第七章 确保Web安全的HTTPS

第七章 确保Web安全的HTTPS

使用HTTPS通信机制可以有效防止信息窃听或身份伪装等安全问题。

1.HTTP缺点

　　【通信使用明文（不加密）】：内容容易被窃听。

　　　　加密处理防止被窃听。根据加密的对象分为：

　　　　①通信的加密：通过SSL（安全套接层）或TLS（安全传输协议）的组合使用，加密HTTP的通信内容。 使用SSL建立安全通信线路之后，就可以在这条线路上进行HTTP通信了。与SSL组合使用的HTTP称为HTTPS（超文本传输安全协议）。

　　　　②内容的加密：把HTTP报文里所含的内容进行加密处理。

　　【不验证通信方身份】：可能遭遇伪装。

　　　　虽然使用HTTP协议无法确定通信方，但是如果使用SSL则可以。SSL不仅提供加密处理，而且还使用了一种被称为证书的手段，可以用于确定方。证书由值得信任的第三方机构颁发，用于证明客户端是真实存在的。

　　【无法证明报文的完整性】：可能会被篡改。

　　　　请求或响应在传输途中，遭攻击者拦截并篡改内容的攻击者称为中间人攻击。HTTP有PGP和MD5等方法确定报文完整性，但是并不是百分百正确的。有必要使用HTTPS，SSL提供认证和加密处理及摘要功能。

2. HTTP+加密+认证+完整性保护=HTTPS

　　经常会在Web登陆界面和购物结算界面等使用HTTPS通信。使用HTTPS通信时，不再用http://，而是改用https://。另外当浏览器访问HTTPS通信有效的Web网站时，浏览器的地址栏会出现一个带锁的标记。

　　

　　【HTTP是身披SSL外壳的HTTP】HTTPS只是HTTP通信接口部分使用SSL和TLS协议代替而已。通常HTTP直接和TCP通信，当使用SSL时，演变成HTTP先和SSL通信，再由SSL和TCP通信。在采用SSL之后，HTTP就拥有了加密、证书和完整性保护功能。

　　【HTTPS加密技术】

　　①共享密钥方式（对称密钥方式）：加密和解密使用同一种密钥。缺点：以共享密钥方式加密时必须将密钥也发送给对方。但是如何安全转交密钥成问题。

　　②公开密钥方式：使用一对非对称密钥，一把叫做私有密钥（只有自己知道），一把叫做公开密钥（大家都知道）。发送密文的一方使用对方的公开密钥进行加密处理，接受方收到加密信息后，在用自己的密钥进行解密。缺点：恢复信息原文十分困难。

　　③HTTPS使用混合加密机制：使用公开密钥方式传输在共享密钥加密中要使用的密钥，然后再使用共享密钥加密进行通信。

　　 ④证明公开密钥正确性的证书：公开密钥加密方式存在一些问题，那就是无法证明公开密钥本身就是真正的公开密钥。为了解决该问题，可以使用相关机构颁发的公开密钥证书。

　　【HTTPS的安全通信机制】在HTTPS通信过程中应用层发送数据时会附加一种叫做MAC（Message Authentication Code）的报文摘要。MAC能够查知报文是否遭到篡改，从而保证报文的完整性。

　　【SSL缺点】：慢！通信慢、消耗大量CPU和内存资源，处理速度慢。