HTTP相关知识点
文章目录
- 1、HTTP和HTTPS的区别
- 1.1 数据传输安全性
- 1.2 SSL/TLS加密
- 1.3 端口号
- 1.4 性能
- 1.5 SEO优势
- 1.6 浏览器显示
- 1.7 证书
- 1.8 主要区别总结
- 1.9 总结
- 2、HTTPS是如何保证安全性的
- 2.1 数据加密
- 2.2 身份验证
- 2.3 数据完整性
- 2.4 TLS握手过程
- 2.5 前向安全性
- 2.6 HTTPS攻击防御机制
- 3、对称加密和非对称加密
- 3.1 对称加密
- 3.1.1 工作原理
- 3.1.2 特点
- 3.1.3 常见的对称加密算法
- 3.1.4 优点
- 3.1.5 缺点
- 3.1.6 使用场景
- 3.2 非对称加密
- 3.2.1 工作原理
- 3.2.2 特点
- 3.2.3 常见的非对称加密算法
- 3.2.4 优点
- 3.2.5 缺点
- 3.2.6 使用场景
- 3.3 对称加密与非对称加密的区别
- 6.3.3 对称加密与非对称加密的区别
- 3.4 结合使用(混合加密)
- 3.5 总结
1、HTTP和HTTPS的区别
HTTP和HTTPS是用于在客户端和服务器之间传输数据的协议。它们的主要区别在于安全性。
1.1 数据传输安全性
- HTTP:是一种明文传输协议,所有传输的数据都是未加密的。任何在传输路径上的中间人(如黑客、网络管理员)都可以轻易查看、截取甚至修改传输的数据,因此安全性较差。
- HTTPS:在 HTTP 的基础上添加了 SSL/TLS 加密层。所有的数据在传输过程中会被加密,即使有人截取到数据,也很难解密,从而保护数据的机密性和完整性。它有效防止了数据被窃听、篡改或伪造。
1.2 SSL/TLS加密
- HTTP:没有加密机制,数据明文传输
- HTTPS:使用 SSL(Secure Sockets Layer)或 TLS(Transport Layer Security)协议进行加密。当前,大部分 HTTPS 使用的是 TLS(较为新的加密协议,SSL 已逐渐被淘汰)。加密机制可以确保:
- 加密:数据在客户端和服务器之间传输时不会被第三方读取。
- 数据完整性:传输的数据不会在中途被篡改。
- 身份验证:确保客户端与通信的服务器是真实可信的,通常通过数字证书验证。
1.3 端口号
- HTTP:默认使用80端口进行通信
- HTTPS:默认使用443端口进行加密通信
1.4 性能
- HTTP:由于没有加密层,通信过程相对简单,速度更快,开销更小
- HTTPS:加密和解密需要额外的计算资源,所以相比HTTP,HTTPS在连接建立时(如TLS握手)会稍微慢一点,但现代服务器和浏览器对性能做了优化,这种差异已经很小。同时,使用HTTP/2等技术也可以提升HTTPS的性能。
1.5 SEO优势
- HTTP:搜索引擎(如 Google)对未使用 HTTPS 的网站在排名上可能会有所影响
- HTTPS:搜索引擎通常会优先考虑安全的站点,因此使用 HTTPS 对网站的 SEO 排名有一定的好处
1.6 浏览器显示
- HTTP:在现代浏览器中,未加密的 HTTP 网站通常会被标记为“不安全”,地址栏前会显示一个“不安全”的提示
- HTTPS:使用 HTTPS 的网站在浏览器的地址栏上会显示锁形图标,表明该网站是安全的
1.7 证书
- HTTP:不需要证书,直接提供服务
- HTTPS:需要数字证书(SSL/TLS 证书),服务器需要经过证书颁发机构(CA)的验证,确保服务器身份的真实性
1.8 主要区别总结
| 特性 | HTTP | HTTPS |
|---|---|---|
| 安全性 | 不安全,数据以明文传输 | 安全,数据加密传输 |
| 默认端口 | 80 | 443 |
| 加密 | 无 | 使用 SSL/TLS 加密 |
| 性能 | 较快,但不安全 | 略慢,但更安全 |
| SEO 优势 | 无 | 有助于提高排名 |
| 浏览器显示 | 显示“不安全”标志 | 显示锁形图标,表示安全 |
| 证书要求 | 无需证书 | 需要 SSL/TLS 证书 |
1.9 总结
- HTTP:适用于不涉及敏感数据的场景,但由于安全性低,越来越多网站正在弃用HTTP
- HTTPS:提供了更高的安全性,特别是对用户隐私、支付、登录等敏感数据传输场景至关重要
2、HTTPS是如何保证安全性的
HTTPS 通过多种机制保证数据传输的安全性,主要依赖于SSL/TLS协议来确保数据加密、身份验证和数据完整性。
2.1 数据加密
HTTPS 通过对称加密和非对称加密结合的方式,确保传输数据在网络中是加密的,防止第三方(如黑客)在传输过程中窃听或篡改数据
- 对称加密:在数据传输过程中,客户端和服务器使用同一个密钥加密和解密数据。由于加密和解密的速度快,因此适合大规模数据的传输。然而,问题在于如何安全地共享这个对称密钥。
- 非对称加密:通过公钥加密和私钥解密的方式,客户端和服务器可以安全地交换加密信息。非对称加密是 HTTPS 建立连接时用于传输对称密钥的方式,它确保对称密钥的传输是安全的。
2.2 身份验证
为了防止客户端与假冒的服务器通信,HTTPS 使用 数字证书 验证服务器的身份。这是通过 证书颁发机构(CA) 发放的 SSL/TLS 证书来实现的,保证客户端连接到的服务器确实是声称的服务器。
- 数字证书:证书包含了服务器的公钥,以及由权威的证书颁发机构(CA)签名的信息。当客户端访问服务器时,会检查该证书是否由受信任的 CA 签发,并验证证书是否有效(包括过期时间、域名是否匹配等)
- 证书链:数字证书是通过一系列信任链验证的。浏览器会信任那些由可信的根证书颁发机构签发的证书,这样就确保客户端与可信服务器之间的通信。
2.3 数据完整性
HTTPS 还使用 消息认证码(MAC)来保证传输的数据在网络中不会被篡改。数据在发送时,会生成一个哈希值并附带在数据包中。接收方在收到数据后,会使用相同的密钥重新生成哈希值,如果哈希值匹配,则说明数据未被篡改。
通过这种机制,HTTPS 确保了传输过程中数据的完整性,防止数据被中途修改。
2.4 TLS握手过程
通过下述步骤,HTTPS 建立了一个安全的加密通信通道,防止数据被窃取或篡改。
- 客户端问候(Client Hello):客户端发送请求给服务器,包含支持的加密算法和一个随机数。
- 服务器响应(Server Hello):服务器选择一个加密算法,返回自己的数字证书,并发送一个随机数。
- 客户端验证证书:客户端检查服务器的数字证书是否合法,是否由可信的 CA 颁发。如果验证通过,客户端生成一个新的随机数,用服务器的公钥加密后发送给服务器。
- 生成对称密钥:服务器使用私钥解密客户端发送的随机数,至此,客户端和服务器都拥有了三个随机数。客户端和服务器使用这三个随机数生成一个对称加密密钥。
- 开始加密通信:客户端和服务器使用生成的对称密钥,通过对称加密开始安全通信。
2.5 前向安全性
为进一步提升安全性,HTTPS 支持前向安全性,即每次通信使用不同的加密密钥。即使某个密钥在未来被破解,也不会影响以前的通信记录,因为每次通信都会生成新的会话密钥。
前向安全性通常通过 Diffie-Hellman 密钥交换 或 椭圆曲线 Diffie-Hellman(ECDHE) 协议实现。这种机制确保即便将来的密钥被泄露,过去的通信数据仍然无法解密。
2.6 HTTPS攻击防御机制
虽然 HTTPS 提供了强大的安全性,但仍然存在一些攻击手段,比如:
- 中间人攻击(MITM, Man-in-the-Middle Attack):攻击者假冒服务器,拦截并修改通信数据。通过正确的证书验证和公钥加密,HTTPS 可以有效防御中间人攻击。
- 降级攻击:攻击者试图将 HTTPS 连接降级为不安全的 HTTP。现代浏览器通过 HSTS(HTTP Strict Transport Security) 强制使用 HTTPS 连接,防止降级攻击。
3、对称加密和非对称加密
3.1 对称加密
最基础的加密方式,加密和解密使用相同的密钥
3.1.1 工作原理
- 加密过程:发送方使用一个密钥将明文数据加密为秘文
- 解密过程:接收方使用相同的密钥将秘文解密为明文
3.1.2 特点
- 密钥唯一性:加密和解密都使用同一个密钥。
- 加密速度快:对称加密算法相对简单,计算效率高,适合大规模数据加密。
- 密钥管理困难:密钥的安全分发是对称加密的最大难题。双方在开始通信之前需要通过安全的渠道交换密钥,如果密钥被泄露,通信安全性就会受到威胁。
3.1.3 常见的对称加密算法
- AES(Advanced Encryption Standard):高级加密标准,广泛用于各种加密场景。
- DES(Data Encryption Standard):曾经被广泛使用,但现在已经由于密钥长度太短(56位)而被认为不安全。
- 3DES(Triple DES):对 DES 的改进版本,通过三次加密提高了安全性。
- Blowfish:一种速度快且灵活的加密算法,适用于多种加密应用场景。
3.1.4 优点
- 速度快:对称加密算法比非对称加密快很多,特别适合处理大量数据。
3.1.5 缺点
- 密钥分发问题:由于加密和解密使用相同的密钥,如何安全地传输密钥是一个难题。
- 安全性受限于密钥:如果密钥被窃取,攻击者可以轻松解密所有的通信内容。
3.1.6 使用场景
- 适合本地文件加密、数据库加密,或在已建立安全密钥的通信双方之间使用(如 HTTPS 中的对称加密阶段)
3.2 非对称加密
非对称加密特点是加密和解密使用不同的密钥,即公钥和私钥
3.2.1 工作原理
- 加密过程:发送方使用接收方的 公钥 对数据进行加密,公钥是公开的,任何人都可以获取。
- 解密过程:接收方使用自己的 私钥 解密数据,私钥是保密的,只有接收方持有。
3.2.2 特点
- 公钥和私钥成对出现:公钥用于加密,私钥用于解密。
- 公钥公开,私钥保密:公钥可以自由分发,私钥必须由持有者妥善保管。
- 加密速度较慢:非对称加密算法相对复杂,计算效率较低,因此通常只用于加密少量的数据(如密钥交换),而不是大规模数据加密。
3.2.3 常见的非对称加密算法
- RSA(Rivest–Shamir–Adleman):最常用的非对称加密算法,基于大整数分解的数学难题。
- ECC(Elliptic Curve Cryptography):椭圆曲线加密算法,相比 RSA 提供更高的安全性和更短的密钥长度。
- DSA(Digital Signature Algorithm):主要用于数字签名的非对称加密算法。
3.2.4 优点
- 无需共享私钥:发送方只需知道接收方的公钥即可加密数据,而接收方使用私钥解密,避免了密钥分发问题。
- 身份验证:非对称加密还可用于数字签名,保证消息的来源和完整性。
3.2.5 缺点
- 速度慢:非对称加密的加解密过程比对称加密慢得多,不适合加密大量数据。
- 复杂性较高:算法复杂度较高,硬件开销大。
3.2.6 使用场景
- 密钥交换:通常用于在不安全的信道中安全地交换对称加密的密钥(如 HTTPS 中的 TLS 握手过程)。
- 数字签名:用于验证消息的来源和完整性,确保数据在传输过程中未被篡改。
3.3 对称加密与非对称加密的区别
6.3.3 对称加密与非对称加密的区别
| 特性 | 对称加密 | 非对称加密 |
|---|---|---|
| 密钥 | 相同的密钥用于加密和解密 | 公钥加密,私钥解密 |
| 密钥分发 | 需要安全的密钥分发渠道 | 不需要安全分发私钥,公钥可公开 |
| 速度 | 加密速度快 | 加密速度慢 |
| 安全性 | 安全性取决于密钥的安全性 | 安全性较高,私钥保密即可 |
| 计算复杂性 | 算法简单,效率高 | 算法复杂,计算开销大 |
| 典型用途 | 数据加密、大规模数据传输 | 密钥交换、数字签名、小量数据加密 |
3.4 结合使用(混合加密)
在实际应用中,对称加密和非对称加密常常结合使用,以利用各自的优势。这种方式被称为 混合加密,主要用于网络通信协议中,如 HTTPS。
- 非对称加密传输对称密钥:客户端使用服务器的公钥生成一个对称密钥,并将其发送给服务器。
- 对称加密加速数据传输:服务器接收到密钥后,使用自己的私钥解密,获取对称密钥。随后,客户端和服务器使用该对称密钥加密和解密大规模数据传输。
通过这种方式,系统在确保密钥传输安全的同时,也能利用对称加密的高效性处理大规模数据。
3.5 总结
- 对称加密:加密和解密使用同一个密钥,速度快但密钥分发存在挑战。
- 非对称加密:加密和解密使用不同的密钥,安全性更高,但效率较低。
- 混合加密:结合两者的优势,非对称加密用于安全传输对称密钥,随后使用对称加密处理大规模数据。