HTTP与HTTPS
一、HTTP简述
http中文名为超文本传输协议,是一个简单的的请求—响应协议,它规定WWW服务器与浏览器(客户端)之间信息传递规范。工作于TCP/IP协议的应用层。
二、HTTP通信过程
因为http是个无状态的请求—响应协议,所以不需要建立持久的连接,意味着通信完毕之后就会断开连接,且在服务器端不会保留连接的有关信息,http使用了MIME的框架,即Web服务器告诉Web浏览器文件所属类型,Web浏览器通过一些辅助应用程序,对Web服务器发送过来的各种内容分类型处理。
MIME(Multipurpose Internet Mail Extensions)多用途互联网邮件扩展类型。是设定某种扩展名的文件用一种应用程序来打开的方式类型,当该扩展名文件被访问的时候,浏览器会自动使用指定应用程序来打开。
浏览器(客户端)与服务器的简要通信步骤:
- 建立TCP连接
- Web浏览器向Web服务器发送请求命令
- Web浏览器发送请求头信息
- Web服务器应答
- Web服务器发送应答头信息
- Web服务器向浏览器发送数据
- Web服务器关闭TCP连接
中间人攻击:
中间人攻击(Man-in-the-MiddleAttack,简称“MITM攻击”)是一种“间接”的入侵攻击,这种攻击模式是通过各种技术手段将受入侵者控制的一台计算机虚拟放置
在网络连接中的两台通信计算机之间,这台计算机就称为“中间人”。
正是因为很多通信协议如:http 采用的是明文传输而被攻击,所以现如今很多的服务商开始通信加密,SSL(Secure Sockets Layer 安全套接层)是一种广泛使用的技术,HTTPS、FTPS等都是建立在其基础上的。
HTTPS简述
如上文所言HTTP是明文(没有进行处理的原信息)发送,所以这是不安全的,因此在此基础上通过增加SSL层(Secure Sockets Layer 安全套接层)产生了HTTPS。而要理解HTTPS的工作原理,首先需要理解对称加密与非对称加密(公钥加密)。
对称加密
对称加密,顾名思义其主要思想就是甲通过一种方式对信息进行加密,而乙方也要通过同样的方式进行加密。
优点:算法公开、计算量小、加密速度快、加密效率高
缺点:因为通信双方使用的是同一个密钥(加密算法)所以在第一次通信传输密钥时如果被截获,那么接下来的通信内容都会被监听甚至修改。
非对称加密
使用非对称加密方式的通信双方各自拥有一对密钥(公钥与私钥)使用公钥进行加密的信息可以通过私钥进行解密,同样的通过私钥进行加密的信息也可以通过公钥进行解密,比如甲(服务器)和乙(客户端)通信时,乙将自己的公钥传给甲,甲接收到则可以用接收到的公钥对自己的私钥进行加密,然后传回给乙,乙对这个甲的私钥(乙的公钥加密过的私钥)用自己的私钥进行解密之后就可以在接下来的通信中使用这个私钥进行加密通信了,而中间人即使截取到公钥也会因为没有与之对应的私钥,而无法进行解密。
Lz水平有限,这次的分享就到这里了,如果有什么不对的地方还请大家积极指出。谢谢!!!