HTTPS協(xié)議概念

超文本傳輸安全協(xié)議（Hypertext Transfer Protocol Secure，簡稱：HTTPS）是一種通過計算機(jī)網(wǎng)絡(luò)進(jìn)行安全通信的傳輸協(xié)議。HTTPS經(jīng)由HTTP進(jìn)行通信，利用SSL/TLS來加密數(shù)據(jù)包。HTTPS的主要目的是提供對網(wǎng)站服務(wù)器的身份認(rèn)證，保護(hù)交換數(shù)據(jù)的隱私與完整性。HTTP協(xié)議采用明文傳輸信息，存在信息竊聽、信息篡改和信息劫持的風(fēng)險，而協(xié)議TLS/SSL具有身份驗(yàn)證、信息加密和完整性校驗(yàn)的功能，可以避免此類問題發(fā)生。安全層的主要職責(zé)就是對發(fā)起的HTTP請求的數(shù)據(jù)進(jìn)行加密操作 和 對接收到的HTTP的內(nèi)容進(jìn)行解密操作。

HTTPS通信（握手）過程

• 客戶端向服務(wù)器發(fā)起請求，請求中包含使用的協(xié)議版本號、生成的一個隨機(jī)數(shù)、以及客戶端支持的加密方法。
• 服務(wù)器端接收到請求后，確認(rèn)雙方使用的加密方法、并給出服務(wù)器的證書、以及一個服務(wù)器生成的隨機(jī)數(shù)。
• 客戶端確認(rèn)服務(wù)器證書有效后，生成一個新的隨機(jī)數(shù)，并使用數(shù)字證書中的公鑰，加密這個隨機(jī)數(shù)，然后發(fā)給服 務(wù)器。并且還會提供一個前面所有內(nèi)容的 hash 的值，用來供服務(wù)器檢驗(yàn)。
• 服務(wù)器使用自己的私鑰，來解密客戶端發(fā)送過來的隨機(jī)數(shù)。并提供前面所有內(nèi)容的 hash 值來供客戶端檢驗(yàn)。
• 客戶端和服務(wù)器端根據(jù)約定的加密方法使用前面的三個隨機(jī)數(shù)，生成對話秘鑰，以后的對話過程都使用這個秘鑰來加密信息。

HTTPS的優(yōu)缺點(diǎn)

優(yōu)點(diǎn)：

使用HTTPS協(xié)議可以認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶端和服務(wù)器
使用HTTPS協(xié)議可以進(jìn)行加密傳輸、身份認(rèn)證，通信更加安全，防止數(shù)據(jù)在傳輸過程中被竊取、修改，確保數(shù)據(jù)安全性
HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案，雖然不是絕對的安全，但是大幅增加了中間人攻擊的成本

缺點(diǎn)：

HTTPS需要做服務(wù)器和客戶端雙方的加密個解密處理，耗費(fèi)更多服務(wù)器資源，過程復(fù)雜
HTTPS協(xié)議握手階段比較費(fèi)時，增加頁面的加載時間
SSL證書是收費(fèi)的，功能越強(qiáng)大的證書費(fèi)用越高
HTTPS連接服務(wù)器端資源占用高很多，支持訪客稍多的網(wǎng)站需要投入更大的成本
SSL證書需要綁定IP，不能再同一個IP上綁定多個域名

HTTPS如何保證安全

結(jié)合兩種加密?式，將對稱加密的密鑰使??對稱加密的公鑰進(jìn)?加密，然后發(fā)送出去，接收?使?私鑰進(jìn)?解密得到對稱加密的密鑰，然后雙?可以使?對稱加密來進(jìn)?溝通。 此時?帶來?個問題，中間?問題：如果此時在客戶端和服務(wù)器之間存在?個中間?,這個中間?只需要把原本雙?通信互發(fā)的公鑰,換成??的公鑰,這樣中間?就可以輕松解密通信雙?所發(fā)送的所有數(shù)據(jù)。 所以這個時候需要?個安全的第三?頒發(fā)證書（CA），證明身份的身份，防?被中間?攻擊。 證書中包括：簽發(fā)者、證書?途、使?者公鑰、使?者私鑰、使?者的HASH算法、證書到期時間等。但是問題來了，如果中間?篡改了證書，那么身份證明是不是就?效了？這個證明就?買了，這個時候需要?個新的技術(shù)，數(shù)字簽名。 數(shù)字簽名就是?CA?帶的HASH算法對證書的內(nèi)容進(jìn)?HASH得到?個摘要，再?CA的私鑰加密，最終組成數(shù)字簽名。當(dāng)別?把他的證書發(fā)過來的時候,我再?同樣的Hash算法,再次?成消息摘要，然后?CA的公鑰對數(shù)字簽名解密,得到CA創(chuàng)建的消息摘要,兩者??,就知道中間有沒有被?篡改了。這個時候就能最?程度保證通信的安全了。

對稱加密：

即通信的雙?都使?同?個秘鑰進(jìn)?加解密，對稱加密雖然很簡單性能也好，但是?法解決?次把秘鑰發(fā)給對?的問題，很容易被?客攔截秘鑰。

非對稱加密：

對稱加密雖然安全性更?,但是帶來的問題就是速度很慢,影響性能。

• 私鑰 + 公鑰= 密鑰對
• 即?私鑰加密的數(shù)據(jù),只有對應(yīng)的公鑰才能解密,?公鑰加密的數(shù)據(jù),只有對應(yīng)的私鑰才能解密
• 因?yàn)橥ㄐ烹p方的手里都有一套自己的密鑰對,通信之前雙方會先把自己的公鑰都先發(fā)給對方
• 然后對方再拿著這個公鑰來加密數(shù)據(jù)響應(yīng)給對方,等到到了對方那里,對方再用自己的私鑰進(jìn)行解密

TLS/SSL的工作原理

TLS/SSL概述

即安全傳輸層協(xié)議

TLS/SSL的工作方式就是客戶端使用非對稱加密與服務(wù)器進(jìn)行通信,實(shí)現(xiàn)身份的驗(yàn)證并協(xié)商對稱加密使用的秘鑰。對稱加密算法采用協(xié)商秘鑰對信息以及信息摘要進(jìn)行加密通信,不同節(jié)點(diǎn)之間采用的對稱秘鑰不同,從而保證信息只能通信雙方獲取。

TLS/SSL全稱安全傳輸層協(xié)議（Transport Layer Security）, 是介于TCP和HTTP之間的一層安全協(xié)議，不影響原有的TCP協(xié)議和HTTP協(xié)議，所以使用HTTPS基本上不需要對HTTP頁面進(jìn)行太多的改造。TLS/SSL的功能實(shí)現(xiàn)主要依賴三類基本算法。

TLS/SSL功能實(shí)現(xiàn)

散列函數(shù)hash：基于散列函數(shù)驗(yàn)證信息的完整性
對稱加密：對稱加密算法采用協(xié)商的秘鑰對數(shù)據(jù)加密
非對稱加密：非對稱加密實(shí)現(xiàn)身份認(rèn)證和秘鑰協(xié)商

數(shù)字證書

數(shù)字證書產(chǎn)生的原因

現(xiàn)在的方法也不一定是安全的，因?yàn)闆]有辦法確定得到的公鑰就一定是安全的公鑰。可能存在一個中間人，截取了對方發(fā)給我們的公鑰，然后將他自己的公鑰發(fā)送給我們，當(dāng)我們使用他的公鑰加密后發(fā)送的信息，就可以被他用自己的私鑰解密。然后他偽裝成我們以同樣的方法向?qū)Ψ桨l(fā)送信息，這樣我們的信息就被竊取了，然而自己還不知道。為了解決這樣的問題，可以使用數(shù)字證書。

數(shù)字證書概念及工作原理

首先使用一種 Hash 算法來對公鑰和其他信息進(jìn)行加密，生成一個信息摘要，然后讓有公信力的認(rèn)證中心（簡稱 CA ）用它的私鑰對消息摘要加密，形成簽名。最后將原始的信息和簽名合在一起，稱為數(shù)字證書。當(dāng)接收方收到數(shù)字證書的時候，先根據(jù)原始信息使用同樣的 Hash 算法生成一個摘要，然后使用公證加工的公鑰來對數(shù)字證書中的摘要進(jìn)行解密，最后將解密的摘要和生成的摘要進(jìn)行對比，就能發(fā)現(xiàn)得到的信息是否被更改了。這個方法最要的是認(rèn)證中心的可靠性，一般瀏覽器里會內(nèi)置一些頂層的認(rèn)證中心的證書，相當(dāng)于我們自動信任了他們，只有這樣才能保證數(shù)據(jù)的安全。要進(jìn)行對比，就能發(fā)現(xiàn)得到的信息是否被更改了。

最新評論