1 从HTTP说起
HTTP是一个应用层通信协议,用于从WWW服务器传输超文本到本地浏览器,传输的数据都是未加密的,内容可能会被窃听。
一种解决方案是对通信报文的内容进行加密,对通信报文内容的加密仅仅是达到让攻击者难以破解的目的,但是加密后的报文本身还是能够被截获;另一种加密方式是将通信加密,HTTP配合SSL(安全套接层)或TLS(安全传输层协议)来对通信进行加密。
2 HTTPS概述
HTTPS(Hyper Text Transfer Protocol over Secure Socket Layer)是以安全为目标的HTTP通道,由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议。该协议的主要作用分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。
3 加密方式
3.1 对称加密(共享密钥加密)
客户端和服务器都用同一把钥匙对报文加密或解密,密钥需要在通信的过程中发给对方。一旦在通信过程中密钥被攻击者获取,报文加密便失去了意义。
3.2 非对称加密(公开密钥加密)
对称加密带来了一个问题是如何安全地把密钥发送给对方,非对称加密则较好地解决了这个问题,非对称加密同时使用一把公有密钥和一把私有密钥。
公有密钥是对通信双方公开的,任何人都可以获取,而私有的则不公开。发送方使用这把公有密钥对报文进行加密,接收方则使用私有的密钥进行解密,并且仅仅通过密文和公有密钥是很难破解密文。
使用共有密钥也隐藏着一些问题,就是如何保证公有密钥的真实性?解决办法是通过证书来保证公有密钥的真实性。
3.3 HTTPS的加密方式
HTTPS采用混合加密机制。对称加密面临的问题是如何安全地把共享密钥发送给对方,HTTPS首先通过公有密钥来对共享密钥进行加密传输,当共享密钥安全地传输给对方后,双方则使用共享密钥的方式来加密报文,以此来提高传输的效率。
4 HTTPS的握手机制
HTTPS是在已有TCP连接的基础上进行握手,具体步骤如下。
1) 客户端发起HTTPS请求;
2) 服务端的配置。采用HTTPS协议的服务器必须要有一套数字证书,这套证书其实就是一对公钥和私钥,公钥给别人加密使用,私钥给自己解密使用;
3) 传送证书到客户端。这个证书其实就是公钥,只是包含了很多信息,如证书的颁发机构,过期时间等;
4) 客户端解析证书。如果证书有效,客户端则生成一个随机数串作为以后的共享密钥,并用证书中的公钥对该随机数串进行加密;
5) 服务端传送加密后的共享密钥到客户端;
6) 服务器得到加密报文,用私有密钥解密报文,得到共享密钥;
7) 传输加密后的信息。服务端用共享密钥加密信息,发送给客户端;
8) 客户端解密信息。客户端用共享密钥解密服务端传过来的信息。
5 二者区别
1) HTTPS协议需要到ca申请证书或自制证书;
2) 连接方式不同。HTTP直接与TCP层进行数据传输,HTTPS则通过SSL层与TCP进行数据传输;
3) 通信端口不同。HTTP使用80端口,HTTPS使用443端口;
HTTPS加密是在传输层。HTTPS报文在被包装成TCP报文之前已经完成了加密。
6 HTTPS的优缺点
1) 使用HTTPS协议可认证用户和服务器,确保数据发送到正确的客户机和服务器;
2) 连接建立效率低。HTTPS除了TCP连接的请求响应之外,还需要进行SSL通信,握手阶段比较费时;
3) 通信阶段开销增加。每个报文都需要进行加密和解密,比起HTTP会消耗更多的资源;
4) 加密范围有限。HTTPS协议在黑客攻击、拒绝服务攻击、服务器劫持等方面几乎起不到什么作用。