您好,登錄后才能下訂單哦!
在HTTP協議中有可能存在信息竊聽或身份偽裝等安全問題。使用HTTPS通信機制可以有效地防止這些問題。本文我們就了解一下HTTPS。
cdn.xitu.io/2018/12/23/167d96dd4958c9fd?w=850&h=340&f=jpeg&s=21738">
HTTPS,是以安全為目標的HTTP通道,簡單講是HTTP的安全版。即HTTP下加入SSL層,HTTPS的安全基礎是SSL,因此加密的詳細內容就需要SSL。 現在它被廣泛用于萬維網上安全敏感的通訊,例如交易支付方面。
經常會在Web的登錄頁面和購物結算界面等使用HTTPS通信。使用HTTPS通信時,不再用http://
,而是改用https://
。另外,當瀏覽器訪問HTTPS通信有效的Web網站時,瀏覽器的地址欄內會出現一個帶鎖的標記。對HTTPS的顯示方式會因瀏覽器的不同而有所改變。
為什么說HTTPS比較安全了,接下我們介紹下HTTP存在哪些問題?
由于HTTP本身不具備加密的功能,所以也無法做到對通信整體(使用HTTP協議通信的請求和響應的內容)進行加密。即,HTTP報文使用明文(指未經過加密的報文)方式發送。
此外互聯網是由聯通世界各個地方的網絡設施組成,所有發送和接收經過某些設備的數據都可能被截獲或窺視。例如大家都熟悉的抓包工具:Wireshark,它可以獲取HTTP協議的請求和響應的內容,并對其進行解析。即使經過加密處理,就有可能讓人無法破解報文信息的含義,但加密處理后的報文信息本身還是會被看到的。
HTTP協議中的請求和響應不會對通信方進行確認。在HTTP協議通信時,由于不存在確認通信方的處理步驟,任何人都可以發起請求。另外,服務器只要接收到請求,不管對方是誰都會返回一個響應(但也僅限于發送端的IP地址和端口號沒有被Web服務器設定限制訪問的前提下)
HTTP協議的實現本身非常簡單,不論是誰發送過來的請求都會返回響應,因此不確認通信方,會存在以下各種隱患。比如目標的Web服務器有可能是已偽裝的Web服務器。
所謂完整性是指信息的準確度。若無法證明其完整性,通常也就意味著無法判斷信息是否準確。由于HTTP協議無法證明通信的報文完整性,因此,在請求或響應送出之后直到對方接收之前的這段時間內,即使請求或響應的內容遭到篡改,也沒有辦法獲悉。
換句話說,沒有任何辦法確認,發出的請求/響應和接收到的請求/響應是前后相同的。
HTTPS并非是應用層的一種新協議。只是HTTP通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)協議代替而已。
通常,HTTP直接和TCP通信。當使用SSL時,則演變成先和SSL通信,再由SSL和TCP通信了。簡言之,所謂HTTPS,其實就是身披SSL協議這層外殼的HTTP。
在采用SSL后,HTTP就擁有了HTTPS的加密、證書和完整性保護這些功能。也就是說HTTP加上加密處理和認證以及完整性保護后即是HTTPS。
HTTPS 協議的主要功能基本都依賴于 TLS/SSL 協議,TLS/SSL 的功能實現主要依賴于三類基本算法:散列函數 、對稱加密和非對稱加密,其利用非對稱加密實現身份認證和密鑰協商,對稱加密算法采用協商的密鑰對數據加密,基于散列函數驗證信息的完整性。
這種方式加密和解密同用一個密鑰。加密和解密都會用到密鑰。沒有密鑰就無法對密碼解密,反過來說,任何人只要持有密鑰就能解密了。
以對稱加密方式加密時必須將密鑰也發給對方。可究竟怎樣才能安全地轉交?在互聯網上轉發密鑰時,如果通信被監聽那么密鑰就可會落人***者之手,同時也就失去了加密的意義。另外還得設法安全地保管接收到的密鑰。
公開密鑰加密使用一對非對稱的密鑰。一把叫做私有密鑰,另一把叫做公開密鑰。顧名思義,私有密鑰不能讓其他任何人知道,而公開密鑰則可以隨意發布,任何人都可以獲得。
使用公開密鑰加密方式,發送密文的一方使用對方的公開密鑰進行加密處理,對方收到被加密的信息后,再使用自己的私有密鑰進行解密。利用這種方式,不需要發送用來解密的私有密鑰,也不必擔心密鑰被***者竊聽而盜走。
非對稱加密的特點是信息傳輸一對多,服務器只需要維持一個私鑰就能夠和多個客戶端進行加密通信,但服務器發出的信息能夠被所有的客戶端解密,且該算法的計算復雜,加密速度慢。
盡管非對稱加密設計奇妙,但它加解密的效率比對稱加密要慢多了。那我們就將對稱加密與非對稱加密結合起來,充分利用兩者各自的優勢,將多種方法組合起來用于通信。在交換密鑰環節使用非對稱加密方式,之后的建立通信交換報文階段則使用對稱加密方式。具體做法是:發送密文的一方使用對方的公鑰進行加密處理“對稱的密鑰”,然后對方用自己的私鑰解密拿到“對稱的密鑰”,這樣可以確保交換的密鑰是安全的前提下,使用對稱加密方式進行通信。所以,HTTPS采用對稱加密和非對稱加密兩者并用的混合加密機制。
網絡傳輸過程中需要經過很多中間節點,雖然數據無法被解密,但可能被篡改,那如何校驗數據的完整性呢?----校驗數字簽名。
數字簽名有兩種功效:
校驗數字簽名流程見下圖:
數字簽名技術就是對“非對稱密鑰加解密”和“數字摘要“兩項技術的應用,它將摘要信息用發送者的私鑰加密,與原文一起傳送給接收者。接收者只有用發送者的公鑰才能解密被加密的摘要信息,然后用HASH函數對收到的原文產生一個摘要信息,與解密的摘要信息對比。如果相同,則說明收到的信息是完整的,在傳輸過程中沒有被修改,否則說明信息被修改過,因此數字簽名能夠驗證信息的完整性。
非對稱加密方式還是存在一些問題的。那就是無法證明公開密鑰本身就是貨真價實的公開密鑰。比如,正準備和某臺服務器建立公開密鑰加密方式下的通信時,如何證明收到的公開密鑰就是原本預想的那臺服務器發行的公開密鑰。
為了解決上述問題,可以使用由數字證書認證機構(CA,Certificate Authority)和其相關機關頒發的公開密鑰證書。
數字證書認證機構處于客戶端與服務器雙方都可信賴的第三方機構的立場上。我們來介紹一下數字證書認證機構的業務流程。首先,服務器的運營人員向數字證書認證機構提出公開密鑰的申請。數字證書認證機構在判明提出申請者的身份之后,會對已申請的公開密鑰做數字簽名,然后分配這個已簽名的公開密鑰,并將該公開密鑰放入公鑰證書后綁定在一起。
服務器會將這份由數字證書認證機構頒發的公鑰證書發送給客戶端,以進行非對稱加密方式通信。公鑰證書也可叫做數字證書或直接稱為證書。
接到證書的客戶端可使用數字證書認證機構的公開密鑰,對那張證書上的數字簽名進行驗證,一旦驗證通過,客戶端便可明確兩件事:一,認證服務器的公開密鑰的是真實有效的數字證書認證機構。二,服務器的公開密鑰是值得信賴的。
既然HTTPS那么安全可靠,那為何所有的Web網站不一直使用HTTPS?
其中一個原因是,因為與純文本通信相比,加密通信會消耗更多的CPU及內存資源。如果每次通信都加密,會消耗相當多的資源,平攤到一臺計算機上時,能夠處理的請求數量必定也會隨之減少。
因此,如果是非敏感信息則使用HTTP通信,只有在包含個人信息等敏感數據時,才利用HTTPS加密通信。
特別是每當那些訪問量較多的Web網站在進行加密處理時,它們所承擔著的負載不容小覷。
除此之外,想要節約購買證書的開銷也是原因之一。要進行HTTPS通信,證書是必不可少的。而使用的證書必須向認證機構(CA)購買。
免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。