HTTPS连接建立过程

news2024/12/27 11:49:57

目录

    • 前言
      • 什么是HTTPS
      • HTTPS的作用
    • TLS建立连接过程
      • 1、TCP三次握手
      • 2、Client Hello
      • 3、Sever Hello
      • 4、校验数字证书
      • 5、客户端回应
      • 6、服务器回应
      • 7、TCP四次挥手

前言

什么是HTTPS

HTTPS,Hyper Text Transfer Protocol over SecureSocket Layer,超文本传输安全协议。

在 TCP 和 HTTP 之间加入了 SSL/TLS 安全协议,使得报文能够加密传输。在 TCP 三次握手之后,还需进行 SSL/TLS 的握手过程,才可进入加密报文传输。

SSL代表安全套接字层。它是一种用于加密和验证应用程序(如浏览器)和Web服务器之间发送的数据的协议。 身份验证 , 加密Https的加密机制是一种共享密钥加密和公开密钥加密并用的混合加密机制。

SSL/TLS协议作用:认证用户和服务,加密数据,维护数据的完整性的应用层协议加密和解密需要两个不同的密钥,故被称为非对称加密;加密和解密都使用同一个密钥的 对称加密。 优点在于加密、解密效率
通常比较高HTTPS 是基于非对称加密的, 公钥是公开的,
(1)客户端向服务器端发起SSL连接请求;
(2) 服务器把公钥发送给客户端,并且服务器端保存着唯一的私钥
(3)客户端用公钥对双方通信的对称秘钥进行加密,并发送给服务器端
(4)服务器利用自己唯一的私钥对客户端发来的对称秘钥进行解密,
(5)进行数据传输,服务器和客户端双方用公有的相同的对称秘钥对数据进行加密解密,可以保证在数据收发过程中的安全,即是第三方获得数据包,也无法对其进行加密,解密和篡改。

因为数字签名、摘要是证书防伪非常关键的武器。 “摘要”就是对传输的内容,通过hash算法计算出一段固定长度的串。然后,在通过CA的私钥对这段摘要进行加密,加密后得到的结果就是“数字签名”。

SSL/TLS协议的基本思路是采用公钥加密法,也就是说,客户端先向服务器端索要公钥,然后用公钥加密

HTTPS的作用

因为 HTTP 是明文传输,所以会存在以下三个风险,使用起来极其不安全,所以就诞生了 HTTPS,也就是在 HTTP 之上加入了 SSL/TLS 安全协议,来解决 HTTP 的安全问题。

  • 通过信息加密,解决HTTP的窃听风险(由于是明文传输,只要监听通信链路即可获得包内的数据)。
  • 通过校验机制,解决HTTP的篡改风险(对服务器发来的数据没有校验,被篡改了也无法验证)。
  • 通过身份证书,解决HTTP的冒充风险(可以冒充服务器发送数据)。 具体是通过以下三种方式来解决 HTTP 的安全问题的。

混合加密

HTTPS 采用的是对称加密和非对称加密结合的「混合加密」方式:

  • 在通信建立前采用非对称加密的方式交换「会话秘钥」,后续就不再使用非对称加密。
  • 在通信过程中全部使用对称加密的「会话秘钥」的方式加密明文数据。

采用「混合加密」的方式的原因:

对称加密只使用一个密钥,运算速度快,但密钥必须保密,无法做到安全的密钥交换。
非对称加密使用两个密钥:公钥和私钥,公钥可以任意分发而私钥保密,解决了密钥交换问题但速度慢。

校验机制:摘要算法+数字签名

在发送内容前,对传输的内容进行摘要算法(哈希函数)计算,得到一个唯一且无法推导的哈希值,即内容的指纹,将哈希值与内容一同发送出去,在接收后再次进行哈希计算,校验哈希值,从而保证内容是完整且未被篡改的。

但是仍然无法保证内容和哈希值都被中间替换过,所以需要再使用私钥加密,公钥解密的非对称加密来解决。

在这里插入图片描述

我们常说的数字签名算法,就是用的是这种方式,不过私钥加密内容不是内容本身,而是对内容的哈希值加密。

公钥加密,私钥解密。这个目的是为了保证内容传输的安全,因为被公钥加密的内容,其他人是无法解密的,只有持有私钥的人,才能解密出实际的内容;
私钥加密,公钥解密。这个目的是为了保证消息不会被冒充,因为私钥是不可泄露的,如果公钥能正常解密出私钥加密的内容,就能证明这个消息是来源于持有私钥身份的人发送的。

数字证书
通过摘要算法,我们能保证数据的完整性;通过数字签名,我们能保证数据的来源一定是私钥持有者。

但是还缺少了身份验证环节,万一公私钥被替换过,校验仍然可以通过。所以需要对公私钥进行身份验证,HTTPS 规定只有权威机构能够颁发证书,而且拿到证书后也需要进行权威机构的认证。

CA,Certification Authority,数字证书认证机构。数字证书的工作流程如下图所示。
在这里插入图片描述

TLS建立连接过程

在这里插入图片描述
TLS 建立连接的过程,就是客户端向服务器索要并验证 CA公钥,随后双方协商产生会话密钥的过程。

整个过程可以分为七个部分,其中 TLS 的握手过程涉及四次通信。接下来将根据 Wireshark 的抓包结果进行过程的拆分和分析。

在这里插入图片描述

1、TCP三次握手

TLS 层是在 TCP 层之上的,所以在建立 TLS 连接之前,需要先建立 TCP 连接。
在这里插入图片描述

第一次握手: 客户端发送syn标志位和seq num,向服务器申请建立连接,客户端状态由closed变为syn_send

第二次握手: 服务端返回 syn和ack标志位,ack num以及seq num,确认第一次握手的报文段,返回ack num=seq num(第一次握手发送的)+1,同意建立连接,服务器状态由listen变为syn_received

第三次握手: 发送确认报文段,返回ack以及ack num=seq num(第二次握手发送的)+1,客户端状态变为:established(完成连接)

最后: 服务器收到确认报文段,服务器状态由syn_received变为established(完成连接)

三次握手原因
(1) TCP连接的特性决定,一次RT(往返)完成一次TCP的动作。
即客户端一次请求携带的seq num必须得到服务端的ack num才会完成。如果没有返回确认报文段,由于重发机制,定时器经过了一次RTO,客户端就会重发报文。那为什么客户端最后一次发送之后,没有等待服务端发回ack报文段? 这是因为服务端第二次发送的报文段里 包含ack以及请求syc报文,相当于把确认报文和请求报文合并了,所以最后客户端回复一个ack报文即可。

(2) 防止失效的报文创建连接。
因为互联网链路是非常复杂的,发送的报文可能会被互联中的网络设备阻塞,经过了一段时间才到达服务器,时间大于了RTO(Retransmission TimeOut)时间,导致客户端重发syc报文(重新创建新的连接,并丢失超时的连接)。如果只有两次握手,那么服务器每接收到syc报文(包括重发的syc报文),就会创建多余的连接,造成服务器的资源浪费。如果有第三次握手,那么客户端就能够识别出服务端发出的syc和ack报文对应的请求连接在客户端是否存活,如果存活则发送第三次握手ack报文,确认建立连接。

注:通常,第一次超时重传是在 1 秒后,第二次超时重传是在 2 秒,第三次超时重传是在 4 秒后,第四次超时重传是在 8 秒后,第五次是在超时重传 16 秒后。没错,每次超时的时间是上一次的 2 倍。

当第五次超时重传后,会继续等待 32 秒,如果服务端仍然没有回应 ACK,客户端就会终止三次握手。

所以,总耗时是 1+2+4+8+16+32=63 秒,大约 1 分钟左右。

2、Client Hello

由客户端向服务器发起建立 TLS 请求,请求的内容包括以下等信息:

  • 客户端支持的 SSL/TLS 协议版本。
  • 客户端生产的随机数(Client Random),后面用于生成会话秘钥的条件之一。
  • 客户端支持的加密套件列表,如 RSA 等加密算法。
    在这里插入图片描述

3、Sever Hello

服务器收到客户端的建立请求后,向客户端发出响应,回应的内容包括以下等信息:

  • 确认 SSL/ TLS 协议版本(如果浏览器不支持,则关闭加密通信)。
  • 服务器生产的随机数(Server Random),也是后面用于生产会话秘钥的条件之一。
  • 确认的加密套件。
  • 服务器的数字证书。
    在这里插入图片描述

4、校验数字证书

5、客户端回应

客户端会从数字证书中取出服务器的公钥,然后使用它加密报文,向服务器发送以下信息:

5.1 Client Key Exchange:基于前面提到的两个随机数(client random+server random),再生成第 3 个随机数 pre-master,然后通过CA证书中的公钥,对 pre-master 加密,得到 pre-master key,发送给服务器。

5.2 Change Cipher Spec:加密通信算法改变通知,表示客户端随后的信息都将用会话秘钥加密通信。

5.3 Encrypted handshake message:这一步对应的是 Cleint 的 Finish 消息,client 将前面握手的消息生成摘要,再用协商好的会话秘钥进行加密,这是客户端发出的第一条加密消息, 服务端接收后会用会话秘钥解密,能解出来说明前面协商的秘钥是一致的,至此客户端的握手完成。

会话密钥是用双方协商的加密算法和三个随机数:client random、server random、pre-master key 生成的。

在这里插入图片描述

6、服务器回应

服务器使用自己的 CA证书私钥对 pre-master key 解密得到 pre-master,再计算出会话密钥,随后向客户端发送以下信息:

6.1 Change Cipher Spec:加密通信算法改变通知,表示服务端随后的信息都将用会话秘钥加密通信。

6.2 Encrypted handshake message:这一步对应的是 Server 的 Finish 消息,服务端会将握手过程消息生成摘要,然后再用会话密钥加密,这是服务器发出的第一条加密消息,客户端接收后会用会话密钥解密,能解出来就说明协商成功。

在这里插入图片描述

7、TCP四次挥手

在这里插入图片描述
四次挥手过程描述
第一次挥手: 客户端的应用说要关闭连接,给服务端发送一个含fin标志位的报文,客户端状态由established变为fin-wait-1

第二次挥手: 服务端收到客户端发来的fin报文,回复ack报文,告知服务端的应用要关闭连接,服务端状态由established变为close-wait,而客户端收到ack报文后,状态由fin-wait-1变为fin-wait-2

第三次挥手: 服务端应用说可以关闭连接了,给客户端发送fin报文,服务端状态由close-wait变为last-ack

第四次挥手: 客户端收到服务端发来的fin报文,回复ack报文,客户端状态由fin-wait-2变为time-wait,服务端收到ack报文后,直接关闭连接,状态由last-ack变为closed

客户端经过两次最大的报文存活时间后,关闭连接,状态由time-wait变为closed

四次挥手原因
(1) 假设只有二次挥手
客户端发送fin报文,服务端接收fin后,返回ack报文。客户端接收到ack报文后,断开连接。然而服务器还有没有发送完成的报文,当发送数据报文给客户端,发现客户端已经断开连接。比如说你在浏览器输入一个地址后会跟服务端建立连接,服务端会根据TCP把数据分成很多的报文段一一地发送给客户端,在没有全部发送完成之前,客户端在完成二次挥手就断开连接,服务端还没发送完的报文段就会抛客户端失去连接的异常。

(2) 假设只有三次挥手, 服务端就不能及时地关闭连接,导致连接空闲一段时间,浪费资源。

至此,整个 SSL/TLS 的握手阶段全部结束,TCP 四次挥手断开连接。

接下来,客户端与服务器进入加密通信,就完全是使用普通的 HTTP 协议,只不过用会话秘钥加密内容

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/514314.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

「自动化」聊起来简单,做起来难 | 谈效风生

第4期:“自动化”聊起来简单,做起来难 在上一期《如何找到现有研发体系的「内耗问题」?》中,我们聊了评估现有研发体系,正确的找到“体系内耗问题”,是改变研发体系的第一步。本期我们继续聊下一个关键点就是研发体系…

MIT6.824 lab4B实验记录

Background 主要是完成一个可以根据group数量,动态调整shard所属的group的分布式kv键值引擎。其中shard->group的配置由shardctrler集群来管理,底层也是通过raft group来容错(分布式嘛) 然后这个shardkv就是要完成的是根据sh…

哪些地方能发表计算机论文? - 易智编译EaseEditing

计算机科学领域是一个快速发展的领域,每年都会涌现出许多新的科技和新的研究成果。 为了保证研究成果的质量和可信度,科学家们通常会通过期刊来发表自己的研究成果。 SCI期刊是世界著名的科技期刊数据库,被认为是科技领域内的权威数据库之一…

docker 系列之 Dockerfile 文件里 cmd命令与entrypoint命令区别

文章目录 一、cmd:用法1:带有中括号的形式用法2:shell form,即没有中括号的形式 二、entrypoint:第一种:命令行模式,也就是带中括号第二种:shell模式 三、总结: 一、cmd&…

《人月神话》纪念典藏版撤下了以前的宣传语

DDD领域驱动设计批评文集>> 《软件方法》强化自测题集>> 《软件方法》各章合集>> 《人月神话》作者Frederick Phillips Brooks Jr. 于2022年11月17日逝世。 清华大学出版社近期将发行《人月神话》纪念典藏版。 新版的封底如下,宣传语更换成了…

CleanMyMac X4.13.2.dmg最新中文版下载

它是Mac上一款美观易用的系统优化清理工具,也是小编刚开始用Mac时的装机必备。它能够清理系统垃圾,提升电脑的运行速度,卸载许久不用的软件,使其变得如新机一般流畅。 CleanMyMac X是一款专业的Mac清理软件,可智能清理…

al智能改写工具-ai自动生成文章软件

随着互联网的发展,文章编辑在不断地向自动化、高效化方向进行转变,一款名叫“改稿神器”的工具应运而生。它可以帮助我们快速实现全自动批量改稿,做到没有错别字,自动优化语法,自动插入图片,严格按照标准的…

【腾讯云FinOps Crane 集训营】初识 FinOps Crane

前言: 有幸参加了腾讯云Finops Crane 集训营,学到了很多东西,现在将内容分享给大家。 Finops Crane :是一个基于 FinOps 的云资源分析与成本优化平台。 它的目标是希望在保证客户应用运行质量的前提下,实现极致的降本。…

web前端面试题汇总大全 -- 持续更新!

文章目录 一、html 系列 ⭐⭐⭐⭐⭐1、H5新增特性和css3新增特性? 二、css 系列 ⭐⭐⭐⭐⭐1、BFC的理解?2、说说你对盒模型的理解?3、如何实现元素⽔平垂直居中?4、CSS如何画⼀个三⻆形?原理是什么?5、说说…

二分查找基础篇-JAVA

文章目录 前言 大家好,我是最爱吃兽奶,这篇博客给大家介绍一下二分查找,我们先从最基本的开始讲解,再慢慢深入,把优化和变形也和大家说一下,那么,跟着我的步伐,我们一起去看看吧! 一、什么是二分查找? 二分查找(Binary Search)也称作折半查找 二分查找的效率很高,每查找一次…

Adam优化器及其变种的原理

本文将从SGD开始介绍Adam优化器的原理以及其变种的提出背景。 1、SGD的原理 SGD(随机梯度下降法)是基于最速梯度下降法的原理,假设我们存在损失函数,其中是要学习参数,定义如下的优化路径,使得损失函数值最…

Ray使用案例

Ray Use Cases Ray用例 本页索引了用于扩展ML的常见Ray用例。它包含了对博客、例子和教程的突出引用,也位于Ray文档的其他地方。 大型语言模型和生成型人工智能 大型语言模型(LLMs)和生成性人工智能正在迅速改变行业,并以惊人的速度要求计算。Ray为这些模型的扩展提供了…

我让ChatGPT用CSS3画一个皮卡丘,还是自己画的可爱

突然想到了小时候看过的动画片《皮卡丘》,于是突然就想,ChatGPT肯定也看过,他哪有不知道的东西啊,于是就想着让他帮我画一个,他画出来之后,我笑了,这啥玩意儿啊。 目录 一、第一次尝试让ChatGP…

智安网络|怎么预防大大小小的网络入侵及信息泄露?五招值得收藏

网络安全是一个涵盖广泛、变幻多端的领域。网络风险防范需要多种措施,从教育人员如何正确处理机密信息到定期检查系统的安全性。 在现代网络环境下,网络安全成为防护重点,网络环境下出现的安全隐患可能会直接影响业务,甚至生命财…

【fiddler+burp+雷神模拟器联动抓包】

0x00 常用抓包工具 常用的抓包工具​有fiddler、wireshark、httpwatch、 firebug、F12/等。抓包抓的是协议,fiddler抓的是HTTP、HTTPS协议,wireshark抓的是其他协议。fiddler、wireshark可以修改接口的参数和返回值,常用的F12调试工具只可以…

npm 知识点

1 ~会匹配最近的小版本依赖包,比如~1.1.3会匹配所有1.1.x版本,但是不包括1.2.0 ^会匹配最新的大版本依赖包,比如^1.3.4会匹配所有1.x.x的包,包括1.3.4,但是不包括2.0.0 *会匹配最新版本 2 ant-design/pro-table 前面…

EndNote X9 引用参考 单击文献编号,不能跳转到文尾文献列表处,咋解决?文献编号 不能跳转 ,怎么办?

文章目录 1 正常情况下 引用文献编号 是可以跳转的2 问题分析3 解决方法4 EndNote X9 插入参考文献常见问题总结5 EndNote X9 快速上手教程(毕业论文参考文献管理器) 1 正常情况下 引用文献编号 是可以跳转的 正确的插入文献后, 正常情况下&a…

公告 | FISCO BCOS v3.3.0发布,新增块内分片技术,单链性能突破10万TPS

FISCO BCOS开源社区一贯秉承开源、开放、联合共建的原则,致力于链接社区力量将FISCO BCOS打造成更加完美的区块链底层平台。 在社区通力协作下,FISCO BCOS v3.3.0已经发布,块内分片作为本次更新的核心亮点,实现了应用间交易执行的…

PyMuPDF pdf神奇处理工具

可将pdf转图片,图片转pdf,可拼接pdf,可提取固定的内容。 详细参考下面文章: PyMuPDF关键字标注:https://www.cnpython.com/qa/1436855 PyMuPDF去水印:https://sunnysab.cn/2022/06/29/Clean-Watermarks-…

BlockingQueue(阻塞队列)基本使用指南

概述 BlockingQueue 是 java.util.concurrent 包提供的用于解决并发生产者 - 消费者问题的最有用的类。 BlockingQueue 的特性是在任意时刻只有一个线程可以进行 take 或者 put 操作,并且 BlockingQueue 提供了超时 return null 的机制,在许多生产场景…