HTTPS协议

HTTPS = HTTP + SSL/TLS

一、HTTPS协议

• 在HTTP的通道上增加了安全性，传输过程通过加密和身份认证来确保传输安全性

1、TLS

• 传输层安全协议，SSL和TLS其实是一个协议，SSL2.0版本，自SSL3.0版本后，更名为TLS1.0，目前最高版本TLS1.3，使用最为广泛的是TLS1.2版本
• 设计目标
  • 保密性：所有的信息都加密传输
  • 完整性：校验机制
  • 认证：双方都配备证书，防止冒充
  • 互操性、通用性
  • 可扩展
  • 高效率
• 发展史
  • SSL2.0    SSL3.0    TLS1.0    TLS1.1    TLS1.2    TLS1.3

2、HTTP的缺陷

• 明文传输
• 只对传输数据的长度进行完整性校验，数据是否有被篡改是不做确认的

3、HTTPS的好处

• 在数据传输之前，客户端会和服务器端去协商数据在传输过程中的加密算法，包含自己的非对称加密的密钥交换算法（RSA/DH），数据签名摘要算法（MD5/SHA），加密传输数据的对称加密算法（DES/3DES/AES）
• 客户端生成随机的字符串，通过协商好的非对称加密算法，使用服务端的公钥对该字符串进行加密，发送给服务端。服务端接收到之后，使用自己的私钥解密得到该字符串。在随后的数据传输当中，使用这个字符串作为密钥进行对称加密

二、加密算法

1、对称加密算法

• 加密和解密的密钥相同（只有一个密钥：公共密钥，发送方和接收方都需要使用）
  • 密钥如何传输问题
  • 密钥多，难管理
• 常见的对称加密算法
  • DES/3DES
  • AES
  • RC
  • IDEA

2、非对称加密算法

• 加密和解密使用的是不同的密钥（公钥（公开密钥）和私钥），每个用户都可以有自己的公钥和私钥，公钥是公开的，私钥是由自己保存，只要一个密钥加密就必须使用另一个密钥解密
  • 加密算法比较复杂，对于大规模的数据进行加密，比较影响效率
• 常见的算法
  • Elgamal：基于DH密钥交换算法来的
  • RSA
  • ECC
  • Rabin

三、PKI体系

1、基本概念

• 公钥基础设施
  • 通过使用公钥技术（非对称加密算法）和数字签名来确保信息安全
  • 公钥加密技术（非对称加密算法）、数字证书、CA（证书颁发机构）RA（证书注册机构）组成
• 实现的功能
  • 身份验证
  • 数据完整性
  • 数据机密性
  • 操作不可否认性
• 身份认证及完整性验证
  • 发送方首先将原始数据通过摘要算法（SHA）算出信息摘要，并且用自己的私钥进行签名得到数字签名，将数字签名和原始数据发送给接收方
  • 接收方收到发来的原始数据和数字签名后，将原始数据通过相同的摘要算法（SHA）得出信息摘要，再使用发送方的公钥将数字签名解开得出信息摘要（这里就完成了发送方的身份认证），比对两个摘要是否一致，如果一致，说明数据在传输过程中没有被修改
• 数字证书
  • 保证密钥的合法性
  • 证书的主体可以是用户、计算机、服务等
  • 证书包含的信息
    • 使用者的公钥
    • 使用者的标识
    • 有效期
    • 颁发者的标识信息
    • 颁发者的数字签名

四、证书服务器（HTTPS服务器）

1、部署 证书服务器

• Windows    active directory证书服务：基于域，这里用独立
• Linux    open ssl