【网络协议】HTTPS协议浅析


目前很多网站都开始不再使用HTTP协议,而是使用HTTPS协议,原因是因为它相比HTTP协议更加安全。那么,它究竟安全在哪里呢?

HTTP协议为何不安全

在说明为何HTTPS是一个安全的协议之前,我们先来讨论HTTP协议为什么是不安全的。

问题一:中间节点

我们使用的HTTP协议,是由客户端(APP 浏览器等)向服务器发送一个请求报文,包含了请求信息。服务器接收到请求报文后,根据请求的内容返回对应的相应报文给我们的客户端。

但是我们需要知道的是,一般我们的客户端与服务端的连接,都会有很多中间节点(如路由器)。这些中间的转发者进行了我们消息的转发。但如果这些转发者如果是一些带有恶意性质的节点,对我们的消息进行了篡改,那将导致非常严重的问题。即使不进行篡改,单纯只是对我们的请求进行窃听,也是非常危险的。

问题二:明文传输

我们进行HTTP协议的请求的时候,消息的内容都是不经过任何加工及处理的明文传输的,这就导致了我们的请求内容很简单地就能被看到。

HTTPS协议为何安全

如何解决安全问题

上面讲到的两点问题中,第一点我们目前是无法解决的,因为我们总不可能把网络结构给修改了。但是我们的第二点是可以解决的。这也就是HTTPS所解决的一个问题。

HTTPS是通过加密的方式来使得我们的消息变得更加安全。它会把HTTP消息进行加密后再进行传输。HTTPS通过对称加密和非对称加密两种方式,并且配合上Hash算法协同作用,使得我们的网络请求在性能和安全性上找到平衡。

那么,加密了就安全了么?

并不是这样的。

证书机制

HTTPS除了对消息进行加密外,还会对进行通信的对象进行身份的验证,避免网络请求被拦截并转发。

HTTPS引入了证书机制,通过证书链对访问对象进行身份验证,从而保证访问的对象是我们请求的目标对象。

HTTPS与HTTP是两个不同的协议么

其实不是的,HTTPS相比HTTP只是引入了一种叫做TLS的安全层,它提供了消息加密功能的支持。当HTTP请求运行在这一安全层上时,就可以达到安全的目的。而这样的一种HTTP请求,就叫做HTTPS。

两种加密

前面提到,HTTPS里使用了两种加密方式—对称加密和非对称加密。

对称加密

对称加密比较简单,服务端和客户端双方都持有同样的密钥,服务端通过密钥加密明文后传递给客户端,客户端获取到加密的信息后,用密钥解密信息。

  • 优势
    • 加密速度快
  • 劣势
    • 密钥的传递容易被截取,一旦被截取,就可以轻易地破解信息。

常见的对称加密的算法有:DES、3DES、TDEA、Blowfish、RC5、IDEA。

非对称加密

非对称加密的服务端和客户端都有自己的公钥和私钥,公钥对外公开,而私钥则需要保密。这套公钥和私钥有两种加密解密的流程:

  • 用公钥加密的信息需要私钥解开,用于信息的加密解密。
  • 用私钥加密的信息需要公钥解开,用于认证。

在HTTPS中,信息传递的密钥传递是采用非对称加密传递的。

客户端要把信息传递给服务端,需要以下几步:

  1. 客户端请求服务端,服务端把自己的公钥传递给客户端。
  2. 客户端用服务端的公钥将信息加密之后传递给服务端,服务端用私钥解密获取信息。
  • 优势
    • 安全性更高,不容易被截取信息
  • 劣势
    • 加密算法复杂,加密速度慢

常见的非对称加密算法有:RSA、Elgamal、Rabin、D-H、ECC等。

既然两者都需要保护自己的私钥,有什么区别呢

对称加密的密钥是需要解密方知道的,也就是说有个传输的过程。这个过程会有很大的风险,密钥可能会被中间人截取。而非对称加密的私钥只需要自己知道,自己保管即可。因此少了很大的风险。

HTTPS通信过程

HTTPS中的SSL/TLS协议

有下面这样一个公式:HTTPS = HTTP + SSL/TLS协议

SSL(Secure Sockets Layer),是为网络通信提供安全及数据完整性的安全协议,于1994年被Netscape发明,目前最高版本为SSL3.0

TLS(Transport Layer Security),其建立在SSL 3.0的规范上。

在学习HTTPS过程中可以把SSL和TLS看做同一个协议。

HTTPS的加密方式

为了兼顾安全和效率,HTTPS同时使用了对称加密与非对称加密。

数据是由对称加密进行传输,过程中需要一个客户端的密钥。

而这个密钥则是通过非对称加密进行传输,从而保证这个密钥不会被截取。

HTTPS的具体通信过程

一个HTTPS的请求包含了两次HTTP传输

第一次HTTP请求

  1. 客户端向服务器发起HTTPS请求,连接服务器的443端口。
  2. 服务器端有一个密钥对(公钥及私钥),用于进行非对称加密。
  3. 服务端将自己的公钥发送给客户端
  4. 客户端收到公钥后,验证其合法性。如果公钥合法,则客户端会生成一个随机值,这个值就是进行对称加密的密钥,称为client key。然后服务器的公钥对客户端的密钥进行非对称加密。

第二次HTTP请求:

  1. 客户端发起HTTPS中第二个请求,将加密后的客户端密钥发送给服务端。
  2. 服务端收到客户端发来的密文,用自己的私钥对其进行非对称解密,得到客户端密钥。之后用其进行对称加密,将要传递的信息变为密文,然后将密文发送给客户端
  3. 客户端收到该密文,用客户端密钥进行对称解密,得到服务器发送的数据。

数字证书

为何需要数字证书

HTTPS中用到了数字证书,它的作用是为了防止"中间人攻击"。如果有个中间人拦截客户端请求,这个中间人向客户端提供自己的公钥,然后向服务端请求公钥,作为一个中介者。这样服务端和客户端都不会知道这个信息被拦截获取了。因此需要证明服务端的公钥是正确的。

那么如何证明呢?

我们需要一个第三方的权威机构进行公证。这种机构就是CA。它专门负责对公钥进行认证,进行担保。

数字证书如何起作用

不论在什么平台,设备的操作系统中都会内置100多个全球公认的CA(储存了这些CA的公钥)。当客户端收到服务器的数字证书时,会进行下面的验证:

  1. 客户端用设备中内置CA公钥尝试解密数字证书,如果所有公钥都无法解密这个数字证书,则说明这个CA不是全球公认的CA,客户端就无法信任该服务器。
  2. 如果有CA的公钥能解密这个证书,则说明这个数字证书就是由这个CA的私钥发的。
  3. 另外,还要检查客户端访问的服务器域名是否是与数字证书中提供的吻合,同时还要检查数字证书是否过期。

证书链

一般CA不会直接用自己的私钥去签名某个网站的证书,而是会签发一个子证书,用这个子证书去签名网站的证书。可能有多个子证书。如果父证书是可以被信任的,则子证书也是可以被信任的。

Android中的HTTPS使用

在代码中可以用如下的方式配置HTTPS的证书:


Android Developer in GDUT