網盾極風雲:什麼是安全超文本傳輸協議

2020-12-20 PLA雲計算

HTTPS全稱為Hyper Text Transfer Protocol over Secure Socket Layer,國內稱其為安全超文本傳輸協議。

大家可以把HTTPS直接理解為HTTP+SSL/TLS,簡單來說它是在HTTP的基礎上增加了一道保密協議,以此來對文本傳輸的過程加密,保障安全性的一種數據傳輸協議類型。

HTTP協議是網際網路上應用最為廣泛的一種網絡協議,是一個客戶端和伺服器端請求和應答的標準(TCP),用於從WWW伺服器傳輸超文本到本地瀏覽器的傳輸協議。但是這種協議很明顯潛伏著非常大的危險:採用明文傳輸信息的過程中,假如有不法分子想嗅探機密,只需要劫持HTTP協議中的某段對話,對信息進行竊聽或篡改。

為了保護信息安全,後來在HTTP的基礎上加入了SSL(Secure Socket Layer)/TLS(Transport Layer Security),也就是安全套接層/傳輸層安全。這層安全協議會為雙方對話連接前提供信息加密、身份驗證以及完整性校驗,目的是為了保障服務端與客戶端之間連接的安全性。

小科普:

一、SSL

安全套接層(Secure Socket Layer,SSL)協議是網頁瀏覽器與網站伺服器之間安全交換信息的協議,提供兩個基本的安全服務:保密和鑑別。

SSL是Netscape於1994年開發的,後來成為了世界上最著名的web安全機制,所有主要的瀏覽器都支持SSL協議。

SSL協議具有三個特性:

1.鑑別:強制的伺服器端和認證可選的客戶端認證

2.保密:在握手協議中定義了會話密鑰後,所有的消息都被加密

3.完整性:傳送的消息包括消息完整性檢查(使用MAC)

二、TLS

SSL經歷了 SSL 1.0、2.0、3.0 版本後發展成了標準安全協議TLS(Transport Layer Security)傳輸層安全性協議。

到了1999年,SSL因為應用廣泛已經成為網際網路上的事實標準。IETF 在那年把SSL標準化,標準化之後的名稱改為TLS,很多相關的文章都把這兩者並列稱呼(SSL/TLS),因為這兩者可以視作同一個東西的不同階段。

TLS 在實現上分為記錄層與握手層兩層,其中握手層又包含四個子協議: 握手協議 (handshake protocol)、更改加密規範協議 (change cipher spec protocol)、應用數據協議 (application data protocol) 和警告協議 (alert protocol)。

HTTPS原理

HTTPS協議的主要功能基本都依賴於SSL/TLS協議,而實現SSL/TLS基於三種算法:對稱加密、散列函數與非對稱加密,其利用對稱加密實現密鑰協商與身份驗證,對稱加密算法採用協商的密鑰對數據加密,基於散列函數驗證信息的完整性。

對稱加密:常見的有 AES-GCM、AES-CBC、3DES、DES等,相同的密鑰可以用於信息的加密和解密,擁有密鑰才能獲取信息,這樣能夠防止信息竊聽,一對一進行通信散列函數:常見的有 SHA1、MD5、SHA256,該類函數特點是對輸入非常敏感、函數單向不可逆、輸出長度固定,針對數據的任何修改都會改變散列函數的結果,用於防止信息篡改並驗證數據的完整性非對稱加密:即常見的 RSA 算法,還包括 ECC、DH 等算法,算法特點是,密鑰成對出現,一般稱為公鑰(公開)和私鑰(保密),公鑰加密的信息只能私鑰解開,私鑰加密的信息只能公鑰解開。因此掌握公鑰的不同客戶端之間不能互相解密信息,只能和掌握私鑰的伺服器進行加密通信,伺服器可以實現一對多的通信,客戶端也可以用來驗證掌握私鑰的伺服器身份TLS 基於客戶端使用非對稱加密與伺服器進行通信,實現身份驗證並協商對稱加密使用的密鑰,然後對稱加密算法採用協商密鑰對信息以及信息摘要進行加密通信,不同的節點之間採用的對稱密鑰不同,從而可以保證信息只能通信雙方獲取。

那麼問題來了,既然HTTPS較HTTP安全性收入高很多,那麼為什麼到現在還有網站使用的是HTTP?

CA機構是一個專門給各網站籤發數字證書、從而保障瀏覽器可以安全獲得各個網站的公鑰。

在網站管理員向CA提交申請後,CA使用管理員提交的公鑰加上一系列其他信息(如網站域名、有效時長等),來製作證書;證書製作完成後,CA會使用自己的私鑰對其加密,並將加密後的數據反饋給網站管理員,管理員只需要將獲得的加密數據配置到網站伺服器上即可。

每當有瀏覽器請求我們的網站時,首先會將這段加密數據返回給瀏覽器,此時瀏覽器會用CA的公鑰來對這段數據解密,假如能夠解密成功,就可以獲得CA為網站頒發的證書了,包括網站公鑰:

如果無法解密成功就說明此段加密數據並不是由合法CA機構使用私鑰加密而來的,有可能是被篡改了,從而會在瀏覽器上顯示界面異常:

但由於每家CA機構都會給成千上萬的網站製作證書,假如黑客知道目標網站使用的是某家CA機構的證書,那他可以去這家機構申請一個合法證書,然後在瀏覽器請求目標對象網站時對返回的加密證書數據進行替換。

黑客申請的證書也是由正規CA機構製作的,因此這段數據當然可以成功被解密,也正是因為這個原因,所有CA機構在製作證書時除了網站公鑰外還要包含許多其他數據用來輔助校驗,比如域名就是其中一項重要的數據。

相關焦點

  • 網盾極風雲BGP:HTTP網絡傳輸協議
    人不能想怎麼樣就怎麼樣,你的行為約束是受到法律的約束的;那麼網際網路中的端系統也不能自己想發什麼發什麼,也是需要受到通信協議約束的。到底什麼是 HTTP?百度百科的名詞解釋如下:HTTP是網際網路上應用最為廣泛的一種網絡協議,是一個客戶端和伺服器端請求和應答的標準(TCP),用於從WWW伺服器傳輸超文本到本地瀏覽器的傳輸協議。一句話概括,就是一個在計算機裡專門在兩點之間傳輸各種文字、圖片、視頻、音頻等超文本數據的規範。
  • 《魔塔》綁定網盾極風雲BGP機房
    《魔塔》所採用的機房是武漢江夏區網盾極風雲BGP數據中心,其資質是被國家所承認的、符合國內3A級機房的規定。網盾極風雲BGP大數據中心產業園位於武漢光谷南,距離光谷火車站15千米、武昌火車站21千米、高鐵武漢站28千米、漢口火車站31千米、武漢天河機場50千米,組成了便捷的立體交通網絡。主要從事雲計算、大數據業務。
  • 極風雲五裡界BGP:到底什麼是HTTP協議
    一般人們都能說出「HTTP是一種超文本傳輸協議(Hypertext Transfer Protocol)」,但是這樣還遠遠不夠:假如你面試大公司的interview,往往面試官們會希望聽到更深沉的涵義。那麼,怎樣詳細地描述超文本傳輸協議?
  • 武漢網盾科技和極風雲IDC大數據中心教你:一分鐘識別真假BGP機房
    位於武漢的極風雲大數據中心是領先的高等級數據中心服務提供商,致力為網際網路公司、金融機構、政企單位、大中型企業提供高可用、高安全、高性能、專業化和靈活完善的IDC服務,包括網絡基礎設施資源服務、增值服務和以網絡應用與雲計算為核心的拓展服務。
  • 網盾極風雲IDC機房——武漢規模最大的網際網路數據中心
    其中網盾極風雲大數據中心(簡稱極風雲IDC)就坐落在五裡界東湖街村,主要以雲計算、大數據技術服務為主,催生眾多新產業,推動五裡界數字經濟發展,形成小地塊大產出發展模式。網盾極風雲大數據中心地處錦繡大道和梁子湖大道交叉口,距離光谷火車站15千米、武昌火車站21千米、高鐵武漢站28千米、漢口火車站31千米、武漢天河機場50千米,組成了便捷的立體交通網絡。
  • 網盾極風雲:為什麼DNF伺服器不行
    那麼問題來了,為什麼要租用武漢江夏區網盾極風雲BGP伺服器?這就要說到一個關鍵的問題了,什麼是遊戲伺服器?與普通伺服器相比較,遊戲伺服器需要能夠保存更多的用戶的狀態。遊戲伺服器中每一個用戶都是獨立存在的,每一個用戶的數據、請求等都是獨立的,用戶彼此間的數據並沒有任何交互。
  • 武漢網絡安全培訓中心-滲透測試教程-網盾科技推薦就業
    9月17日,「中部崛起勢正勁」網絡主題活動走進湖北武漢,探秘網絡安全人才與創新基地——網盾*網絡安全攻防實驗室。武漢網盾科技有限公司Logo什麼是網絡安全?2019年中國網絡安全人才需求量(圖1.12019年我國網絡安全人才缺口超70萬,國內3000所高校僅120所開設相關專業,年培養1萬-2萬人,加上10-20家社會機構,全國每年相關人才輸送量約為
  • SSL VPN技術有什麼作用?安全上網、突破地域限制全靠他
    當然,VPN的實用性遠不止於此,因為其隱匿性讓網際網路上的活動相對更加安全,本次網盾小編和大家說一下SSL VPN。由於有兩個詞,我們就一個一個了解,首先讓我們深入體會SSL的含義!1.什麼是SSL?當我們使用計算機打開生活中一些常用的網站時(例如網盾官網,淘寶,百度等)時,如果細心你可能會發現,無論使用Microsoft的瀏覽器還是Google瀏覽器或者360安全瀏覽器,瀏覽器的地址欄都有一把鎖。
  • 安全實時傳輸協議(SRTP-RFC3711)翻譯
    rtp(實時傳輸協議)用於傳輸實時音視頻數據;rtcp(實時傳輸控制協議)是rtp的配套協議,用於實時數據傳輸的監控和反饋、保證服務質量;srtp是rtp的profile,工作於rtp與傳輸層(例如udp)之間,為rtp提供數據加密、消息認證和重放保護,srtcp為rtcp提供類似功能。
  • 流控制傳輸協議是什麼 流控制傳輸協議應用介紹【圖文】
    流控制傳輸協議(SCTP),SCTP的結構和內容是什麼?  隨著IP網向多業務網的發展,尤其是近年來VoIP的發展,在IP網中傳遞信令消息成為必然。而在IP網中不能提供類似MTP3和ATM這種高質量的傳輸業務,於是ITU-T提出了SSCOP的改進版本—多鏈路和無連接環境中的SSCOP(SSCOPMCE),用於在基於IP的網絡中傳輸信令消息。但是,SSCOPMCE較之SSCOP只是附加定義了與IP和UDP的適配接口,並未針對IP網相對ATM網高得多的丟失率和時延等特性,在流量控制和差錯控制機制方面做出什麼改變。
  • 流媒體傳輸協議RTP、RTCP、RTSP、RTMPS、HLS,究竟是個啥東東?
    數據流通過傳輸技術被運來運去,那麼流數據遵循哪些傳輸規則和協議呢,各個協議有什麼優缺點呢?01RFC文檔概要在討論流數據傳輸技術之前,我們先了解一下RFC,這對理解流數據協議至關重要。04SRTP & SRTCP數據流協議 SRTP英文全稱為Secure Real-time Transport Protocol安全實時傳輸協議,該協議是在實時傳輸協議RTP基礎上定義的一個協議,旨在為RTP數據提供加密、消息認證、完整性保證和重放保護
  • FTP文件傳輸協議:Port模式和Passive模式及其對應優缺點
    一、ftp協議介紹以及應用一般來說,用戶聯網的首要目的就是實現信息共享,文件傳輸是信息共享非常重要的一個內容之一。基於不同的作業系統有不同的FTP應用程式,而所有這些應用程式都遵守同一種協議,這樣用戶就可以把自己的文件傳送給別人,或者從其它的用戶環境中獲得文件。FTP是早期網際網路協議(註:IP協議組)中的一個,FTP協議是設計用在當時還比較封閉的網際網路上傳輸文件,當時網際網路只是互連了一些大學、政府 機構和設計該網際網路模型的一些商業公司。
  • MongoDB安全實戰之SSL協議加密
    本文主要講述MongoDB的SSL協議加密的使用和配置的實戰經驗,非常值得一看。前面系列文章:MongoDB安全實戰之Kerberos認證MongoDB Compass--MongoDB DBA必備的管理工具MongoDB安全實戰之審計1、前言加密就是將普通文本——所謂「明文」——轉變為無法直接閱讀的形式——所謂「密文」的過程。
  • SSD固態硬碟的傳輸總線、傳輸協議、傳輸接口大全
    1.傳輸總線 總線就像一條公路,公路上的車好比總線上的電信號;公路的大小和車流量就決定了公路的車流量,故總線的位寬大小和傳輸頻率決定了一次傳輸中能夠提供的最大速度。常見的總線類型有: 1.1 PCIe
  • 簡單郵件傳送協議是什麼 簡單郵件傳送協議原理介紹【圖文】
    簡單郵件傳送協議是什麼?  SMTP是控制兩個郵件伺服器之間電子郵件報文交換的簡單協議。該協議用於網際網路,並由IETF定義。它既具有客戶機(發送者)功能,又具有伺服器(接收者)功能。SMTP 是 Internet 上的基礎傳輸機制,大多數系統使用它在主機伺服器之間發送郵件。
  • 「技術盛宴」銳捷雲桌面EST協議之RUTP傳輸技術
    銳捷雲桌面EST協議,最早只適用於區域網。為了能滿足遠程辦公,即跨廣域網的辦公需求,就要支持上更符合弱網絡實時傳輸要求的UDP傳輸協議(原來版本只支持TCP協議)。結合雲桌面場景分析,我們提出了一個新的傳輸協議,叫做RUTP協議,即基於UDP的可靠用戶層傳輸協議。該協議能一定程度上解決網絡丟包引發的使用卡頓問題。
  • 計算機基礎之HTTP協議
    http是網絡上最常見的協議之一,我們上網必用的協議,它是什麼,是如何工作的,今天我們就簡單梳理一下http協議的知識。HTTP協議是什麼?HTTP協議是超文本傳輸協議的縮寫,英文是Hyper Text Transfer Protocol。是從全球資訊網伺服器傳輸超文本到本地瀏覽器的傳送協議。
  • 什麼是高防伺服器?DDOS攻擊怎麼防禦?
    簡單來說,就是能夠幫助網站拒絕服務攻擊,並且定時掃描現有的網絡主節點,查 找可能存在的安全漏洞的伺服器類型,包括WAF(Web Application Firewall)防禦,都可定義為網盾高防伺服器。硬防和軟防在選擇網盾高防伺服器的時候,要先了解防禦類型和防禦大小。
  • 新一代直播傳輸協議SRT
    Photo by Vlad Alexandru Popa from PexelsSRT協議是基於UDT的傳輸協議,保留了UDT的核心思想和機制,抗丟包能力強,適用於複雜的網絡。在LiveVideoStack線上分享中,新浪音視頻架構師 施維對SRT協議的原理、優缺點特性以及在流媒體中的應用進行了詳細解析。
  • 網盾極風雲:淺談WEB攻擊之XSS
    3.DOM Based XSS:DOM型的XSS是一些有安全意識的開發者弄出來的,比如接受參數會做一些過濾,把一些字符轉義一下,但是轉義之後依然會存在著XSS的情況。小科普:什麼是DOMDOM是指文檔對象模型(Document Object Model),是一個平臺中立和語言中立的接口,也是處理可擴展標記語言的標準編程接口,有的程序和腳本可以動態訪問和修改文檔的內容、結構和樣式。