1、通訊使用明文(不加密),內容有可能會被竊聽。
(1)通訊的加密:http協議中沒有加密機制,但可以通過和ssl(安全套接層)或tls(安全傳輸層協議)的組合使用,加密http的通訊內容。與ssl組合使用的http被稱為https(超文字傳輸安全協議)。
(2)內容的加密:把http報文裡含有的內容進行加密處理。為了做到有效的內容加密,前提是要求客戶端和伺服器同時具備加密和解密機制。主要應用在web服務中。由於該方式不同於ssl或tls將整個通訊線路加密處理,所以內容仍有被篡改的風險。
2、不驗證通訊方的身份就有可能遭遇偽裝
在http協議通訊時,由於不存在確認通訊方的處理步驟,任何人都可以發起請求。此時會存在各種隱患。
ssl不僅提供加密處理,還使用了一種被稱為證書的手段,可用於確定方。證書由值得信任的第三方機構頒發,用以證明伺服器和客戶端是實際存在的。
3、無法證明報文完整性,可能已經遭到篡改
1、https是身披ssl外殼的http
https並非是應用層的一種新協議。只是http通訊介面部分用ssl和tsl協議代替而已。通常,http直接和tcp通訊。當使用ssl時,則演變成先和ssl通訊,再由ssl和tcp通訊了。
2、互相交換秘鑰的公開金鑰加密技術
ssl採用一種叫做公開金鑰加密的加密處理方式。
(1)共享金鑰加密:加密和解密同用乙個秘鑰的方式。以共享金鑰方式加密時必須將秘鑰也傳送給對方,此時有被竊聽的風險。
(2)公開秘鑰加密:使用兩把秘鑰。使用一對非對稱的秘鑰,一把叫做私有秘鑰,另一把叫做公開秘鑰。 使用公開秘鑰加密方式,傳送密文的一方使用對方的公開秘鑰進行加密處理,對方收到被加密的資訊後,再使用自己的私有秘鑰進行解密。利用這種方式,不需要傳送用來解密的私有秘鑰,也不必擔心秘鑰被攻擊者竊聽兒盜走。
公開秘鑰比共享秘鑰處理速度慢。
3、https採用混合加密機制
https採用共享秘鑰加密和公開秘鑰加密兩者並用的混合加密機制。(1)使用公開秘鑰加密方式安全地交換在稍後的共享秘鑰加密中要使用的秘鑰;(2)確保交換的秘鑰是安全的前提下,使用共享秘鑰加密方式進行通訊。
公開秘鑰加密方式存在一些問題,無法證明公開秘鑰本身就是貨真價實的公開秘鑰。可以使用數字證書認證機構。
4、數字證書認證機構
是處於客戶端與伺服器雙方都可信賴的第三方機構(威瑞信是代表性公司)。
業務流程:首先,伺服器的運營人員向數字證書認證機構提供公開秘鑰的申請。數字證書認證機構在判明提出申請者的身份之後,會對已申請的公開秘鑰做數字簽名,然後分配這個已簽名的公開秘鑰,並將該公開秘鑰放入公鑰證書後繫結在一起。 伺服器會將這份由數字證書認證機構頒發的公鑰證書傳送給客戶端,以進行公開秘鑰加密方式通訊。 接到證書的客戶端可使用數字證書認證機構的公開秘鑰,對那張證書上的數字簽名進行驗證,一旦通過驗證,客戶端便可明確兩件事:一、認證伺服器的公開秘鑰是真實有效的數字證書認證機構。二、伺服器的公開秘鑰是值得信賴的。
確保Web安全的HTTPS
http主要又如下幾點不足 http 加密 認證 完整性保護 https https並非是應用層的一種新協議,只是http通訊介面部分用ssl secure socket layer 和tls transport layer security 協議代替而已。https其實就是身披ssl協議這層外殼的...
確保Web安全的HTTPS
證明身份 無法證明報文的完整性 證明公開金鑰正確性地證書 按tcp ip協議族的工作機制,通訊內容在所有的通訊線路上都有可能遭到窺視.為防止竊聽並保護資訊,有如下幾種加密方式 通訊加密 http協議沒有加密機制,但可以通過ssl或tls的組合使用,加密http通訊內容.與ssl組合使用的http被稱...
HTTP 確保Web安全的HTTPS
一.http的缺點 1.通訊使用明文 不加密 內容有可能會被竊聽 網際網路上任意角落都有可能存在通訊內容被竊聽的風險 1.1通訊的加密 http協議中沒有加密機制,但可以通過和ssl secue socket layer安全套接層 或tls transport layer security 安全傳輸...