2024年3月29日发(作者:)

1. HTTPS

HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安

全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基

础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句

法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTPS,但HTTPS

存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最

初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全

敏感的通讯,例如交易支付方面

HTTPS和HTTP的区别

一、https协议需要到ca申请证书,一般免费证书很少,需要交费。

二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl

加密传输协议。

三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是

80,后者是443。

四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可

进行加密传输、身份认证的网络协议,比http协议安全。

https的实现原理

有两种基本的加解密算法类型

1)对称加密 :密钥只有一个,加密解密为同一个密码,且加解密速度快,典型的对称

加密算法有DES、AES等;

2)非对称加密 :密钥成对出现(且根据公钥无法推知私钥,根据私钥也无法推知公钥),

加密解密使用不同密钥(公钥加密需要私钥解密,私钥加密需要公钥解密),相对对称加密

速度较慢,典型的非对称加密算法有RSA、DSA等。

https的通信过程

https的通信过程

客户端

1.请求https连接

{返回证书(公钥)}

服务器

2. 产生随机(对称)密钥

3.用公钥对对称密钥加密

4. 发送加密后的对称密钥

.

6.通过对称密钥加密的密文通信

..

图2.1

https的通信过程

https通信的优点

1)客户端产生的密钥只有客户端和服务器端能得到;

2)加密的数据只有客户端和服务器端才能得到明文;

3)客户端到服务端的通信是安全的。

HTTPS解决的问题

一、信任主机的问题.

采用https的服务器必须从CA (Certificate Authority)申请一个用于证明

服务器用途类型的证书。该证书只有用于对应的服务器的时候,客户端才信任此主机。

所以目前所有的银行系统网站,关键部分应用都是https 的。客户通过信任该证书,

从而信任了该主机。其实这样做效率很低,但是银行更侧重安全。这一点对我们没有

任何意义,我们的服务器,采用的证书不管是自己发布的还是从公众的地方发布的,

其客户端都是自己人,所以我们也就肯定信任该服务器。

二、通讯过程中的数据的泄密和被篡改

1. 一般意义上的https,就是服务器有一个证书。

a) 主要目的是保证服务器就是他声称的服务器,这个跟第一点一样。