【图解HTTP】确保WEB安全的HTTPS

【HTTP的缺点】

【通信使用明文，内容可能会被窃听】

HTTP报文使用明文方式发送

【TCP/IP是可能被窃听的网络】

按TCP/IP协议族的工作机制，通信内容在所有的通信线路上都有可能遭到窥视。

即使经过加密处理的通信，也会被窥视到通信内容，但是无法破解报文信息的含义。

 窃听相同段上的通信，只需要收集在互联网上流动的数据报就行了。

对于收集来的数据包的解析工作，可交给抓包工具。

【加密处理防止被窃听】

加密的对象

【通信加密】

HTTP可以通过和SSL（安全套接层）或TLS（安全层传输协议）的组合使用，加密HTTP的通信内容。

用SSL建立安全通信线路后，就可以在这条线路上进行HTTP通信。与SSL组合使用的HTTP称为HTTPS 

无法证明报文的完整性，所以有可能已遭篡改

【内容加密】

由于HTTP协议中没有加密机制，那么就对HTTP协议传输的内容本身加密。

即把HTTP报文例所含的内容加密处理。

要求客户端和服务器同时具备加密和解密机制。主要应用在Web服务中。

【不验证通信方的身份，因此有可能遭遇伪装】

HTTP协议中的请求和响应不会对通信方进行确认。

也就是说存在“服务器是否就是发送请求中URI真正指定的注解，返回的响应是否真的返回到实际提出请求的客户端”等类似问题。

【任何人都可发送请求】

在HTTP协议通信时，由于不存在确认通信方的处理步骤，任何人都以发送请求。

另外，服务器只要接受到请求，不管对方是谁都会返回一个响应

 【HTTP隐患】

（1）无法确定请求发送至目标的Web服务器是否是按真实意图返回相应的那台服务器

（2）无法确定响应返回到的客户端是否是按真实意图接受响应的客户端

（3）无法确定正在通信的对方是否具备访问权限

（4）无法判定请求是来自何方，出自谁手

（5）即使是无意义的请求也会全收。无法组织海量请求下的Dos攻击。

【查明对手的证书】

SSL不仅提供加密处理，而且使用了一种被称为证书的手段，可以用于确定方。

证书是由值得信任的第三方机构颁发，用以证明服务器和客户端是实际存在的。

另外，伪造证书是很困难的。所以只要能够确认通信方持有的证书，即可判断通信方的真实意图。

 另外，客户端持有证书即可完成个人身份的确认，也可用于对Web网站的认证环节。

【接受到的内容可能有误】

由于HTTP协议无法证明通信报文完整性。没有办法确认，发送的请求和接受到的请求/响应是前后相同的。

 【中间人攻击】请求或响应在传输涂中，遭攻击者拦截并篡改内容的攻击

 【如何防止篡改】

常用：MD5、SHA-1散列值校验、数字签名方法

提供文件下载服务的web网站也会提供相应的以PGP创建的数字签名及MD5算法生成的散列值。

PGP是用来证明创建文件的数字签名，MD5是由单向函数生成的散列值。

（1）不论使用哪一种方法，都需要操作客户端的用户本人亲自检查验证。浏览器无法自动帮用户检查。

 （2）但是PGP和MD5本省被改写的话，用户是没有办法意识到的。

为了有效防止这些弊端，有必要使用HTTPS。

【HTTP+加密+认证+完整性保护=HTTPS】

 经常会在web登录页面和购物结算界面等使用HTTPS通信。使用HTTPS通信时，不再用http://，而是用https://。

另外，当浏览器访问HTTPS通信有效的web网站时，浏览器的地址栏会出现一个带锁的标记

 【HTTPS是身披SSL外壳的HTTP】

HTTPS并非是应用层的一种新协议，只是HTTP通信接口部分用SSL和TLS协议代替了而已。

通常，HTTP直接和TCP通信。当使用SSL时，则演变成先和SSL通信，再有SSL和TCP通信。

所以HTTPS就是身披SSL协议这层外壳的HTTP。

 在采用SSL后，HTTP就拥有了HTTPS加密、证书和完整性保护等功能。

SSL是独立于HTTP的协议，所以不光是HTTP协议，其他运行在应用层的SMTP和Telent等协议均可配合SSL协议使用。

SSL是当今世界上应用最为广泛的网络安全技术。

【相互交换秘钥的公开密钥加密技术】

【共享秘钥加密】

加密和解密用同一个秘钥，又叫对称秘钥加密

 

 

【公开秘钥加密方法】

公开秘钥加密使用一对非对称秘钥。一把叫做私有秘钥，另一把叫做公开秘钥。

私有秘钥不能让其他任何人知道，而公开秘钥可以随意发布，任何人都可以获得。

使用公开密钥加密方式，发送密文的一方使用对方的公开密钥进行加密处理，对方收到被加密的信息后，再使用自己的私有秘钥进行解密。利用这种方式，不需要发送用来解密的私有密钥，也不必担心密钥被攻击者窃听而盗走。

另外，要想根据密文和公开秘钥，恢复到信息原文是异常困难的。

 【HTTPS采用混合加密机制】

HTTPS采用共享秘钥加密和公开秘钥加密两者并用的混合加密机制。

在交换密钥环节使用公开密钥加密方式，之后的建立通信交换报文阶段则使用共享密钥加密方式。

 【证明公开秘钥正确性的证书】

公开密钥加密方式存在的问题：无法证明公开密钥本身是真的公开密钥。

公开密钥传输途中，可能被攻击者替换掉了。

为了解决上述问题，可以使用由数字证书认证机构和其他相关机构颁发的公开密钥证书。

【HTTPS的安全通信机制】

HTTPS通信步骤：

 当使用SSL时，它的处理速度会变慢。

 （1）使用HTTPS网络负载可能会慢2到100倍。处理和TCP连接、发送HTTP请求和相应以外，还必须进行SSL通信，因此整体上处理通信量不可避免会增加。

（2）SSL必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上讲，会比HTTP消耗更多服务器和客户端的硬件资源，导致负载增强。

针对速度变慢这一问题，并没有根本性的解决方案，会使用SSL加速器这种硬件来改善问题。该硬件为SSL通信专用硬件，相对软件讲，能够提高数倍SSL计算速度。

【为什么不一直使用HTTPS】

（1）加密通信会消耗更多的CPU。

（2）购买证书需要开销。

所以，只有对敏感信息才会使用加密。