HTTP基础06--网络安全

HTTP 的缺点

通讯使用明文可能会被窃听

• HTTP 报文使用明文（指未通过加密的报文）方式发送。

通讯的加密

• 用 SSL 创建安全通讯线路以后，就能够在这条线路上进行 HTTP 通讯了。与 SSL 组合使用的 HTTP 被称为 HTTPS（HTTP Secure，超文本传输安全协议）或 HTTP over SSL。

内容的加密

• 将参与通讯的内容自己加密的方式。因为 HTTP 协议中没有加密机制，那么就对 HTTP 协议传输的内容自己加密。即把 HTTP 报文里所含的内容进行加密处理。

• 因为该方式不一样于 SSL 或 TLS 将整个通讯线路加密处理，因此内容仍有被篡改的风险。

不验证通讯方的身份就可能遭遇假装

• 任何人均可发起请求: 在 HTTP 协议通讯时，因为不存在确认通讯方的处理步骤，任何人均可以发起请求。另外，服务器只要接收到请求，无论对方是谁都会返回一个响应（但也仅限于发送端的 IP 地址和端口号没有被 Web 服务器设定限制访问的前提下）。

• 查明对手的证书:虽然使用 HTTP 协议没法肯定通讯方，但若是使用 SSL 则能够。SSL 不只提供加密处理，并且还使用了一种被称为证书的手段，可用于肯定方。

没法证实报文完整性，可能已遭篡改

• 接收到的内容可能有误:因为 HTTP 协议没法证实通讯的报文完整性，所以，在请求或响应送出以后直到对方接收以前的这段时间内，即便请求或响应的内容遭到篡改，也没有办法获悉。

• 如何防止篡改:虽然有使用 HTTP 协议肯定报文完整性的方法，但事实上并不便捷、可靠。

HTTP+ 加密 + 认证 + 完整性保护 =HTTPS

HTTPS 是身披 SSL 外壳的 HTTP

• SSL 是独立于 HTTP 的协议，因此不光是 HTTP 协议，其余运行在应用层的 SMTP 和 Telnet 等协议都可配合 SSL 协议使用。能够说 SSL 是当今世界上应用最为普遍的网络安全技术。

相互交换密钥的公开密钥加密技术

• SSL 采用一种叫作公开密钥加密的加密处理方式。

• 共享密钥加密的困境

• 使用两把密钥的公开密钥加密

• HTTPS 采用混合加密机制

证实公开密钥正确性的证书

*公开密钥加密方式仍是存在一些问题的。那就是没法证实公开密钥自己就是货真价实的公开密钥;为了解决上述问题，可使用由数字证书认证机构（CA，Certificate Authority）和其相关机关颁发的公开密钥证书。

HTTPS 的安全通讯机制

• 步骤 1： 客户端经过发送 Client Hello 报文开始 SSL 通讯。报文中包含客户端支持的 SSL 的指定版本、加密组件（Cipher Suite）列表（所使用的加密算法及密钥长度等）。

• 步骤 2： 服务器可进行 SSL 通讯时，会以 Server Hello 报文做为应答。和客户端同样，在报文中包含 SSL 版本以及加密组件。服务器的加密组件内容是从接收到的客户端加密组件内筛选出来的。

• 步骤 3： 以后服务器发送 Certificate 报文。报文中包含公开密钥证书。

• 步骤 4： 最后服务器发送 Server Hello Done 报文通知客户端，最初阶段的 SSL 握手协商部分结束。

• 步骤 5： SSL 第一次握手结束以后，客户端以 Client Key Exchange 报文做为回应。报文中包含通讯加密中使用的一种被称为 Pre-master secret 的随机密码串。该报文已用步骤 3 中的公开密钥进行加密。

• 步骤 6： 接着客户端继续发送 Change Cipher Spec 报文。该报文会提示服务器，在此报文以后的通讯会采用 Pre-master secret 密钥加密。

• 步骤 7： 客户端发送 Finished 报文。该报文包含链接至今所有报文的总体校验值。此次握手协商是否可以成功，要以服务器是否可以正确解密该报文做为断定标准。

• 步骤 8： 服务器一样发送 Change Cipher Spec 报文。

• 步骤 9： 服务器一样发送 Finished 报文。

• 步骤 10： 服务器和客户端的 Finished 报文交换完毕以后，SSL 链接就算创建完成。固然，通讯会受到 SSL 的保护。今后处开始进行应用层协议的通讯，即发送 HTTP 请求。

• 步骤 11： 应用层协议通讯，即发送 HTTP 响应。

• 步骤 12： 最后由客户端断开链接。断开链接时，发送 close_notify 报文。上图作了一些省略，这步以后再发送 TCP FIN 报文来关闭与 TCP 的通讯。

HTTPS 也存在一些问题，那就是当使用 SSL 时，它的处理速度会变慢。