网络安全-Web端安全协议

前言

大家上网娱乐或办公总是离不开浏览器，也就是从web端访问各个网站，其安全的重要性与其使用的广泛性成正比。本文就web端常见的相关安全协议分享。

 

一、SSL

SSL(Secure Sockets Layer)，安全套接层，它是在传输通信协议（TCP/IP）上实现的一种安全协议，它位于应用层协议之下且独立的协议，高层应用层协议HTTP、FTP、Telnet等能建立于SSL协议之上形成HTTPS、SFTP、Stelnet。可以在两个通信应用程序之间提供数据加密性和可靠性。

SSL安全特性

（1）连接安全

在初始化握手结束后，SSL使用加密方法来协议一个密钥（对称密钥技术，如DES、3DES、AES）

（2）身份认证

通过非对称（公钥）加密技术（如RSA、DSA）认证对方的身份

（3）可靠性连接

传输的数据包含有数据完整性的校验码，使用安全的哈希函数计算校验码，如SHA、MD5

 

二、TLS

TLS（Transport Layer Security）传输层安全协议，用于在两个通信应用程序之间提供保密性和数据完整性。

其前身是安全套接层（SSL）。

三、HTTPS

HTTPS（Hypertext Transfer Protocol over Secure Socket Layer），基于SSL协议的超文本传输协议。是一个安全通信通道，用于在客户机和服务器之间交换信息，它使用安全套接字层进行信息交换，所有的数据在传输过程中都是加密的。

在了解SSL后，我们就可以知道HTTPS不仅可以加密，还可以进行身份认证。

HTTPS不是一个单独的协议，而是两个协议的结合，即在加密的安全套接层（SSL）或传输层安全（TLS）上进行普通的HTTP交互传输。这种方式提供了一种免于窃听或中间人攻击的合理保护。

 

HTTPS通信过程

当使用SSL/TLS（通常使用https://URL）向站点进行HTTP请求时，服务器将向客户机发送一个证书。客户机使用已安装的公共证书验证服务器的身份，然后检查IP名称（机器名）与客户机连接的机器是否匹配。客户机生成一些可以用来生成对话的私钥的随机信息，然后用服务器的公钥对它加密并将它发送到服务器。服务器用自己的私钥进行解密消息，然后用该随机信息派生出和客户机一样的私有会话密钥。通常在这个阶段使用RSA公钥算法。客户机和服务器使用私有会话密钥和密钥算法（通常是RC4）进行通信，使用另一个密钥的消息认证码来确保消息的完整性。