avatar

HTTP详解(七)——确保web安全的HTTPS

在HTTP协议中有可能存在信息窃听或身份伪装等安全问题。使用HTTPS通信机制可以有效地防止这些问题。

HTTP的缺点

HTTP主要有这些不足:

  • 通信使用明文(不加密),内容可能会被窃听
  • 不验证通信方的身份,因此有可能遭遇伪装
  • 无法证明报文的完整性,所以有可能已遭篡改

通信使用明文可能会被窃听

  • TCP/IP是可能被窃听的网络

    监听相同段上的通信并非难事。只需要手机在互联网上流动的数据包(帧)就行了。

  • 加密处理防止被窃听

    加密的对象可以有这么几个:

    通信的加密。一种方式就是将通信加密。HTTP协议中没有加密机制,但可以通过和SSL(Secure Socket Layer,安全套接层)或TLS(Transport Layer Security,安全层传输协议)的组合使用,加密HTTP的通信内容。

    用SSL建立安全通信线路之后,就可以在这条线路上进行HTTP通信了。与SSL组合使用的HTTP被称为HTTPS(HTTP Secure,超文本传输安全协议)或HTTP over SSL。

    内容的加密。还有一种将参与通信的内容本身加密的方式。由于HTTP协议中没有加密机制,那么就对HTTP协议传输的内容本身加密。即把HTTP报文里所含的内容进行加密处理。

    有一点要引起注意,由于该方式不同于SSL或TLS将整个通信线路加密处理,所以内容任然有被篡改的风险。

不验证通信方的身份就可能遭遇伪装

HTTP协议中的请求和响应不会对通信方进行确认。

  • 任何人都可发起请求

    在HTTP协议通信时,由于不存在确认通信方的处理步骤,任何人都可以发起请求。另外,服务器只要接收到请求,不管对方是谁都会返回一个响应(但也仅限于发送端的IP地址和端口号没有被Web服务器设定限制访问的前提下)。

    不确认通信方,会存在以下各种隐患:

    无法确定返回响应的Web服务器是真正的服务器

    无法确定接收响应的客户端是真正的客户端

    无法确定正在通信的对方是否具备访问权限。

    无法判定请求是来自何方、出自谁手。

    即使无意义的请求也照单全收。DoS(Denial of Service,拒绝服务攻击)。

  • 查明对手的证书

    HTTP协议无法确定通信方,但使用SSL则可以。SSL不仅提供加密处理,而且还使用了一种被称为证书(证书是第三方颁发的,从技术手段上是很难伪造的)的手段,可用于确定方。

无法证明报文完整性,可能已遭篡改

所谓完整性是指信息的准确度。若无法证明其完整性,通常也就意味着无法判断信息是否准确。

  • 接收到的内容可能有误
  • 如何防止篡改

常用的MD5和SHA-1等散列值校验的方法,以及用来确认文件的数字签名方法。

HTTP+加密+认证+完整性保护=HTTPS

HTTP加上加密处理和认证以及完整性保护后即是HTTPS。

HTTPS是身披SSL外壳的HTTP

HTTPS并非是应用层的一种新协议。只是HTTP通信接口部分用SSL(Secure Socket Layer)和TLS(Transport Layer Security)协议代替而已。

通常,HTTP直接和TCP通信。当使用SSL时,则演变成先和SSL通信,再由SSL和TCP通信了。

SSL是当今世界上应用最为广泛的网络安全技术。

相互交换密钥的公开密钥加密技术

SSL采用一种叫做公开密钥加密(Public-key cryptography)的加密方式。

HTTPS采用混合加密机制。HTTPS采用共享密钥加密和公开密钥加密两者并用的混合加密机制。

证明公开密钥正确性的证书

公开密钥加密方式还是存在一些问题的。那就是无法证明公开密钥本身就是货真价实的公开密钥。

为了解决上述问题,可以使用由数字证书认证机构(CA,Certificate Authority)和其相关机关颁发的公开密钥证书。

数字证书认证机构的业务流程。首先,服务器的运营人员向数字证书认证机构提出公开密钥的申请。数字证书认证机构在判明提出申请者的身份之后,会对已申请的公开密钥做数字签名,然后分配这个已签名的公开密钥,并将该公开密钥放入公钥证书后绑定在一起。

此处认证机关的公开密钥必须安全地转交给客户端。使用通信方式时,如何安全转交是一件很困难的事,因此,多数浏览器开发商发布版本时,会事先在内部植入常用认证机关的公开密钥。

HTTPS的安全通信机制

粗粒度的讲解HTTPS的非对称和对称加解密过程(这里是443通信的过程):

  1. 客户端浏览器发起连接,告知自己支持的加密算法和摘要算法等信息。
  2. WEB服务器将确定的加密算法、摘要算法、公钥、域名信息等发给客户端。
  3. 客户端生成一个session key,并且将session key用公钥加密后发送给服务器。
  4. 服务器用私钥将session key解密出来。
  5. 客户端和服务器用session key做对称加密通信。

在上面第二步将服务器公钥发送给客户端的时候,如果有中间人拦截这一数据,并将传送的公钥改为自己的公钥发送给客户端。客户端并不知道消息被篡改,认为接受的公钥就是服务器的公钥,因此通过接受到的公钥加密session key,传送给服务器,又被中间人拦截,这时,攻击者就可以得到session key,之后传递的http信息也会被中间人所查看。因此,在传送公钥的过程中,要保证公钥的正确性。

第二步具体的通信过程为:

  1. 首先生成消息,包含确定的加密、摘要算法、服务端公钥、域名信息等。
  2. 服务器通过信息摘要,向CA机构申请签名证书。
  3. 服务器将信息和证书发送给服务端。
  4. 客户端验证证书,提取公钥。

文章作者: 0pt1mus
文章链接: https://superj.site/2020/03/23/20200323162450/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来自 0pt1mus

评论