收藏 分销(赏)
立即下载 开通VIP

HTTPS简介PPT.ppt

上传人:人****来 文档编号:7434855 上传时间:2025-01-04 格式:PPT 页数:30 大小:214.23KB
下载 相关 举报
HTTPS简介PPT.ppt_第1页
第1页 / 共30页
HTTPS简介PPT.ppt_第2页
第2页 / 共30页
HTTPS简介PPT.ppt_第3页
第3页 / 共30页
HTTPS简介PPT.ppt_第4页
第4页 / 共30页
HTTPS简介PPT.ppt_第5页
第5页 / 共30页
点击查看更多>>
资源描述

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2,#,HTTPS,简介,1,2,第一节,HTTPS,简介,引入,:,随着网络通信和电子商务等服务和资源进入人们的日常生活,人们在享受网络带来的各种便利的同时,,面临各种各样的安全隐患,。,我们经常接触到的就有邮箱登录,网上购物,电子银行等等。这很多是基于,HTTP,协议的。,但,HTTPRFC2616,最初是在,INTERNET,上不用密码的应用。因此随着人们对安全性的要求增加。,HTTPS,协议,,为我们提供了面向通道的安全性。,2,2025/1/4 周六,目录,目录,HTTPS,简介,SSL,协议介绍,S

2、SL,记录协议,SSL,握手协议,3,2025/1/4 周六,HTTPS,简介,HTTPS,(全称:,Hypertext Transfer Protocol over Secure Socket Layer,),是,HTTP,的安全版,HTTPS,默认使用,TCP,端口,443,,也可以指定其他的,TCP,端口。,URI,格式,https/:URL,一个,URI,例子:,周六,SSL,协议介绍,HTTPS,中,S,实际上是,SSL(Secure Sockets Layer),协议。,SSL,是,Netscape,公司发明的一种,用于,WEB,的安全传输协议,。随着时间的推移由于,Netscap

3、e,失去了市场份额,它将,SSL,的维护工作移交给因特网工程任务组(,IETF,)。第一个后,Netscape,版本被重新命名为安全传输层协议(,TLS,),,TLS(Transport Layer Security:RFC 2246),是基于,SSL,上研发的,但是与,SSLv3.0,有细微的差别。,因此,,SSL,协议有时也称为,TLS,协议。目前常用的是,TLSv1.0,的协议。,5,2025/1/4 周六,SSL,协议介绍,SSL,协议的功能,1,)保证传输数据的,保密性,2,)保证传输数据的,完整性,3,)实现通信双方的互相,身份认证,6,2025/1/4 周六,SSL,协议介绍,S

4、SL,协议在协议栈的位置,IP,协议,TCP,协议,HTTP,、,TELNET,、,FTP,等应用层协议,SSL,记录协议,应用数据,告警,握手,ChangeCipherSpec,7,2025/1/4 周六,SSL,协议介绍,SSL,协议是一个分层的协议,,共有两层组成,。,高层协议包括,:,SSL,握手协议,(SSL HandshakeProtocol),、,改变加密约定协议,(Change Cipher Spec Protocol),、,报警协议,(AlertProtocol),处于,SSL,协议的底层的是:,SSL,记录层协议,(SSL Record Protocol),8,2025/1

5、/4 周六,SSL,记录协议,SSL,的记录协议,记录层协议实际上是一个简单的,封装,或者说是,“打包”协议,。记录可能是明文传送的,也可能是被加密传送的,,纪录协议的功能,保证消息的,完整性,机密性,9,2025/1/4 周六,SSL,记录协议,SSL,记录的结构示意图,:,类型,版本,长度,明文数据,/,加密数据,1,字节,2,字节,2,字节,(长度,),字节,类型,:,有握手协议、报警协议、改变加密约定协议、应用数据等四种,加密数据,可分解为,数据,HMAC,填充*,填充长度*,注,:HMAC:Keyed-Hash Message Authentication Code,(消息验证码),

6、10,2025/1/4 周六,SSL,记录协议,MAC(Message Authentication Code),消息验证码,消息验证码也称为消息摘要,是,实现数据完整性,的主要手段。,主要目的是认证消息、检验数据,是否被篡改,。,目前常用的消息摘要算法有,MD5(Message-Digest Algorithm 5),和,SHA,(,Secure Hash Algorithm,)。,SSL,中的摘要算法是,:HMAC,即,Keyed-Hash Message Authentication Code,。,HMAC,是在使用消息摘要函数(例如,MD5,等)的同时,,增加了一个“密钥”,作为输入。

7、,11,2025/1/4 周六,SSL,记录协议,SSL,记录协议封装过程,类型,版本,长度,数据,HMAC*,填充*,填充长度*,1,、填写”记录头信息”,中的”,版本,”和”,类型,”,*2,、如果协商了压缩,算法则,压缩,“,数据,”,3,、计算并附加,MAC,*4,、计算“,填充长度,”,填,写“,填充,字段”并“,加密,”,5,、填写记录头信息中,的“,长度,”,12,2025/1/4 周六,SSL,记录协议,SSL,记录协议解封装过程,类型,版本,长度,数据,HMAC*,填充*,填充长度*,1,、读取”记录头信息”,中的”,版本,”,2,、根据,长度,读入记,录“数据”部分,3,、

8、去掉“,填充长度,”和,“,填充,“字段,*4,、检查并去掉,MAC,5,、如果协商了压缩算,法则解压“,数据,”,13,2025/1/4 周六,SSL,握手协议,SSL,握手协议,是,SSL,协议中最重要同时也是最复杂的协议。,SSL,握手协议主要负责如下工作,:,算法协商,身份验证,确定密钥,14,2025/1/4 周六,SSL,握手协议,SSL,握手过程分为四种,:,Full Handshake,:,全流程握手,,C/S,双方从无到有建立,SSL,连接;,Resum session Handshake,:C/S,双方曾经建立过连接,但中途断了,,SSL,会话信息还有保留,只需要执行部分握

9、手流程就可建立,SSL,连接;,Server Re-negotiation Handshake,:,已经建立了,SSL,连接,但,server,端为了某些原因,(,比如安全性,),要求重新对密钥进行协商,也只需要执行部分握手流程;,Client Re-negotiation Handshake,:,已经建立,SSL,连接,但,client,端为了某些原因要求重新协商,只需执行部分握手流程。,15,2025/1/4 周六,全流程握手,(,Full Handshake),携带客户的,SSL,版本号,加密套件列表,压缩算法列表,客户端随机数,,sessionid=0;,传送给服务器,Server H

10、ello,Server Certificate*,Client Certificate Requst*,Server Hello done,*Client Certificate,Client Key Exchang,*Certificate verify,Change Cipher Spec,Client finished Message,Client hello,Change Cipher Spec,Server finished Message,Application Data,Application Data,服务器选择版本,确定要用的加密套件、压缩算法,计算,sessionid,以及

11、随机数发给客户端,服务器将自己的证书发送给客户端,服务端向客户端索要证书,服务端通知客户端握手消息发送完成,客户端向服务器端发送自己的证书,客户端密钥交换,(,产生预主密钥,(preMasterKey),客户端证书验证,让服务器验证发消息的客户端和客户端证书的真实所有者,改变加密约定消息,通知服务端,之后的消息开始启用加密参数,客户端的,SSL,协商成功结束,发送握手验证报文确保消息的完整性,服务器端的,SSL,协商成功结束,发送握手验证报文确保消息的完整性,改变加密约定消息,通知客户端,之后的消息开始启用加密参数,应用数据传送,下一页,16,2025/1/4 周六,携带客户的,SSL,版本号

12、,加密套件列表,压缩算法列表,客户端随机数,,sessionid=0;,传送给服务器,Client hello,客户端给服务器端发个,hello,的问候,问候里包含有它使用的,SSL,版本号,、,加密套件列表,,,压缩算法列表,,,客户端随机数,,,sessionid=0,;,服务器收到客户端的问候后,会从客户端提供的,版本号,中选出双方都支持的最高版本,,从,加密套件列表,选择一种支持也安全性强的加密套件,从,压缩算法列表,选择压缩算法(一般为空,),。,返回,Client hello,17,2025/1/4 周六,服务器端将上述选择的,加密套件,,,压缩算法,(NULL),,且计算一个,s

13、ession_id,和,服务器端随机数,发送给客户端,服务器选择版本,确定要用的加密套件、压缩算法,计算,sessionid,以及随机数发给客户端,Server hello,客户端收到,serverhello,的报文会将,加密套件,,,压缩算法,(NULL),,,session_id,和,服务器端随机数,缓存起来。接着继续握手过程。,返回,Server hello,18,2025/1/4 周六,服务器将自己的证书发送给客户端,Server Certificate*,服务器端将自己的证书发送给客户端,证明自己的身份。证书中包含有服务器的,身份信息,,以及服务器的,公钥,。,客户端收到,Certi

14、ficate,报文会验证该证书是否过期,并将服务器的公钥缓存起来。,返回,Server Certificate*,19,2025/1/4 周六,Client Certificate Requst*,如果是,SSL,的双向认证的话,那么服务器端会向客户端发送,client cert request,消息,,索要客户端的证书,,证书中包含有,server,端支持的,证书类型,,和所信任的所有证书发行机构,(CA(,Certificate,Authority,),列表。,客户端收到,Client Certificate Requst,报文将消息中的证书类型列表和可信任证书发行机构列表保存下来,可在后

15、面发送客户端证书时候拿来,筛选证书,用。,服务端向客户端索要证书,返回,Client Certificate Requst*,20,2025/1/4 周六,Server Hello done,服务器端通知客户端这一步的握手消息发送完成。等待客户端确认。,服务端通知客户端握手消息发送完成,返回,Server Hello done,21,2025/1/4 周六,*Client Certificate,客户端从之前收到,server,端发的,cert request,消息中的支持的证书类型列表和信任的根,CA(Certificate Authentication),列表中选择满足条件的第一个证书发送

16、给服务器。,客户端向服务器端发送自己的证书,服务器端会缓存客户端的公钥。,返回,*Client Certificate,22,2025/1/4 周六,Client Key Exchang,若为,RSA,加密,客户端则产生一个,48,位随机数作为,pre-master(,预主密钥,),并用服务器公钥加密后发出去。,客户端向服务器端发送一个,48,位的预主密钥,服务器端缓存预主密钥。,返回,Client Key Exchang,23,2025/1/4 周六,*Certificate verify,客户端证让服务器验证发消息的客户端和客户端证书的真实性,由于之前的,Client Certificat

17、e,消息中包含有客户端的公钥,因此用公钥解密该消息,验证客户端的真实性。,Certificate verify,这个消息中要包含一个签名,签名里头内容就是从,client hello,开始到目前为止所有握手消息(不包括本消息)的摘要,然后用客户端的私钥加密。,返回,*Certificate verify,24,2025/1/4 周六,Change Cipher Spec,改变加密约定消息,通知服务端,之后的消息开始启用加密参数,在发送该消息的同时,客户端会把之前的客户端随机数,服务器端随机数、以及预主钥,产生一个主密钥,。并将主密钥进行密钥导出,(,服务器端的写,MAC,密钥、客户端写,MAC

18、,密钥、服务器端的写密钥、客户端的写密钥,),,该过程只在本地进行,不发送给对方。,Change Cipher Spec,该消息只有一个值为,1,的字节。不属于握手协议,和握手协议同一级别的改变加密约定协议。发送该消息的作用是为了,告诉对方接下来的消息将采用新协商的加密套件和密钥进行通信,。,返回,Change Cipher Spec,25,2025/1/4 周六,Client finished Message,客户端的,SSL,协商成功结束,发送握手验证报文确保消息的完整性,这是客户端,SSL,协商成功结束的消息。也是第一个用协商好的密钥加密的消息。会把从,client hello,一直到现

19、在的数据摘要,用客户端密钥加密,发送给服务器。确保握手过程的完整性和机密性。,返回,Client finished Message,26,2025/1/4 周六,SSL,握手协议,加密套件列表,:,列表中包含了,Client,端支持的所有密钥套件。,一个密钥套件定义了一个密钥规格,其中描述如下 内容:,密钥交换算法,(,非对称加密算法,),,,是否出口,对称加密算法,支持的,最高对称密钥位数,MAC,(Message Authentication Code,),算法,(,或摘要算法,),。,例,:SSL_RSA_WITH_RC4_128_MD5=0 x0004/*,非对称加密算法或密钥交换算法

20、为,RSA,,采用高强度,128,位对称加密算法,RC4,,摘要或,MAC,算法为,MD5,,不支持出口*,/,27,2025/1/4 周六,SSL,握手协议,非对称加密算法,和,对称加密算法,明文,:ABCDEF,密文,:*,加密运算,密钥,A,密文,:*,发送报文,接受报文,明文,:ABCDEF,密钥,B,解密运算,图 非对称加密,明文,:ABCDEF,密文,:*,加密运算,密钥,A,密文,:*,发送报文,接受报文,明文,:ABCDEF,密钥,A,解密运算,图 对称加密,28,2025/1/4 周六,总结,总结,:,介绍了,HTTPS,协议,介绍了,SSL,协议的历史和体系结构,介绍了,SSL,的记录协议的结构,封装和解封装流程,介绍了,SSL,握手流程,29,2025/1/4 周六,谢谢,30,2025/1/4 周六,

展开阅读全文
部分上传会员的收益排行 01、路***(¥15400+),02、曲****(¥15300+),
03、wei****016(¥13200+),04、大***流(¥12600+),
05、Fis****915(¥4200+),06、h****i(¥4100+),
07、Q**(¥3400+),08、自******点(¥2400+),
09、h*****x(¥1400+),10、c****e(¥1100+),
11、be*****ha(¥800+),12、13********8(¥800+)。
相似文档                                   自信AI助手自信AI助手
搜索标签

当前位置:首页 > 包罗万象 > 大杂烩

移动网页_全站_页脚广告1

关于我们      便捷服务       自信AI       AI导航        获赠5币

©2010-2025 宁波自信网络信息技术有限公司  版权所有

客服电话:4008-655-100  投诉/维权电话:4009-655-100

gongan.png浙公网安备33021202000488号   

icp.png浙ICP备2021020529号-1  |  浙B2-20240490  

关注我们 :gzh.png    weibo.png    LOFTER.png 

客服