HTTPS协议分析解析

1、HTTPS简介，2012-02-10，第1节HTTPS简介，简介网络通信或电子商务等服务和资源进入了人们的日常生活，人们在享受来自互联网的各种方便的同时，也面临着各种安全风险。我们经常接触的地方有电子邮件登录、网上购物、电子银行等。这大部分基于HTTP协议。但是，HTTPRFC2616最初是一个不在internet上使用密码的应用程序。因此，随着安全要求的增加。HTTPS协议为我们提供面向通道的安全性。目录，目录HTTPS简介SSL协议介绍SSL日志记录协议SSL握手协议。HTTPS简介，HTTPS(完全限定名称：secure socket layer over hypertext trans

2、fer protocol)是HTTP的安全版本，默认情况下，可以使用TCP端口443，也可以指定其他TCP端口。URI格式的HTTPS/:URL一个URI示例：SSL协议简介，HTTPS的s，实际上是安全套接字层(SSL)协议。SSL是Netscape为用于web而开发的一种安全传输协议。随着时间的推移，由于Netscape的市场份额丢失，SSL维护工作将移交给internet工程任务组(IETF)。Netscape的第一个后续版本已重命名为安全传输层安全3360 RFC 2246(TLS)，传输层安全3360 RFC 2246(TLS)是基于SSL开发的因此，SSL协议也称为TLS协议。目前

3、，通常使用TLSv1.0的协议。SSL协议简介，SSL协议的功能1)确保传输数据的机密性2)确保传输数据的完整性3)通信互验证，SSL协议简介，协议堆栈中的SSL协议位置，IP协议，TCP协议，HTTP、telnet、FTP等应用层协议，以及SSL协议简介： SSL握手协议(SSL HandshakeProtocol)、更改加密协议(Change Cipher Spec Protocol)和警报协议(AlertProtocol)是SSL协议(SSL recontrol)记录可以作为纯文本发送，也可以加密后发送。日志协议的功能可确保消息的完整性机密性。SSL记录协议、SSL记录的结构图：类型：有

4、四种类型：握手协议、警告协议、加密协议更改和数据应用。数据加密，可分解，数据，HMAC，填充*，填充长度*，注： HMAC : keyed-hash Message authentic ation Code(消息身份验证代码)，SSL日志记录协议，主要目的是验证消息并确保数据被篡改。当前常用的消息摘要算法是消息-数字算法MD5)和安全Hash算法(SHA)。SSL的摘要算法是：HMAC，即keyed-hash message authentic ation code。HMAC在使用消息摘要函数(如MD5等)时添加“密钥”作为输入。SSL日志记录协议，SSL日志记录协议封装进程，类型，版本，长度

5、，数据，HMAC*填充*填充长度*，1，记录标题信息的“版本”和“类型”，*2，协商压缩算法3、“填充长度”删除和“字段填充”、*4、MAC检查和删除、* 5、SSL握手协议(如果压缩计算规则已解压“数据”)、SSL握手协议是SSL协议中最重要、最复杂的协议。SSL握手协议主要负责在没有C/S的情况下建立SSL连接，包括验证确认密钥、SSL握手协议、SSL握手进程4种：全路径握手，以及C/S。Resum session Handshake: C/S互连已建立，但中途中断，保留SSL会话信息，并且只需执行部分握手过程来建立SSL连接。server re-negotiation handshake

6、 :已建立SSL连接，但服务器端出于安全等特定原因要求重新协商密钥，或仅执行部分握手过程。clientre-negotiation handshake :已建立SSL连接，但由于某些原因，客户端仅需要执行部分握手进程以请求重新协商。全进程握手，客户的SSL版本号，加密工具包列表，压缩算法列表，客户端随机数，会话id=0；发送到服务器，server hello server certificate * client certificate requst * server hello done，* client certificate client key 交换客户机密钥(生成主动主密钥)，验证客

7、户机证书以确定服务器发送消息的客户机和客户机证书的实际所有者，更改加密规则消息，通知服务器，然后消息开始启用加密参数。 客户机的SSL协商成功结束，发送握手验证消息以确保消息的完整性，服务器端的SSL协商成功结束，发送握手验证消息以确保消息的完整性，更改加密规则消息，通知客户机，后续消息启用加密参数，应用数据传输，下一页，客户的SSL版本号，加密工具包列表，压缩算法列表，客户机随机数转发到服务器，Client hello，客户端使用的hello版本号，加密工具包列表，压缩算法列表，客户端随机数，session id=0；当服务器收到客户端的问候时，从客户端提供的版本号中选择双方支持的最高版本，

8、从加密工具包列表中选择功能强大且安全的加密工具包，然后从压缩算法列表中选择压缩算法(通常为空)。返回，Client hello，服务器端上面选择的加密工具包，压缩算法(NULL)，会话_ id计算和服务器端随机数发送到客户机，服务器选择版本，确定要使用的加密工具包，压缩算法，会话id计算和随机数发送到客户机，Server hello然后继续握手过程。返回，Server hello，服务器将自己的证书发送到客户端，将服务器Certificate *，服务器端自己的证书发送到客户端，以证明自己的身份。证书包含服务器的身份信息和服务器的公钥。当客户端收到Certificate消息时，它会检查证书是否

9、过期，并缓存服务器的公钥。返回、server certificate *、client certificate recustoms *、SSL的双向身份验证时，服务器端支持的证书类型和所有受信任的证书颁发机构(认证授权机构(CA)，客户端可以接收客户端证书证书声明消息，存储消息中的证书类型列表和受信任证书颁发机构列表，并在以后发送客户端证书时使用它们来筛选证书。服务器向客户端发出证书请求、返回、client certificate requst *、server hello done、服务器端通知此步骤的握手消息传输已完成。等待客户端确认。服务器完成客户端握手消息的发送并返回，在server

10、hello done、* client certificate、客户端以前从服务器端发送的cert request消息中支持的证书类型列表和受信任的根证书验证(CA)列表中，客户端将自己的证书发送给服务器端，服务器端缓存客户端的公钥。对于、返回、* client certificate、* client key ex Chang和RSA加密，客户端将生成48位随机数并使用服务器公钥加密。客户端将48位预主密钥发送到服务器端缓存预主密钥。返回，client key ex Chang，* certificate verify，Client Certificate确保服务器验证发送消息的客户端和客户

11、端证书的真实性，因为以前的客户端证书消息包含客户端的公钥。用公钥解密消息，以验证客户端的可靠性。Certificate verify消息包含自客户端hello启动以来所有握手消息(此消息除外)的摘要，然后用客户端的私钥加密的签名。返回，* certificate verify，change cipher spec，更改加密规则消息，通知服务器，后续消息开始启用加密参数，在发送消息的过程中，客户机生成旧客户机随机数、服务器端随机数和预主密钥。密钥导出(服务器端写入MAC密钥、客户端写入MAC密钥、服务器端写入密钥、客户端写入密钥)过程仅在本地执行，不会发送给对方。Change Cipher Sp

12、ec消息只有一个值为1的字节。不属于握手协议，与握手协议级别相同的更改加密协议协议。发送此消息是为了通知对方，以下消息将与新协商的加密工具包进行密钥通信。通过发送握手验证消息(即，返回、change cipher spec、client finished message、客户端的SSL协商成功结束、客户端的SSL协商成功结束的消息)确保消息完整性。这也是用协商的密钥加密的第一条信息。Client hello使用客户端密钥加密迄今为止的数据摘要，并将其发送给服务器。确保握手过程的完整性和机密性。返回、Client finished Message、SSL握手协议和加密工具包列表：列表包含客户端支持的所有密钥工具包。一个密钥工具包定义了密钥规范，其中描述了密钥交换算法(非对称加密算法)、对称加密算法支持的最大对称密钥位数消息验证代码(MAC