内容简介:在HTTP协议中,所有报文的发送、接收都是以明文的形式进行的。也就是说,在TCP/IP五层网络模型中,数据直接以明文的形式从应用层(HTTP)发送给传输层(TCP),之间没有任何加密过程,如下图所示:这将带来以下三大风险:那么,针对上面的三大风险,我们有什么样的对策吗?有的。
在HTTP协议中,所有报文的发送、接收都是以明文的形式进行的。也就是说,在TCP/IP五层网络模型中,数据直接以明文的形式从应用层(HTTP)发送给传输层(TCP),之间没有任何加密过程,如下图所示:
这将带来以下三大风险:
-
1、窃听/嗅探风险
中间人可以截获客户端、服务器之间的通信数据,一览无遗。
-
2、数据篡改风险
中间人截获数据之后,可以对数据修改之后再发生给对方。
-
3、身份伪造风险
由于网络通信本身的特殊性,通信双方无法具体识别对方的身份,中间人可趁机而入。
那么,针对上面的三大风险,我们有什么样的对策吗?有的。
-
1、针对窃听/嗅探风险,我们可以对数据使用密码加密算法进行加密,即使中间人截获了我们的数据,由于没有相应的解密密钥,拿到了数据也没法破解。
-
2、针对篡改风险,我们可以使用相关的数字签名算法,保障数据的完整性。
-
3、针对身份伪造风险,我们可以通过颁发数字证书来证明对方的身份。
当然了,并不是说HTTP协议本身就一定存在上面的三大风险,我们也可以使用HTTP协议,在数据传输之前对数据进行加密或者数字签名,同样也可以最大程度避免窃听和篡改风险,但是并不能杜绝,因为没有绝对地安全。
二、SSL/TLS协议
SSL/TLS 和 HTTPS 协议联系非常紧密,HTTPS 是在 SSL/TLS 协议基础之上建立起来的。
可以这么理解,HTTPS 中的 S ,指的就是 SSL/TLS 协议本身。
1、发展历史
上面简单总结了关于SSL/TLS协议的发展历程,更加详细的了解,可以参阅维基百科传输层安全性协议 。SSL协议是TLS协议的前身,是SSL协议的改进版本。
2、网络层次
SSL/TLS协议位于应用层和传输层之间,用于对上层数据包加密之后传输,同时进行身份、数据完整性校验。
3、基本原理
简单地讲,SSL/TLS就是同时结合各种密码算法、数字签名算法及数字证书等技术的一套协议,目的就是为了保证通信的安全性。
采用SSL/TLS协议,通信双方建立连接之前需要进行握手,目的是协商出会话密钥,用于后续对通信数据的加解密操作。
加密算法分为两大类:
-
1、对称加密算法
数据加解密使用同一份密钥,加解密速度快,效率高,缺点是密钥的管理难度大,一旦密钥传输泄露,那就没啥用处了。
-
2、非对称加密算法
数据加解密使用公钥和私钥,公钥用于传输,私钥自己保存,安全性较高,但加解密速度偏慢。
而SSL/TLS则结合两者的优缺点,数据包的加密使用对称加密算法,而对称加密算法的密钥采用非对称加密手段协商获取。
常用的对称加密算法有: DES、3DES、Blowfish、IDEA、RC4、RC5、RC6和AES
常用的非对称加密算法有: RSA、ECC(移动设备用)、Diffie-Hellman、El Gamal、DSA(数字签名用)
常用的数字签名算法有: MAC、MD5、SHA1
三、Wireshark抓包分析
下面使用 Wireshark
抓包 工具 简单分析下HTTPS协议的握手过程,以访问百度为栗: https://www.ifeng.com
首先我们要知道握手的目的就是为了解决上面的三大风险,即协商出对话密钥,验证数据完整性、身份认证等。
从上图大致可以总结出握手的基本流程:
Client Hello Server Hello Certificate Server key change,Server Hello Done Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message Change Cipher Spec, Encrypted Handshake Message
下面具体分析每一步的详细内容:
- 1、
Client Hello
中携带了什么信息呢?
Client Hello
中携带了当前客户端支持的TLS协议的版本号(Version)、客户端支持的加密套件(Cipher Suites)、一个随机数、客户端支持的压缩算法(Compression Method)
- 2、
Server Hello
中又返回了什么信息呢?
第一步客户端告诉服务端我所支持的相关信息,第二步服务端协商返回确定的信息,如确定使用哪种加密套件(Cipher Suites)或压缩方法等。
- 3、服务器给客户端下发一份证书
- 4、服务器端返回给客户端相关D-H算法参数
这些参数后期客户端可以算出会话密钥,如果使用的是RSA算法,那么这一步是不需要的。传递完参数之后,告诉客户端服务器端的握手结束(Done)了。
- 5、Client Key Exchange, Change Cipher Spec, Encrypted Handshake Message
这一步,客户端根据第四步传过来的公钥,生成一个叫预备-主密钥的 pre-master key
,然后 Client Key Exchange
将这个预备-主密钥传给服务器端。服务器端结合自己的私钥解出这个预备-主密钥的信息,得到 第三个随机数 ,所以,到目前为止,客户端和服务器都拥有 Random1 + Random2 + Random3 。
紧接着两边根据D-H算法及第四步传递的相关参数生成一个 会话密钥
,后续就使用这个密钥进行通信了。可以看出,会话密钥能不能被破解,关键看第三个随机数能不能被破解,而且第三个随机数用wireShark是抓取不到的。
Change Cipher Spec
这一步是告诉服务器端后期的通信都会使用我们协商出来的密钥进行通信。
Encrypted Handshake Message
是客户端将前面的握手消息生成摘要再用协商好的秘钥加密(对称加密),这是客户端发出的第一条加密消息。服务端接收后会用秘钥解密,能解出来说明前面协商出来的秘钥是一致的。
- 6、Change Cipher Spec, Encrypted Handshake Message
同第5步,如果服务器端通过D-H算法能够解密摘要,那么服务器端应该告诉客户端说我们之间协商的 会话密钥
是一致的。
以上是小编对SSL/STL、HTTPS的简单理解,更全面的知识,可自行查阅RFC相关规范文档。由于小编学识尚浅,如有不正确的地方,请指出,谢谢!
以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网
猜你喜欢:- 数据分析是什么,如何完善数据分析知识体系
- 知识储备有限,如何做好问题分析
- 关于图算法 & 图分析的基础知识概览
- 为何我理解不了零知识证明:ZKP常见误区分析
- TCP协议基础知识及wireshark抓包分析实战
- HTML5中手势原理分析与数学知识的实践
本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们。
传统企业,互联网在踢门
刘润 / 中国华侨出版社 / 2014-7 / 42
1、第一本传统企业互联网化的战略指导书,首次提出“互联网加减法”,迄今最清晰的转型公式 鉴于目前很多传统企业“老办法不管用,新办法不会用”的现状,本书将用“互联网的加减法” 这个简单模型清晰地说明商业新时代的游戏规则和全新玩法,帮助传统企业化解“本领恐慌” 。 2、小米董事长&CEO 金山软件董事长雷军,新东方教育科技集团董事长兼CEO俞敏洪,复旦大学管理学院院长陆雄文,复旦大学博士、......一起来看看 《传统企业,互联网在踢门》 这本书的介绍吧!