浅谈HTTPS协议

安全套接字(Secure Socket Layer,SSL)协议是Web浏览器与Web服务器之间安全交换信息的协议。
** SSL协议的三个特性:**
Ø 保密:在握手协议中定义了会话密钥后,所有的消息都被加密。
Ø 鉴别:可选的客户端认证,和强制的服务器端认证。
Ø 完整性:传送的消息包括消息完整性检查(使用MAC)。

浅谈HTTPS协议_第1张图片
Paste_Image.png

HTTPS基于SSL的HTTP协议。
HTTPS使用与HTTP不同的端口(,一个加密、身份验证层(HTTP与TCP之间))。
提供了身份验证与加密通信方法,被广泛用于互联网上安全敏感的通信。

说一说http以及与https的区别

HTTP是一个属于应用层的面向对象的协议,由于其简捷、快速的方式,适用于分布式超媒体信息系统。它于1990年提出,经过几年的使用与发展,得到不断地完善和扩展。目前在WWW中使用的是HTTP/1.0的第六版,HTTP/1.1的规范化工作正在进行之中,而且HTTP-NG(Next Generation of HTTP)的建议已经提出。
HTTP协议的主要特点可概括如下:
1.支持客户/服务器模式。
2.简单快速:客户向服务器请求服务时,只需传送请求方法和路径。请求方法常用的有GET、HEAD、POST。每种方法规定了客户与服务器联系的类型不同。由于HTTP协议简单,使得HTTP服务器的程序规模小,因而通信速度很快。
3.灵活:HTTP允许传输任意类型的数据对象。正在传输的类型由Content-Type加以标记。
4.无连接:无连接的含义是限制每次连接只处理一个请求。服务器处理完客户的请求,并收到客户的应答后,即断开连接。采用这种方式可以节省传输时间。
5.无状态:HTTP协议是无状态协议。无状态是指协议对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前信息时它的应答就较快。
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。 它是一个URI scheme(抽象标识符体系),句法类同http:体系。用于安全的HTTP数据传输。https:// URL表明它使用了HTTP,但HTTPS存在不同于HTTP的默认端口及一个加密/身份验证层(在HTTP与TCP之间)。这个系统的最初研发由网景公司(Netscape)进行,并内置于其浏览器Netscape Navigator中,提供了身份验证与加密通讯方法。现在它被广泛用于万维网上安全敏感的通讯,例如交易支付方面。

区别就是一个安全,一个效率高:

HTTP协议传输的数据都是未加密的,也就是明文的,因此使用HTTP协议传输隐私信息非常不安全,为了保证这些隐私数据能加密传输,于是网景公司设计了SSL(Secure Sockets Layer)协议用于对HTTP协议传输的数据进行加密,从而就诞生了HTTPS。
HTTPS加密、加密、及验证过程,如下图所示:

浅谈HTTPS协议_第2张图片
Paste_Image.png

简单来说,HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,要比http协议安全。
HTTPS和HTTP的区别主要如下:
1、https协议需要到ca申请证书,一般免费证书较少,因而需要一定费用。
2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。
3、http和https使用的是完全不同的连接方式,用的端口也不一样,前者是80,后者是443。
4、http的连接很简单,是无状态的;HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议,比http协议安全。
HTTPS交互过程:

  1. 客户端请求建立SSL连接,并将自己支持的一套加密规则发送给网站。
  2. 网站从中选出一组加密算法与HASH算法,并将自己的身份信息以证书的形式发回给浏览器。证书里面包含了网站地址,加密公钥,以及证书的颁发机构等信息
  3. 获得网站证书之后浏览器要做以下工作:
    Ø 验证证书的合法性
    Ø 如果证书受信任,浏览器会生成一串随机数的密码,并用证书中提供的公钥加密。
    Ø 使用约定好的HASH计算握手消息
    Ø 使用生成的随机数对消息进行加密,最后将之前生成的所有信息发送给网站。
  4. 网站接收浏览器发来的数据之后要做以下的操作:
    Ø 使用自己的私钥将信息解密取出密码
    Ø 使用密码解密浏览器发来的握手消息,并验证HASH是否与浏览器发来的一致。
    Ø 使用密码加密一段握手消息,发送给浏览器
  5. 浏览器解密并计算握手消息的HASH,如果与服务端发来的HASH一致,此时握手结束。
  6. 使用随机密码对称加密算法对传输的数据加密,传输。
  1. 密与HASH算法如下:
    
  1. 非对称加密算法:RSA,DSA/DSS,用于在握手过程中加密生成的密码。
    
  2. 对称加密算法:AES,RC4,3DES,用于对真正传输的数据进行加密。
    
  3. HASH算法:MD5,SHA1,SHA256,验证数据的完整性。
    
  1. HTTP与HTTPS的区别:
    
  1. https协议需要申请证书。
    
  2. http是超文本传输协议,明文传输;https使用的是具有安全性的SSL加密传输协议。
    
  3. http端口80,;https端口443。
    
  4. http连接简单无状态;https由SSL+HTTP协议构件的可进行加密传输、身份验证的网络协议。

你可能感兴趣的:(浅谈HTTPS协议)