在HTTP协议中可能存在信息窃听或身份伪装等安全问题,使用HTTPS通信机制可以防止这些问题。

7.1 HTTP的缺点

HTTP的不足如下:

  • 通信使用明文(不加密),内容可能会被窃听;
  • 不验证通信方的身份,因此有可能遭遇伪装;
  • 无法证明报文的完整性,所以可能已遭篡改。

通信使用明文可能会被窃听

由于HTTP本身不具备加密功能,所以无法做到对通信整体进行加密,意即HTTP报文使用明文方式发送。

  • TCP/IP是可能被窃听的网络

按TCP/IP协议族的工作机制,通信内容在所有通信线路上都有可能遭到窥视。因为通信线路上的设备、光缆、计算机都不是个人的私有物,不排除某个环节会遭到恶意窥视。

  • 加密处理防止被窃听

通信的加密
HTTP协议中没有加密机制,但是可以通过和SSL或TLS的组合使用,加密HTTP的通信内容。

用SSL建立安全通信线路后,就可以在这条线路上进行HTTP通信,称为HTTPS(超文本传输安全协议)image.png

内容的加密
对HTTP协议传输的内容本身加密,即加密HTTP报文中所含内容

不验证通信方身份就有可能遭遇伪装

HTTP协议中的请求和响应不会对通信方进行确认。

  • 任何人都可发起请求

由于不存在确认通信方的处理步骤,所以任何人都可以发起请求服务器只要接收到请求,不管对方是谁都会返回一个响应

  • 查明对手的证书

虽然使用HTTP协议无法确定通信方,但如果使用SSL则可以。SSL不仅提供加密处理,还是用一种称为证书的手段,用于确定方

证书由值得信任的第三方机构颁发,用于证明服务器和客户端实际存在。

无法证明报文完整性,可能已遭篡改

  • 接收到的内容可能有误

由于HTTP协议无法证明通信报文完整性,因此在请求或响应送出之后直到对方接收之前的这段时间内,即使请求或响应遭到篡改,也无法获悉。

请求或响应在传输途中遭攻击者拦截并篡改内容的攻击被称为中间人攻击image.png

  • 如何防止篡改

常用的MD5和SHA-1等散列值校验方法用于确定报文完整性的办法,但是并不便捷、可靠。

因为MD5本身也会被改写,所以仅靠HTTP确保完整性非常困难。有必要使用HTTPS,依靠SSL提供认证和加密处理及摘要功能

7.2 HTTP+加密+认证+完整性保护 = HTTPS

image.png
在Web登录页面和购物结算界面等使用HTTPS通信。当浏览器访问HTTPS通信有效的Web网站时,浏览器的地址栏也会出现一个带锁的标记。

HTTPS是身披SSL外壳的HTTP

HTTPS并非是应用层的一种新协议,只是HTTP通信接口部分用SSL和TLS协议替代而已。

通常,HTTP直接和TCP通信。当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信image.png

SSL是独立于HTTP的协议,所以其他运行在应用层的协议均可配合SSL协议使用。

相互交换密钥的公开密钥加密技术

SSL采用公开密钥加密的加密处理方式。近代的加密方法中加密算法是公开的,而密钥是保密的。

  • 共享密钥加密的困境

加密和解密共用一个密钥的方式称为共享密钥加密,也称为对称密钥加密

以共享密钥加密时必须将密钥发送给对方,如果通信被监听那么密钥可能会落入攻击者之手,也失去了加密的意义。另外还需安全地保管接受到的密钥。

  • 使用两把密钥的公开密钥加密

公开密钥加密方式解决了共享密钥加密的困难。公开密钥加密使用一对非对称的密钥。一把是私有密钥,另一把是公开密钥。私有密钥不能让其他任何人直到,而公开密钥可以随意发布。

发送密文的一方使用对方的公开密钥进行加密处理,对方收到被加密信息后,使用自己的私有密钥进行解密。所以不需要发送用来解密的私有密钥,也不用担心密钥被盗走。

  • HTTPS 采用混合加密机制

HTTPS 采用共享密钥加密和公开密钥加密两者并用的混合加密机制。若密钥能够实现安全交换。那么可能会考虑仅使用公开密钥加密来通信。使用公开密钥加密比共享密钥加密要慢

交换密钥环节使用公开密钥加密方式,之后的建立通信交换报文阶段则使用共享密钥加密方式
image.png

HTTPS的安全通信机制
image.png

  1. 客户端通过发送Client Hello报文开始 SSL 通信。报文中包含客户端生成的随机数客户端支持的SSL的版本加密组件列表(就是算法之类的)。
  2. 服务器可进行SSL通信时,会以Server Hello报文作为应答。类似客户端,在报文中包含服务器生成的随机数SSL版本加密组件服务器的加密组件是从接收到的客户端加密组件内筛选出来的
  3. 之后服务器发送Certificate报文,报文中包含公开密钥证书
  4. 最后服务器发送Server Hello Done报文通知客户端,最初阶段的SSL握手协商部分结束
  5. SSL 第一次握手结束后,客户端以Client Key Exchange报文作为回应。此时客户端再生成一个随机数,用步骤3 中的公开密钥加密该随机数后发送给服务器。此时在客户端本地通过三个随机数算出会话密钥。而服务器在收到该随机数后,用本地的私钥解密得出那个随机数,然后通过三个随机数算出会话密钥至此,客户端和服务器都有了相同的会话密钥。
  6. 接着客户端继续发送Change Cipher Spec报文。提示服务器,再这一份报文之后所有的通信会采用会话密钥加密。
  7. 客户端发送Finished报文。该报文包含连接至今全部报文的整体校验值。这次握手协商是否能成功,要以服务器是否能够正确解密该报文为判断标准。
  8. 服务器同样发送Change Cipher Spec报文。告知客户端接下来的通信采用会话密钥加密。
  9. 服务器同样发送Finished报文。
  10. 服务器和客户端的**Finished**报文交换完毕之后,SSL连接就算建立完成。随后的通信将受到SSL保护。应用层协议的通信(即发送HTTP请求)也从此处开始
  11. 应用层协议通信,发送HTTP响应
  12. 由客户端断开连接。断开连接时,发送close_notify报文。在这部之后再发送 TCP FIN报文来关闭与TCP的通信。

在以上流程中,应用层发送数据时会附加一种叫做MAC的报文摘要MAC能够查知报文是否遭到篡改,从而保护报文的完整性

SSL速度慢
HTTPS比HTTP慢2~100倍,因为使用 SSL 时候,处理速度变慢:
image.png
SSL的慢分为两种:通信慢由于大量消耗CPU及内存等资源,导致处理速度变慢

  • 除去和TCP连接、发送HTTP请求/响应以外,还必须进行SSL通信,因此整体上处理通信量会增加。
  • SSL必须进行加密处理,在服务器和客户端都要加密和解密,会导致硬件资源负载增强。