每日一博 - 复习Https工作原理

文章目录

Pre

每日一博 - 闲聊Https工作原理


Flow


单向认证

TLS是一种安全协议,主要用于在互联网上安全传输数据。上图展示了客户端和服务端之间建立安全连接的步骤。

1. TCP 握手包

TCP 握手是建立连接的第一步:

  • TCP同步:客户端向服务器发送一个SYN(同步)包,请求建立连接。
  • TCP同步+确认同步:服务器收到SYN包后,回应一个SYN+ACK(同步+确认)包。
  • TCP确认:客户端收到服务器的SYN+ACK包后,回应一个ACK(确认)包,完成TCP连接的建立。

2. 证书校验

在建立TCP连接后,TLS握手过程开始:

  • 建立连接:客户端向服务器发送握手请求。
  • 响应请求:服务器回应握手请求,并发送其证书。
  • 证书校验:客户端接收并验证服务器的证书,确保其有效性和可信性。
  • 服务端响应请求结束:服务器等待客户端的下一步操作。

3. 密钥交换

  • 客户端生成并发送会话密钥:客户端生成一个会话密钥,并使用服务器的公钥加密这个会话密钥,然后发送给服务器。
  • 服务器解密会话密钥:服务器使用其私钥解密会话密钥,双方共享这个会话密钥。
  • Change Cipher Spec:客户端和服务器通知对方所有后续的通信将使用会话密钥进行加密。
  • 握手结束:握手过程结束,准备进行数据传输。

4. 数据传输

  • 加密数据:使用会话密钥加密数据。
  • 传输数据:加密的数据通过安全通道传输。
  • 解密数据:接收方使用会话密钥解密数据。

非对称加密与对称加密

  • 非对称加密:在密钥交换阶段,客户端使用服务器的公钥加密会话密钥,服务器使用其私钥解密。非对称加密虽然安全性高,但计算开销大。
  • 对称加密:在数据传输阶段,双方使用共享的会话密钥进行加密和解密。对称加密的计算效率高。

关键要点

  • 会话密钥:用于加密实际的数据传输。
  • 证书公钥/私钥:用于验证服务器的身份和加密会话密钥。

双向认证

双向认证(Mutual Authentication),也称为双向TLS认证,是指客户端和服务器在建立连接时,双方都需要验证对方的身份。这种方式比单向认证更为安全,适用于对安全性要求较高的应用场景。

以下是双向认证过程的详细解释:

双向认证步骤

1. TCP 握手

  • TCP同步(SYN):客户端向服务器发送SYN(同步)包,请求建立连接。
  • TCP同步+确认(SYN+ACK):服务器收到SYN包后,回应一个SYN+ACK包。
  • TCP确认(ACK):客户端收到服务器的SYN+ACK包后,回应一个ACK包,完成TCP连接的建立。

2. TLS 握手开始

  • ClientHello:客户端发送一个ClientHello消息,包含支持的加密算法、TLS版本等信息。

3. 服务器认证

  • ServerHello:服务器回应一个ServerHello消息,包含选择的加密算法、TLS版本等信息。
  • 服务器证书(Server Certificate):服务器发送其证书,用于客户端验证服务器的身份。
  • ServerKeyExchange(如果需要):服务器发送密钥交换相关的信息。
  • CertificateRequest:服务器请求客户端的证书,用于验证客户端身份。
  • ServerHelloDone:服务器通知客户端ServerHello阶段完成。

4. 客户端认证

  • 客户端证书(Client Certificate):客户端发送其证书,供服务器验证客户端的身份。
  • ClientKeyExchange:客户端生成一个会话密钥,使用服务器的公钥加密后发送给服务器。
  • CertificateVerify:客户端发送一个签名,证明其拥有对应私钥。
  • ChangeCipherSpec:客户端通知服务器后续的消息将使用协商的会话密钥加密。
  • Client Finished:客户端发送一个完成消息,表明握手阶段结束。

5. 服务器完成认证

  • ChangeCipherSpec:服务器通知客户端后续的消息将使用协商的会话密钥加密。
  • Server Finished:服务器发送一个完成消息,表明握手阶段结束。

6. 加密通信

  • 双方使用协商好的会话密钥进行加密通信,确保数据传输的保密性和完整性。

图示说明

json 复制代码
客户端                            服务器
   |                                 |
   |------------(SYN)--------------> |
   | <---------(SYN+ACK)-----------  |
   | ------------(ACK)-------------->|
   |                                 |
   | ------- ClientHello --------->  |
   |                                 |
   | <------ ServerHello ----------- |
   | <------ Server Certificate -----|
   | <----- Certificate Request ---- |
   | <------ ServerHelloDone ------- |
   |                                 |
   | ------ Client Certificate ----> |
   | ------ ClientKeyExchange ------>|
   | ----- CertificateVerify ------> |
   | ------ ChangeCipherSpec ------> |
   | ------ Client Finished -------> |
   |                                 |
   | <------ ChangeCipherSpec -------|
   | <------ Server Finished ------- |
   |                                 |
   |  <======== 加密通信 =========>  |

关键点

  • ClientHello 和 ServerHello:用于协商加密算法和TLS版本。
  • 证书交换:客户端和服务器互相交换证书,验证对方身份。
  • 密钥交换:使用公钥加密生成的会话密钥,确保后续通信的安全性。
  • ChangeCipherSpec:通知对方后续通信将使用协商的会话密钥加密。

通过双向认证,客户端和服务器双方都能确保对方的身份,从而大大提高了通信的安全性。

相关推荐
墨神谕10 小时前
JSON-RPC 2.0
网络协议·rpc·json
apihz14 小时前
随机驾考题目(C 照科一 / 科四 2000+ 题)免费API调用教程
android·java·c语言·开发语言·网络协议·tcp/ip
AI 小老六16 小时前
Agent 工程化新底座:用 CLI 契约层打通 HTTP 接口与业务能力
网络·人工智能·http·ai·架构
猫头虎18 小时前
城市级IP代理:赋能全球企业本地化数字增长与安全合规 | Decodo 德口多
网络·python·网络协议·tcp/ip·安全·pandas·pip
努力努力再努力wz19 小时前
【高性能网络库与HTTP Server系列】:基于主从 Reactor 模型实现高性能 C++ 网络库与 HTTP Server
开发语言·网络·数据结构·数据库·c++·网络协议·http
c2385620 小时前
HTTP 超文本传输协议全解:Web 世界的通信规则
前端·网络协议·http
云栖梦泽在21 小时前
跨境电商账号频繁验证怎么办?从公网 IP、ASN、浏览器环境到登录稳定性排查
网络·网络协议·tcp/ip·网络安全·性能优化
云栖梦泽在1 天前
在线 IP 检测工具能看到哪些信息?从公网 IP、ASN 到浏览器环境一文讲清
网络·网络协议·tcp/ip
HelloWorld工程师1 天前
新手如何快速申请SSL通配符证书...
网络协议·https·ssl
姚不倒2 天前
F5 SSL Profile 证书卸载深入篇
运维·网络协议·负载均衡·ssl·f5