1、协议
1、HTTP协议:超文本传输协议,是客户端浏览器或其他程序与Web服务器之间的应用层通信协议 。
2、HTTPS协议:可以理解为HTTP+SSL/TLS, 即 HTTP 下加入 SSL 层,HTTPS 的安全基础是 SSL,因此加密的详细内容就需要 SSL,用于安全的 HTTP 数据传输。
如上图所示 HTTPS 相比 HTTP 多了一层 SSL/TLS
SSL(Secure Socket Layer,安全套接字层):1994年为 Netscape 所研发,SSL 协议位于 TCP/IP 协议与各种应用层协议之间,为数据通讯提供安全支持。
TLS(Transport Layer Security,传输层安全):其前身是 SSL,它最初的几个版本(SSL 1.0、SSL 2.0、SSL 3.0)由网景公司开发,1999年从 3.1 开始被 IETF 标准化并改名,发展至今已经有 TLS 1.0、TLS 1.1、TLS 1.2 三个版本。SSL3.0和TLS1.0由于存在安全漏洞,已经很少被使用到。TLS 1.3 改动会比较大,目前还在草案阶段,目前使用最广泛的是TLS 1.1、TLS 1.2。
2、加密算法
-
2.1 对称加密
加密和解密都是使用的同一个密钥。
例如:DES、AES-GCM、ChaCha20-Poly1305等- 优点:加密、解密速度快
- 缺点:密钥分配问题
(1)不同的客户端密钥不一样的策略,那么服务器压力大,维护成本很高
(2)因每个客户端、服务器的安全级别不同,密钥极易泄露
-
2.2 非对称加密
加密使用的密钥和解密使用的密钥是不相同的,分别称为:公钥、私钥。公钥是公开的,私钥是保密的。私钥加密,公钥解密是数字签名
例如:RSA、DSA、ECDSA、 DH、ECDHE- 优点:安全性强
- 缺点:加密、解密算法性能较低
-
2.3 混合加密
对称加密的优点+非对称加密的优点
3、哈希函数/数字签名/数字证书
-
3.1 哈希算法
- 作用:1、将任意长度的信息转换为较短的固定长度的值,通常其长度要比信息小得多
2、算法不可逆
3、同样的字符加密后的数据是一样的
例如:MD5、SHA-1、SHA-2、SHA-256 等
- 作用:1、将任意长度的信息转换为较短的固定长度的值,通常其长度要比信息小得多
-
3.2 数字签名
- 作用:混合加密通信中,数字签名可以用来证明公钥身份
- 制作步骤:1、数字签名将信息原文用HASH函数生成摘要,用Hash函数缩短传输的信息长度
2、摘要用私钥加密后生成数字签名 - 通信过程:1、客户端请求公钥
2、服务端返回公钥+签名
3、客户端根据响应内容提取到公钥和签名,验证公钥+HASH函数==数字签名+公钥,如果相等,证明公钥是服务器发来的
弊端:假设客户端收到的是中间人的公钥+数字签名(中间人用自己的公钥+Hash函数+私钥=数字签名),验证公钥+HASH函数 = 数字签名+公钥也会相等
-
3.3 数字证书
“证书中心”(certificate authority,简称CA),为公钥做认证。因为数字签名可以证明身份,但是如果数字签名也被替换掉呢?这时候有正规认证机构。HTTPS是用数字证书证明身份,不用数字签名,数字证书认证过程可参考数字签名。
其实HTTPS是使用HMAC(Keyed Hash Message Authentication Code)保证用户的数据不被篡改就可以了。
4、HTTPS 访问过程
1、客户端向服务器发出加密请求。
2、服务器用自己的私钥加密网页以后,连同本身的数字证书,一起发送给客户端。
3、客户端(浏览器)的"证书管理器",有"受信任的根证书颁发机构"列表。客户端会根据这张列表,查看解开数字证书的公钥是否在列表之内。
4、如果数字证书记载的网址,与你正在浏览的网址不一致,就说明这张证书可能被冒用,浏览器会发出警告。
5、如果这张数字证书不是由受信任的机构颁发的,浏览器会发出另一种警告。
6、如果数字证书是可靠的,客户端就可以使用证书中的服务器公钥,对信息进行加密,然后与服务器交换加密信息。
参考阮一峰的笔记 http://www.ruanyifeng.com/blog/2011/08/what_is_a_digital_signature.html
参考又拍云的HTTPS干活 https://zhuanlan.zhihu.com/p/27395037
6616
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
