新闻资讯  快讯  焦点  财经  政策  社会
互 联 网   电商  金融  数据  计算  技巧
生活百科  科技  职场  健康  法律  汽车
手机百科  知识  软件  修理  测评  微信
软件技术  应用  系统  图像  视频  经验
硬件技术  知识  技术  测评  选购  维修
网络技术  硬件  软件  设置  安全  技术
程序开发  语言  移动  数据  开源  百科
安全防护  资讯  黑客  木马  病毒  移动
站长技术  搜索  SEO  推广  媒体  移动
财经百科  股票  知识  理财  财务  金融
教育考试  育儿  小学  高考  考研  留学
您当前的位置:首页 > IT百科 > 站长技术 > 网站

HTTPS是怎么保证网络通信安全的

时间:2019-09-09 11:48:18  来源:  作者:

导读:HTTP是一个优秀的通信协议,不过事物皆具有双面性,该协议也是有不足之处,大概有以下几点:

  • 使用明文传输,可能会被窃取不安全
  • 不验证通信方身份
  • 无法证明报文的完整性,证明不了报文是否被修改

一、HTTP不具备加密功能

HTTP协议本身是没有加密功能,所以无法对请求和响应等内容加密。HTTP报文均采用明文形式,数据包在网络间传输很容易就被人窃取,如使用抓包工具(Wireshark)等。在对数据包进行抓取后进行分析,由于报文是以明文形式传输,如果内容是关于如个人信息等重要隐私则可能会被他人获取后所利用,造成损失。

 

二、对内容进行加密

对内容加密是一种保护信息的好方法,HTTP是没有加密机制的,所以需要借助第三方来帮助实现加密。对内容加密的方式有很多如:

  • SHA安全散列算法
  • MD5信息-摘要算法
  • BASE64(BASE64Encoder、BASE64Decoder类)
  • RSA非对称加密算法
  • DES等

主要分为两大类,对称加密和非对称加密(对于加密这里就不做深入的讨论,感兴趣的朋友可以去查阅相关资料)。
 

三、只对内容进行加密的不足之处

  • 对于内容的加密并不能完全地保证信息的安全,因为即使对内容进行加密但数据包还是可以被窃取的,并且加密内容依然很有可能被解密出来。
  • HTTP协议通信中请求和响应是不会对通信方进行确认的,所以可能会遭遇身份伪装。如发送的服务器是否就是真的目标主机、响应是否返回到真实发出请求的客户端等。
  • 加密之后的报文虽然安全性提高了,但是还是证明不了报文内容是否被修改过。

所以只对内容加密并不完善,需要一种更加全面的安全解决方案,不仅保证内容安全也要保证通信的安全等多方面--HTTps

三、什么是SSL和TSL?

在讨论HTTPS之前得先了解下SSL和TSL协议

相比较于不安全的HTTP,HTTPS是怎么保证网络通信安全的

 

  • SSL:安全套接层,位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。
  • TSL:安全层传输协议,用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议和TLS握手协议。

SSL技术最初由网景公司主导开发,开发过SSL3.0之前的版本后来主导权转移到IETF。IETF以SSL为原型开发了TSL协议。当前主流版本是SSL3.0和TLS1.0。

四、HTTPS基础概念

HTTPS并不算是一个新协议,是将HTTP协议通信接口部分用SSL和TSL协议代替。如下图所示:

相比较于不安全的HTTP,HTTPS是怎么保证网络通信安全的

 

解析:从最初HTTP与TCP直接通信转变为HTTP先与SSL通信,之后SSL再与TCP通信。可以理解为HTTP加多了层SSL协议外套就变为了HTTPS。下面,通过一条公式来表达HTTPS:

HTTP + 加密 + 认证 + 完整性保护 = HTTPS

五、HTTPS是如何进行通信的?

概述:HTTPS通信过程结合了对称加密和非对称加密两种方法。HTTPS服务端在连接建立SSL通信时先会将自身的公钥发送给客户端。客户端拿到公钥后通过非对称加密与服务端协商数据传输通道的对称加密密钥。一旦双方协商出会话密钥,则后续的数据通讯就会一直使用基于该会话密钥的对称加密算法了。

相比较于不安全的HTTP,HTTPS是怎么保证网络通信安全的

 

具体流程

  1. 客户端发送报文开始SSL通信。
  2. 服务端可以进行SSL连接时就会发送应答报文给客户端。
  3. 接下来服务端发送Certificate报文(包含公开密钥证书)给客户端。
  4. 最后服务端发送通知报文通知客户端。
  5. 客户端先生成Pre-master secret随机密码,并以包含Pre-master secret且使用公钥加密的报文响应服务端。
  6. 客户端继续发送报文提示服务器说接下来的所有通信都采用Pre-master secret密钥加密。
  7. 客户端发送Finsh报文(该报文包含连接至今所有的整体校验值)
  8. 服务器也重复6 7步骤发送同样的报文,当Finsh报文交换结束后SSL连接算是建立完成。
  9. 接下来就是进行HTTP请求了,同时通信会受到SSL的保护。

六、使用HTTPS是否很完美?

  • HTTPS比HTTP通信慢
  • 导致客户端和服务器负载增强
  • 购买证书需要开销

HTTPS由于除了TCP连接、HTTP请求响应之外还需要进行SSL通信所以效率会相对与HTTP慢。其次,客户端和服务端需要进行加密和解密处理,当访问量多时会相对于使用HTTP来说负载增强。另外,进行HTTPS通信需要购买证书,可能对于一些服务或小型网站来说并不划算。

六、HTTPS在哪些场景下应用比较合适?

综上HTTPS的特点,HTTPS适用于多像交易支付等对安全性要求很高的服务进行加密通信,包括一些会包含个人敏感信息的服务等。如果非敏感信息等则使用HTTP通信。

七、总结

HTTP是一个优秀的协议,但是由于其不支持加密等原因导致安全性比较差。提高安全性的方式有多种,如采用加密算法对内容进行加密等。HTTPS协议则提供了较为完善的方案。HTTPS不是一种新协议,是通过HTTP结合SSL/TSL实现了通信安全。但是HTTPS也有其缺点,所以要结合具体场景情况合理地使用才能发挥HTTPS的强大作用。

感谢您的阅读,如果喜欢本文欢迎关注和转发,本头条号将坚持原创,持续分享IT技术知识。对于文章内容有其他想法或意见建议等,欢迎提出共同讨论共同进步。



Tags:HTTPS   点击:()  评论:()
声明:本站部分内容来自互联网,内容观点仅代表作者本人,如有任何版权侵犯请与我们联系,我们将立即删除。
▌相关评论
发表评论 共有条评论
用户名: 密码:
验证码: 匿名发表
▌相关推荐
Nginx配置同一个域名http与https两种方式都可访问,证书是阿里云上免费申请的server{listen 80;listen 443 ssl;ssl on;server_name 域名;index index.html index.htm index....【详细内容】
2019-12-27   HTTPS  点击:(2)  评论:(0)  加入收藏
一、HTTP存在的问题1.1 可能被窃听 HTTP 本身不具备加密的功能,HTTP 报文使用明文方式发送 由于互联网是由联通世界各个地方的网络设施组成,所有发送和接收经过某些设备的数...【详细内容】
2019-12-23   HTTPS  点击:(3)  评论:(0)  加入收藏
升级 https 记录1、去阿里云购买证书(免费版),并提交审核资料 购买的证书2、下载证书 下载证书3、查看上图页面的第三步 JKS证书安装4、在证书目录下执行阿里云提供的命令,密码...【详细内容】
2019-12-23   HTTPS  点击:(12)  评论:(0)  加入收藏
http传输如下: 此时信息是明文传输,如果信息被人截获,则能看到里面的内容,极不安全那就需要对内容加密,过程如下: 浏览器生成一个秘钥 浏览器向服务器请求公钥 服务器向浏览器发送...【详细内容】
2019-12-23   HTTPS  点击:(5)  评论:(0)  加入收藏
现在越来越多的网站都用https来保障自己网站的安全,而配置https就必须安装SSL证书,SSL证书一般都需要购买,价格也不太便宜,因此,很多站长都抱怨SSL证书的价格太贵,所以一直采取观...【详细内容】
2019-12-10   HTTPS  点击:(21)  评论:(0)  加入收藏
随着 HTTPS 建站的成本下降,现在大部分的网站都已经开始用上 HTTPS 协议。 图片来自 Pexels大家都知道 HTTPS 比 HTTP 安全,也听说过与 HTTPS 协议相关的概念有 SSL 、非对称...【详细内容】
2019-12-06   HTTPS  点击:(16)  评论:(0)  加入收藏
自互联网出现以来,超文本传输协议HTTP协议被广泛用于在Web浏览器和网站服务器之间传递信息。但随着互联网的发展,另一种协议——HTTPS出现,并与HTTP一同服务于这个互...【详细内容】
2019-11-28   HTTPS  点击:(22)  评论:(0)  加入收藏
相关链接:Apache+WordPress部署SSL加密服务,全站开启https访问第一步、部署SSL加密服务准备工作1.在VPS已部署好LNMP一键安装包;2.申请SSL证书(百度免费SSL证书),我以阿里云提过...【详细内容】
2019-11-27   HTTPS  点击:(20)  评论:(0)  加入收藏
很多时候我们都要看我们使用的软件发送的什么包,或者我们使用的网站发送的数据包是什么,甚至我们还想修改一下里面的数据来看看。再这里给大家来介绍一下我们入了利用Proxifie...【详细内容】
2019-11-25   HTTPS  点击:(112)  评论:(0)  加入收藏
如今,https协议正在被广泛重视和使用。随着今年2月初,谷歌旗下Chrome浏览器宣布将所有http标示为不安全网站,许多网站都争相从http升级到了https。当你打开很多网站时,会发现浏...【详细内容】
2019-11-15   HTTPS  点击:(26)  评论:(0)  加入收藏
本篇将讨论 HTTPS 的加解密原理,很多人都知道 RSA,以为 HTTPS=RSA,使用 RSA 加解密数据,实际上这是不对的。HTTPS 是使用 RSA 进行身份验证和交换密钥,然后再使用交换的密钥进行...【详细内容】
2019-11-07   HTTPS  点击:(15)  评论:(0)  加入收藏
本篇写的是HTTPS在Tomcat中的配置方法;至于HTTPS安全认证的原理,大家可以上网查看去理解;学习建议:大家可以使用面向对象的方式去理解握手协议,单向认证与双向认证的原理。(这篇本...【详细内容】
2019-11-04   HTTPS  点击:(20)  评论:(0)  加入收藏
基本概念HTTP:超文本传输协议HTTP协议被用于在Web浏览器和网站服务器之间传递信息,HTTP协议以明文方式发送内容,不提供任何方式的数据加密,因此,HTTP协议不适合传输一些敏感信...【详细内容】
2019-11-04   HTTPS  点击:(18)  评论:(0)  加入收藏
一、前言1.1 正向代理功能比较简单,但是原生nginx不支持https代理,如果访问https网站,会报错。# nginx代理不支持http CONNECT方法:curl: (56) Received HTTP code 400 from pro...【详细内容】
2019-10-30   HTTPS  点击:(107)  评论:(0)  加入收藏
TLS传输层安全性协定 TLS(Transport Layer Security),及其前身安全套接层 SSL(Secure Sockets Layer)是一种安全协议,目的是为网际网路通信,提供安全及数据完整性保障。 如图,TLS 在...【详细内容】
2019-10-24   HTTPS  点击:(22)  评论:(0)  加入收藏
由于HTTP协议存在着明文传输、不能很好的验证通信方的身份和无法验证报文的完整性等一些安全方面的确点,才诞生了HTTPS。严格来时HTTPS不是一种协议而是HTTP + SSL (TSL)的结...【详细内容】
2019-10-21   HTTPS  点击:(34)  评论:(0)  加入收藏
目前web开发,大部分公司都用的是前后端分离模式,即前端专注于前端页面交互,后端专注于功能实现及提供web api接口。在某次新站点的开发过程中,为了网站的安全性,要求web站点使用h...【详细内容】
2019-10-18   HTTPS  点击:(398)  评论:(0)  加入收藏
名称解释https:一种安全的http协议,因此可以称为安全的超文本传输协议,https提出在http和tcp之间添加一层加密层(SSL层),这一层负责数据的加密和解密。数字证书:简称CA,它由权威机...【详细内容】
2019-10-18   HTTPS  点击:(286)  评论:(0)  加入收藏
配置Web认证(输入HTTPS网址)+限速示例介绍配置Web认证(输入HTTPS网址)+限速的配置示例。适用产品和版本适用于V600R008C10及以后版本的NE40E/ME60系列产品。组网需求如图1-13所...【详细内容】
2019-10-15   HTTPS  点击:(40)  评论:(0)  加入收藏
HTTP/2HTTP 2.0即超文本传输协议 2.0,是下一代HTTP协议。是由互联网工程任务组(IETF)的Hypertext Transfer Protocol Bis (httpbis)工作小组进行开发。是自1999年http1.1发布后...【详细内容】
2019-10-14   HTTPS  点击:(41)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条