相比较于不安全的HTTP,HTTPS是怎么保证网络通信安全的

HTTP是一个优秀的通信协议,不过事物皆具有双面性,该协议也是有不足之处,大概有以下几点:

  • 使用明文传输,可能会被窃取不安全
  • 不验证通信方身份
  • 无法证明报文的完整性,证明不了报文是否被修改

一、HTTP不具备加密功能

HTTP协议本身是没有加密功能,所以无法对请求和响应等内容加密。HTTP报文均采用明文形式,数据包在网络间传输很容易就被人窃取,如使用抓包工具(Wireshark)等。在对数据包进行抓取后进行分析,由于报文是以明文形式传输,如果内容是关于如个人信息等重要隐私则可能会被他人获取后所利用,造成损失。

二、对内容进行加密

对内容加密是一种保护信息的好方法,HTTP是没有加密机制的,所以需要借助第三方来帮助实现加密。对内容加密的方式有很多如:

  • SHA安全散列算法
  • MD5信息-摘要算法
  • BASE64(BASE64Encoder、BASE64Decoder类)
  • RSA非对称加密算法
  • DES等

主要分为两大类,对称加密和非对称加密(对于加密这里就不做深入的讨论,感兴趣的朋友可以去查阅相关资料)。

[[276165]]

三、只对内容进行加密的不足之处

  • 对于内容的加密并不能完全地保证信息的安全,因为即使对内容进行加密但数据包还是可以被窃取的,并且加密内容依然很有可能被解密出来。
  • HTTP协议通信中请求和响应是不会对通信方进行确认的,所以可能会遭遇身份伪装。如发送的服务器是否就是真的目标主机、响应是否返回到真实发出请求的客户端等。
  • 加密之后的报文虽然安全性提高了,但是还是证明不了报文内容是否被修改过。

[[276166]]

 

所以只对内容加密并不完善,需要一种更加全面的安全解决方案,不仅保证内容安全也要保证通信的安全等多方面–HTTPS。

三、什么是SSL和TSL?

在讨论HTTPS之前得先了解下SSL和TSL协议。

[[276167]]

  • SSL:安全套接层,位于可靠的面向连接的网络层协议和应用层协议之间的一种协议层。
  • TSL:安全层传输协议,用于两个应用程序之间提供保密性和数据完整性。该协议由两层组成:TLS记录协议和TLS握手协议。

SSL技术最初由网景公司主导开发,开发过SSL3.0之前的版本后来主导权转移到IETF。IETF以SSL为原型开发了TSL协议。当前主流版本是SSL3.0和TLS1.0。

四、HTTPS基础概念

HTTPS并不算是一个新协议,是将HTTP协议通信接口部分用SSL和TSL协议代替。如下图所示:

解析:从最初HTTP与TCP直接通信转变为HTTP先与SSL通信,之后SSL再与TCP通信。可以理解为HTTP加多了层SSL协议外套就变为了HTTPS。

下面,通过一条公式来表达HTTPS:HTTP + 加密 + 认证 + 完整性保护 = HTTPS

五、HTTPS是如何进行通信的?

概述:HTTPS通信过程结合了对称加密和非对称加密两种方法。HTTPS服务端在连接建立SSL通信时先会将自身的公钥发送给客户端。客户端拿到公钥后通过非对称加密与服务端协商数据传输通道的对称加密密钥。一旦双方协商出会话密钥,则后续的数据通讯就会一直使用基于该会话密钥的对称加密算法了。

具体流程:

  • 客户端发送报文开始SSL通信。
  • 服务端可以进行SSL连接时就会发送应答报文给客户端。
  • 接下来服务端发送Certificate报文(包含公开密钥证书)给客户端。
  • 最后服务端发送通知报文通知客户端。
  • 客户端先生成Pre-master secret随机密码,并以包含Pre-master secret且使用公钥加密的报文响应服务端。
  • 客户端继续发送报文提示服务器说接下来的所有通信都采用Pre-master secret密钥加密。
  • 客户端发送Finsh报文(该报文包含连接至今所有的整体校验值)
  • 服务器也重复6 7步骤发送同样的报文,当Finsh报文交换结束后SSL连接算是建立完成。
  • 接下来就是进行HTTP请求了,同时通信会受到SSL的保护。

六、使用HTTPS是否很完美?

[[276169]]

  • HTTPS比HTTP通信慢
  • 导致客户端和服务器负载增强
  • 购买证书需要开销

HTTPS由于除了TCP连接、HTTP请求响应之外还需要进行SSL通信所以效率会相对与HTTP慢。其次,客户端和服务端需要进行加密和解密处理,当访问量多时会相对于使用HTTP来说负载增强。另外,进行HTTPS通信需要购买证书,可能对于一些服务或小型网站来说并不划算。

六、HTTPS在哪些场景下应用比较合适?

综上HTTPS的特点,HTTPS适用于多像交易支付等对安全性要求很高的服务进行加密通信,包括一些会包含个人敏感信息的服务等。如果非敏感信息等则使用HTTP通信。

[[276170]]

七、总结

HTTP是一个优秀的协议,但是由于其不支持加密等原因导致安全性比较差。提高安全性的方式有多种,如采用加密算法对内容进行加密等。HTTPS协议则提供了较为完善的方案。HTTPS不是一种新协议,是通过HTTP结合SSL/TSL实现了通信安全。但是HTTPS也有其缺点,所以要结合具体场景情况合理地使用才能发挥HTTPS的强大作用。

 

文章来源网络,作者:管理,如若转载,请注明出处:https://shuyeidc.com/wp/126499.html<

(0)
管理的头像管理
上一篇2025-02-24 05:59
下一篇 2025-02-24 06:00

相关推荐

  • 云服务器和云虚拟主机怎么选?云服务器和虚拟主机区别

    云服务器适合业务增长快、需弹性扩展的场景,而云虚拟主机适合预算有限、技术门槛低的小型静态网站或测试环境,二者核心区别在于资源独享性与运维复杂度,核心差异解析:从底层架构到使用体验很多人容易混淆这两者,觉得它们都是“买空间建站”,它们的底层逻辑完全不同,云服务器(ECS)就像是你租了一整栋别墅,水电网络独立,你想……

    2026-06-29
    0
  • 赣州智慧旅游招聘是真的吗?赣州旅游人才招聘信息

    中级岗位(3-5年经验)月薪范围通常在6000-10000元,这类岗位需要独立负责项目模块,如独立运营一个抖音账号,或维护一个景区小程序的功能迭代,具备成功案例的候选人议价能力较强,高级岗位(5年以上经验)月薪范围通常在10000-20000元,部分核心管理岗可达更高,这类人才需要具备战略规划能力,如制定整个景……

    2026-06-29
    0
  • 赣州智能物联网车位锁如何管理?智能车位锁管理系统多少钱

    赣州智能物联网车位锁管理的核心在于通过云端平台实现远程控锁、状态实时监控及自动计费,彻底解决传统车位“被占难管”与“找位难”的痛点,在赣州这样的城市,随着机动车保有量的持续增长,老旧小区、商业综合体以及私人固定车位的资源矛盾日益凸显,传统的机械地锁或简易遥控锁,不仅操作繁琐,更无法实现数据化管理,引入智能物联网……

    2026-06-29
    0
  • 赣州智能消防栓好用吗,智能消防栓多少钱一个

    赣州智能消防栓通过物联网技术实现实时监测与远程报警,能显著降低火灾响应时间并提升城市消防安全管理水平,是目前智慧城市建设中不可或缺的基础设施,赣州智能消防栓的核心价值与应用场景传统消防栓往往存在“看不见、摸不着、用不了”的痛点,在赣州这样地形复杂、老城区与新城区并存的区域,传统设施的管理难度极大,智能消防栓的出……

    2026-06-29
    0
  • 云服务器和物理机到底有啥区别?

    云服务器本质上是虚拟化资源池中的弹性实例,而传统物理服务器是独占的硬件实体,前者胜在弹性与运维便捷,后者强在物理隔离与性能稳定,具体选择取决于业务对成本、扩展性及安全合规的权衡,很多人初次接触服务器时,容易把“云服务器”和“传统物理服务器”混为一谈,觉得它们都是用来跑网站或存数据的盒子,这两者的底层逻辑完全不同……

    2026-06-29
    0

发表回复

您的邮箱地址不会被公开。必填项已用 * 标注