HTTP协议
HTTP协议:超文本传输协议,位于应用层,通过请求-响应方式完成客户端与服务端的通信
缺点:不够安全——明文传输,不做加密,易被中间人攻击(中间人截获甚至篡改信息)
改进:HTTPS协议
改进流程:
(一)对称加密(约定一个随机生成密钥,用密钥对信息加密解密)
缺点:直接用对称加密仍不安全——第一次约定密钥的时候仍是明文,中间人知道密钥可截获消息
(二)非对称加密(一方生成一组密钥对,密钥对的特点是用其中一个加密,只可用另一个解密,此时第一次明文传输时,将密钥对中的一个传过去,接收方将对称加密的密钥用收到的密钥加密传给发送方,发送方用密钥对中的另一个解密,则得到对称加密的密钥)
缺点:非对称加密仍不安全——中间人可截获第一次的密钥对,用自己的密钥对发给接收方,接收方加密后中间人再次截获,解密获得对称加密密钥再用发送方的密钥加密返回给发送方,由此获得对称加密密钥
(三)引入CA(证书颁发机构)
证书:包含的主要信息有:
证书颁发机构、由机构私钥加密的服务端公钥、由机构私钥加密的证书签名(即对服务端网址等信息加密得到的叫证书签名)
HTTPS流程:服务端向CA发送公钥,CA回服务端处理过的证书,服务端发给客户端证书,客户端验证证书真伪,若真则解出公钥,用其加密对称私钥,重复上述过程。
优点:此时中间人就算截获做假证书,因为假证书没有权威认证,所以不予认可
以上为HTTPS的安全层原理:
HTTPS在HTTP基础上增加了SSL安全层,以上的认证流程在SSL层完成
技术学习中,欢迎大家批评指正
码字不易,转载请注明来处