@TOC
HTTP协议
HTTP协议是一个无状态的协议, 服务器不维护任何有关客户端之前所发请求的消息。 是一种懒政,有状态协议就会更加复杂,需要维护状态(历史信息),要是客户或者服务器失效,会产生状态不一致(状态前后不对称),解决这种不一致问题的代价更高.
HTTP是应用层协议,它以TCP(传输层)作为底层协议, 默认端口是80端口
HTTP请求的通信过程
- 服务器在80端口等浏览器客户端的请求
- 浏览器发起到浏览器的TCP连接(创建套接字Socket)
- 服务器接收来自浏览器的TCP连接
- 浏览器(HTTP客户端)与Web服务器(HTTP服务器)交换HTTP消息
- 4次挥手,关闭TCP连接
HTTP优点
>扩展性强、速度快、跨平台支持好。
HTTPS协议
它是HTTP的加强安全版本.,底层使用SSL,TLS协议
HTTPS是基于HTTP的,也就是用TCP作为底层协议, 并额外使用SSL/TLS协议用作加密和安全认证. 默认端口号是443
HTTPS中,SSL通道通常使用基于密钥的加密算法,密钥的长度通常是40或128比特
HTTPS优点
保密性好,信任度高
HTTPS的核心___SSL/TLS协议
HTTPS的安全性主要是因为结合了SSL/TLS和TCP协议. 它对通信数据进行加密, 解决了HTTP数据透明的问题
SSL与TLS:
实际上TLS是SSL的升级版本, 即SSL最终改名为TLS
SSL/TLS的工作原理?
核心要素即使非对称加密.
非对称加密采用的是两个密钥,公私钥. 通信时, 公钥由任何一份想与解密者通信的发送者(加密者)所知.
这样即使数据被中间非法截获, 也会因为没有私钥无法获取内容
非对称加密的公私钥需要采用一种复杂的数学机制生成. 公私钥的生成算法依赖于单向陷门函数
单向函数:已知单向函数 f,给定任意一个输入 x,易计算输出 y=f(x);而给定一个输出 y,假设存在 f(x)=y,很难根据 f 来计算出 x。
单向陷门函数:一个较弱的单向函数。已知单向陷门函数 f,陷门 h,给定任意一个输入 x,易计算出输出 y=f(x;h);而给定一个输出 y,假设存在 f(x;h)=y,很难根据 f 来计算出 x,但可以根据 f 和 h 来推导出 x。
在这里, 陷门函数f相当于公钥,h相当于私钥. 如果只知道加密信息和公钥,那么是无法还原出原信息的,公钥加密是一种不可逆的运算
对称加密
使用SSL/TLS进行通信的双方都需要使用非对称加密方案来通信, 但是非对称加密设计了复杂数学算法, 在实际通信时, 计算的代价太高, 效率太低, 因此, SSL/TLS实际对消息的加密使用时对称加密
言简意赅: 双方使用唯一密钥k, 加密解密都是依赖于密钥k; 保密性依赖于密钥的保密性
非对称加密在数据传输上使用的是对称加密,传递公钥使用非对称加密
- 因为对称加密的效率高,耗费性能低, 而它的保密性是依赖于密钥的保密性
- 那么只要双方通信前定制一个用于对称加密的密钥即可, 由于网络通信不安全,
- 所以交换密钥肯定是不能在网络信道中传输.
- 所以要先使用非对称加密来交换私钥,保护密钥不被窃听
- 这样,非对称加密只需要进行一次, 之后的信息通信就可以使用对称加密, 此时的密钥是绝对安全的密钥,对信息进行对称加密
!!!私钥通常是在本地设备上生成
*公钥传递的信赖?
是指在传递公钥时,考虑公钥被攻击者截取,再伪造ige假公钥,截获信息再进行解密时的公钥安全性问题
它可以通过第三方机构——证书颁发机构(CA). CA会给各个服务器颁发证书, 证书存在服务器上, 并附有电子签名
*通过中间CA机构传输
总结来说,带有证书的公钥传输机制如下:
- 设有服务器 S,客户端 C,和第三方信赖机构 CA。
- S 信任 CA,CA 是知道 S 公钥的,CA 向 S 颁发证书。并附上 CA 私钥对消息摘要的加密签名。
- S 获得 CA 颁发的证书,将该证书传递给 C。
- C 获得 S 的证书,信任 CA 并知晓 CA 公钥,使用 CA 公钥对 S 证书上的签名解密,同时对消息进行散列处理,得到摘要。比较摘要,验证 S 证书的真实性。
- 如果 C 验证 S 证书是真实的,则信任 S 的公钥(在 S 证书中)。
如图
