HTTP协议(二)之确保web安全的HTTPS

一、概述

https并非是应用层的一种新协议。只是HTTP通信接口部分用SSL和TLS协议替代。

通常,HTTP直接和TCP通信。当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信了。

简而言之,所谓HTTPS其实就是身披SSL协议这层外壳的HTTP。

HTTPS采用对称加密和非对称加密并用的混合加密机制。

二、验证公开密钥正确性的证书:

1、服务器把自己的公开密钥登录至数字证书认证机构

2、数字证书认证机构用自己的私有密钥向服务器的公开密码部署数字签名并颁发公钥证书

3、客户端拿到服务器的公钥证书后,使用数字证书认证机构的公开密钥,向数字证书认证机构验证公钥证书上的数字签名,以确认服务器的公开必要的真实性

4、使用服务器的公开密钥对报文加密后发送

5、服务器用私有密钥对报文解密

三、证书:

证书的作用是用来证明作为通信一方的服务器是否规范,另外一个作用是可确认对方服务器背后运营的企业是否真实存在。拥有该特性的证书就是EV SSL证书(Extended Validation SSL Certificate)。

持有EV SSL证书的Web网站的浏览器地址栏处的背景色是绿色的,且在地址栏的左侧显示了SSL证书中记录的组织名称以及颁发证书的认证机构的名称。

使用OpenSSL这套开源程序,每个人都可以构建一套属于自己的认证机构,从而自己给机子颁发服务器证书。但该服务器证书在互联网上不可作为证书使用,似乎也没什么用。

独立构建的认证机构叫做自认证机构,由自认证机构颁发的“无用”证书称为自签名证书。浏览器访问该服务器时,会显示“无法确认连接安全”或“该网站的安全证书存在问题”等警告。

四、HTTPS的安全通信机制:

1、客户端通过发送 Client Hello 报文开始 SSL 通信。报文中包含客户端支持的 SSL 的指定版本、加密组件(Cipher Suite)列表(所使用的加密算法及密钥长度等)。

2、服务器可进行 SSL 通信时,会以 Server Hello 报文作为应答。和客户端一样,在报文中包含 SSL 版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件中筛选出来的。

3、之后服务器发送 Certificate 报文。报文中包含公开密钥证书

4、最后服务器发送 Server Hello Done报文通知客户端,最初阶段的SSL握手协商部分结束。

5、SSL第一次握手结束之后,客户端以 Client Key Exchange 报文作为回应。报文中包含通信加密中使用的一种被称为 Pre-master secret 的随机密码串(相当于是对称加密的密钥)。该报文已用步骤3中的公开密钥进行加密(已确认证书的有效性,并取出服务器的公开密钥)。

6、接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器,在此报文之后的通信会采用 Pre-master secret 密钥加密。

7、客户端发送 Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能够成功,要以服务器是否能够正确解密该报文作为判定标准。

8、服务器同样发送 Change Cipher Spec 报文。

9、服务器同样发送 Finished报文。

10、服务器和客户端的 Finished报文交换完毕之后,SSL连接就算建立完成。当然,通信会受到 SSL的保护。从此处开始进行应用层协议的通信,即发送HTTP请求

11、应用层协议通信,即发送HTTP 响应

12、最后由客户端断开连接。断开连接时,发送 close_notify报文。之后再发送 TCP FIN报文来关闭与 TCP的通信。

五、HTTPS的缺点:

HTTPS的一些缺点,就是当使用SSL时,他的处理速度会变慢(一种是通信慢,还有一种是由于大量消耗CPU及内存等资源,导致处理速度变慢)。

和使用HTTP相比,网络负载可能会变慢2到100倍。除去和TCP连接、发送HTTP请求·响应以外,还必须进行SSL通信,因此整体上处理通信量不可避免增加。

还有SSL必须进行加密处理。在服务器和客户端都需要进行加密和解密的运算处理。因此从结果上来看,比HTTP会更多的消耗服务器和客户端的硬件资源,导致负载增强。一般使用SSL加速器这种(专用服务器)硬件来改善该问题。该硬件为SSL通信专用硬件,相对于软件来讲,能够提高数倍SSL的计算速度。仅在SSL处理时发挥SSL加速器的功效,以分担负载。

原文地址:https://www.cnblogs.com/cshaptx4869/p/10668093.html

时间: 2024-11-09 00:56:38

HTTP协议(二)之确保web安全的HTTPS的相关文章

确保web安全的https、确认访问用户身份的认证(第七章、第八章)

第七章 确保web安全的https 1.http的缺点: (1)通信使用明文,内容可能会被窃听 (2)不验证通信方的身份,因此有可能遭遇伪装 (3)无法证明报文的完整性,因此有可能已遭篡改. 2.通信的加密 (1)http没有加密机制,但可以通过和SSL或TLS的组合使用,加密http的通信内容,与SSL组合的http被称为https (2)内容的加密,就是将需要传输的内容进行加密,不过这种还是有可能被篡改内容. 3.不验证通信方可能遭遇伪装 SSL不仅提供了加密处理,而且还使用了一种被称为证书

确保Web安全的HTTPS

HTTP在安全方面主要有以下不足: 1. 通信使用明文不加密,内容可能会被窃听:(TCP/IP就是可能被窃听的网络) 2. 不验证通信方的身份,因此有可能遭遇伪装: (无法判断请求或响应是否正确,是否有权限,是否有意义) 3. 无法证明报文的完整性,内容有可能已遭篡改: 解决办法: 1.加密处理防止被窃听:通信的加密 HTTPS(SSL安全套接层+HTTP) ,TSL安全层传输协议                                                       内容的

HTTP知识普及系列:确保Web安全的HTTPS

HTTP的缺点 通信使用明文(不加密),内容可能会被窃听 不验证通信方的身份,因此有可能遭遇伪装 任何人都可发起请求 查明对手证书 无法证明报文的完整性,所以有可能已遭篡改 接收到的内容可能有误 用MD5和SHA-1等散列值校验的放阿飞,以及用来确认文件的数字签名方法 HTTPS是指HTTP与SSL组合使用. HTTP+加密+认证+完整性保护=HTTPS HTTPS并非是应用层的一种新协议,知识HTTP通信接口部分用SSL和TLS协议代替而已. SSL是当今世界上应用最广泛的网络安全技术. SS

HTTP协议 (二) --基本认证

HTTP协议 (二) 基本认证 http协议是无状态的, 浏览器和web服务器之间可以通过cookie来身份识别. 桌面应用程序(比如新浪桌面客户端, skydrive客户端)跟Web服务器之间是如何身份识别呢? 什么是HTTP基本认证 桌面应用程序也通过HTTP协议跟Web服务器交互, 桌面应用程序一般不会使用cookie, 而是把 "用户名+冒号+密码"用BASE64编码的字符串放在http request 中的header Authorization中发送给服务端, 这种方式叫H

win7下chm文件打不开“确保 Web 地址 //ieframe.dll/dnserrordiagoff.htm# 正确。 “

Win7打开chm文件无法显示内容,只出现如下提示:一:无法显示此页 确保 Web 地址 //ieframe.dll/dnserrordiagoff.htm# 正确. 使用搜索引擎查找页面. 请过几分钟后刷新页面. 解决方法: 1.一般情况下无法显示网页:右键 chm文件属性里最下面有个“解除锁定”,点击“解除锁定”按钮就可以了. 2.如果没有解除锁定,由于.chm文件的存放路径中不能带有#,把文件放到c#目录下才无法显示,那就重新命名目录名.[特别注意是C#的编程人员,要不半天纠结死,文档死活

如何用纯文本方式(XML)+HTTP协议调用Workday的web service?

我们知道,Workday系统本身很复杂,其发布的web服务(web service)也很多,而且其中的Web 服务(web service)中定义的Schema也很复杂.如果用AXIS或者XFire生成存根代码调用其相应模块的web service,比如Human Resource模块,也可以,但是生成的存根代码比较复杂,而且Workday的web服务本身也在不断的升级过程中,在升级的过程中,其Schema的信息也在不断变化和调整过程中,那么有没有一种以不变应万变的方式,答案是肯定的.那就是通过

Web Api系列教程第2季(OData篇)(二)——使用Web Api创建只读的OData服务

前言 很久没更新了,之前有很多事情,所以拖了很久,非常抱歉.好了,废话不多说,下面开始正题.本篇仍然使用上一季的的项目背景(系列地址http://www.cnblogs.com/fzrain/p/3490137.html)来演示OData服务,因此我们可以直接使用之前建好的数据访问层.但是不是说一定要看到之前的所有内容,我们只是借用数据库访问层,对于数据库的模型构建移步(使用Entity Framework Code First构建数据库模型). 有了数据访问的基础,我们可以开始构建OData服

第三百二十二节,web爬虫,requests请求

第三百二十二节,web爬虫,requests请求 requests请求,就是用yhthon的requests模块模拟浏览器请求,返回html源码 模拟浏览器请求有两种,一种是不需要用户登录或者验证的请求,一种是需要用户登录或者验证的请求 一.不需要用户登录或者验证的请求 这种比较简单,直接利用requests模块发一个请求即可拿到html源码 #!/usr/bin/env python # -*- coding:utf8 -*- import requests #导入模拟浏览器请求模块 http

web之三建立https

书接上文,复习一条:elinks -dump:获取到页面数据后直接退出进程.我们的keepAlive在根据需求定义不同的时长,如果繁忙,则调短一些. 如何将http使用成https ssl:secure socket layer 安全套接字层 ssv1 ssv2 ssv3 ~tls1 tls  传输层安全 因为http协议时明文的,基于文本编码. telnet 使用telnet发起请求,此时我们的服务器仍是192.168.1.126 而我们的客户端多了一个192.168.1.134了 [[ema