在我们去访问一个网站的时候我们可以观察地址的URL,举例:
这是一个https协议。可以观察下前面的锁符号。
观察到的信息可以看初https给我们提供了访问数据的安全性。
而对于http协议我们可以去了解一下。
1. HTTP协议
1.1HTTP协议介绍
http协议是一种基于文本的传输协议,位于网络模型的应用层。
HTTP协议通过服务器和客户端的应答请求来进行通信,但是http协议是不安全的,会存在着中间人的信息攻击,修改数据。HTTP协议中的报文以明文的方式进行传输,没有做加密,由此http传输的过程中,攻击者可以去修改http通信的所有的请求和相应的信息。
HTTP防止攻击
可能对于我们来说提到了明文传输可能会被攻击修改数据,我们会进行数据加密,但是这种方式会在传输过程中暴露出加密方式和密钥,如果说第一次的传输就会拦截了的话就会发生数据的泄露。
那么我们是否能通过加密的方式进行http传输呢?答案当然是可以的,我们可以通过非对称加密算法,如使用RSA加密算法,对于密钥进行加密,但是窃取人依然有办法去破解。
这时候就要去了解HTTPS。
HTTPS协议
介绍
HTTPS= HTTP+SSL,现在的SSL已经被TLS取代,SSL协议不仅应用在HTTP上还应用在了各种应用层协议上,如:FTP。
SSL跟非堆成加密的方式是一样的,握手的时候进行交换密钥,然后通信的时候使用对称加密进行通信。 服务器通过SSL证书传递公钥,客户端会对SSL证书进行验证,证书的验证是确保安全性的关键。
CA认证体系
在CA体系中,所有的证书都由权威的机构颁发
证书的校验使用的RSA是通过私钥加密证书的签名,公钥解密来验证证书的有效性,
这样的认证体系就可以去避免攻击者的窃取AES_KEY从而发起拦截和修改HTTP传输报文。