一、HTTPS请求流程图
1、https在真正请求数据前,会先与服务器有几次握手验证,以证明相互的身份,如下图:
二、验证流程
https通信进行的准备工作。最主要的是客户端预置证书机构的根证书、服务器端生成证书。
1、客户端
在目前主流浏览器,会内置一些常用机构颁发的根证书(证书颁发机构的公钥)
2、服务端
1、某服务器要申请证书,必须先自行生成一对公私钥,;
2、服务器将公钥交给第三方证书机构买证书;
3、证书机构用自己的私钥对服务端的公钥进行签名(即用证书机构的公钥+此签名, 可以校验服务端的公钥的正确性);
4、颁发证书,实际就是将服务器的公钥返回,并附加上机构用私钥做的签名;
5、服务器端部署此证书;
1、客户端发起一个https的请求,把自身支持的一系列Cipher Suite(密钥算法套件,简称Cipher)发送给服务端。
2、服务端接收到客户端所有的Cipher后与自身支持的对比,如果不支持则连接断开,反之则会从中选出一种加密算法和HASH算法以证书的形式返回给客户端 证书中还包含了公钥
颁证机构 网址 失效日期等等(此为明文。明文的含义是,本证书被截获、篡改均可被客户端识别)。
3、客户端收到服务端响应后会做以下几件事:
3.1 验证证书的合法性
颁发证书的机构是否合法与是否过期,证书中包含的网站地址是否与正在访问的地址一致等。
按证书里颁布机构的信息,到本地取出对应机构的证书(机构公钥),对服务器的公钥签名验证。如签名验证正确,说明此服务器公钥是经此机构保证的。
如果本地没有找到对应的机构证书、或签名认证不正确,则验证证书失败。
证书验证通过后,在浏览器的地址栏会加上一把小锁(每家浏览器验证通过后的提示不一样 不做讨论)。
3.2 生成随机密码
如果证书验证通过,或者用户接受了不授信的证书,此时浏览器会生成一串随机数,然后用证书中的公钥加密。
3.3 HASH握手信息
用最开始约定好的HASH方式,把握手消息取HASH值, 然后用 随机数加密 “握手消息+握手消息HASH值(签名)” 并一起发送给服务端。
在这里之所以要取握手消息的HASH值,主要是把握手消息做一个签名,用于验证握手消息在传输过程中没有被篡改过。
4、服务端拿到客户端传来的密文,用自己的私钥来解密,得到随机数密码;再用随机数密码解密握手消息与HASH值,并与传过来的HASH值做对比确认是否一致。然后用随机密
码加密一段握手消息(握手消息+握手消息的HASH值 )给客户端。
5、客户端用随机数解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用对称加密算法
进行加密, 因为这串密钥只有客户端和服务端知道,所以即使中间请求被拦截也是没法解密数据的,以此保证了通信的安全
算法
非对称加密算法:RSA,DSA/DSS 在客户端与服务端相互验证的过程中用的是对称加密
对称加密算法:AES,RC4,3DES 客户端与服务端相互验证通过后,以随机数作为密钥时,就是对称加密
HASH算法:MD5,SHA1,SHA256 在确认握手消息没有被篡改时
参考自:
http://www.cnblogs.com/zery/p/5164795.html https原理解析
http://www.cnblogs.com/qqmomery/p/6107432.html https基础流程