一.HTTP协议
HTTP的缺点:
  • 通信使用明文(不加密),内容可能被窃听;
  • 不验证通信方的身份,有可能遭遇伪装;
  • 无法证明报文的完整性,有可能被篡改。
 
1.通信使用明文可能会被窃听
TCP/IP是可能被窃听的网络
 
加密处理防止被窃听
1)通信的加密
http协议和SSL或TLS组合使用,即HTTPS,用SSL建立安全通信线路,再进行HTTPS通信。
2)内容的加密
对报文主题加密,通信本身是不加密的。客户端和服务器同时具备加密和解密机制。通信线路不安全,内容仍有u被篡改的风险。
 
2.不验证通信方的身份可能遭遇伪装
任何人都可发起请求
 
查明对方的证书
SSL不仅提供加密处理,而且还用证书验证对方。客户端通信之前先确认服务器的证书,验证通过才会继续通信。证书由值得信赖的第三方机构颁发。
 
3.无法证明报文的完整性,可能已被篡改
接收到的内容可能有误。
请求或响应在传输途中,遭攻击者拦截并篡改内容的攻击称为中间人攻击(MITM)。
 
http协议如何防止被篡改
常用的是MD5和SHA-1散列值校验的方法,以及用确认文件的数字签名方法(例如用PGP(完美隐私)创建的数字签名)。但是这些方法无法保证结果的正确,因为PGP和MD5本身被改写是很难被用户察觉的。
此时,有必要使用HTTPS,SSL提供认证和加密处理及摘要功能。
 
二.HTTP+加密+认证+完整性保护=HTTPS
1.HTTP加上加密处理和认证以及完整性保护后就是HTTPS
 
2.HTTPS是带有SSL外壳的HTTP
HTTPS只是HTTP通信接口部分用SSL和TLS协议代替而已。通常,HTTP直接和TCP通信。当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信了。SSL协议是在HTTP协议和TCP中间的一层协议。
 
学习SSL之间,先来学习加密方法。
3.相互交换密钥的公开密钥加密技术(公钥加密)
1)共享密钥加密的困境:
加密和解密用同一个密钥的方式称为共享密钥加密,也称为对称密钥加密。用对称密钥加密时必须将密钥也发送给对方。发送密钥的过程容易被窃听,从而丢失密钥。
2)使用两把密钥的公开密钥加密
使用一对非对称的密钥,私有密钥和公开密钥。发送密文的一方使用对方的公开密钥进行加密处理,对方收到被加密的信息后,再使用自己的私钥进行解密。存在密钥的传送,所以是安全的。
3)HTTPS采用混合加密机制速度慢。所以应充分利用各自的优势,在交换密钥环节使用公钥加密,之后的建立通信交换报文阶段使用共享密钥加密。
 
4.证明公开密钥正确性的证书
公开密钥加密的问题:无法验证公开密钥本身就是真实的公开密钥。为了解决这个问题,可以使用由数字证书认证机构(CA)和其相关的机关颁发的公开密钥证书。服务器会将这份数字证书认证机构颁发的公钥证书发给客户端,以进行公开密钥加密通信。
 
5.HTTPS的安全通信机制
 

步骤1: _客户端通过发送Client Hello报文开始SSL通信。报文中包含客户端支持的SSL的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。

步骤2: _服务器可进行SSL通信时,会以Server Hello报文作为应答。和客户端一样,在报文中包含SSL版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。

步骤3: _之后服务器发送Certificate报文。报文中包含公开密钥证书。

步骤4:  最后服务器发送Server Hello Done报文通知客户端,最初阶段的SSL握手协商部分结束。

步骤5:  SSL第一次握手结束之后,客户端以Client Key Exchange报文作为回应。报文中包含通信加密中使用的一种被称为Pre-master secret的随机密码串。该报文已用步骤3中的公开密钥进行加密。

步骤6:  接着客户端继续发送Change Cipher Spec报文。该报文会提示服务器,在此报文之后的通信会采用Pre-master secret密钥加密。

步骤7:  客户端发送Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。

步骤8:  服务器同样发送Change Cipher Spec报文。

步骤9: 服务器同样发送Finished报文。

步骤10:  服务器和客户端的Finished报文交换完毕之后,SSL连接就算建立完成。当然,通信会受到SSL的保护。从此处开始进行应用层协议的通信,即发送HTTP请求。

步骤11: 应用层协议通信,即发送HTTP响应。

步骤12: 最后由客户端断开连接。断开连接时,发送close_notify报文。上图做了一些省略,这步之后再发送TCP FIN报文来关闭与TCP的通信。

在以上流程中,应用层发送数据时会附加一种叫做MAC(Message Authentication Code)的报文摘要。MAC能够查知报文是否遭到篡改,从而保护报文的完整性。

 

 
HTTPS在使用SSL协议时,它的处理速度会变慢。一种是指通信过程变慢,另一种是指由于大量消耗CPU和内存等资源,导致处理速度变慢。因为HTTPS需要做服务器、客户端双方加密和解密处理,因此会消耗CPU和内存等硬件资源。和HTTP通信相比,SSL通信部分消耗网络资源。而SSL通信部分又因为要对通信进行处理,所以时间上有延长了。
因此,如果是非敏感信息则使用HTTP通信,只有在包含个人敏感信息时才利用HTTPS加密通信。
 
 
 
 
 
 posted on 2016-05-05 22:19  Marval  阅读(192)  评论(0编辑  收藏  举报