柚子快報邀請碼778899分享：網(wǎng)絡協(xié)議 https學習

http://yzkb.51969.com/

http的最大弊端——不安全

http之所以被https取代，最大的原因是不安全，至于為什么不安全，看一下下面這張圖就一目了然了。

由上圖可見，http在傳輸數(shù)據(jù)過程中，所有數(shù)據(jù)都是明文傳輸，自然沒有安全性可言。https使用了混合加密算法（對稱加密和非對稱加密），可以用密鑰加密或還原數(shù)據(jù)，只要確保密鑰不被第三方獲取，就能確保數(shù)據(jù)傳輸?shù)陌踩?2.加密算法

對稱加密：加密和解密都是使用同一個密鑰，常見的對稱加密算法有DES、3DES和AES。

優(yōu)點：算法公開、計算量小、加密速度快、加密效率高、適合加密比較大的數(shù)據(jù)。

缺點：交易雙方需要使用相同的密鑰，也就無法避免密鑰偶的傳輸，二密鑰在傳輸過程中無法保證不被截獲，因此對稱加密的安全性得不到保證。

每次用戶使用對稱加密算法時，都需要使用其他人不知道的唯一密鑰，這會使得發(fā)收信雙方所擁有的密鑰密鑰數(shù)量急劇增長，密鑰管理成為雙方負擔。對稱加密算法在分布式系統(tǒng)上使用較為困難，主要因為密鑰管理困難，使用成本高。 　　　　 由上圖可見，被加密的數(shù)據(jù)在傳輸過程中是無規(guī)則亂碼，即便被第三方截獲，在沒有密鑰的情況下也無法解密數(shù)據(jù)，這就保證了數(shù)據(jù)安全。有一個致命問題是，既然雙方要使用相同的密鑰，那就必須要在傳輸數(shù)據(jù)之前由一方把密碼傳給另一方，這個過程很有可能被截獲，加密數(shù)據(jù)也會被輕松解密。

非對稱加密：加密和解密使用不同的密鑰（公鑰和私鑰），公鑰和私鑰是一對，如果用公鑰對數(shù)據(jù)進行加密，只有對應的私鑰才能解密；如果使用私鑰對數(shù)據(jù)進行加密米，那只有對應的公鑰才能解密。常用的非對稱加密算法是RSA算法。

非對稱加密算法實現(xiàn)機密信息交換的基本過程是：甲方生成一對密鑰并將其中的一把作為公鑰對外開放，得到該公鑰的乙方使用公鑰對機密信息進行加密后發(fā)送給甲方，甲方再用自己保存的私鑰對加密后的信息進行解密。 優(yōu)點：算法公開，加密和解密使用不同的密鑰，私鑰不需要通過網(wǎng)絡進行傳輸，安全性很高。

缺點：計算量很大，加密和解密速度對比對稱加密慢很多。 由上圖可見，客戶端在拿到服務器的公鑰后，會生成一個隨機碼（用KEY表示，這個KEY就是后續(xù)雙方用于對稱加密的密鑰），然后客戶端使用公鑰包KEY加密后再發(fā)送給服務器，服務器使用私鑰將其解密，這樣雙方就有了同一個密鑰KEY，然后雙方再使用KEY進行對稱加密交互數(shù)據(jù)。在非對稱加密傳輸KEY的過程中，即便第三方獲取了公鑰和加密后的KEY，在沒有私鑰的情況下也無法破解KEY（私鑰存在服務器，泄露風險極?。?，這就保證了接下來對稱加密的數(shù)據(jù)安全。上圖流程就是https的雛形，https正好綜合了兩種加密算法的的優(yōu)點，不僅保障了數(shù)據(jù)安全，還保證了數(shù)據(jù)的傳輸效率。

https原理詳解

HTTPS（Hypertext Transfer Protocol Secure）是基于HTTP的擴展，用于計算機網(wǎng)絡的安全通信，已經(jīng)在互聯(lián)網(wǎng)得到廣泛的應用，在HTTPS中，原有的HTTP協(xié)議會得到TLS（安全傳輸層協(xié)議）或其前輩SSL（安全套接層的加密）。因此，HTTPS也常指HTTP over TLS或HTTP over SSL，也就是說HTTPS = HTTP + SSL/TLS。 　　 https的整個通訊過程可以分為兩大階段：證書驗證和數(shù)據(jù)傳輸階段，數(shù)據(jù)傳輸階段又可以分為非對稱加密和對稱加密兩個階段。

1.客戶端請求HTTPS網(wǎng)址，然后連接到server的443端口（HTTPS默認端口，類似于HTTP的80端口）。

2.采用HTTPS協(xié)議的服務器必須要有一套數(shù)字CA（Certification Authority）證書，證書時需要申請的，并由專門的數(shù)字證書認證機構(gòu)（CA）通過非常嚴格的審核之后頒發(fā)的電子證書。頒發(fā)證書的同時會產(chǎn)生一個公鑰和私鑰。私鑰由服務器自己保存，不可泄漏。公鑰則是附帶在證書信息中，可以以公開的。證書本身也附帶一個證書電子簽名，這個簽名用來驗證證書的完整性和真實性，可以防止證書被篡改。

3.服務器響應客戶端請求，將證書傳遞給客戶端，證書包含公鑰和其他信息，比如證書的頒發(fā)機構(gòu)信息，公司信息和證書有效期等。

4.客戶端解析證書并對其進行驗證。如果證書不是可信機構(gòu)頒布，或者整數(shù)中的域名與實際域名不一致，或者證書已經(jīng)過期，就會向訪問者顯示一個警告，由其選擇是否還要繼續(xù)通信。

5.客戶端把加密后的隨機碼KEY發(fā)送給服務器，作為后面對稱加密的密鑰。

6.服務器收到隨機碼KEY之后會使用私鑰B將其解密。經(jīng)過以上這些步驟，客戶端和服務器終于建立了安全連接，完美解決了對稱加密的密鑰泄露問題，接下來就可以使用對稱加密愉快的進行通信了。

7.服務器使用密鑰（隨機碼KEY）對數(shù)據(jù)進行對稱加密并發(fā)送給客戶端，客戶端使用相同的密鑰（隨機碼KEY）解密數(shù)據(jù)。

8.雙方使用對稱加密愉快的傳輸所有數(shù)據(jù)。

柚子快報邀請碼778899分享：網(wǎng)絡協(xié)議 https學習

http://yzkb.51969.com/

好文鏈接