Http协议(6)—安全HTTP
生活随笔
收集整理的這篇文章主要介紹了
Http协议(6)—安全HTTP
小編覺(jué)得挺不錯(cuò)的,現(xiàn)在分享給大家,幫大家做個(gè)參考.
一、保護(hù)HTTP的安全
1.功能:
.服務(wù)器認(rèn)證:
客戶(hù)端知道它是在與真正的服務(wù)器進(jìn)行通信
.客戶(hù)端認(rèn)證:
服務(wù)器知道它是在與真正的客戶(hù)端進(jìn)行通信
.完整性:
????????????????????? ? 服務(wù)器與客戶(hù)端的數(shù)據(jù)不會(huì)被修改
.加密:
客戶(hù)端與服務(wù)器的對(duì)話是私密的,不會(huì)被竊聽(tīng)
.效率:
運(yùn)行足夠快的算法
.普適性:
所有客戶(hù)端和服務(wù)器都支持這些協(xié)議
.管理的可擴(kuò)展性
在任何地方的任何人都可以進(jìn)行安全通信
.適應(yīng)性
能夠支持當(dāng)前最知名的安全方法
2.HTTPS
HTTPS在HTTP下面提供了一個(gè)傳輸級(jí)的安全密碼層 ? ? ? ? ? ? ? ?? 用SSL的輸入/輸出取代TCP的調(diào)用
二、數(shù)字加密 1.密碼
加密之前的原始報(bào)文稱(chēng)為明文
使用密碼之后的編碼報(bào)文成為密文????
2.使用密鑰的密碼
通過(guò)使用密鑰來(lái)產(chǎn)生不同的加密密文
3.數(shù)字密碼
C= E(p,e)
P = D(c, d)
????????? ? C:經(jīng)過(guò)編碼的密文
E:編碼函數(shù)
P:明文報(bào)文
e:編碼密鑰
D:解碼函數(shù)
d:解碼密鑰
三、對(duì)稱(chēng)密鑰加密技術(shù) 編碼使用的密鑰值和解碼使用的密鑰值相同(e = d),統(tǒng)稱(chēng)為k
1.密鑰長(zhǎng)度與枚舉攻擊
枚舉攻擊: 用暴力法去嘗試所有的密鑰值
2.建立共享密鑰
發(fā)送者和接收者在互相對(duì)話之前要有一個(gè)共享的保密密鑰,如果有N個(gè)節(jié)點(diǎn),每個(gè) 節(jié)點(diǎn)都要與其他N-1個(gè)節(jié)
3.公開(kāi)密鑰加密技術(shù)
不為每個(gè)節(jié)點(diǎn)對(duì)話使用單獨(dú)的密鑰,而是使用非對(duì)稱(chēng)密鑰:一個(gè)用來(lái)對(duì)主機(jī)報(bào)文進(jìn)行
編碼,一個(gè)用來(lái)對(duì)主機(jī)報(bào)文進(jìn)行解碼;編碼密鑰是公開(kāi)的,但只有主機(jī)知道解碼密鑰
四、數(shù)字簽名 說(shuō)明是誰(shuí)編寫(xiě)的報(bào)文并且該報(bào)文并沒(méi)有篡改過(guò)
1.簽名是加了密的校驗(yàn)和
數(shù)字簽名是附加在報(bào)文上的特殊加密檢驗(yàn)碼
a.節(jié)點(diǎn)A將變長(zhǎng)報(bào)文提取為定長(zhǎng)的摘要
b.節(jié)點(diǎn)A對(duì)摘要應(yīng)用了一個(gè)簽名函數(shù),該函數(shù)將用戶(hù)的私有密鑰作為參數(shù)
c.節(jié)點(diǎn)A將簽名附加到報(bào)文的末尾發(fā)給節(jié)點(diǎn)B
d.節(jié)點(diǎn)B需要確定報(bào)文確實(shí)是節(jié)點(diǎn)A寫(xiě)的,對(duì)前面進(jìn)行檢測(cè)
五、數(shù)字證書(shū) 1.內(nèi)容
.對(duì)象的名稱(chēng)
.過(guò)期時(shí)間
.證書(shū)發(fā)布者
.來(lái)自證書(shū)發(fā)布者的數(shù)字簽名
2.用證書(shū)對(duì)服務(wù)器進(jìn)行驗(yàn)證
通過(guò)HTTPS安全連接上服務(wù)器后,瀏覽器會(huì)自動(dòng)獲取所連服務(wù)器的數(shù)字證書(shū)
服務(wù)器證書(shū):
.Web站點(diǎn)的名稱(chēng)和主機(jī)名
.Web站點(diǎn)的公開(kāi)密鑰
.簽名頒發(fā)機(jī)構(gòu)名稱(chēng)
.簽名頒發(fā)機(jī)構(gòu)的簽名
六、HTTPS 1.概述
將HTTP報(bào)文發(fā)送給TCP之前發(fā)送給了一個(gè)安全層.,對(duì)其進(jìn)行加密
2.方案
HTTPS
3.建立安全傳輸
a.對(duì)于http,客戶(hù)端發(fā)送一條到Web服務(wù)器端口80的tcp連接,接受服務(wù)器響應(yīng),然后關(guān)閉連接
b.對(duì)于https,客戶(hù)端打開(kāi)到web服務(wù)器端口443的tcp連接,然后初始化SSL,對(duì)加密 參數(shù)進(jìn)行溝通,交換密鑰等,然后將請(qǐng)求報(bào)文加密并發(fā)送給ssl層
4.SSL握手
.交換協(xié)議版本號(hào)
.選擇一個(gè)兩端都了解的密碼
.對(duì)兩端密碼的身份進(jìn)行認(rèn)證
.生成臨時(shí)的會(huì)話密鑰,以便加密信道 ? ? ? ?? SSL支持雙向認(rèn)證,將服務(wù)器證書(shū)承載回客戶(hù)端,客戶(hù)端證書(shū)承載會(huì)服務(wù)端
5.站點(diǎn)證書(shū)有效性
驗(yàn)證步驟:
a.日期檢測(cè)
檢測(cè)是否過(guò)期
b.簽名頒發(fā)者可信度檢測(cè)
c.簽名檢測(cè)
對(duì)簽名使用頒發(fā)機(jī)構(gòu)的公開(kāi)密鑰,并將其與檢驗(yàn)碼進(jìn)行比較
d.站點(diǎn)身份檢測(cè)
瀏覽器會(huì)驗(yàn)證證書(shū)中的域名是否和將要訪問(wèn)服務(wù)器的域名是否一致
七、通過(guò)代理以隧道形式傳輸安全流量 客戶(hù)端使用服務(wù)器的公開(kāi)密鑰對(duì)發(fā)往服務(wù)器的數(shù)據(jù)進(jìn)行加密時(shí),代理不能讀取http首部,
故無(wú)法知道將請(qǐng)求轉(zhuǎn)發(fā)到何處
解決辦法:
a.https ssl 隧道協(xié)議:客戶(hù)端在開(kāi)始加密之前以明文方式告知代理連接的host和port,
通過(guò)CONNECT擴(kuò)展方法 創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來(lái)咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)
.服務(wù)器認(rèn)證:
客戶(hù)端知道它是在與真正的服務(wù)器進(jìn)行通信
.客戶(hù)端認(rèn)證:
服務(wù)器知道它是在與真正的客戶(hù)端進(jìn)行通信
.完整性:
????????????????????? ? 服務(wù)器與客戶(hù)端的數(shù)據(jù)不會(huì)被修改
.加密:
客戶(hù)端與服務(wù)器的對(duì)話是私密的,不會(huì)被竊聽(tīng)
.效率:
運(yùn)行足夠快的算法
.普適性:
所有客戶(hù)端和服務(wù)器都支持這些協(xié)議
.管理的可擴(kuò)展性
在任何地方的任何人都可以進(jìn)行安全通信
.適應(yīng)性
能夠支持當(dāng)前最知名的安全方法
2.HTTPS
HTTPS在HTTP下面提供了一個(gè)傳輸級(jí)的安全密碼層 ? ? ? ? ? ? ? ?? 用SSL的輸入/輸出取代TCP的調(diào)用
二、數(shù)字加密 1.密碼
加密之前的原始報(bào)文稱(chēng)為明文
使用密碼之后的編碼報(bào)文成為密文????
2.使用密鑰的密碼
通過(guò)使用密鑰來(lái)產(chǎn)生不同的加密密文
3.數(shù)字密碼
C= E(p,e)
P = D(c, d)
????????? ? C:經(jīng)過(guò)編碼的密文
E:編碼函數(shù)
P:明文報(bào)文
e:編碼密鑰
D:解碼函數(shù)
d:解碼密鑰
三、對(duì)稱(chēng)密鑰加密技術(shù) 編碼使用的密鑰值和解碼使用的密鑰值相同(e = d),統(tǒng)稱(chēng)為k
1.密鑰長(zhǎng)度與枚舉攻擊
枚舉攻擊: 用暴力法去嘗試所有的密鑰值
2.建立共享密鑰
發(fā)送者和接收者在互相對(duì)話之前要有一個(gè)共享的保密密鑰,如果有N個(gè)節(jié)點(diǎn),每個(gè) 節(jié)點(diǎn)都要與其他N-1個(gè)節(jié)
3.公開(kāi)密鑰加密技術(shù)
不為每個(gè)節(jié)點(diǎn)對(duì)話使用單獨(dú)的密鑰,而是使用非對(duì)稱(chēng)密鑰:一個(gè)用來(lái)對(duì)主機(jī)報(bào)文進(jìn)行
編碼,一個(gè)用來(lái)對(duì)主機(jī)報(bào)文進(jìn)行解碼;編碼密鑰是公開(kāi)的,但只有主機(jī)知道解碼密鑰
四、數(shù)字簽名 說(shuō)明是誰(shuí)編寫(xiě)的報(bào)文并且該報(bào)文并沒(méi)有篡改過(guò)
1.簽名是加了密的校驗(yàn)和
數(shù)字簽名是附加在報(bào)文上的特殊加密檢驗(yàn)碼
a.節(jié)點(diǎn)A將變長(zhǎng)報(bào)文提取為定長(zhǎng)的摘要
b.節(jié)點(diǎn)A對(duì)摘要應(yīng)用了一個(gè)簽名函數(shù),該函數(shù)將用戶(hù)的私有密鑰作為參數(shù)
c.節(jié)點(diǎn)A將簽名附加到報(bào)文的末尾發(fā)給節(jié)點(diǎn)B
d.節(jié)點(diǎn)B需要確定報(bào)文確實(shí)是節(jié)點(diǎn)A寫(xiě)的,對(duì)前面進(jìn)行檢測(cè)
五、數(shù)字證書(shū) 1.內(nèi)容
.對(duì)象的名稱(chēng)
.過(guò)期時(shí)間
.證書(shū)發(fā)布者
.來(lái)自證書(shū)發(fā)布者的數(shù)字簽名
2.用證書(shū)對(duì)服務(wù)器進(jìn)行驗(yàn)證
通過(guò)HTTPS安全連接上服務(wù)器后,瀏覽器會(huì)自動(dòng)獲取所連服務(wù)器的數(shù)字證書(shū)
服務(wù)器證書(shū):
.Web站點(diǎn)的名稱(chēng)和主機(jī)名
.Web站點(diǎn)的公開(kāi)密鑰
.簽名頒發(fā)機(jī)構(gòu)名稱(chēng)
.簽名頒發(fā)機(jī)構(gòu)的簽名
六、HTTPS 1.概述
將HTTP報(bào)文發(fā)送給TCP之前發(fā)送給了一個(gè)安全層.,對(duì)其進(jìn)行加密
2.方案
HTTPS
3.建立安全傳輸
a.對(duì)于http,客戶(hù)端發(fā)送一條到Web服務(wù)器端口80的tcp連接,接受服務(wù)器響應(yīng),然后關(guān)閉連接
b.對(duì)于https,客戶(hù)端打開(kāi)到web服務(wù)器端口443的tcp連接,然后初始化SSL,對(duì)加密 參數(shù)進(jìn)行溝通,交換密鑰等,然后將請(qǐng)求報(bào)文加密并發(fā)送給ssl層
4.SSL握手
.交換協(xié)議版本號(hào)
.選擇一個(gè)兩端都了解的密碼
.對(duì)兩端密碼的身份進(jìn)行認(rèn)證
.生成臨時(shí)的會(huì)話密鑰,以便加密信道 ? ? ? ?? SSL支持雙向認(rèn)證,將服務(wù)器證書(shū)承載回客戶(hù)端,客戶(hù)端證書(shū)承載會(huì)服務(wù)端
5.站點(diǎn)證書(shū)有效性
驗(yàn)證步驟:
a.日期檢測(cè)
檢測(cè)是否過(guò)期
b.簽名頒發(fā)者可信度檢測(cè)
c.簽名檢測(cè)
對(duì)簽名使用頒發(fā)機(jī)構(gòu)的公開(kāi)密鑰,并將其與檢驗(yàn)碼進(jìn)行比較
d.站點(diǎn)身份檢測(cè)
瀏覽器會(huì)驗(yàn)證證書(shū)中的域名是否和將要訪問(wèn)服務(wù)器的域名是否一致
七、通過(guò)代理以隧道形式傳輸安全流量 客戶(hù)端使用服務(wù)器的公開(kāi)密鑰對(duì)發(fā)往服務(wù)器的數(shù)據(jù)進(jìn)行加密時(shí),代理不能讀取http首部,
故無(wú)法知道將請(qǐng)求轉(zhuǎn)發(fā)到何處
解決辦法:
a.https ssl 隧道協(xié)議:客戶(hù)端在開(kāi)始加密之前以明文方式告知代理連接的host和port,
通過(guò)CONNECT擴(kuò)展方法 創(chuàng)作挑戰(zhàn)賽新人創(chuàng)作獎(jiǎng)勵(lì)來(lái)咯,堅(jiān)持創(chuàng)作打卡瓜分現(xiàn)金大獎(jiǎng)
總結(jié)
以上是生活随笔為你收集整理的Http协议(6)—安全HTTP的全部?jī)?nèi)容,希望文章能夠幫你解決所遇到的問(wèn)題。
- 上一篇: Silverlight实现文件下载
- 下一篇: Http协议(7)—Http缓存