2024年3月29日发(作者:)
1. HTTPS
HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安
全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基
础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句
法类同http:体系。用于安全的HTTP数据传输。https:URL表明它使用了HTTPS,但HTTPS
存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最
初研发由网景公司进行,提供了身份验证与加密通讯方法,现在它被广泛用于万维网上安全
敏感的通讯,例如交易支付方面
HTTPS和HTTP的区别
一、https协议需要到ca申请证书,一般免费证书很少,需要交费。
二、http是超文本传输协议,信息是明文传输,https 则是具有安全性的ssl
加密传输协议。
三、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是
80,后者是443。
四、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可
进行加密传输、身份认证的网络协议,比http协议安全。
https的实现原理
有两种基本的加解密算法类型
1)对称加密 :密钥只有一个,加密解密为同一个密码,且加解密速度快,典型的对称
加密算法有DES、AES等;
2)非对称加密 :密钥成对出现(且根据公钥无法推知私钥,根据私钥也无法推知公钥),
加密解密使用不同密钥(公钥加密需要私钥解密,私钥加密需要公钥解密),相对对称加密
速度较慢,典型的非对称加密算法有RSA、DSA等。
https的通信过程
https的通信过程
客户端
1.请求https连接
{返回证书(公钥)}
服务器
2. 产生随机(对称)密钥
3.用公钥对对称密钥加密
4. 发送加密后的对称密钥
.
6.通过对称密钥加密的密文通信
..
图2.1
https的通信过程
https通信的优点
1)客户端产生的密钥只有客户端和服务器端能得到;
2)加密的数据只有客户端和服务器端才能得到明文;
3)客户端到服务端的通信是安全的。
HTTPS解决的问题
一、信任主机的问题.
采用https的服务器必须从CA (Certificate Authority)申请一个用于证明
服务器用途类型的证书。该证书只有用于对应的服务器的时候,客户端才信任此主机。
所以目前所有的银行系统网站,关键部分应用都是https 的。客户通过信任该证书,
从而信任了该主机。其实这样做效率很低,但是银行更侧重安全。这一点对我们没有
任何意义,我们的服务器,采用的证书不管是自己发布的还是从公众的地方发布的,
其客户端都是自己人,所以我们也就肯定信任该服务器。
二、通讯过程中的数据的泄密和被篡改
1. 一般意义上的https,就是服务器有一个证书。
a) 主要目的是保证服务器就是他声称的服务器,这个跟第一点一样。
发布评论