http、https区别
相同点:都是建立在TCP/IP协议之上的,二者都会三次握手,四次挥手等。
不同点:
http使用明文形式传输(极容易被篡改,窃取)
https在TCP/IP协议之上又增加了一个SSL(加密传输协议,保证数据在传输过程中被窃取和篡改后可以被验证)
深度理解 加密传输协议(SSL演变史)
先了解两种加密方式:
对称加密:产生一个 对称密钥 ,可以用其加密,也可以解密
加密过程:信息 + 对称密钥 = XXX
解密过程: XXX + 对称密钥 = 信息
常用算法:DES、3DES、AES、Blowfish等
(该方法 对称密钥 暴露,有可能被截取,篡改)
非对称加密:产生一对秘钥,一个用于加密,一个用于解密
产生秘钥:公钥 <==> 私钥 (这里用公钥加密就用私钥解密,用私钥加密就用公钥解密,本文一律使用公钥加密,私钥解密,除CA机构)
加密过程:信息 + 公钥key = XXX
解密过程: XXX + 私钥key = 信息
常用算法: RSA、Elgamal、Rabin、D-H、ECC等
这里服务器返回时由于浏览器拿不到私钥,虽然无法篡改,但是自己也无法解密
对称加密、非对称机密结合传输:
浏览器用公钥加密 对称密钥 传输信息(私钥拿不到,无法篡改)=》服务器用私钥解密, 返回 对称密钥 加密的信息=》 浏览器用 对称密钥 解密
该方法公钥又有可能被替换
引入CA:Certificate Authority 证书颁发机构
证书颁发流程(服务器进行网络传输时最先进行):
域名(www.xxx.com) + 服务器公钥 + 钱 ==> CA ==> DC(证书,Digital Certificate)
证书中的服务器公钥、证书签名通过CA的私钥加密,因此,其他终端只能通过CA的公钥解密读取,但无法重新加密伪造
证书签名 = 域名(www.xxx.com) + CA公钥key + 服务器公钥key
证书签名的算法是公开的,目的是让每一个拿到证书的终端,可以验证书是否被篡改
最终过程:
| 浏览器 | 服务器 |
|---|---|
| 开始通信向服务器,这里忽略一些准备等过程 | 服务器向CA发起认证,CA机构他是用 CA私钥加密了 域名+服务器公钥+CA公钥 生成证书签名,发给服务器,服务器把证书签名发给浏览器。(证书签名原来是使用CA私钥加密的,只暴露了解密的CA公钥, 如果第三方替换证书签名(第三方这里肯定用的加密方法不一样),但是浏览器用的解密证书签名方法是一样的,最后验证的时候和CA存的不一样,得知被篡改了) |
| 浏览器通过公开的CA公钥方法验证,通过后 用服务器公钥加密 对称密钥, 发给服务器 | 服务器用服务器私钥解密,拿到 对称密钥 |
最后两者之间用 对称密钥 交互 (解决之前公钥被替换不能发现问题)
名词说明:
CA机构非对称加密产出: CA私钥(只有CA有,加密证书) —— CA公钥(解密证书)
服务器非对称加密产出:服务器公钥 (加密对称密钥) —— 服务器私钥(解密对称密钥)
浏览器对称加密产出:对称密钥 (加密信息,进行传输)
