HTTPS简介PPT.ppt

1、单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,2,#,HTTPS,简介,1,2,第一节,HTTPS,简介,引入,:,随着网络通信和电子商务等服务和资源进入人们的日常生活，人们在享受网络带来的各种便利的同时，,面临各种各样的安全隐患,。,我们经常接触到的就有邮箱登录，网上购物，电子银行等等。这很多是基于,HTTP,协议的。,但,HTTPRFC2616,最初是在,INTERNET,上不用密码的应用。因此随着人们对安全性的要求增加。,HTTPS,协议,，为我们提供了面向通道的安全性。,2,2025/1/4 周六,目录,目录,HTTPS,简介,SSL,协议介绍,S

2、SL,记录协议,SSL,握手协议,3,2025/1/4 周六,HTTPS,简介,HTTPS,（全称：,Hypertext Transfer Protocol over Secure Socket Layer,）,是,HTTP,的安全版,HTTPS,默认使用,TCP,端口,443,，也可以指定其他的,TCP,端口。,URI,格式,https/:URL,一个,URI,例子：,周六,SSL,协议介绍,HTTPS,中,S,实际上是,SSL(Secure Sockets Layer),协议。,SSL,是,Netscape,公司发明的一种,用于,WEB,的安全传输协议,。随着时间的推移由于,Netscap

3、e,失去了市场份额，它将,SSL,的维护工作移交给因特网工程任务组（,IETF,）。第一个后,Netscape,版本被重新命名为安全传输层协议（,TLS,），,TLS(Transport Layer Security:RFC 2246),是基于,SSL,上研发的，但是与,SSLv3.0,有细微的差别。,因此，,SSL,协议有时也称为,TLS,协议。目前常用的是,TLSv1.0,的协议。,5,2025/1/4 周六,SSL,协议介绍,SSL,协议的功能,1,）保证传输数据的,保密性,2,）保证传输数据的,完整性,3,）实现通信双方的互相,身份认证,6,2025/1/4 周六,SSL,协议介绍,S

4、SL,协议在协议栈的位置,IP,协议,TCP,协议,HTTP,、,TELNET,、,FTP,等应用层协议,SSL,记录协议,应用数据,告警,握手,ChangeCipherSpec,7,2025/1/4 周六,SSL,协议介绍,SSL,协议是一个分层的协议，,共有两层组成,。,高层协议包括,:,SSL,握手协议,(SSL HandshakeProtocol),、,改变加密约定协议,(Change Cipher Spec Protocol),、,报警协议,(AlertProtocol),处于,SSL,协议的底层的是：,SSL,记录层协议,(SSL Record Protocol),8,2025/1

5、/4 周六,SSL,记录协议,SSL,的记录协议,记录层协议实际上是一个简单的,封装,或者说是,“打包”协议,。记录可能是明文传送的，也可能是被加密传送的，,纪录协议的功能,保证消息的,完整性,机密性,9,2025/1/4 周六,SSL,记录协议,SSL,记录的结构示意图,:,类型,版本,长度,明文数据,/,加密数据,1,字节,2,字节,2,字节,（长度,),字节,类型,:,有握手协议、报警协议、改变加密约定协议、应用数据等四种,加密数据,可分解为,数据,HMAC,填充*,填充长度*,注,:HMAC:Keyed-Hash Message Authentication Code,（消息验证码）,

6、10,2025/1/4 周六,SSL,记录协议,MAC(Message Authentication Code),消息验证码,消息验证码也称为消息摘要，是,实现数据完整性,的主要手段。,主要目的是认证消息、检验数据,是否被篡改,。,目前常用的消息摘要算法有,MD5(Message-Digest Algorithm 5),和,SHA,（,Secure Hash Algorithm,）。,SSL,中的摘要算法是,:HMAC,即,Keyed-Hash Message Authentication Code,。,HMAC,是在使用消息摘要函数（例如,MD5,等）的同时，,增加了一个“密钥”,作为输入。

7、,11,2025/1/4 周六,SSL,记录协议,SSL,记录协议封装过程,类型,版本,长度,数据,HMAC*,填充*,填充长度*,1,、填写”记录头信息”,中的”,版本,”和”,类型,”,*2,、如果协商了压缩,算法则,压缩,“,数据,”,3,、计算并附加,MAC,*4,、计算“,填充长度,”，填,写“,填充,字段”并“,加密,”,5,、填写记录头信息中,的“,长度,”,12,2025/1/4 周六,SSL,记录协议,SSL,记录协议解封装过程,类型,版本,长度,数据,HMAC*,填充*,填充长度*,1,、读取”记录头信息”,中的”,版本,”,2,、根据,长度,读入记,录“数据”部分,3,、

8、去掉“,填充长度,”和,“,填充,“字段,*4,、检查并去掉,MAC,5,、如果协商了压缩算,法则解压“,数据,”,13,2025/1/4 周六,SSL,握手协议,SSL,握手协议,是,SSL,协议中最重要同时也是最复杂的协议。,SSL,握手协议主要负责如下工作,：,算法协商,身份验证,确定密钥,14,2025/1/4 周六,SSL,握手协议,SSL,握手过程分为四种,:,Full Handshake,:,全流程握手，,C/S,双方从无到有建立,SSL,连接；,Resum session Handshake,:C/S,双方曾经建立过连接，但中途断了，,SSL,会话信息还有保留，只需要执行部分握

9、手流程就可建立,SSL,连接；,Server Re-negotiation Handshake,:,已经建立了,SSL,连接，但,server,端为了某些原因,(,比如安全性,),要求重新对密钥进行协商，也只需要执行部分握手流程；,Client Re-negotiation Handshake,:,已经建立,SSL,连接，但,client,端为了某些原因要求重新协商，只需执行部分握手流程。,15,2025/1/4 周六,全流程握手,(,Full Handshake),携带客户的,SSL,版本号，加密套件列表，压缩算法列表，客户端随机数，,sessionid=0;,传送给服务器,Server H

10、ello,Server Certificate*,Client Certificate Requst*,Server Hello done,*Client Certificate,Client Key Exchang,*Certificate verify,Change Cipher Spec,Client finished Message,Client hello,Change Cipher Spec,Server finished Message,Application Data,Application Data,服务器选择版本，确定要用的加密套件、压缩算法，计算,sessionid,以及

11、随机数发给客户端,服务器将自己的证书发送给客户端,服务端向客户端索要证书,服务端通知客户端握手消息发送完成,客户端向服务器端发送自己的证书,客户端密钥交换,(,产生预主密钥,(preMasterKey),客户端证书验证，让服务器验证发消息的客户端和客户端证书的真实所有者,改变加密约定消息，通知服务端，之后的消息开始启用加密参数,客户端的,SSL,协商成功结束，发送握手验证报文确保消息的完整性,服务器端的,SSL,协商成功结束，发送握手验证报文确保消息的完整性,改变加密约定消息，通知客户端，之后的消息开始启用加密参数,应用数据传送,下一页,16,2025/1/4 周六,携带客户的,SSL,版本号

12、，加密套件列表，压缩算法列表，客户端随机数，,sessionid=0;,传送给服务器,Client hello,客户端给服务器端发个,hello,的问候，问候里包含有它使用的,SSL,版本号,、,加密套件列表,，,压缩算法列表,，,客户端随机数,，,sessionid=0,;,服务器收到客户端的问候后，会从客户端提供的,版本号,中选出双方都支持的最高版本，,从,加密套件列表,选择一种支持也安全性强的加密套件，从,压缩算法列表,选择压缩算法（一般为空,),。,返回,Client hello,17,2025/1/4 周六,服务器端将上述选择的,加密套件,，,压缩算法,(NULL),，且计算一个,s

13、ession_id,和,服务器端随机数,发送给客户端,服务器选择版本，确定要用的加密套件、压缩算法，计算,sessionid,以及随机数发给客户端,Server hello,客户端收到,serverhello,的报文会将,加密套件,，,压缩算法,(NULL),，,session_id,和,服务器端随机数,缓存起来。接着继续握手过程。,返回,Server hello,18,2025/1/4 周六,服务器将自己的证书发送给客户端,Server Certificate*,服务器端将自己的证书发送给客户端，证明自己的身份。证书中包含有服务器的,身份信息,，以及服务器的,公钥,。,客户端收到,Certi

14、ficate,报文会验证该证书是否过期，并将服务器的公钥缓存起来。,返回,Server Certificate*,19,2025/1/4 周六,Client Certificate Requst*,如果是,SSL,的双向认证的话，那么服务器端会向客户端发送,client cert request,消息，,索要客户端的证书,，证书中包含有,server,端支持的,证书类型,，和所信任的所有证书发行机构,(CA(,Certificate,Authority,),列表。,客户端收到,Client Certificate Requst,报文将消息中的证书类型列表和可信任证书发行机构列表保存下来，可在后

15、面发送客户端证书时候拿来,筛选证书,用。,服务端向客户端索要证书,返回,Client Certificate Requst*,20,2025/1/4 周六,Server Hello done,服务器端通知客户端这一步的握手消息发送完成。等待客户端确认。,服务端通知客户端握手消息发送完成,返回,Server Hello done,21,2025/1/4 周六,*Client Certificate,客户端从之前收到,server,端发的,cert request,消息中的支持的证书类型列表和信任的根,CA(Certificate Authentication),列表中选择满足条件的第一个证书发送

16、给服务器。,客户端向服务器端发送自己的证书,服务器端会缓存客户端的公钥。,返回,*Client Certificate,22,2025/1/4 周六,Client Key Exchang,若为,RSA,加密，客户端则产生一个,48,位随机数作为,pre-master(,预主密钥,),并用服务器公钥加密后发出去。,客户端向服务器端发送一个,48,位的预主密钥,服务器端缓存预主密钥。,返回,Client Key Exchang,23,2025/1/4 周六,*Certificate verify,客户端证让服务器验证发消息的客户端和客户端证书的真实性,由于之前的,Client Certificat

17、e,消息中包含有客户端的公钥，因此用公钥解密该消息，验证客户端的真实性。,Certificate verify,这个消息中要包含一个签名，签名里头内容就是从,client hello,开始到目前为止所有握手消息（不包括本消息）的摘要，然后用客户端的私钥加密。,返回,*Certificate verify,24,2025/1/4 周六,Change Cipher Spec,改变加密约定消息，通知服务端，之后的消息开始启用加密参数,在发送该消息的同时，客户端会把之前的客户端随机数，服务器端随机数、以及预主钥,产生一个主密钥,。并将主密钥进行密钥导出,(,服务器端的写,MAC,密钥、客户端写,MAC

18、,密钥、服务器端的写密钥、客户端的写密钥,),，该过程只在本地进行，不发送给对方。,Change Cipher Spec,该消息只有一个值为,1,的字节。不属于握手协议，和握手协议同一级别的改变加密约定协议。发送该消息的作用是为了,告诉对方接下来的消息将采用新协商的加密套件和密钥进行通信,。,返回,Change Cipher Spec,25,2025/1/4 周六,Client finished Message,客户端的,SSL,协商成功结束，发送握手验证报文确保消息的完整性,这是客户端,SSL,协商成功结束的消息。也是第一个用协商好的密钥加密的消息。会把从,client hello,一直到现

19、在的数据摘要，用客户端密钥加密，发送给服务器。确保握手过程的完整性和机密性。,返回,Client finished Message,26,2025/1/4 周六,SSL,握手协议,加密套件列表,:,列表中包含了,Client,端支持的所有密钥套件。,一个密钥套件定义了一个密钥规格，其中描述如下 内容：,密钥交换算法,(,非对称加密算法,),，,是否出口,对称加密算法,支持的,最高对称密钥位数,MAC,(Message Authentication Code,）,算法,(,或摘要算法,),。,例,:SSL_RSA_WITH_RC4_128_MD5=0 x0004/*,非对称加密算法或密钥交换算法

20、为,RSA,，采用高强度,128,位对称加密算法,RC4,，摘要或,MAC,算法为,MD5,，不支持出口*,/,27,2025/1/4 周六,SSL,握手协议,非对称加密算法,和,对称加密算法,明文,:ABCDEF,密文,:*,加密运算,密钥,A,密文,:*,发送报文,接受报文,明文,:ABCDEF,密钥,B,解密运算,图 非对称加密,明文,:ABCDEF,密文,:*,加密运算,密钥,A,密文,:*,发送报文,接受报文,明文,:ABCDEF,密钥,A,解密运算,图 对称加密,28,2025/1/4 周六,总结,总结,:,介绍了,HTTPS,协议,介绍了,SSL,协议的历史和体系结构,介绍了,SSL,的记录协议的结构，封装和解封装流程,介绍了,SSL,握手流程,29,2025/1/4 周六,谢谢,30,2025/1/4 周六,