chǎn)生一個用于后面通訊的“對稱密碼”�����,然后用服務器的公鑰(服務器的公鑰從步驟②中的服務器的證書中獲得)對其加密���,然后將加密后的“預主密碼”傳給服務器�����。
5)如果服務器要求客戶的身份認證(在握手過程中為可選)�����,用戶可以建立一個隨機數(shù)然后對其進行數(shù)據(jù)簽名����,將這個含有簽名的隨機數(shù)和客戶自己的證書以及加密過的“預主密碼”一起傳給服務器�。
6)如果服務器要求客戶的身份認證�����,服務器必須檢驗客戶證書和簽名隨機數(shù)的合法性�����,具體的合法性驗證過程包括:客戶的證書使用日期是否有效,為客戶提供證書的CA 是否可靠�,發(fā)行CA 的公鑰能否正確解開客 戶 證書的發(fā)行CA 的數(shù)字簽名�����,檢查客戶的證書是否在證書廢止列表(CRL)中。檢驗如果沒有通過����,通訊立刻中斷��;如果驗證通過�����,服務器將用自己的私鑰解開加密的“預主密碼”�����,然后執(zhí)行一系列步驟來產(chǎn)生主 通訊密碼(客戶端也將通過同樣的方法產(chǎn)生相同的主通訊密碼)����。
7)服務器和客戶端用相同的主密碼即“通話密碼”���,一個對稱密鑰用于SSL 協(xié)議的安全數(shù)據(jù)通訊的加解密通訊����。同時在SSL 通訊過程中還要完成數(shù)據(jù)通訊的完整性��,防止數(shù)據(jù)通訊中的任何變化。
8)客戶端向服務器端發(fā)出信息,指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰,同時通知服務器客戶端的握手過程結(jié)束。
9)服務器向客戶端發(fā)出信息�,指明后面的數(shù)據(jù)通訊將使用的步驟⑦中的主密碼為對稱密鑰����,同時通知客戶端服務器端的握手過程結(jié)束��。
10)SSL 的握手部分結(jié)束,SSL 安全通道的數(shù)據(jù)通訊開始�����,客戶和服務器開始使用相同的對稱密鑰進行數(shù)據(jù)通訊�,同時進行通訊完整性的檢驗。
|
