HTTP协议与HTTPS协议

本文涉及的产品
服务治理 MSE Sentinel/OpenSergo,Agent数量 不受限
可观测可视化 Grafana 版,10个用户账号 1个月
简介: HTTP协议与HTTPS协议

@TOC

HTTP协议

HTTP协议是一个无状态的协议, 服务器不维护任何有关客户端之前所发请求的消息。 是一种懒政,有状态协议就会更加复杂,需要维护状态(历史信息),要是客户或者服务器失效,会产生状态不一致(状态前后不对称),解决这种不一致问题的代价更高.

HTTP是应用层协议,它以TCP(传输层)作为底层协议, 默认端口是80端口

HTTP请求的通信过程

  1. 服务器在80端口等浏览器客户端的请求
  2. 浏览器发起到浏览器的TCP连接(创建套接字Socket)
  3. 服务器接收来自浏览器的TCP连接
  4. 浏览器(HTTP客户端)与Web服务器(HTTP服务器)交换HTTP消息
  5. 4次挥手,关闭TCP连接

HTTP优点

>扩展性强、速度快、跨平台支持好。

HTTPS协议

它是HTTP的加强安全版本.,底层使用SSL,TLS协议

HTTPS是基于HTTP的,也就是用TCP作为底层协议, 并额外使用SSL/TLS协议用作加密和安全认证. 默认端口号是443

HTTPS中,SSL通道通常使用基于密钥的加密算法,密钥的长度通常是40或128比特

HTTPS优点

保密性好,信任度高

HTTPS的核心___SSL/TLS协议

HTTPS的安全性主要是因为结合了SSL/TLS和TCP协议. 它对通信数据进行加密, 解决了HTTP数据透明的问题

SSL与TLS:
实际上TLS是SSL的升级版本, 即SSL最终改名为TLS

SSL/TLS的工作原理?

核心要素即使非对称加密.

非对称加密采用的是两个密钥,公私钥. 通信时, 公钥由任何一份想与解密者通信的发送者(加密者)所知.

这样即使数据被中间非法截获, 也会因为没有私钥无法获取内容

在这里插入图片描述

非对称加密的公私钥需要采用一种复杂的数学机制生成. 公私钥的生成算法依赖于单向陷门函数

单向函数:已知单向函数 f,给定任意一个输入 x,易计算输出 y=f(x);而给定一个输出 y,假设存在 f(x)=y,很难根据 f 来计算出 x。

单向陷门函数:一个较弱的单向函数。已知单向陷门函数 f,陷门 h,给定任意一个输入 x,易计算出输出 y=f(x;h);而给定一个输出 y,假设存在 f(x;h)=y,很难根据 f 来计算出 x,但可以根据 f 和 h 来推导出 x。
在这里, 陷门函数f相当于公钥,h相当于私钥. 如果只知道加密信息和公钥,那么是无法还原出原信息的,公钥加密是一种不可逆的运算

对称加密

使用SSL/TLS进行通信的双方都需要使用非对称加密方案来通信, 但是非对称加密设计了复杂数学算法, 在实际通信时, 计算的代价太高, 效率太低, 因此, SSL/TLS实际对消息的加密使用时对称加密

言简意赅: 双方使用唯一密钥k, 加密解密都是依赖于密钥k; 保密性依赖于密钥的保密性

非对称加密在数据传输上使用的是对称加密,传递公钥使用非对称加密

  1. 因为对称加密的效率高,耗费性能低, 而它的保密性是依赖于密钥的保密性
  2. 那么只要双方通信前定制一个用于对称加密的密钥即可, 由于网络通信不安全,
  3. 所以交换密钥肯定是不能在网络信道中传输.
  4. 所以要先使用非对称加密来交换私钥,保护密钥不被窃听
  5. 这样,非对称加密只需要进行一次, 之后的信息通信就可以使用对称加密, 此时的密钥是绝对安全的密钥,对信息进行对称加密
    !!!私钥通常是在本地设备上生成

*公钥传递的信赖?

是指在传递公钥时,考虑公钥被攻击者截取,再伪造ige假公钥,截获信息再进行解密时的公钥安全性问题
它可以通过第三方机构——证书颁发机构(CA). CA会给各个服务器颁发证书, 证书存在服务器上, 并附有电子签名

*通过中间CA机构传输

总结来说,带有证书的公钥传输机制如下:

  1. 设有服务器 S,客户端 C,和第三方信赖机构 CA。
  2. S 信任 CA,CA 是知道 S 公钥的,CA 向 S 颁发证书。并附上 CA 私钥对消息摘要的加密签名。
  3. S 获得 CA 颁发的证书,将该证书传递给 C。
  4. C 获得 S 的证书,信任 CA 并知晓 CA 公钥,使用 CA 公钥对 S 证书上的签名解密,同时对消息进行散列处理,得到摘要。比较摘要,验证 S 证书的真实性。
  5. 如果 C 验证 S 证书是真实的,则信任 S 的公钥(在 S 证书中)。

如图
在这里插入图片描述

相关文章
|
10天前
|
开发框架 前端开发 应用服务中间件
基于RFC6265 (HTTP状态管理协议)实现简单的登录系统
基于RFC6265 (HTTP状态管理协议)实现简单的登录系统
11 0
|
10天前
|
JSON 安全 Java
JAVA Socket 实现HTTP与HTTPS客户端发送POST与GET方式请求
JAVA Socket 实现HTTP与HTTPS客户端发送POST与GET方式请求
15 0
|
12天前
|
安全 前端开发 中间件
中间件中HTTP/HTTPS 协议
【6月更文挑战第3天】
14 3
|
12天前
|
程序员 API 开发者
Socket与HTTP协议的实践
【6月更文挑战第4天】本文介绍了Python中的网络编程,包括Socket编程和基于HTTP协议的实践。Socket编程是网络通信的基础,Python的`socket`模块简化了其使用。文中展示了服务器和客户端的简单示例,以及如何通过多线程处理多个客户端连接。另外,文章讨论了HTTP协议,推荐了`requests`库,并给出了发送GET和POST请求的例子。最后,总结了Socket编程和HTTP协议在网络编程中的应用及其在Web开发和API交互中的重要性。
18 5
|
13天前
|
网络协议 前端开发 Java
网络原理 - HTTP / HTTPS(4)——构造http请求
网络原理 - HTTP / HTTPS(4)——构造http请求
14 1
|
13天前
|
JSON 缓存 前端开发
网络原理 - HTTP / HTTPS(3)——http响应
网络原理 - HTTP / HTTPS(3)——http响应
10 0
|
13天前
|
存储 JSON 安全
网络原理 - HTTP / HTTPS(2)——http请求
网络原理 - HTTP / HTTPS(2)——http请求
15 1
|
1月前
|
缓存 安全 网络协议
一起深入了解http和https的区别
HTTP适合于非敏感信息的传输,而HTTPS则是在要求安全性、隐私保护及信任机制的现代互联网环境中不可或缺的标准配置。随着网络安全意识的提高和技术的发展,越来越多的网站和服务都转向使用HTTPS,力求在提供便捷服务的同时保障用户数据的安全。HTTPS将成为未来的基本选择。
58 0
一起深入了解http和https的区别
|
1月前
|
安全 网络协议 算法
http和https的区别有哪些
http和https的区别有哪些
|
1月前
|
网络协议 网络安全 数据安全/隐私保护
http和https的区别!
http和https的区别!