企業(yè)建站知識推廣知識小程序微信營銷 APP開發(fā) 前端設計 MindManager 開發(fā)語言自媒體

密碼學之SSL/TLS

發(fā)表日期：2018-11 文章編輯：小燈瀏覽次數(shù)：2408

"SSL/TLS --- 為了更安全的通信"
SSL/TLS是世界上應用最廣泛的密碼通信方法。比如說，當在網(wǎng)上商城中輸人信用卡號時，我們的Web瀏覽器就
會使用SSL/TLS進行密碼通信。使用SSL/TLS可以對通信對象進行認證，還可以確保通信內容的機密性。

SSL/TLS中綜合運用了之前所學習的對稱密碼、消息認證碼、公鑰密碼、數(shù)字簽名、偽隨機數(shù)生成器等密碼技術，大家可以在閱讀本章內容的同時對這些技術進行復習。嚴格來說，SSL(Secure Socket Layer)與 TLS(Transport Layer Security)是不同的，TLS相當于是SSL的后續(xù)版本。不過，本章中所介紹的內容，大多是 SSL和TLS兩者兼?zhèn)涞?，因此除具體介紹通信協(xié)議的部分以外，都統(tǒng)一寫作SSL/TLS。

1. 客戶端與服務器

Bob書店是Alice經(jīng)常光顧的一家網(wǎng)店，因為在Bob書店她可以搜索到新出版的圖書，還可以通過信用卡快速完成支付，購買的書還能快遞到家，真的很方便。

有一天，Alice 讀了一本關于網(wǎng)絡信息安全的書，書上說“互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)都是可以被竊聽的"。Alice感到非常擔心，自己在購買新書的時候輸人的信用卡號會不會被竊聽呢?

Alice看到Bob書店的網(wǎng)站下面寫著一行字:“在以https://開頭的網(wǎng)頁中輸人的信息將通過SSL/TLS發(fā)送以確保安全"。

的確，輸人信用卡號的網(wǎng)頁的URL是以 https:// 開頭的，而不是一般的 http://。此外.在瀏覽這個網(wǎng)頁時，Alice 的web瀏覽器上還會顯示一個小鎖頭的圖標，看上去好像挺安全的。

但Alice心想，就算寫著“通過SSL/TLS發(fā)送”我也不放心啊，到底在我的Web瀏覽器和Bob書店的網(wǎng)站之間都發(fā)生了哪些事呢?

本章將要介紹的技術一一SSL/TLS就可以解答Alice的疑問。當進行SSL/TLS通信時，Web瀏覽器上就會顯示一個小鎖頭的圖標。

Alice的Web瀏覽器(客戶端)和Bob書店的網(wǎng)站(服務器)進行HTTP通信

Alice和Bob書店之間的通信，實際上是Alice所使用的Web瀏覽器和Bob書店的Web服務器之間的通信。Web瀏覽器是Alice的計算機上運行的一個程序，而web服務器則是在Bob書店的計算機上運行的一個程序，它們都遵循一種叫作HTTP(Hyper Text Transfer Protocol, 超文本傳輸協(xié)議)的協(xié)議(protocol)來進行通信。其中，Web瀏覽器稱為HTTP客戶端，Web服務器稱為HTTP服務器。

當Alice點擊網(wǎng)頁上的鏈接或者輸人URL時，Web瀏覽器就會通過網(wǎng)絡向Web服務器發(fā)送一個 “我要瀏覽這個網(wǎng) 頁“，的請求(request)。

Web服務器則將請求的網(wǎng)頁內容發(fā)送給Web瀏覽器，以便對請求作出響應(response)。服務器和客戶端之間所進行的處理就是請求和響應的往復。HTTP可以認為是在HTTP客戶端與HTTP服務器之間進行請求和響應的規(guī) 范。

Alice向Bob書店發(fā)送信用卡號也是使用HTTP來完成的(下圖)。Alice輸人信用卡號之后按下提交按鈕，這時客戶端(Web瀏覽器)就會將信用卡號作為HTTP請求發(fā)送給服務器。服務器則會將“生成訂單"的網(wǎng)頁作為HTTP響應返回給客戶端。

不過，如果直接發(fā)送請求的話，信用卡號就很可能被竊聽。下一節(jié)我們將探討針對這種風險的對策。

不使用SSL/TLS發(fā)送信用卡號的情形

2. 用SSL/TLS承載HTTP

什么是SSL,什么是TLS呢?官話說SSL是安全套接層(secure sockets layer)，TLS是SSL的繼任者，叫傳輸層安全 (transport layer security)。說白點，就是在明文的上層和TCP層之間加上一層加密，這樣就保證上層信息傳輸?shù)?安全。如HTTP協(xié)議是明文傳輸，加上SSL層之后，就有了雅稱HTTPS。它存在的唯一目的就是保證上層通訊安全的一套機制。

當Web瀏覽器發(fā)送信用卡號時，信用卡號的數(shù)據(jù)會作為客戶端請求發(fā)送給服務器。如果通信內容被竊聽者Eve所竊取，Eve就會得到信用卡號。

于是，我們可以用SSL(Secure Socket Layer)或者TLS(Transport Layer Security)作為對通信進行加密的協(xié) 議，然后在此之上承載HTTP(下圖)。通過將兩種協(xié)議進行疊加，我們就可以對HTTP的通信(請求和響應)進行加密，從而防止竊聽。通過SSL/TLS進行通信時，URL不是以http://開頭，而是以https://開頭。

SSL/TLS

在大致了解了SSL/TLS之后，我們來整理一下SSL/TLS到底負責哪些工作。我們想要實現(xiàn)的是，通過本地的瀏覽器訪問網(wǎng)絡上的web服務器，并進行安全的通信。用上邊的例子來說就是，Alice希望通過web瀏覽器向Bob書店發(fā)送信用卡號。在這里，我們有幾個必須要解決的問題。

Alice的信用卡號和地址在發(fā)送到Bob書店的過程中不能被竊聽。
Alice的信用卡號和地址在發(fā)送到Bob書店的過程中不能被篡改。
確認通信對方的Web服務器是真正的Bob書店。

在這里，(1)是機密性的問題;(2)是完整性的問題;而(3)則是認證的問題。

要確保機密性，可以使用對稱加密。由于對稱加密算法的密鑰不能被攻擊者預測，因此我們使用偽隨機數(shù)生成器來生成密鑰。若要將對稱加密的密鑰發(fā)送給通信對象，可以使用非對稱加密算法完成密鑰交換。要識別篡改，對數(shù)據(jù)進行認證，可以使用消息認證碼。消息認證碼是使用單向散列函數(shù)來實現(xiàn)的。

要對通信對象進行認證，可以使用對公鑰加上數(shù)字簽名所生成的證書。

好，工具已經(jīng)找齊了，下面只要用一個“框架”(framework)將這些工具組合起來就可以了。SSL/TIS協(xié)議其實就扮演了這樣一種框架的角色。

SSL/TLS也可以保護其他的協(xié)議

剛才我們提到用SSL/TLS承載HTTP通信，這是因為HTTP是一種很常用的協(xié)議。其實SSL/TLS上面不僅可以承載 HTTP，還可以承載其他很多協(xié)議。例如，發(fā)送郵件時使用的SMTP(Simple Mail Transfer Protocol, 簡單郵件傳輸協(xié)議)和接收郵件時使用的POP3(Post Oice Protocol，郵局協(xié)議)都可以用SSL/TLS進行承載。在這樣的情況下，SSL/TLS就可以對收發(fā)的郵件進行保護。

用SSL/TLS承載HTTP、SMTP和POP3的結構如下圖所示。一般的電子郵件軟件都可以完成發(fā)送和接收郵件這兩種操作，其實是同時扮演了SMTP客戶端和POP3客戶端這兩種角色。

SSL/TLS承載HTTP、SMTP和POP3的結構

3. https

3.1. http和https

HTTP協(xié)議:是互聯(lián)網(wǎng)上應用最為廣泛的一種網(wǎng)絡協(xié)議，是一個客戶端和服務器端請求和應答的標準(TCP)，用于從WWW服務器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡傳輸減少。

HTTPS:是以安全為目標的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL/TLS層，HTTPS的安全基礎是SSL/TLS，因此加密的詳細內容就需要SSL/TLS。

HTTPS協(xié)議的主要作用可以分為兩種: 建立一個信息安全通道，來+ + 保證數(shù)據(jù)傳輸?shù)陌踩?

確認網(wǎng)站的真實性。
HTTPS和HTTP的區(qū)別主要如下:
1、https協(xié)議需要到ca申請證書，一般免費證書較少，因而需要一定費用。
2、http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl/tls加密傳輸協(xié)議。
3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。
4、http的連接很簡單，是無狀態(tài)的;HTTPS協(xié)議是由SSL/TLS+HTTP協(xié)議構建的可進行加密傳輸

3.2. https優(yōu)缺點

https的優(yōu)點
盡管HTTPS并非絕對安全，掌握根證書的機構、掌握加密算法的組織同樣可以進行中間人形式的攻擊，但 HTTPS仍是現(xiàn)行架構下最安全的解決方案，主要有以下幾個好處:

使用HTTPS協(xié)議可認證用戶和服務器，確保數(shù)據(jù)發(fā)送到正確的客戶機和服務器;
HTTPS協(xié)議是由SSL+HTTP協(xié)議構建的可進行加密傳輸、身份認證的網(wǎng)絡協(xié)議，要比http協(xié)議安全，
可防止數(shù)據(jù)在傳輸過程中不被竊取、改變，確保數(shù)據(jù)的完整性。
HTTPS是現(xiàn)行架構下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。 4. 谷歌曾在2014年8月份調整搜索引擎算法，并稱 “比起同等HTTP網(wǎng)站，采用HTTPS加密的網(wǎng)站在搜索結果中的排名將會更高”。

https的缺點
雖然說HTTPS有很大的優(yōu)勢，但其相對來說，還是存在不足之處的:

HTTPS協(xié)議握手階段比較費時，會使頁面的加載時間延長近50%，增加10%到20%的耗電;
HTTPS連接緩存不如HTTP高效，會增加數(shù)據(jù)開銷和功耗，甚至已有的安全措施也會因此而受到影
響;
SSL/TLS證書需要錢，功能越強大的證書費用越高，個人網(wǎng)站、小網(wǎng)站沒有必要一般不會用。
SSL/TLS證書通常需要綁定IP，不能在同一IP上綁定多個域名，IPv4資源不可能支撐這個消耗。
HTTPS協(xié)議的加密范圍也比較有限，在黑客攻擊、拒絕服務攻擊、服務器劫持等方面幾乎起不到什
么作用。最關鍵的，SSL證書的信用鏈體系并不安全，特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

本頁內容由塔燈網(wǎng)絡科技有限公司通過網(wǎng)絡收集編輯所得，所有資料僅供用戶學習參考，本站不擁有所有權，如您認為本網(wǎng)頁中由涉嫌抄襲的內容，請及時與我們聯(lián)系，并提供相關證據(jù)，工作人員會在5工作日內聯(lián)系您，一經(jīng)查實，本站立刻刪除侵權內容。本文鏈接:http://caipiao93.cn/20446.html

上一篇：<GoDaddy主機優(yōu)惠三重曲助力站長建站下一篇：第7章負載均衡>