http和https區(qū)別
1寨腔、什么是http協(xié)議辛友?
http協(xié)議就是超文本傳輸協(xié)議整陌,它完成客戶端到服務(wù)端等一系列運作流程
1.1 與http關(guān)系密切的協(xié)議: IP, TCP和DNS
負責傳輸?shù)腎P協(xié)議
ip協(xié)議是數(shù)據(jù)網(wǎng)絡(luò)層協(xié)議,IP協(xié)議的作用就是把各種數(shù)據(jù)包傳輸給對方,而要把數(shù)據(jù)包傳輸給指定地址需要有各種限制泌辫,其中最重要的就是IP地址和MAC地址。
IP地址指明了節(jié)點被分配到的地址, MAC地址是指網(wǎng)卡所指的固定地址. IP地
址和MAC地址進行配對, IP地址可以變換, 但是MAC地址基本不會更改.
確本拍可靠性的TCP協(xié)議
TCP位于傳輸層, 提供可靠的字節(jié)流服務(wù)
字節(jié)流服務(wù): 為了方便傳輸, 將大塊數(shù)據(jù)分割成以報文段為單位的數(shù)據(jù)包進行管理.
為了確保無誤將數(shù)據(jù)送達目標處, TCP協(xié)議采用了三次握手策略.當然除了三次握手策略, 還有很多其他的手段保證通訊的可靠性
負責域名解析的DNS服務(wù)
DNS協(xié)議和http協(xié)議一樣是應(yīng)用層的協(xié)議震放,提供了IP地址和域名之間的解析服務(wù)。
因為記住一組純數(shù)字太難了, 而字母加數(shù)字才是人類習慣的方式,為了解決這個問題, DNS服務(wù)營運而生.
2. HTTP的缺點
- 通信使用明文(不加密), 內(nèi)容可能會被竊聽
- 不驗證通信方的身份, 因此有可能遭遇偽裝
- 無法證明報文的完整性, 所有有可能已遭篡改
3.HTTP+加密+認證+完整性保護 = HTTPS
HTTPS并非是應(yīng)用層的一種新協(xié)議. 只是HTTP通信接口部分用SLL(Secure Socket Layer)和TLS (Transport Layer Security) 協(xié)議替代而已.
通常, HTTP直接和TCP通信, 當使用SSL時, 演變成了先和SSL通信, 再由SSL和TCP通信了, 簡而言之, 所謂HTTPS, 其實就是身披SSL協(xié)議的這層外殼的HTTP.
在采用SSL后, HTTP就擁有了HTTPS的加密, 證書和完整性的保護這些功能.
SSL是獨立于HTTP的協(xié)議, 所有不光是HTTP協(xié)議, 其他運行在應(yīng)用層的SMTP(郵件協(xié)議)和Telnet等協(xié)議均可配合SSL協(xié)議使用. 可以說SSL是當今世界上應(yīng)用最廣泛的網(wǎng)絡(luò)安全技術(shù).(也就是說https協(xié)議只是對http協(xié)議進行了一次ssl協(xié)議加密的過程)
4.SSL是如何加密的
SSL采用一種叫做公開密鑰加密(Public-key cryptography)的加密方式.
近代的加密方法中, 加密算法是公開的, 而秘鑰是保密的, 通過這種方式得以保持加密方法的安全性.
加密和解密同用一個密鑰的方式稱為共享密鑰加密, 也被叫做對稱密鑰加密.
公開密鑰加密使用一對非對稱的密鑰. 一把叫做私有密鑰, 另一把叫做公開密鑰
使用公開密鑰加密方式, 發(fā)送密文的一方使用對方的公開密鑰進行加密處理, 對方收到被加密的信息后, 在使用自己的私有密鑰進行解密. 利用這種方式, 不需要發(fā)送用來解密的私有密鑰, 也不用擔心密鑰被攻擊者竊聽而盜走.
另外, 要想根據(jù)密文和公開密鑰, 恢復(fù)到信息原文是異常困難的, 因為解密過程就是在對離散對數(shù)進行求值, 這并非輕而易舉就能辦到的. 退一步講, 如果能對一個非常大的整數(shù)做到快速地因式分解, 那么密碼還是在存在希望的, 但就目前的技術(shù)來看是不太現(xiàn)實的.
HTTPS采用混合加密機制
HTTPS采用對稱加密 和 非對稱加密兩者并用的混合加密機制. 若密鑰能夠?qū)崿F(xiàn)安全交換, 那么有可能會考慮僅適用非對稱加密來通信. 但是非對稱加密和對稱加密算法相比, 其處理速度要慢.
所以應(yīng)充分利用兩者各自優(yōu)勢, 將多種方法組合起來用于通信. 在交換密鑰環(huán)節(jié)適用公開密鑰加密方式, 之后的建立通信交換報文階段則使用共享密鑰加密方式.
https加密原理:
由于非對稱加密和對稱加密相比驼修,處理速度要慢一些殿遂,https加密時候使用對稱加密對內(nèi)容進行加密,然后使用服務(wù)端給的非對稱加密的公鑰對對稱加密的秘鑰進行加密然后將加密后的秘鑰和加密后的數(shù)據(jù)一起傳給服務(wù)器乙各。服務(wù)器可以使用私鑰解密對稱加密的秘鑰后吧內(nèi)容解密墨礁,就完成了一次加解密過程。
5.證明公開密鑰的正確性的證書(用來保證非對稱加密的秘鑰就是服務(wù)器給的秘鑰)
遺憾的是, 公開密鑰加密方式還是存在一些問題的, 那就是無法證明公開密鑰本身就是貨真價實的公開密鑰. 比如, 正準備和某臺服務(wù)器建立公開密鑰加密方式下的通信時, 如何證明收到的公開密鑰就是原本預(yù)想的那臺服務(wù)器發(fā)行的公開密鑰. 或許在公開密鑰傳輸途中, 真正的公開密鑰已經(jīng)被攻擊者替換了.
為了解決上述問題, 可以使用有數(shù)字證書認證機構(gòu)和其他相關(guān)機關(guān)頒發(fā)的公開密鑰證書
基本流程為:
- 服務(wù)器把自己的公開密鑰登錄至數(shù)字證書認證機構(gòu)
- 數(shù)字證書認證機構(gòu)用自己的私有密鑰向服務(wù)器的公開密鑰署數(shù)字簽名并頒發(fā)公鑰證書
- 客戶端拿到服務(wù)器的公鑰證書后, 使用數(shù)字證書認證機構(gòu)的公開密鑰, 向數(shù)字證書認證機構(gòu)驗證公鑰證書上的數(shù)字簽名, 以確認服務(wù)器的公開密鑰的真實性
- 使用服務(wù)器的公開密鑰對報文加密后發(fā)送
- 服務(wù)器用私有密鑰對報文解密
6.SSL速度慢嗎?
由于HTTPS還需要做服務(wù)器,客戶端雙方加密及解密處理, 因此會消耗CPU和內(nèi)存等硬件資源, 和HTTP通信相比, SSL通信部分消耗網(wǎng)絡(luò)資源. 而SSL通信部分, 有因為要對通信進行處理, 所有時間上又延長了.
針對速度慢這樣一個問題, 并沒有根本性的解決方案, 我們會使用SSL加速器這種(專用服務(wù)器)硬件來改善該問題. 相對軟件來講, 能夠提高數(shù)倍SSL計算速度.
7.為什么不一直使用HTTPS
既然HTTPS那么的可靠安全, 那為何不所有的Web網(wǎng)站不一直使用HTTPS?
其中的一個原因是, 因為與純文本通信相比, 加密通信會消耗更多的CPU資源以及內(nèi)存資源, 如果每次通信都加密, 會消耗相當多的資源, 平攤到一臺計算機上時, 能夠處理的請求數(shù)量必定會隨之減少.
因此, 如果是非敏感信息則使用HTTP通信, 只有在包括個人信息等敏感數(shù)據(jù)時, 才利用HTTPS加密通信, 以節(jié)省資源. 除此之外, 想要節(jié)約購買證書的開銷也原因之一.
