HTTP协议中有可能存在信息窃听或者身份伪装等安全问题,使用HTTPS通信机制可以有效地防止这些问题。接下来简单的记录一下自己对于HTTPS工作流程的一个认识。
想了解HTTP相关内容,可以查看一下HTTP基本认识
HTTP的缺点
我们都知道HTTP有相当优秀和方便的一面,然后HTTP并非只有好的一面,事物皆有两面性,它也有不足之处。
HTTP主要不足
通信使用明文(不加密),内容可能被窃听。
不验证通信双方的身份,因此可能遭遇伪装。
无法证明报文的完整性,所以有可能已被篡改。
其实除此之外,HTTP本身还有很多缺点。
HTTP的缺点--明文通信
由于HTTP本身不具备加密的功能,所以无法做到对通信整体(使用HTTP协议通信的请求和响应的内容)进行加密,即HTTP报文使用明文(指未经过加密的报文)方式发送。这样就导致有可能报文在发送过程中被窃听的风险存在。
解决方案
针对明文通信的问题,有两种解决方案。一种是内容加密,一种是通信加密。
通信加密
HTTP协议中没有加密机制,但可以通过和SSL/TLS的组合使用,加密HTTP的通信过程(稍后详细说明)。
补充:SSL/TLS
为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,SSL是表示层的一个加密/解密协议。网景公司开发过SSL3.0之前的版本,目前主导权已转移到IETF(Internet 工程任务组)手中,IETF以SSL3.0位基准,后又制定了TLS1.0、TLS1.1、TLS1.2,实际上我们现在的HTTPS都是用的TLS协议,但是由于SSL出现的时间比较早,并且依旧被现在浏览器所支持,因此SSL依然是HTTPS的代名词,但无论是TLS还是SSL都是上个世纪的事情,SSL最后一个版本是3.0,今后TLS将会继承SSL优良血统继续为我们进行加密服务。
内容加密
既然HTTP协议中没有加密机制,那么就对HTTP协议传输的内容本身加密。这样就要求要在客户端和服务端同时具备加密和解密的机制,由于它不同于SSL/TLS将整个通信线路加密处理,所以任存在被篡改的风险(稍后说明)。
HTTP的缺点--不验证身份
HTTP协议中的请求和响应不会对通信方进行确认。也就是说存在“服务器是否就是发送请求中URI真正指定的主机,返回的响应是否真的返回到实际提出请求的客户端”等类似问题。
不验证身份的问题
无法确定请求发送至目标的web服务器是否是按真实意图返回响应的那台服务器。有可能伪造web服务器。
无法确定响应返回到的客户端是否是按正式意图接受响应的那个客户端。有可能已伪造。
无法确定正在通信的对方是否具备权限。因为某些web服务器上保存着重要的信息,只能发给特定用户通信权限。
无法判定请求时来自何方、出自何手。
即时是无意义的请求也会照单全收。(DoS攻击)
解决方案:证书机制
虽然使用HTTP协议无法确定通信方,但如果使用SSL则可以实现。SSL不但提供了加密处理,而且还使用了一种被称为证书的手段,用于确定通信方。
证书是由值得信赖的第三方机构颁发,用以证明服务器和客户端是真实存在的。证书伪造是异常困难的。
HTTP的缺点--无法确定报文的完整性
由于HTTP协议无法证明通信的报文完整性,因此,在请求或者响应送出之后直到对方接受之前的这段时间内,即使请求或响应的内容遭到篡改,也没有办法获悉(像这样,请求或响应在传输过程中,遭攻击者拦截并篡改内容的攻击方式称为中间人攻击)。
虽然有使用HTTP协议确定报文完整性的方法,但事实上并不便捷、可靠。其中常用的MD5和SHA-1等散列值校检的方法来确认文件的数字签名。但是MD5和SHA-1本身如果被改写就不行了。所以最终的解决方案就是HTTPS使用SSL提供的认证和加密处理及摘要功能来解决这个问题。
HTTPS出现
通过前面的介绍,我们可以得出以下几个结论:
1. HTTPS = HTTP + 加密 + 认证 + 完整性保护
2. HTTPS是身披SSL/TLS外壳的HTTP
原先的HTTP是http协议和tcp协议合作。现在的HTTPS是http协议先和ssl协议合作,ssl在和tcp协议合作。那就有一个问题出现了“他们是怎样合作的呢?”。
加密技术
介绍HTTPS的工作流程前需要先介绍两种加密方法。
公开密钥加密(非对称密钥加密):加密和解密两个算法,前者公开,又称为公开密钥;后者保密,又称为私有密钥。
共享密钥加密(对称密钥加密):加密和解密用听一个算法。
SSL就是使用的公开密钥加密对通信线路进行加密。
两种加密方式的区别
两种加密都得把密钥发送给另一方才能进行加密解密通信。--->(密钥咋安全的传给另一方,不被窃听或篡改?)
公开密钥加密比共享密钥加密更加的复杂,所以消耗CPU和内存要更加大,导致加密/解密速度也比较慢。
好的,介绍完两种加密解密算法,咱们再来看一下HTTPS是怎样工作的。
HTTPS的加密技术
HTTPS采用的是SSL的公开密钥加密和共享密钥加密两者并用的混合加密机制。
HTTPS充分利用两种加密算法的各自优势,将两种方法组合起来用于通信。在交换密钥阶段使用公开密钥加密方式,建立安全的通信线路,然后将共享密钥加密的密钥传给另一方,接下来就可以使用简单,快速的共享密钥加密了。
到目前为止我们已经知道了,HTTPS结合多种加密算法进行混合加密通信,但是遗憾的是公开密钥加密还有一个问题存在:
使用公开密钥加密的时候怎样保证此公开密钥是正确的呢?比如:正准备和某服务器建立公开密钥加密方式下的通信时,如何证明收到的公开密钥就是原本预想的那台服务器发行的公开密钥。或许在公开密钥传输工程中,正真的密钥已经被攻击者替换掉了。
为了解决这个问题,可以使用由数字证书认证机构和其他相关机关颁发的公开密钥证书。
HTTPS的通信郭晨
于是现在我们可以看一下整个HTTPS的通信过程了:
- 浏览器将自己支持的一套加密规则发送给网站服务器(通过公开密钥加密的方式)。
- 网站服务器从中选出一组加密算法与HASH算法(也是一种加密算法,如前面提及过的MD5,SHA1等),并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公开密钥,以及证书的颁发机构等信息。
- 获得网站证书之后浏览器要做以下工作:
a) 验证证书的合法性(颁发证书的机构是否合法,证书中包含的网站地址是否与正在访问的地址一致等),如果证书受信任,则浏览器栏里面会显示一个小锁头,否则会给出证书不受信的提示。
b) 如果证书受信任,或者是用户接受了不受信的证书,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密。
c) 使用约定好的HASH计算握手消息,并使用生成的随机数对消息进行加密,最后将之前生成的所有信息发送给网站服务器。 - 网站接收浏览器发来的数据之后要做以下的操作:
a) 使用自己的私有密钥将信息解密取出密码,使用密码解密浏览器发来的握手消息,并验证HASH是否与浏览器发来的一致。
b) 使用密码加密一段握手消息,发送给浏览器。 - 浏览器解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手过程结束,之后所有的通信数据将由之前浏览器生成的随机密码并利用共享加密算法进行加密。
后记
只是大概的介绍了一下HTTPS的通信流程,并没有针对每个技术点进行展开介绍,想详细了解的可以参照本文借鉴的相关资料和推荐资料。
本文借鉴资料:
推荐阅读:
