美文网首页
HTTP-HTTPs

HTTP-HTTPs

作者: Sbabysbreath | 来源:发表于2020-07-23 17:06 被阅读0次

  • HTTP有以下安全性问题:
    • 明文通信,内容可能被监听
    • 不验证通信方身份,通信方身份可能遭遇伪装
    • 无法证明报文的完整性,报文可能遭篡改

密码学三要素:机密性、认证性、完整性

HTTPS并不是新协议,而是让HTTP和SSL(Secure Sockets Layer)通信,再由SSL和TCP通信,也就是说HTTPS使用了隧道进行通信。
通过使用SSL,HTTPS具有了加密(防窃听)、认证(防伪装)和完整性保护(防篡改)。

加密


  • HTTPS采用混合的加密机制:
    • 使用非对称密钥加密方式,传输对称密钥加密方式所需要的密钥,从而保证安全性;
    • 获取到对称密钥后,再使用对称密钥加密方式进行通信,从而保证效率。

认证


  • 通过使用 证书 来对通信方进行认证。
  • 数字证书认证机构(CA,Certificate Authority)是客户端与服务器双方都可信赖的第三方机构。
  • 服务器的运营人员向 CA 提出公开密钥的申请,CA 在判明提出申请者的身份之后,会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将该公开密钥放入公开密钥证书后绑定在一起。
  • 进行 HTTPS 通信时,服务器会把证书发送给客户端。客户端取得其中的公开密钥之后,先使用数字签名进行验证,如果验证通过,就可以开始通信了。

完整性保护


  • SSL 提供报文摘要功能来进行完整性保护。
  • HTTP 也提供了 MD5 报文摘要功能,但不是安全的。例如报文内容被篡改之后,同时重新计算 MD5 的值,通信接收方是无法意识到发生了篡改。
  • HTTPS 的报文摘要功能之所以安全,是因为它结合了加密和认证这两个操作。试想一下,加密之后的报文,遭到篡改之后,也很难重新计算报文摘要,因为无法轻易获取明文。

HTTPS的缺点


  • 因为需要进行加密解密等过程,因此速度会更慢;
  • 需要支付证书授权的高额费用。

相关文章

  • HTTP-HTTPs

    HTTP有以下安全性问题:明文通信,内容可能被监听不验证通信方身份,通信方身份可能遭遇伪装无法证明报文的完整性,报...

  • HTTP-HTTPS总结篇

    (1).HTTP 协议在应用层。(2)三次握手,和四次挥手 在TCP层。(3)HTTPS = HTTP +SSL ...

  • HTTP-HTTPS(SSL和数据包封装解封)

    1。HTTPS 加密如何实现的? http://www.ruanyifeng.com/blog/2014/02/s...

网友评论

      本文标题:HTTP-HTTPs

      本文链接:https://www.haomeiwen.com/subject/lgfhlktx.html