806
HTTPS加密協議詳解
簡介
HTTPS (Secure Hypertext Transfer Protocol)安全超文本傳輸協議,是一個安全通信通道,它基於HTTP開發用於在客戶計算機和服務器之間交換信息。它使用安全套接字層(SSL)進行信息交換,簡單來說它是HTTP的安全版,是使用TLS/SSL加密的HTTP協議。TLS/SSL具有身份驗證、信息加密和完整性校驗的功能,可以避免信息竊聽、信息篡改和信息劫持的風險。
TLS/SSL全稱安全傳輸層協議Transport Layer Security, 是介於TCP和HTTP之間的一層安全協議,不影響原有的TCP協議和HTTP協議,所以使用HTTPS基本上不需要對HTTP頁麵進行太多的改造。
HTTPS協議可以用如下模型表示:
TLS/SSL工作原理
HTTPS協議的主要功能基本都依賴於TLS/SSL協議來實現的。TLS/SSL的功能實現主要依賴於三類基本算法:散列函數 Hash、對稱加密和非對稱加密,其利用非對稱加密實現身份認證和密鑰協商,對稱加密算法采用協商的密鑰對數據加密,基於散列函數驗證信息的完整性。
TLS/SSL包含的內容可用下麵的圖來表示:
散列函數Hash
常見的有 MD5、SHA1、SHA256,該類函數特點是函數單向不可逆、對輸入非常敏感、輸出長度固定,針對數據的任何修改都會改變散列函數的結果,用於防止信息篡改並驗證數據的完整性;
在信息傳輸過程中,散列函數不能單獨實現信息防篡改,因為明文傳輸,中間人可以修改信息之後重新計算信息摘要,因此需要對傳輸的信息以及信息摘要進行加密;
對稱加密
常見的有 AES-CBC、DES、3DES、AES-GCM等,相同的密鑰可以用於信息的加密和解密,掌握密鑰才能獲取信息,能夠防止信息竊聽,通信方式是1對1;
對稱加密的優勢是信息傳輸1對1,需要共享相同的密碼,密碼的安全是保證信息安全的基礎,服務器和 N 個客戶端通信,需要維持 N 個密碼記錄,且缺少修改密碼的機製;
非對稱加密
即常見的 RSA 算法,還包括 ECC、DH 等算法,算法特點是,密鑰成對出現,一般稱為公鑰(公開)和私鑰(保密),公鑰加密的信息隻能私鑰解開,私鑰加密的信息隻能公鑰解開。因此掌握公鑰的不同客戶端之間不能互相解密信息,隻能和掌握私鑰的服務器進行加密通信,服務器可以實現1對多的通信,客戶端也可以用來驗證掌握私鑰的服務器身份。
非對稱加密的特點是信息傳輸1對多,服務器隻需要維持一個私鑰就能夠和多個客戶端進行加密通信,但服務器發出的信息能夠被所有的客戶端解密,且該算法的計算複雜,加密速度慢。
結合三類算法的特點,TLS的基本工作方式是,客戶端使用非對稱加密與服務器進行通信,實現身份驗證並協商對稱加密使用的密鑰,然後對稱加密算法采用協商密鑰對信息以及信息摘要進行加密通信,不同的節點之間采用的對稱密鑰不同,從而可以保證信息隻能通信雙方獲取。
PKI 體係
在講解PKI體係之前,來看一下常用的TLS加密算法的缺陷。
1,RSA身份驗證的隱患
身份驗證和密鑰協商是TLS的基礎功能,要求的前提是合法的服務器掌握著對應的私鑰。但RSA算法無法確保服務器身份的合法性,因為公鑰並不包含服務器的信息,存在安全隱患:
客戶端C和服務器S進行通信,中間節點M截獲了二者的通信;
節點M自己計算產生一對公鑰pub_M和私鑰pri_M;
C向S請求公鑰時,M把自己的公鑰pub_M發給了C;
C使用公鑰 pub_M加密的數據能夠被M解密,因為M掌握對應的私鑰pri_M,而 C無法根據公鑰信息判斷服務器的身份,從而 C和 M之間建立了"可信"加密連接;
中間節點 M和服務器S之間再建立合法的連接,因此 C和 S之間通信被M完全掌握,M可以進行信息的竊聽、篡改等操作。
另外,服務器也可以對自己的發出的信息進行否認,不承認相關信息是自己發出。
因此該方案下至少存在兩類問題:中間人攻擊和信息抵賴。
2,身份驗證CA和證書
解決上述身份驗證問題的關鍵是確保獲取的公鑰途徑是合法的,能夠驗證服務器的身份信息,為此需要引入權威的第三方機構CA(如沃通CA)。CA 負責核實公鑰的擁有者的信息,並頒發認證"證書",同時能夠為使用者提供證書驗證服務,即PKI體係。
基本的原理為,CA負責審核信息,然後對關鍵信息利用私鑰進行"簽名",公開對應的公鑰,客戶端可以利用公鑰驗證簽名。CA也可以吊銷已經簽發的證書,基本的方式包括兩類 CRL 文件和 OCSP。CA使用具體的流程如下:
a.服務方S向第三方機構CA提交公鑰、組織信息、個人信息(域名)等信息並申請認證;
b.CA通過線上、線下等多種手段驗證申請者提供信息的真實性,如組織是否存在、企業是否合法,是否擁有域名的所有權等;
c.如信息審核通過,CA會向申請者簽發認證文件-證書。
證書包含以下信息:申請者公鑰、申請者的組織信息和個人信息、簽發機構 CA的信息、有效時間、證書序列號等信息的明文,同時包含一個簽名;
簽名的產生算法:首先,使用散列函數計算公開的明文信息的信息摘要,然後,采用 CA的私鑰對信息摘要進行加密,密文即簽名;
d.客戶端 C 向服務器 S 發出請求時,S 返回證書文件;
e.客戶端 C讀取證書中的相關的明文信息,采用相同的散列函數計算得到信息摘要,然後,利用對應 CA的公鑰解密簽名數據,對比證書的信息摘要,如果一致,則可以確認證書的合法性,即公鑰合法;
f.客戶端然後驗證證書相關的域名信息、有效時間等信息;
g.客戶端會內置信任CA的證書信息(包含公鑰),如果CA不被信任,則找不到對應 CA的證書,證書也會被判定非法。
3,證書鏈
如 CA根證書和服務器證書中間增加一級證書機構,即中間證書,證書的產生和驗證原理不變,隻是增加一層驗證,隻要最後能夠被任何信任的CA根證書驗證合法即可。
a.服務器證書 server.pem 的簽發者為中間證書機構 inter,inter 根據證書 inter.pem 驗證 server.pem 確實為自己簽發的有效證書;
b.中間證書 inter.pem 的簽發 CA 為 root,root 根據證書 root.pem 驗證 inter.pem 為自己簽發的合法證書;
c.客戶端內置信任 CA 的 root.pem 證書,因此服務器證書 server.pem 的被信任。
服務器證書、中間證書與根證書在一起組合成一條合法的證書鏈,證書鏈的驗證是自下而上的信任傳遞的過程。
二級證書結構的優勢
目前,使用二級證書結構主要有以下的優勢:
a.減少根證書結構的管理工作量,可以更高效的進行證書的審核與簽發;
b.根證書一般內置在客戶端中,私鑰一般離線存儲,一旦私鑰泄露,則吊銷過程非常困難,無法及時補救;
c.中間證書結構的私鑰泄露,則可以快速在線吊銷,並重新為用戶簽發新的證書;
d.證書鏈四級以內一般不會對 HTTPS 的性能造成明顯影響。
證書鏈的模型圖如下:
證書鏈有以下特點:
a.同一本服務器證書可能存在多條合法的證書鏈。
因為證書的生成和驗證基礎是公鑰和私鑰對,如果采用相同的公鑰和私鑰生成不同的中間證書,針對被簽發者而言,該簽發機構都是合法的 CA,不同的是中間證書的簽發機構不同;
b.不同證書鏈的層級不一定相同,可能二級、三級或四級證書鏈。
中間證書的簽發機構可能是根證書機構也可能是另一個中間證書機構,所以證書鏈層級不一定相同。
4,證書吊銷
CA 機構能夠簽發證書,同樣也存在機製宣布以往簽發的證書無效。證書使用者不合法,CA 需要廢棄該證書;或者私鑰丟失,使用者申請讓證書無效。主要存在兩類機製:CRL 與 OCSP。
CRL
Certificate Revocation List, 證書吊銷列表,一個單獨的文件。該文件包含了 CA 已經吊銷的證書序列號(唯一)與吊銷日期,同時該文件包含生效日期並通知下次更新該文件的時間,當然該文件必然包含 CA 私鑰的簽名以驗證文件的合法性。
證書中一般會包含一個 URL 地址 CRL Distribution Point,通知使用者去哪裏下載對應的 CRL 以校驗證書是否吊銷。該吊銷方式的優點是不需要頻繁更新,但是不能及時吊銷證書,因為 CRL 更新時間一般是幾天,這期間可能已經造成了極大損失。
OCSP
Online Certificate Status Protocol, 證書狀態在線查詢協議,一個實時查詢證書是否吊銷的方式。請求者發送證書的信息並請求查詢,服務器返回正常、吊銷或未知中的任何一個狀態。證書中一般也會包含一個 OCSP 的 URL 地址,要求查詢服務器具有良好的性能。部分 CA 或大部分的自簽 CA (根證書)都是未提供 CRL 或 OCSP 地址的,對於吊銷證書會是一件非常麻煩的事情。
HTTPS性能與優化
性能損耗
雖然,使用HTTPS增強了安全性,但是這是以性能損耗為代價的。主要體現如下:
(1).增加延時
分析前麵的握手過程,一次完整的握手至少需要兩端依次來回兩次通信,至少增加延時2 RTT,利用會話緩存從而複用連接,延時也至少1 RTT*。
(2).消耗較多的CPU資源
除數據傳輸之外,HTTPS通信主要包括對對稱加解密、非對稱加解密(服務器主要采用私鑰解密數據);壓測 TS8 機型的單核 CPU:對稱加密算法AES-CBC-256 吞吐量 600Mbps,非對稱 RSA 私鑰解密200次/s。不考慮其它軟件層麵的開銷,10G 網卡為對稱加密需要消耗 CPU 約17核,24核CPU最多接入 HTTPS 連接 4800;
靜態節點當前10G 網卡的 TS8 機型的 HTTP 單機接入能力約為10w/s,如果將所有的HTTP連接變為HTTPS連接,則明顯RSA的解密最先成為瓶頸。因此,RSA的解密能力是當前困擾HTTPS接入的主要難題。
HTTPS接入優化
對於HTTPS的優化方麵,主要從以下幾個方麵著手優化:
(1).CDN接入
HTTPS 增加的延時主要是傳輸延時 RTT,RTT 的特點是節點越近延時越小,CDN 天然離用戶最近,因此選擇使用 CDN 作為 HTTPS 接入的入口,將能夠極大減少接入延時。CDN 節點通過和業務服務器維持長連接、會話複用和鏈路質量優化等可控方法,極大減少 HTTPS 帶來的延時。
(2).會話緩存
雖然前文提到 HTTPS 即使采用會話緩存也要至少1*RTT的延時,但是至少延時已經減少為原來的一半,明顯的延時優化;同時,基於會話緩存建立的 HTTPS 連接不需要服務器使用RSA私鑰解密獲取 Pre-master 信息,可以省去CPU 的消耗。如果業務訪問連接集中,緩存命中率高,則HTTPS的接入能力講明顯提升。當前TRP平台的緩存命中率高峰時期大於30%,10k/s的接入資源實際可以承載13k/的接入,收效非常可觀。
(3).硬件加速
為接入服務器安裝專用的SSL硬件加速卡,作用類似 GPU,釋放 CPU,能夠具有更高的 HTTPS 接入能力且不影響業務程序的。測試某硬件加速卡單卡可以提供35k的解密能力,相當於175核 CPU,至少相當於7台24核的服務器,考慮到接入服務器其它程序的開銷,一張硬件卡可以實現接近10台服務器的接入能力。
(4).遠程解密
本地接入消耗過多的 CPU 資源,浪費了網卡和硬盤等資源,考慮將最消耗 CPU 資源的RSA解密計算任務轉移到其它服務器,如此則可以充分發揮服務器的接入能力,充分利用帶寬與網卡資源。遠程解密服務器可以選擇 CPU 負載較低的機器充當,實現機器資源複用,也可以是專門優化的高計算性能的服務器。當前也是 CDN 用於大規模HTTPS接入的解決方案之一。
(5).SPDY/HTTP2
前麵的方法分別從減少傳輸延時和單機負載的方法提高 HTTPS 接入性能,但是方法都基於不改變 HTTP 協議的基礎上提出的優化方法,SPDY/HTTP2 利用 TLS/SSL 帶來的優勢,通過修改協議的方法來提升 HTTPS 的性能,提高下載速度等。
最後更新:2017-11-01 21:05:33