参考:https://mp.weixin.qq.com/s/-qqr8iB_VgAcDkD6_rewfg
总结:
1、HTTP协议安全隐患:窃&听、伪装、篡改。
- 通信内容无加密可能被窃&听。
- 通信方身份无验证可能遭遇伪装。
- 报文完整性无校验可能遭遇篡改。
2、如何构造安全的HTTP,需解决哪些重点?
- 防窃&听:内容加密(混合加密法:密钥RSA加密,内容DES加密;)
- 防伪装:服务器客户端认证(公开密钥证书)
- 防篡改:完整性(加签与验证签名)
3、HTTPS关键技术:身份验证、信息加密、完整性校验
4、对称加密与非对称加密
- 对称加密:加密与解密的密钥相同。以DES算法为代表。
- 非对称加密:加密与解密的密钥不相同。以RSA算法为代表;
- 对称加密存在最大的问题:如何安全生成和保管密钥-->非对称密钥交换过程解决该问题。
- 非对称加密存在最大的问题:无法证明公钥的可靠性-->数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密钥证书解决该问题。(可能密钥传输中被替换或篡改)
5、不验证公钥可能性可能存在两个问题:中间人攻击、信息抵赖
6、HTTPS协议原理
- 协议实现:TLS以记录协议实现,记录协议负责在传输连接上交换所有的底层消息,并可以配置加密。
- 握手协议:单向验证、双向验证、简短握手。
- 交换各自支持的功能,对需要的连接参数达成一致;
- 验证出示的证书,或使用其他方式进行身份验证;
- 对将用于保护会话的共享主密钥达成一致;
- 验证握手消息是否被第三方团体修改;