HTTPS=HTTP+加密+认证+完整性保护

最新推荐文章于 2024-01-17 22:56:59 发布
最新推荐文章于 2024-01-17 22:56:59 发布
阅读量1.1k 收藏
点赞数
分类专栏: HTTP 文章标签: http https
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44997147/article/details/104702128
版权

HTTP的缺点

1、通信使用明文(不加密),内容可能会被窃听

因为按照TCP/IP的工作机制,通信内容在通信线路上有可能遭到窥视。即使是经过加密处理的通信,也会被窥探到通信内容,只是无法破解报文信息的含义。

有两种加密方式:

  • 通信加密。用SSL建立安全通信路线,服务端和客户端就可以在安全的通信路线上开始通信。
  • 通信内容加密。报文首部不加密,报文主体加密。
2、不验证通信方的身份,可能遭遇伪装

任何人都可以发送请求,服务器也都会响应。因此会存在以下隐患:

  • 无法确定请求发送至目标的服务器是否是伪装的服务器
  • 无法确定响应返回到的客户端是否是伪装的客户端
  • 无法确定正在通信的双方是否具备访问权限
  • 无法确定请求出自何方
  • 即使是无意义的请求也会全部接收,会出现DoS攻击

SSL有一种被称为证书的手段可以用于确定通信方(服务器和客户端)。

3、无法证明报文的完整性,可能遭遇篡改

HTTP协议无法保证通信的报文的完整性。即没有任何办法确认发出的响应/请求和接收到的响应/请求是前后相同的。在传输途中遇中间者拦截并篡改内容的叫中间人攻击(MITM)
可用MD5和SHA-1等散列值校验的方法以及确认文件的数字签名方法(以PGP创建的数字签名为例)来保证报文的完整性,但是当PGP和MD5本身被篡改时,报文的完整性依旧无法保证。

HTTPS=HTTP+加密+认证+完整性保护

HTTPS是身披SSL外壳的HTTP。
HTTPS只是HTTP的通信接口部分用SSL和TLS协议代替。
通常HTTP直接和TCP通信,使用SSL之后变成了先和SSL通信再和TCP通信。

HTTPS采用的是公开密钥和共享密钥两者并用的混合加密机制

HTTPS是在交换密钥时利用公开密钥进行加密,通信报文交换利用共享密钥进行加密。因为公开密钥处理起来比较麻烦,效率较低。

共享密钥

加密和解密用同一个密钥的加密方式叫共享密钥加密,也叫对称密钥加密。以共享密钥加密必须要把共享密钥和加密的报文以取传给对方,如果加密的报文被攻击密钥也会被截获。

公开密钥

公开密钥加密使用一对非对称密钥。一把叫私有密钥,一把叫公开密钥。公开密钥是任何人都可以获得的,但是私有密钥是只有自己知道的。发送方利用公开密钥进行加密,接收方利用自己的私有密钥进行解密,就不需要担心密钥被盗走。
SSL采用的是公开密钥加密的方式进行加密处理。存在通信慢CPU消耗大导致处理速度变慢的问题。

公开密钥存在的问题

无法证明密钥本身就是货真价实的公开密钥。可以使用数字证书认证机构(CA)和其颁布的公开密钥证书确定该公开密钥是值得信赖的。

服务器会向CA提出公开密钥的申请,CA验证过服务器的身份后会对已申请的公开密钥做数字签名,然后将已签名的公开密钥放入密钥证书中绑定。服务器会将密钥证书发给客户端,从而进行以公开密钥加密的通信。

为什么不一直使用HTTPS

1、因为加密通信会消耗更多的CPU和资源内存
2、减少证书购买的开销

Feather_74
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
HTTPSHTTP + 加密 + 证书 + 完整性保护
Dreams of JAVAD
04-12 1966
HTTPS并非是一种新协议,是身披SSL的HTTP协议,只是HTTP通信接口部分用SSL和TLS协议代替而已。 HTTP 的缺点: 1. 通信使用明文,内容可能会被窃听——-加密 2. 不验证通信方的身份,可能遭遇伪装—–证书 3. 无法验证报文的完整性 ————–完整性保护 基于HTTP的局限性,出现了HTTPS 简单地来说,HTTPSHTTP加密 + 证书 +完整...
谈一谈HTTPS的优点-信息加密完整性校验,身份验证
weixin_37901561的博客
05-06 2453
有没有发现,现在大部分的网站都是用https协议,当你搜索https的时候,你看到的大概是这个 httpshttp安全,https是通过加密来保证数据安全 再或者是这个图片 先来看一下httphttps的定义: HTTP协议(HyperText Transfer Protocol,超文本传输协议)是用于从WWW服务器传输超文本到本地浏览器的传输协议。它可以使浏览器更加高效,使网络传输减少...
HTTPS的安全保护
Summer的博客
12-12 337
HTTP的缺点: 通信使用明文,内容容易被窃听 不验证通行方的身份,容易遭遇伪装 无法验证报文的完整性,报文可能被篡改 HTTPS解决了这一问题HTTPS:身披SSL外壳的HTTP,对于加密机制,采用共享秘钥和公开密钥混合加密机制,公开密钥相比共享秘钥更加安全但是处理速度较慢,为了提高速率增加安全,在交换密钥环节使用公开密钥加密,之后的通信报文则使用共享密钥加密 HTTPS的通信步骤:Creat
HTTPS协议=HTTP协议+加密+证书+完整性保护
HUAERBUSHI521的博客
06-24 1971
一.HTTPS协议 概念:基于安全套接字的超文本传输协议. HTTPS基于HTTP协议,通过SSL(安全套接层协议)或TLS(安全层传输协议)提供加密处理数据,其实就是披着SSL外壳的HTTP协议,其本质还是HTTP. 二.HTTP的缺陷 HTTP并非只有好的一面,事物皆具有两面性,它也有不足之处. 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 无法验证报文的完整性,所以有可能已遭篡改 通信使用明文可能会被窃听 不验证通信方的身份就有可能遭遇伪装
HTTPS保护网络数据安全的关键技术
u011599475的博客
04-13 297
在握手过程完成后,双方使用协商好的密钥对数据进行加密传输,确保数据的安全性。为解决这些安全问题,HTTPS(超文本传输安全协议)应运而生,它在HTTP的基础上增加了SSL/TLS加密层,为用户提供更安全的网络环境。总结:HTTPS通过SSL/TLS加密技术,确保了网络数据在传输过程中的安全性、完整性和可靠性。数据窃听:HTTP协议中的数据传输过程是明文的,容易被中间人窃听。要透彻的理解HTTPS,可以再补一下数字签名、非对称加密,对称加密HTTP协议的相关内容。双方使用协商好的密钥对数据进行加密传输。
ASP+Access电子商务网站安全保障思索.doc
11-23
综上,ASP+Access电子商务网站的安全保障需要从多角度考虑,包括数据库安全、源代码保护、用户输入处理、认证机制、系统监控以及持续的安全维护。只有全面增强安全防护,才能确保电子商务网站在面临各种威胁时,能够...
Security+认证模拟题.pdf
10-14
完整性是指保护数据不被未经授权的修改或删除。 802. 下列哪项是用户无法验证单个用户的电子邮件签名和用户无法解密发送的消息的最可能原因? 答案:A. 不匹配的密钥对 解释:如果用户无法验证单个用户的电子邮件...
加密认证
12-15
加密认证
LTE-Security(加密保护算法).doc
06-24
该技术涵盖了多个安全领域,包括认证加密完整性保护和密钥管理等。 安全流程梳理是LTE-Security的一个重要组件,它定义了安全协议和机制,以保护用户数据和网络。安全流程梳理包括认证加密完整性保护和密钥...
基于收敛加密的云安全去重与完整性审计系统
01-14
在此基础上,进一步设计与实现了一个基于收敛加密的云安全去重和完整性审计系统。该系统能为云存储提供数据隐私保护、重复认证、审计认证等安全服务,且进一步降低了客户端、云端的存储和计算开销。
第7章 确保Web安全的HTTPS (2)HTTP + 加密 + 认证 + 完整性保护 = HTTPS
Get
04-11 622
HTTP + 加密 + 认证 + 完整性保护 = HTTPS HTTPS是身披外壳的HTTPHTTPS并不是一种协议。 HTTPS协议有两种组成: HTTP + SSL / TSL,也就是HTTP上层又加入了一层加密信息的模块。HTTPS的通信过程图很丑,但是还好,理解了自己独立画的。 推荐图解 HTTPS 通信过程 图很棒,也通俗易懂。1、发送请求2、服务器配置服务器的配置,实用HTTPS
计算机网络 | HTTPS协议 :对称加密、非对称加密、数字证书、完整性保护
凌桓丶的博客
09-07 2931
文章目录HTTPS VS HTTPHTTPS=HTTP+加密+证书+完整性保护加密对称加密非对称加密混合加密证书完整性保护HTTPS并不能取代HTTPSSL是把双刃剑HTTPS的遗憾之处 HTTPS VS HTTP 计算机网络 (二) 应用层 :HTTP协议详解 在之前的博客中介绍了HTTP协议,虽然从中了解了他优秀的一面,但是也能看到他许多的不足。 由于其本身通信使用明文,没有进行加密,也没有确认通信方的一种机制,所以在互联网上近似于裸奔,很容易就会受到中间人攻击,导致安全存在问题。 通信时数据并没有进
https真的能保证完全数据安全和完整性吗?
yifeng_1118的专栏
03-06 7933
A:对于https认证完成,获取对称加密数据后,我个人感觉后面是难以保证完整性的,特别是通过抓包和fiddle劫持后的感受. 1.别人偷窥不到真正的数据. 2.但别人可以搞破坏(损人为最高原则) 譬如,当中间人随意改动tcp段数据(我看不到但可以搞破坏数据),服务器通过对称加密算法解密,从tcp来看,并不能感知数据被篡改.除非应用代码对数据进行额外的安全校验. 网上查阅了不少资料,也没有...
Https协议的安全性
最新发布
01-17 854
Https协议的安全性
HTTP + 加密 + 认证 + 完整性保护 = HTTPS(简单)
Leida_wanglin的博客
12-15 2513
HTTP + 加密 + 认证 + 完整性保护 = HTTPS 柯南语录: 星河随水流聚散 碎碎心念坠落川 想问你平安 却不敢 此生第一次胆寒 半生少年如梦千帆 灼灼心光驱不散 此生既有了这牵绊 我怎好独自黯然 还没带你纵横群山 还没将你的发轻绾 还没好好在这纷乱里纠缠 欠我(你)那把刀还没还 恢恢江湖 与你混迹不曾怕 等我替你踏遍天涯 巍巍江山 为你愿把热血洒 管它又是谁的天下 极寒之雪 飘到哪里才是家 不如让我把你融化 当春艳阳 无形却化作坚实的铠甲 至爱无华 HTTP协议中可能存在信息窃听或身份伪装
大文件分片上传及MD5完整性验证:引用jquery.fcup.js
fq_fly的博客
05-04 1695
1、功能背景 配置管理系统中,需通过web端实现设备的在线升级,此功能需在web页面实现升级包的上传。 由于php.ini中的默认上传文件大小为2M,当php代码实现文件上传功能时,超过2M大小的文件无法直接上传,需调整php.ini中相关参数。 修改php.ini中相关参数: file_uploads = On upload_max_filesize = 20M post_max_size =...
HTTPS 渐成主流,过半 web 流量已加密
weixin_34174105的博客
06-02 111
EFF(Electronic Frontier Foundation)近日发布了一份报告,报告称经研究显示,目前全球已有超过一半的web流量采用了加密HTTPS进行传输,预示着对整个web进行加密的运动达到了一个里程碑时刻。加密流量过半的主要原因是占据流量主要份额的主流技术公司,如Facebook、Google、Twitter、维基百科、Bing、Re...
文件上传大小限制导致上传不成功,浏览器提示不友好处理(后端SpringMVC,前端vue)
u011154536的博客
12-10 1436
前端错误提示 Console:https://file.xhkjedu.com/upload/upload.do net::ERR_CONNECTION_RESET NetWork:Referrer Policy: no-referrer-when-downgrade 解决方法: application.xml文件不使用Spring MVC提供的文件上传大小限制属性; 拦截器加判断。 confi...
Vue 客户端直传OSS跨域、HTTPHTTPS、上传超时、限制大小问题
GHkmmm的个人博客
03-25 3272
一、整体思路 客户端先向服务端发送请求,请求格式如下 ossPaht:oss绝对地址 fileExt:文件后缀类型 服务端签名,返回数据,格式如下 signedUrl上传目标地址 cdnUrl下载可使用地址 contentType文件类型 通过服务端返回的signedUrl,携带上传的文件请求signedUrl直传OSS 二、问题 跨域(这个不需要前端解决) 协议冲突问题 服务端返回的signedUrl是http协议但是客户端域名却是httpshttps无法向http发送请求 解
如何实现springboot+vue传输加密
09-14
通过以上步骤,可以实现Spring Boot和Vue之间的传输加密,确保数据在传输过程中的安全性和完整性。 ### 回答3: 要实现Spring Boot和Vue之间的数据传输加密,可以采用以下步骤: 1. 在Spring Boot后端应用中,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值