每日一博 - 复习Https工作原理

文章目录

Pre

每日一博 - 闲聊Https工作原理


Flow


单向认证

TLS是一种安全协议,主要用于在互联网上安全传输数据。上图展示了客户端和服务端之间建立安全连接的步骤。

1. TCP 握手包

TCP 握手是建立连接的第一步:

  • TCP同步:客户端向服务器发送一个SYN(同步)包,请求建立连接。
  • TCP同步+确认同步:服务器收到SYN包后,回应一个SYN+ACK(同步+确认)包。
  • TCP确认:客户端收到服务器的SYN+ACK包后,回应一个ACK(确认)包,完成TCP连接的建立。

2. 证书校验

在建立TCP连接后,TLS握手过程开始:

  • 建立连接:客户端向服务器发送握手请求。
  • 响应请求:服务器回应握手请求,并发送其证书。
  • 证书校验:客户端接收并验证服务器的证书,确保其有效性和可信性。
  • 服务端响应请求结束:服务器等待客户端的下一步操作。

3. 密钥交换

  • 客户端生成并发送会话密钥:客户端生成一个会话密钥,并使用服务器的公钥加密这个会话密钥,然后发送给服务器。
  • 服务器解密会话密钥:服务器使用其私钥解密会话密钥,双方共享这个会话密钥。
  • Change Cipher Spec:客户端和服务器通知对方所有后续的通信将使用会话密钥进行加密。
  • 握手结束:握手过程结束,准备进行数据传输。

4. 数据传输

  • 加密数据:使用会话密钥加密数据。
  • 传输数据:加密的数据通过安全通道传输。
  • 解密数据:接收方使用会话密钥解密数据。

非对称加密与对称加密

  • 非对称加密:在密钥交换阶段,客户端使用服务器的公钥加密会话密钥,服务器使用其私钥解密。非对称加密虽然安全性高,但计算开销大。
  • 对称加密:在数据传输阶段,双方使用共享的会话密钥进行加密和解密。对称加密的计算效率高。

关键要点

  • 会话密钥:用于加密实际的数据传输。
  • 证书公钥/私钥:用于验证服务器的身份和加密会话密钥。

双向认证

双向认证(Mutual Authentication),也称为双向TLS认证,是指客户端和服务器在建立连接时,双方都需要验证对方的身份。这种方式比单向认证更为安全,适用于对安全性要求较高的应用场景。

以下是双向认证过程的详细解释:

双向认证步骤

1. TCP 握手

  • TCP同步(SYN):客户端向服务器发送SYN(同步)包,请求建立连接。
  • TCP同步+确认(SYN+ACK):服务器收到SYN包后,回应一个SYN+ACK包。
  • TCP确认(ACK):客户端收到服务器的SYN+ACK包后,回应一个ACK包,完成TCP连接的建立。

2. TLS 握手开始

  • ClientHello:客户端发送一个ClientHello消息,包含支持的加密算法、TLS版本等信息。

3. 服务器认证

  • ServerHello:服务器回应一个ServerHello消息,包含选择的加密算法、TLS版本等信息。
  • 服务器证书(Server Certificate):服务器发送其证书,用于客户端验证服务器的身份。
  • ServerKeyExchange(如果需要):服务器发送密钥交换相关的信息。
  • CertificateRequest:服务器请求客户端的证书,用于验证客户端身份。
  • ServerHelloDone:服务器通知客户端ServerHello阶段完成。

4. 客户端认证

  • 客户端证书(Client Certificate):客户端发送其证书,供服务器验证客户端的身份。
  • ClientKeyExchange:客户端生成一个会话密钥,使用服务器的公钥加密后发送给服务器。
  • CertificateVerify:客户端发送一个签名,证明其拥有对应私钥。
  • ChangeCipherSpec:客户端通知服务器后续的消息将使用协商的会话密钥加密。
  • Client Finished:客户端发送一个完成消息,表明握手阶段结束。

5. 服务器完成认证

  • ChangeCipherSpec:服务器通知客户端后续的消息将使用协商的会话密钥加密。
  • Server Finished:服务器发送一个完成消息,表明握手阶段结束。

6. 加密通信

  • 双方使用协商好的会话密钥进行加密通信,确保数据传输的保密性和完整性。

图示说明

json 复制代码
客户端                            服务器
   |                                 |
   |------------(SYN)--------------> |
   | <---------(SYN+ACK)-----------  |
   | ------------(ACK)-------------->|
   |                                 |
   | ------- ClientHello --------->  |
   |                                 |
   | <------ ServerHello ----------- |
   | <------ Server Certificate -----|
   | <----- Certificate Request ---- |
   | <------ ServerHelloDone ------- |
   |                                 |
   | ------ Client Certificate ----> |
   | ------ ClientKeyExchange ------>|
   | ----- CertificateVerify ------> |
   | ------ ChangeCipherSpec ------> |
   | ------ Client Finished -------> |
   |                                 |
   | <------ ChangeCipherSpec -------|
   | <------ Server Finished ------- |
   |                                 |
   |  <======== 加密通信 =========>  |

关键点

  • ClientHello 和 ServerHello:用于协商加密算法和TLS版本。
  • 证书交换:客户端和服务器互相交换证书,验证对方身份。
  • 密钥交换:使用公钥加密生成的会话密钥,确保后续通信的安全性。
  • ChangeCipherSpec:通知对方后续通信将使用协商的会话密钥加密。

通过双向认证,客户端和服务器双方都能确保对方的身份,从而大大提高了通信的安全性。

相关推荐
a_weng083 小时前
CS 144 check6: buiding an IP router
网络·网络协议·计算机网络
码农丁丁4 小时前
[前端]HTTP库Axios
前端·网络协议·http·aixos
carterslam4 小时前
解决:websocket 1002 connection rejected 426upgrade required
网络·websocket·网络协议
G丶AEOM4 小时前
UDP基本了解
网络·网络协议
m0_748232925 小时前
Android Https和WebView
android·网络协议·https
群联云防护小杜8 小时前
服务器压力测试怎么做
运维·服务器·网络协议·tcp/ip·阿里云·压力测试
等一场春雨8 小时前
403 Forbidden HTTP 响应状态码
网络·网络协议·http
打鱼又晒网11 小时前
linux网络套接字 | 深度解析守护进程 | 实现tcp服务守护进程化
linux·网络协议·计算机网络·tcp
青灯文案111 小时前
前端 HTTP 请求由 Nginx 反向代理和 API 网关到后端服务的流程
前端·nginx·http
小林熬夜学编程12 小时前
【Linux网络编程】第十四弹---构建功能丰富的HTTP服务器:从状态码处理到服务函数扩展
linux·运维·服务器·c语言·网络·c++·http