用户
搜索

该用户从未签到

SRC部落

Rank: 7Rank: 7Rank: 7

24

主题

38

帖子

2127

魔法币
收听
0
粉丝
1
注册时间
2016-9-1

i春秋认证SRC部落

发表于 2017-6-15 14:38:59 22809
文章来源:宜信安全部

a3ecb57d8c64429db6a7d75494774c7c.jpg


宜信安全部专注技术,致力安全。本文是由宜信安全部分享——HTTPS通信过程及分类。欢迎关注宜信安全部官方微信公众号:宜安全。


128f75a7a5479223d1f05088f263f4c5.jpg http的缺点
0fb328c0109d266a59d3ee9aec45f286.jpg

1、通信明文传输,内容可能被窃听;
2、无法验证客户端身份,可能被伪装;
3、无法验证数据的完整新,可能被篡改。

        解决:

1、加密防止窃听;
2、通信加密:http本身没有加密机制,可以组合使用SSL(安全套接层)和TLS(安全传输层协议)技术实现通信的整个加密;
3、使用证书查明对方身份,证书由值得信赖的第三方机构颁发;
4、使用ssl提供摘要功能。


16568d4dfec16aeea48e8c604396aa43.jpg


128f75a7a5479223d1f05088f263f4c5.jpg HTTPs=?


HTTP+加密+认证+完整性保护=HTTPS
https不是应用层的一种新协议,只是http通信接口部分用ssl或者tls协议替代,通俗的说https就是http外面套一层壳。

        Https采用的加密算法:

1、对称加密:加解密使用同一个密钥,加解密快,代表:DES,AES;
2、非对称加密:密钥成对出现,加解密使用不同的密钥,(公钥加密私钥解,私钥加密公钥解),相对对称加密速度慢,代表RSA,DSA。

        Https通信过程:

1、浏览器发送一个连接请求给服务器;
2、服务器将自己的证书(由CA签发,同时包含服务器公钥)、对称加密算法种类及其他相关信息返回客户端;
3、客户端浏览器比较证书里的信息,如证书有效期、服务器域名和公钥,是否由信任的CA签发,如果一致,则浏览器完成对服务器的身份认证。否则给客户一个警告信息:询问是否继续访问
4、客户端向服务器发送客户端证书(包含客户端公钥)、支持的对称加密方案及其他相关信息。服务器收到后,进行相同的身份认证,若没有通过验证,则拒绝连接;
5、服务器根据客户端浏览器发送到密码种类,选择一种加密方案,用客户端公钥加密后通知到客户端浏览器;
6、客户端通过私钥解密后,得知服务器选择的加密方案,并选择随机产生一个会话密钥,接着用服务器公钥加密后发送给服务器;
7、服务器接收到的浏览器传送到消息,用私钥解密,获得通话密钥key。
8、接下来的数据传输都使用该对称密钥key进行加密。

        https通信过程图解:

b1d64360ded1027d86454e1da23f59ad.jpg

        CA

数字证书认证机构,CA(Certificate Authority)和其相关机关颁发的公开密钥证书。
CA:通信双方都信任的第三方机构,如Verisign,CFCA。

        CA的业务流程:

服务器运维人员向CA申请提出公开密钥的申请;

CA判明提出者身份后,对已申请的公开密钥做数字签名;

CA分配这个已经签名的公钥,并将该公开密钥放入公钥证书后绑定在一起;

服务器将这份由ca颁发的公钥证书(数字证书)发送给客户端;

接收到证书的客户端可以使用CA的公开密钥,对那张证书上的数字签名进行验证,验证通过说明两件事:CA有效和服务器的公钥值得信任;

通常,为了安全的将CA的公开密钥转交给客户端,多数浏览器开发商发布版本时,会事先在内部植入CA的公钥;

        证书的分类:

按照审核方式
企业增强/扩展验证:EV SSL证书。扩展验证性型SSL证书,遵循全球统一的严格身份验证标准颁发的 SSL 证书,不仅浏览器地址栏会显示安全锁标志,而且浏览器地址栏会变成绿色。
企业验证:OV SSL证书,机构验证型SSL证书,也是目前标准的ssl证书。
域名验证:DV SSL证书,只验证网站域名所有权的简易型SSL证书,此类证书仅能起到网站机密信息加密的作用,无法向用户证明网站的真实身份, DV SSL证书仅适合于个人网站或非电子商务网站。


名词解释
  • SSL:Secure Socket Layer 安全套接层
  • TLS:Transport Layer Secure 安全传输层协议
  • https:http over ssl
  • 公开密钥加密算法:public-key cryptography,加密算法是公开的,但密钥确实保密的
  • EV SSL:Extended Validation SSL




本期的分享到此结束了~我们下期再见~
66baa4edc16db604e3cfc8db438ab8fc.jpg

发表于 2017-6-15 22:16:28
错别字   +1
使用道具 举报 回复
厉害         
使用道具 举报 回复
发新帖
您需要登录后才可以回帖 登录 | 立即注册