继续加油⛽️
上一篇学习并记录了 什么是HTTP, 接下来就学习一下什么是 HTTPS 并记录下来。如果有错误的地方,希望大神留言指正。
什么是 HTTPS?
HTTPS(全称: Hyper Text Transfer Protocol over SecureSocket Layer),是以安全为目标的 HTTP 通道,由 HTTP 加 SSL(Secure Socket Layer)和 TLS(Transport Layer Security)构成,在 HTTP 的基础上通过 数据保密性、数据完整性 和 身份校验安全性 保证了传输过程的安全。
TLS/SSL 工作原理及握手过程详解
设计目标
数据保密性
窃听: 因为HTTP 协议传输 未经过加密的报文,所以在传输过程中,窃听者可以直观读取所传输的内容,比如姓名、身份证号、银行卡号等。
数据保密性 保证数据内容在传输的过程中不会被第三方查看。就像快递员传递包裹一样,都进行了封装,别人无法获知里面装了什么。(注意:但是加密后的内容还是可以查看到)
加密方式 : 对称加密、非对称加密、对称加密+非对称加密
转载地址: 对称加密和非对称加密的区别
对称加密
加密和解密的密钥使用的是同一个。
对称加密算法: 密钥较短,破译困难,除了数据加密标准(DES),另一个对称密钥加密系统是国际数据加密算法(IDEA),它比DES的加密性好,且对计算机性能要求也没有那么高。
优点 : 算法公开、计算量小、加密速度快、加密效率高。 缺点 : 在数据传送前,发送方和接收方必须商定好秘钥,然后 使双方都能保存好秘钥。其次如果一方的秘钥被泄露,那么加密信息也就不安全了。另外,每对用户每次使用对称加密算法时,都需要使用其他人不知道的唯一秘钥,这会使得收、发双方所拥有的钥匙数量巨大,密钥管理成为双方的负担。
常见对称加密算法 : DES、3DES、Blowfish、IDEA、RC4、RC5、RC6、AES
非对称加密
与对称加密算法不同,非对称加密算法需要两个密钥, 公开密钥(publickey) 和 私有密钥(privatekey)。
公开密钥与私有密钥是一对, 如果用公开密钥对数据进行加密, 只有用对应的私有密钥才能解密; 如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。
实现过程:甲方生成一对密钥并将其中的一把作为公用密钥向其它方公开;得到该公用密钥的乙方使用该密钥对机密信息进行加密后再发送给甲方;甲方再用自己保存的另一把专用密钥对加密后的信息进行解密。甲方只能用其专用密钥解密由其公用密钥加密后的任何信息。
优点 : 安全 缺点 : 速度较慢
常见非对称加密算法 : RSA、DSA(数字签名用)、ECC(移动设备用)、Diffie-Hellman、El Gamal摘要算法
常见摘要算法有: MD2、MD4、MD5、HAVAL、SHA、HASH
数据完整性
篡改: 是指 文件内容中传输过程中可能被中间人攻击,使 请求方 发出的数据与 接收端 接收到的数据前后不同。
数据完整性 及时发现被第三方篡改的传输内容。就像快递员虽然不知道包裹里装了什么东西,但他有可能中途掉包,数据完整性就是指如果被掉包,我们能轻松发现并拒收。
防止篡改 : md5 + SHA-1 等散列值校验、数字签名
身份校验安全性
伪装: 是指 HTTP 协议无法确定通信双主是否为真实请求或真实响应的对象。也就产生了无论是谁对服务器请求,都会进行响应,就容易被攻击(dos攻击)。
身份校验安全性 保证数据到达用户期望的目的地。就像我们邮寄包裹时,虽然是一个封装好的未掉包的包裹,但必须确定这个包裹不会送错地方,通过身份校验来确保送对了地方。
防止伪装 :1.通信加密: 可通过 SSL (安全套接层)或 TLS (完全层传输协议) 组合使用。
2.证书
HTTP 与HTTPS 的区别 ?
-
端口区别: http 采用 80 端口, https 采用 443 端口。
-
传输方式: https 更加安全,https 为 具有安全性的 SSL 加密传输,http 为明文传输;
-
https 需要申请证书, http 不需要申证书。