• https基础流程


    背景:
    https基于SSL,目的是保护http通信的过程,防止中间人篡改信息,或假冒服务端的问题。
     
    要解决的问题:
    1. 客户端如何证明是与正确的服务端进行通信
    2. 客户端如何确认收到服务端的信息没有经中途某人篡改
    3. 如何保证即使消息被中间人截获,也不能知道消息的内容
     
    通信流程:
     
    0. 在目前主流浏览器、Android、IOS手机中,会内置一些常用机构颁发的根证书(证书颁发机构的公钥);
    0.1 某服务器要申请证书,必须先自行生成一对公私钥;
    0.2 服务器将公钥交给第三方证书机构买证书;
    0.3 证书机构用自己的私钥对服务端的公钥进行签名(即用证书机构的公钥+此签名, 可以校验服务端的公钥的正确性);
    0.4 颁发证书,实际就是将服务器的公钥返回,并附加上机构用私钥做的签名;
    0.5 服务器端部署此证书。
     
    以上是为了https通信进行的准备工作。最主要的是客户端预置证书机构的根证书、服务器端生成证书。
     
    通信过程中,流程如下:
     
    1. 客户端请求ssl的服务端;
    2. 服务端返回服务器证书,此为明文。明文的含义是,本证书被截获、篡改均可被客户端识别;
    3. 客户端验证证书:
         按证书里颁布机构的信息,到本地取出对应机构的证书(机构公钥),对服务器的公钥签名验证。如签名验证正确,说明此服务器公钥是经此机构保证的。
         如果本地没有找到对应的机构证书、或签名认证不正确,则验证证书失败。
    4. 经过上述步骤,服务器公钥已被证明可靠。使用服务器公钥加密一个随机串,发给服务端;
    5. 发送至今所有包的校验串,密文
    6. 服务端做同样的事,生成随机串和检验头
    X. 至此,客户端和服务端在加密的情况下,交换了一个随机字符串。后续,使用此字符串对称加密所发送的所有消息,第三方则无法截获。
     
    回到开始3个问题:
    1. 客户端如何证明是与正确的服务端进行通信
    通过本地预置的机构证书(对应机构的公钥)验证服务器发送过来的签名
    2. 客户端如何确认收到服务端的信息没有经中途某人篡改
    建立连接阶段,使用加密的校验头来校验已发出的所有信息;通信过程中,通过建立连接过程中交换的随机串加解密来确认
    3. 如何保证即使消息被中间人截获,也不能知道消息的内容
    中间人无法取到双方建立连接过程中交换的随机串
     
     
    其他:
    1. 一切都假定证书机构是值得信任的,但实际上证书机构可能被黑过;
    2. 部分场景中,服务端也要确认客户端的身份,此时需要引入客户端证书;
     
  • 相关阅读:
    Sleepyhead
    JavaScript学习总结(七)——JavaScript函数(function)
    thymeleaf 使用总结
    JavaScript学习总结(六)——JavaScript判断数据类型总结
    JavaScript学习总结(五)——Javascript中==和===的区别
    JavaScript学习总结(四)——逻辑OR运算符详解
    JavaScript学习总结(三)——逻辑And运算符详解
    JavaScript学习总结(二)——逻辑Not运算符详解
    【WEB基础】HTML & CSS 基础入门(5)边框与背景
    【WEB基础】HTML & CSS 基础入门(4)列表及其样式
  • 原文地址:https://www.cnblogs.com/qqmomery/p/6107432.html
Copyright © 2020-2023  润新知