HTTPS 和安全通信原來這麼簡單

原創 L__ear 2020-07-05 06:32

一、HTTPS 簡介

HTTP 協議(HyperText Transfer Protocol,超文本傳輸協議):

  • 用於客戶端與服務器端之間的通信。
  • 通過請求報文和響應報文的交換達成通信。
  • 是無狀態的協議。

HTTP 協議以簡單便捷爲設計目的,所以並沒有提供確保通信安全的服務。
HTTPS(HTTP Secure,超文本傳輸安全協議),實現了 HTTP 的安全通信。
HTTPS = HTTP + 加密(防竊聽) + 認證(防僞裝) + 完整性保護(防篡改)。
HTTPS 並非是應用層的一種新協議,而是讓 HTTP 和 SSL 通信,SSL 再和 TCP 通信,就變成了 HTTPS。簡言之,HTTPS 就是身披 SSL 協議外殼的 HTTP。
圖1

SSL 是獨立於 HTTP 的協議,提供通信加密、身份認證和完整性保護的功能。不光是 HTTP 協議,其它運行在應用層的 SMTP 和 Telnet 等協議均可配合 SSL 協議使用。可以說 SSL 是當今世界上應用最爲廣泛的網絡安全技術。
SSL 技術最初是由網景公司率先倡導的,開發了 SSL3.0 之前的版本,目前主導權已經轉移到了 IETF(Internet Engineering Task Force,Internet 工程任務組)的手中。IETF 以 SSL3.0 爲基礎,又制訂了 TLS1.0、TLS1.1 和 TLS1.2。TSL 是以 SSL 爲基礎開發的,有時也會將該協議統稱爲 SSL。當前主流的版本是 SSL3.0 和 TLS1.0。

二、安全通信依賴的加密技術

加密技術總體上可以分爲三大類:

  1. 非對稱加密
  2. 對稱加密
  3. 單向加密

常見的非對稱加密算法爲 RSA,RSA 的加密原理可以參考:RSA算法過程以及正確性證明
常見的對稱加密算法有 DES、3DES 和 AES。
常見的單向加密算法有 MD5、SHA 和 SHA-256。

非對稱加密的優缺點:
優點:安全,只需要公佈公鑰即可。
缺點:加解密速度慢。

對稱加密的優缺點和非對稱加密的優缺點相對:
缺點:不安全,加解密使用同一個祕鑰。
優點:加解密速度快。

兩者優勢互補,配合使用簡直完美。

最後說說單向加密的特點:
特點一:不可逆,起到防篡改的作用。
特點二:無論明文多長,加密結果通常很短。

注意: 單向加密起到防篡改作用的前提是,需要保證密文沒有被對應篡改。如果不能保證密文沒有被篡改,那單向加密只能防止意外修改(不可靠信道造成的)不能防止惡意修改。

安全通信的技術實現:

  1. 通信加密由對稱加密非對稱加密共同實現;
  2. 身份認證和完整性保護由數字簽名單向加密(信息摘要) 共同實現;

數字簽名其實是非對稱加密的逆向應用。
非對稱加密重點在加密,使用公鑰加密私鑰解密。如果你沒有私鑰就沒辦法看到明文。
數字簽名重點在簽名,使用私鑰加密公鑰解密,因爲公鑰是公開的,並且和私鑰一一配對,那麼我如果可以用公鑰看到明文,就說明確實是你用私鑰加的密,私鑰是私有的,所以可以起到身份認證的作用。
像 RSA 既可以用來非對稱加密,也能用來數字簽名。但也有專門用於數字簽名的算法,像 DSA。

通信加密主要由對稱加密實現,因爲其速度快。非對稱加密只用於前期保證對稱祕鑰的安全傳輸。

身份認證和完整性保護其實都是由數字簽名保證的。因爲數字簽名速度慢,所以使用單向加密縮短其要加密的信息。

三、HTTPS 安全通信

HTTPS 的通信流程如下圖所示:
圖2

把握重點:
CA 機構(證書授權中心)有自己的一對公鑰私鑰,用於數字簽名。
服務器有自己的一對公鑰私鑰,用於非對稱加密。

CA 機構的公鑰一般會被自動配置在瀏覽器中。
能夠提供 HTTPS 通信的服務器,會先向 CA 機構申請含有服務器公鑰的數字證書。

瀏覽器通過 CA 機構的公鑰驗證服務器的數字證書。驗證通過後,從數字證書中獲取服務器的公鑰。
然後由客戶端產生對稱加密的祕鑰,並使用服務器公鑰加密對稱祕鑰,接着把加密後的對稱祕鑰發送給服務器,服務器使用私鑰解密得到對稱祕鑰。
後面雙方使用對稱加密進行密文通信。

數字證書的驗證過程如下:
圖3

數字證書包括了服務器的公鑰、CA 機構的信息、服務器域名、數字簽名、信息摘要算法以及證書對應的域名。
當客戶端收到服務器發來的證書之後,使用本地配置的 CA 機構的公鑰解密數字簽名得到證書的信息摘要,然後根據證書上說的算法計算當前證書的信息摘要,將兩個信息摘要做對比。如果一樣,則表示證書是有效地,否則要麼是服務器造了假,要麼是在證書傳輸過程中發生意外錯誤或被中間人惡意篡改。

數字證書需要購買申請,功能越強大的證書費用越高。
HTTPS 連接服務器端資源佔用高很多,支持訪客多的網站需要投入更大的成本。
HTTPS 協議握手階段比較費時,對網站的響應速度有影響,影響用戶體驗。比較好的方式是分而治之,例如 12306 網站的主頁使用 HTTP 協議,關於用戶信息等方面使用 HTTPS。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

zynq70z35-一步一步實現pl的udp上傳(1)

先建立一個工程 參考文章 如何及建立一個veivado 的工程,詳細的請參考下面的這篇文章 https://blog.csdn.net/weixin_42066185/article/details/106421611 回顧 作爲

没有水杯和雨伞的工科男 2020-07-08 06:54:26

Java第五週總結

Java第五週 lambda表達式 思想 “說重點” lambda表達式的核心即在於說重點 以線程代碼爲例,他需要的是什麼?最核心的東西是什麼? 就是run方法!!! runnable接口中重寫實現的就一個run方法!!!接口只是

青柠小鱼码字猴 2020-07-08 03:45:43

詳解HTTP/HTTPS(二)——HTTPS協議

HTTP/HTTPS協議無疑是面試中最常問的幾個計網協議之一。然而網上很多博客都寫得偏簡略,不夠全面。於是我便打算做一個整合。內容較多,大致會分爲兩篇篇博客,一篇介紹HTTP協議,一篇介紹HTTPS協議。 《詳解HTTP/HTTPS(一

Alexwym 2020-07-07 17:41:16

UDP廣播,多播,單播

       在說udp廣播,多播,單播之前,首先說一下udp這個協議,它是一種無連接,不可靠的網絡通信協議,但基於UDP的消息傳遞更快。在使用它傳輸數據時,用戶無法知道數據是否正確到達主機,也不能確定到達目的地的順序是否和發送的

yihuoZhou 2020-07-07 16:54:58

c++ 通信演進level3 ----多線程同步 非阻塞通信(NIO)

  本篇文章的源碼同樣來自網絡上,自己稍加整理,並做一下源碼方面的分析。本例子的作用一方面是爲了理解http服務器,另一方面,是作爲學習流操作的NIO模型層次。 地址在這裏:地址。     代碼結構如下:  首先,定義一個結構體,用於存

Automannnn 2020-07-07 05:53:21

c++ 通信演進level1 ----單線程同步阻塞通信

  本篇,紀錄一個在 windows上使用 socket進行通信的例子,代碼源自於網上。由於時間過去挺久了,當時我也沒有加書籤,現在暫時還不好找出處。 文中給出一些關鍵代碼片段,一方面用於鞏固我所學的知識,另一方面,用於縱向的技術對比,加

Automannnn 2020-07-07 05:53:21

c++ 通信演進level2 ----多線程同步阻塞通信(BIO)

  這一篇是在昨天寫的基礎上,查閱了一些資料,對於BIO模型做了更深一步的理解後,實現的代碼:地址。 主要修改的代碼在於: typedef struct { HANDLE thread; SOCKET sock; }Ac

Automannnn 2020-07-07 05:53:21

計算機網絡常見協議及其格式

這幾天在公司做項目要用到WinPcap,但在實現的過程中,需要分析捕獲的數據包,恰好用到了大學時學習的計算機網絡課程。現初步總結了幾個網絡協議及其格式: 一、MAC協議 在局域網中,硬件地址又稱爲物理地址或MAC地址(因爲這種地址用在M

vyCode 2020-07-07 02:41:53

擁塞避免算法和慢啓動算法的共同作用

 擁塞避免算法是一種處理丟失分組的方法。 該算法假定由於分組受到損壞引起的丟失是非常少的(遠小於1%),因此分組丟失就意味着在源主機和目的主機之間的某處網絡上發生了擁塞。有兩種分組丟失的指示:發生超時和接收到重複的確認。如果使用超時作

s1491695565 2020-07-06 22:33:05

04 物理層基本概念

0.物理層接口特性 物理層解決如何在連接計算機的傳輸媒體上傳輸數據比特流,而不是指具體的傳輸媒體。 物理層的主要任務:確定與傳輸媒體接口有關的一些特性——>定義標準。 機械特性:定義物理連接的特性,規定物理連接時所採用的規格、接口形狀、引

seuchucan 2020-07-06 11:05:00

linux下socket通信程序例子

[代碼] c代碼 server部分 view source print? 001 server.c 002    003 ==============================================

zkf11387 2020-07-06 06:20:51

無線傳感器網絡MAC協議(下)

2.其他基於IEEE802.11改進的MAC協議 儘管傳統的基於CSMA方式的MAC協議也是基於載波監聽和退避機制,但它們並不太適合無線傳感器網絡,因爲它們都基本假設了隨機分佈的業務,並且趨向於支持獨立的點到點的業務流。此外,無線

adlics_r 2020-07-05 22:33:47

python|基於兩個py文件的udp通信(含實例源碼)

本博文源於socket編程,主要針對python的兩個文件建立udp通信。 實驗效果 客戶端輸入:我是客戶端哦! 服務器收到並作爲回聲 服務器端: 收到來自客戶端的消息,並給予同樣的迴應! 實驗原理 用socket建立基於UD

执念斩长河 2020-07-05 14:17:01

Linux/Windows下Socket通信模型總結

轉載地址: https://yq.aliyun.com/articles/53598 http://blog.csdn.net/taiyang1987912/article/details/43731629 1.Windoows soc

Hunter/manexport 2020-07-05 01:44:38

不同vlan間互相通信(三層交換,單臂路由)

文章目錄一、單臂路由1.單臂路由原理2.單臂路由的實現實驗要求:通過在AR1上構建單臂路由使vlan10與vlan20正常通信(PC1可以ping通PC2)驗證方法二、三層交換1.三層交換原理2.三層交換轉發vlan數據的實現實驗

小傻瓜的哥哥 2020-07-04 16:53:24