這篇文章主要介紹“怎么理解HTTP的安全問(wèn)題”，在日常操作中，相信很多人在怎么理解HTTP的安全問(wèn)題問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”怎么理解HTTP的安全問(wèn)題”的疑惑有所幫助！接下來(lái)，請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧！

創(chuàng)新互聯(lián)專(zhuān)注于望江企業(yè)網(wǎng)站建設(shè),響應(yīng)式網(wǎng)站建設(shè),商城網(wǎng)站制作。望江網(wǎng)站建設(shè)公司,為望江等地區(qū)提供建站服務(wù)。全流程定制網(wǎng)站，專(zhuān)業(yè)設(shè)計(jì)，全程項(xiàng)目跟蹤，創(chuàng)新互聯(lián)專(zhuān)業(yè)和態(tài)度為您提供的服務(wù)

01、HTTPS

HTTPS 是比較流行的 HTTP 安全形式。它是由網(wǎng)景公司首創(chuàng)的，所有主要的瀏覽器和服務(wù)器都支持此協(xié)議。

大家來(lái)看這個(gè)圖。

HTTPS 方案的 URL 以 https://，而不是 http:// 開(kāi)頭，據(jù)此就可以分辨某個(gè) Web 頁(yè)面是通 過(guò) HTTPS 而不是 HTTP  訪問(wèn)的(有些瀏覽器還會(huì)顯示一些標(biāo)志性的安全提示)

使用 HTTPS 時(shí)，所有的 HTTP 請(qǐng)求和響應(yīng)數(shù)據(jù)在發(fā)送到網(wǎng)絡(luò)之前，都要進(jìn)行加密。HTTPS 在 HTTP 下面提供了一個(gè)傳輸級(jí)的密碼安全層。

我們可以來(lái)看一下關(guān)于 HTTP 和 HTTPS 的層。

大部分困難的編碼及解碼工作都是在 SSL or TLS 庫(kù)中完成的，所以 Web 客戶(hù)端和服務(wù)器在使用 安全 HTTP  時(shí)無(wú)需過(guò)多地修改其協(xié)議處理邏輯。在大多數(shù)情況下，只需要用 SSL 的輸入 / 輸出調(diào)用取代 TCP  的調(diào)用，再增加其他幾個(gè)調(diào)用來(lái)配置和管理安全信息就行了。

02、數(shù)字加密

關(guān)于數(shù)字加密，很容易理解的，不知道大家看過(guò)一些 “神劇”  么?在抗戰(zhàn)時(shí)期的電報(bào)密碼，都是用本子的形式，然后密碼本不同的字母來(lái)對(duì)應(yīng)不同的數(shù)據(jù)信息，然后把對(duì)應(yīng)的數(shù)字拼接起來(lái)。這只是我們對(duì)數(shù)字密碼的簡(jiǎn)單理解，來(lái)官方的說(shuō)法：

這里面的編碼器和解碼器在 “神劇”中不就是密碼本的存在么?用密碼來(lái)生成保密信息已經(jīng)有數(shù)千年了。傳說(shuō)尤利烏斯 · 凱撒(Julius Caesar)曾使用過(guò)  一種三字符循環(huán)移位密碼，報(bào)文中的每個(gè)字符都由字母表中三個(gè)位置之后的字符來(lái)取代。在現(xiàn)代的字母表中，“A”就應(yīng)該由“D”來(lái)取代，“B”就應(yīng)該由“E”來(lái)取代，以此類(lèi)推。

我們按照 “旋轉(zhuǎn)3” 為例子，

密碼就可以將報(bào)文“meet me at the pier at midnight”編碼為密文“phhw ph dw wkh slhu dw  plgqljkw”。

1 通過(guò)解碼，在字母 表中旋轉(zhuǎn) -3 個(gè)字符，就可以將密文解密回原來(lái)的明文報(bào)文。

但是缺點(diǎn)我們同時(shí)也能想到，密碼本容易被對(duì)方給獲取，編碼機(jī)器也容易被敵人獲取，在戰(zhàn)爭(zhēng)年代，密碼本這是必爭(zhēng)之物呀。

所以大部分機(jī)器上都有一些號(hào)盤(pán)，可以將其 設(shè)置為大量不同的值以改變密碼的工作方式。即使機(jī)器被盜，沒(méi)有正確的號(hào)盤(pán)設(shè)置(密鑰值)，解碼器也無(wú)法工作。

這些密碼參數(shù)被稱(chēng)為密鑰(key)。要在密碼機(jī)中輸入正確的密鑰，解密過(guò)程才能正確進(jìn)  行。密碼密鑰會(huì)讓一個(gè)密碼機(jī)看起來(lái)好像是多個(gè)虛擬密碼機(jī)一樣，每個(gè)密碼機(jī)都有不同的密鑰值，因此其行為都會(huì)有所不同。 

上圖中就是使用不同密鑰的旋轉(zhuǎn) N 字符密碼。。密鑰越長(zhǎng)，編碼組合就越多，通過(guò)隨機(jī)猜測(cè)密鑰來(lái)破解代碼就越困難。

給定一段明文報(bào)文 P、一個(gè)編碼函數(shù) E 和一個(gè)數(shù)字編碼密鑰 e，就可以生成一段經(jīng)過(guò)編碼的密文 C 如下圖。通過(guò)解碼函數(shù) D 和解碼密鑰 d，可以將密文 C  解碼為原始的明文 P。當(dāng)然，編 / 解碼函數(shù)都是互為反函數(shù)的，對(duì) P 的編碼進(jìn)行解碼就會(huì)回到原始報(bào)文 P 上去。

03、對(duì)稱(chēng)密鑰加密

我們來(lái)更詳細(xì)地看看密鑰和密碼是怎樣配合工作的。很多數(shù)字加密算法都被稱(chēng)為對(duì)稱(chēng)密  鑰(symmetric-key)加密技術(shù)，這是因?yàn)樗鼈冊(cè)诰幋a時(shí)使用的密鑰值和解碼時(shí)一樣 (e=d)。我們就將其統(tǒng)稱(chēng)為密鑰 k。

在對(duì)稱(chēng)密鑰加密技術(shù)中，發(fā)送端和接收端要共享相同的密鑰 k 才能進(jìn)行通信。發(fā)送端用共  享的密鑰來(lái)加密報(bào)文，并將得到的密文發(fā)送給接收端。接收端收到密文，并對(duì)其應(yīng)用解密 函數(shù)和相同的共享密鑰，恢復(fù)出原始的明文。大家看下面的一幅圖：

對(duì)稱(chēng)密鑰加密算法為編 / 解碼使用相同的密鑰，流行的對(duì)稱(chēng)密鑰加密算法包括：DES、Triple-DES、RC2 和 RC4。

3.1、密鑰長(zhǎng)度與枚舉攻擊

在很多情況下，編 / 解碼算法都是眾所周知的，因此密鑰就是唯一保密的東西了。

好的加密算法會(huì)迫使攻擊者試遍每一個(gè)可能的密鑰，才能破解代碼。用暴力去嘗試所有的密鑰值稱(chēng)為枚舉攻擊(enumeration  attack)。如果只有幾種可能的密鑰值，居心不良的人通過(guò)暴力遍歷所有值，就能最終破解代碼了。但如果有大量可能的密鑰值，他可能就要花  費(fèi)數(shù)天、數(shù)年，甚至無(wú)限長(zhǎng)的時(shí)間來(lái)遍歷所有的密鑰，去查找能夠破解密碼的那一個(gè)。

可用密鑰值的數(shù)量取決于密鑰中的位數(shù)，以及可能的密鑰中有多少是有效的。

8 位的密鑰只有 256 個(gè)可能的密鑰值， 40 位的密鑰可以有 240 個(gè)可能的密鑰值(大約是一萬(wàn)億個(gè)密鑰)，128 位的密鑰可以產(chǎn)生 大約 340  000 000 000 000 000 000 000 000 000 000 000 000 個(gè)可能的密鑰值。

但是也有例外，并不是所有的加密技術(shù)中的密鑰值都是全部有效果的，比如，在最知名的非對(duì)稱(chēng)加密算法 RSA 中，有效密鑰 必須以某種方式與  質(zhì)數(shù)相關(guān)?？赡艿拿荑€值中只有少量密鑰具備此特性。

在傳統(tǒng)的對(duì)稱(chēng)密鑰加密技術(shù)中，對(duì)小型的、不太重要的事務(wù)來(lái)說(shuō)，40 位的密鑰就足夠安  全了。但現(xiàn)在的高速工作站就可以將其破解，這些工作站每秒可以進(jìn)行數(shù)十億次計(jì)算。相比之下，對(duì)于對(duì)稱(chēng)密鑰加密技術(shù)，128 位的密鑰被認(rèn)為是非常強(qiáng)大的。

實(shí)際上，長(zhǎng)密鑰對(duì)密碼安全有著非常重要的影響，美國(guó)政府甚至對(duì)使用長(zhǎng)密鑰的加密軟件實(shí)施了出口控制，以防止?jié)撛诘臄硨?duì)組織創(chuàng)建出美國(guó)國(guó)家安全局(National  Security Agency，NSA)自己都無(wú)法破解的秘密代碼。

Applied Cryptography 這本書(shū)中有一個(gè)表，記錄了1995年的通過(guò)猜測(cè)所有的密鑰來(lái)破解一個(gè) DES 密碼所需的時(shí)間進(jìn)行了描述。

可能這個(gè)數(shù)據(jù)并不是很適用現(xiàn)在，計(jì)算機(jī)的速度在成倍數(shù)的增長(zhǎng)，但是這個(gè)圖，我們也可以乘以相對(duì)應(yīng)的倍數(shù)，那還是比較有參考價(jià)值的哈。

對(duì)稱(chēng)密鑰加密技術(shù)的缺點(diǎn)之一就是發(fā)送者和接收者在互相對(duì)話之前，一定要有一個(gè)共享的保密密鑰。

比如你想要和淘寶賣(mài)家建立私密的對(duì)話的話，那么在安全下單之前，需要和淘寶網(wǎng)建立一個(gè)私有的保密密鑰，你需要一種產(chǎn)生保密密鑰并將其記住的方式，如果全網(wǎng)的人都是這樣的，那就可能記住太多的東西了，這就是噩夢(mèng)般的存在呀。于是就出現(xiàn)了后邊的內(nèi)容，請(qǐng)看下邊：

04、公開(kāi)密鑰加密

公開(kāi)密鑰加密技術(shù)沒(méi)有為每對(duì)主機(jī)使用單獨(dú)的加密 /  解密密鑰，而是使用了兩個(gè)非對(duì)稱(chēng)密鑰：一個(gè)用來(lái)對(duì)主機(jī)報(bào)文編碼，另一個(gè)用來(lái)對(duì)主機(jī)報(bào)文解碼。編碼密鑰是眾所周知的(這  也是公開(kāi)密鑰加密這個(gè)名字的由來(lái))，但只有主機(jī)才知道私有的解密密鑰。

每個(gè)人都能找到某個(gè)特定主機(jī)的公開(kāi)密鑰，密鑰的建立變得更加簡(jiǎn)單。但解碼密鑰是保密的，因此只有接收端才能對(duì)發(fā)送給它的報(bào)文進(jìn)行解碼。

公開(kāi)密鑰加密技術(shù)是非對(duì)稱(chēng)的，為編碼和解碼使用了不同的密鑰。

那我們就需要把對(duì)稱(chēng)密鑰加密和公開(kāi)密鑰加密來(lái)做個(gè)對(duì)比了。

所有公開(kāi)密鑰非對(duì)稱(chēng)加密系統(tǒng)所面臨的共同挑戰(zhàn)是：

• 公開(kāi)密鑰(是公有的，所有人都可以獲得);

• 一小片攔截下來(lái)的密文(可通過(guò)對(duì)網(wǎng)絡(luò)的嗅探獲取);

• 一條報(bào)文及與之相關(guān)的密文(對(duì)任意一段文本運(yùn)行加密器就可以得到)。

就算你知道這三個(gè)條件，也無(wú)法計(jì)算出保密的私有密鑰，這就是公開(kāi)密鑰非對(duì)稱(chēng)加密系統(tǒng)所要面臨的挑戰(zhàn)。

RSA 算法就是一個(gè)滿(mǎn)足了所有這些條件的流行的公開(kāi)密鑰加密系統(tǒng)，關(guān)于RSA算法，本文先不深究，之后在我看完密碼學(xué)這本書(shū)之后，然后再給大家進(jìn)行解讀。

05、數(shù)字簽名

前面我們已經(jīng)說(shuō)了對(duì)稱(chēng)和非對(duì)稱(chēng)密鑰加 / 解密，下面我們來(lái)說(shuō)數(shù)字簽名是什么意思。

百度百科：數(shù)字簽名(又稱(chēng)公鑰數(shù)字簽名)是只有信息的發(fā)送者才能產(chǎn)生的別人無(wú)法偽造的一段數(shù)字串，這段數(shù)字串同時(shí)也是對(duì)信息的發(fā)送者發(fā)送信息真實(shí)性的一個(gè)有效證明。它是一種類(lèi)似寫(xiě)在紙上的普通的物理簽名，但是使用了公鑰加密領(lǐng)域的技術(shù)來(lái)實(shí)現(xiàn)的，用于鑒別數(shù)字信息的方法。一套數(shù)字簽名通常定義兩種互補(bǔ)的運(yùn)算，一個(gè)用于簽名，另一個(gè)用于驗(yàn)證。數(shù)字簽名是非對(duì)稱(chēng)密鑰加密技術(shù)與數(shù)字摘要技術(shù)的應(yīng)用。

其實(shí)說(shuō)白了，數(shù)字簽名就是附加在報(bào)文上的特殊加密校驗(yàn)碼。

我們用一個(gè)例子來(lái)進(jìn)行解釋?zhuān)覀兿瓤匆环鶊D，節(jié)點(diǎn) A 是如何向節(jié)點(diǎn) B 發(fā)送一條報(bào)文，并對(duì)其進(jìn)行簽名的。

1. 鴻蒙官方戰(zhàn)略合作共建——HarmonyOS技術(shù)社區(qū)

2. 節(jié)點(diǎn) A 將變長(zhǎng)報(bào)文提取為定長(zhǎng)的摘要。

3. 節(jié)點(diǎn) A 對(duì)摘要應(yīng)用了一個(gè)“簽名”函數(shù)，這個(gè)函數(shù)會(huì)將用戶(hù)的私有密鑰作為參數(shù)。因  為只有用戶(hù)才知道私有密鑰，所以正確的簽名函數(shù)會(huì)說(shuō)明簽名者就是其所有者。在圖中，，由于解碼函數(shù) D 中包含了用戶(hù)的私有密鑰，所以我們將其作為簽名函數(shù)使用。

4. 一旦計(jì)算出簽名，節(jié)點(diǎn) A 就將其附加在報(bào)文的末尾，并將報(bào)文和簽名都發(fā)送給 B。

5. 在接收端，如果節(jié)點(diǎn) B 需要確定報(bào)文確實(shí)是節(jié)點(diǎn) A 寫(xiě)的，而且沒(méi)有被篡改過(guò)，節(jié)點(diǎn) B 就可以對(duì)簽名進(jìn)行檢查。節(jié)點(diǎn) B  接收經(jīng)私有密鑰編碼的簽名，并應(yīng)用了使用公開(kāi) 密鑰的反函數(shù)。如果拆包后的摘要與節(jié)點(diǎn) B  自己的摘要版本不匹配，要么就是報(bào)文在傳輸過(guò)程中被篡改了，要么就是發(fā)送端沒(méi)有節(jié)點(diǎn) A 的私有密鑰(也就是說(shuō)它不是節(jié)點(diǎn) A)。

把圖理解是，是不是關(guān)于數(shù)字簽名就很好理解了呢?

06、數(shù)字證書(shū)

我們來(lái)看一下百度百科對(duì)他的解釋?zhuān)簲?shù)字證書(shū)是指CA(電子認(rèn)證服務(wù))機(jī)構(gòu)發(fā)行的一種電子文檔，是一串能夠表明網(wǎng)絡(luò)用戶(hù)身份信息的數(shù)字，提供了一種在計(jì)算機(jī)網(wǎng)絡(luò)上驗(yàn)證網(wǎng)絡(luò)用戶(hù)身份的方式，因此數(shù)字證書(shū)又稱(chēng)為數(shù)字標(biāo)識(shí)。數(shù)字證書(shū)對(duì)網(wǎng)絡(luò)用戶(hù)在計(jì)算機(jī)網(wǎng)絡(luò)交流中的信息和數(shù)據(jù)等以加密或解密的形式保證了信息和數(shù)據(jù)的完整性和安全性。

數(shù)字證書(shū)其實(shí)并沒(méi)有我們想的那么難，數(shù)字證書(shū)的基本架構(gòu)是公開(kāi)密鑰PKI，即利用一對(duì)密鑰實(shí)施加密和解密。其中密鑰包括私鑰和公鑰，私鑰主要用于簽名和解密，由用戶(hù)自定義，只有用戶(hù)自己知道;公鑰用于簽名驗(yàn)證和加密，可被多個(gè)用戶(hù)共享。

HTTPS 建立了一個(gè)安全 Web 事務(wù)之后，現(xiàn)代的瀏覽器都會(huì)自動(dòng)獲取所連接服務(wù)器的  數(shù)字證書(shū)。如果服務(wù)器沒(méi)有證書(shū)，安全連接就會(huì)失敗。服務(wù)器證書(shū)中包含很多字段，其中包括：

• Web 站點(diǎn)的名稱(chēng)和主機(jī)名;

• Web 站點(diǎn)的公開(kāi)密鑰;

• 簽名頒發(fā)機(jī)構(gòu)的名稱(chēng);

• 來(lái)自簽名頒發(fā)機(jī)構(gòu)的簽名

瀏覽器收到證書(shū)時(shí)會(huì)對(duì)簽名頒發(fā)機(jī)構(gòu)進(jìn)行檢查。1 如果這個(gè)機(jī)構(gòu)是個(gè)很有權(quán)威的公共簽名  機(jī)構(gòu)，瀏覽器可能已經(jīng)知道其公開(kāi)密鑰了(瀏覽器會(huì)預(yù)先安裝很多簽名頒發(fā)機(jī)構(gòu)的證書(shū))。

如果對(duì)簽名頒發(fā)機(jī)構(gòu)一無(wú)所知，瀏覽器就無(wú)法確定是否應(yīng)該信任這個(gè)簽名頒發(fā)機(jī)構(gòu)，它通  常會(huì)向用戶(hù)顯示一個(gè)對(duì)話框，看看他是否相信這個(gè)簽名發(fā)布者。簽名發(fā)布者可能是本地的 IT 部門(mén)或軟件廠商。

到此，關(guān)于“怎么理解HTTP的安全問(wèn)題”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注創(chuàng)新互聯(lián)網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章！