企業(yè)建站知識(shí) 推廣知識(shí) 小程序微信營銷 APP開發(fā) 前端設(shè)計(jì) MindManager 開發(fā)語言自媒體

密碼學(xué)之SSL/TLS

發(fā)表日期：2018-11 文章編輯：小燈瀏覽次數(shù)：2416

"SSL/TLS --- 為了更安全的通信"
SSL/TLS是世界上應(yīng)用最廣泛的密碼通信方法。比如說，當(dāng)在網(wǎng)上商城中輸人信用卡號時(shí)，我們的Web瀏覽器就
會(huì)使用SSL/TLS進(jìn)行密碼通信。使用SSL/TLS可以對通信對象進(jìn)行認(rèn)證，還可以確保通信內(nèi)容的機(jī)密性。

SSL/TLS中綜合運(yùn)用了之前所學(xué)習(xí)的對稱密碼、消息認(rèn)證碼、公鑰密碼、數(shù)字簽名、偽隨機(jī)數(shù)生成器等密碼技術(shù)，大家可以在閱讀本章內(nèi)容的同時(shí)對這些技術(shù)進(jìn)行復(fù)習(xí)。嚴(yán)格來說，SSL(Secure Socket Layer)與 TLS(Transport Layer Security)是不同的，TLS相當(dāng)于是SSL的后續(xù)版本。不過，本章中所介紹的內(nèi)容，大多是 SSL和TLS兩者兼?zhèn)涞?，因此除具體介紹通信協(xié)議的部分以外，都統(tǒng)一寫作SSL/TLS。

1. 客戶端與服務(wù)器

Bob書店是Alice經(jīng)常光顧的一家網(wǎng)店，因?yàn)樵贐ob書店她可以搜索到新出版的圖書，還可以通過信用卡快速完成支付，購買的書還能快遞到家，真的很方便。

有一天，Alice 讀了一本關(guān)于網(wǎng)絡(luò)信息安全的書，書上說“互聯(lián)網(wǎng)上傳輸?shù)臄?shù)據(jù)都是可以被竊聽的"。Alice感到非常擔(dān)心，自己在購買新書的時(shí)候輸人的信用卡號會(huì)不會(huì)被竊聽呢?

Alice看到Bob書店的網(wǎng)站下面寫著一行字:“在以https://開頭的網(wǎng)頁中輸人的信息將通過SSL/TLS發(fā)送以確保安全"。

的確，輸人信用卡號的網(wǎng)頁的URL是以 https:// 開頭的，而不是一般的 http://。此外.在瀏覽這個(gè)網(wǎng)頁時(shí)，Alice 的web瀏覽器上還會(huì)顯示一個(gè)小鎖頭的圖標(biāo)，看上去好像挺安全的。

但Alice心想，就算寫著“通過SSL/TLS發(fā)送”我也不放心啊，到底在我的Web瀏覽器和Bob書店的網(wǎng)站之間都發(fā)生了哪些事呢?

本章將要介紹的技術(shù)一一SSL/TLS就可以解答Alice的疑問。當(dāng)進(jìn)行SSL/TLS通信時(shí)，Web瀏覽器上就會(huì)顯示一個(gè)小鎖頭的圖標(biāo)。

Alice的Web瀏覽器(客戶端)和Bob書店的網(wǎng)站(服務(wù)器)進(jìn)行HTTP通信

Alice和Bob書店之間的通信，實(shí)際上是Alice所使用的Web瀏覽器和Bob書店的Web服務(wù)器之間的通信。Web瀏覽器是Alice的計(jì)算機(jī)上運(yùn)行的一個(gè)程序，而web服務(wù)器則是在Bob書店的計(jì)算機(jī)上運(yùn)行的一個(gè)程序，它們都遵循一種叫作HTTP(Hyper Text Transfer Protocol, 超文本傳輸協(xié)議)的協(xié)議(protocol)來進(jìn)行通信。其中，Web瀏覽器稱為HTTP客戶端，Web服務(wù)器稱為HTTP服務(wù)器。

當(dāng)Alice點(diǎn)擊網(wǎng)頁上的鏈接或者輸人URL時(shí)，Web瀏覽器就會(huì)通過網(wǎng)絡(luò)向Web服務(wù)器發(fā)送一個(gè) “我要瀏覽這個(gè)網(wǎng) 頁“，的請求(request)。

Web服務(wù)器則將請求的網(wǎng)頁內(nèi)容發(fā)送給Web瀏覽器，以便對請求作出響應(yīng)(response)。服務(wù)器和客戶端之間所進(jìn)行的處理就是請求和響應(yīng)的往復(fù)。HTTP可以認(rèn)為是在HTTP客戶端與HTTP服務(wù)器之間進(jìn)行請求和響應(yīng)的規(guī) 范。

Alice向Bob書店發(fā)送信用卡號也是使用HTTP來完成的(下圖)。Alice輸人信用卡號之后按下提交按鈕，這時(shí)客戶端(Web瀏覽器)就會(huì)將信用卡號作為HTTP請求發(fā)送給服務(wù)器。服務(wù)器則會(huì)將“生成訂單"的網(wǎng)頁作為HTTP響應(yīng)返回給客戶端。

不過，如果直接發(fā)送請求的話，信用卡號就很可能被竊聽。下一節(jié)我們將探討針對這種風(fēng)險(xiǎn)的對策。

不使用SSL/TLS發(fā)送信用卡號的情形

2. 用SSL/TLS承載HTTP

什么是SSL,什么是TLS呢?官話說SSL是安全套接層(secure sockets layer)，TLS是SSL的繼任者，叫傳輸層安全 (transport layer security)。說白點(diǎn)，就是在明文的上層和TCP層之間加上一層加密，這樣就保證上層信息傳輸?shù)?安全。如HTTP協(xié)議是明文傳輸，加上SSL層之后，就有了雅稱HTTPS。它存在的唯一目的就是保證上層通訊安全的一套機(jī)制。

當(dāng)Web瀏覽器發(fā)送信用卡號時(shí)，信用卡號的數(shù)據(jù)會(huì)作為客戶端請求發(fā)送給服務(wù)器。如果通信內(nèi)容被竊聽者Eve所竊取，Eve就會(huì)得到信用卡號。

于是，我們可以用SSL(Secure Socket Layer)或者TLS(Transport Layer Security)作為對通信進(jìn)行加密的協(xié) 議，然后在此之上承載HTTP(下圖)。通過將兩種協(xié)議進(jìn)行疊加，我們就可以對HTTP的通信(請求和響應(yīng))進(jìn) 行加密，從而防止竊聽。通過SSL/TLS進(jìn)行通信時(shí)，URL不是以http://開頭，而是以https://開頭。

SSL/TLS

在大致了解了SSL/TLS之后，我們來整理一下SSL/TLS到底負(fù)責(zé)哪些工作。我們想要實(shí)現(xiàn)的是，通過本地的瀏覽器訪問網(wǎng)絡(luò)上的web服務(wù)器，并進(jìn)行安全的通信。用上邊的例子來說就是，Alice希望通過web瀏覽器向Bob書店發(fā)送信用卡號。在這里，我們有幾個(gè)必須要解決的問題。

Alice的信用卡號和地址在發(fā)送到Bob書店的過程中不能被竊聽。
Alice的信用卡號和地址在發(fā)送到Bob書店的過程中不能被篡改。
確認(rèn)通信對方的Web服務(wù)器是真正的Bob書店。

在這里，(1)是機(jī)密性的問題;(2)是完整性的問題;而(3)則是認(rèn)證的問題。

要確保機(jī)密性，可以使用對稱加密。由于對稱加密算法的密鑰不能被攻擊者預(yù)測，因此我們使用偽隨機(jī)數(shù)生成器來生成密鑰。若要將對稱加密的密鑰發(fā)送給通信對象，可以使用非對稱加密算法完成密鑰交換。要識(shí)別篡改，對數(shù)據(jù)進(jìn)行認(rèn)證，可以使用消息認(rèn)證碼。消息認(rèn)證碼是使用單向散列函數(shù)來實(shí)現(xiàn)的。

要對通信對象進(jìn)行認(rèn)證，可以使用對公鑰加上數(shù)字簽名所生成的證書。

好，工具已經(jīng)找齊了，下面只要用一個(gè)“框架”(framework)將這些工具組合起來就可以了。SSL/TIS協(xié)議其實(shí)就扮演了這樣一種框架的角色。

SSL/TLS也可以保護(hù)其他的協(xié)議

剛才我們提到用SSL/TLS承載HTTP通信，這是因?yàn)镠TTP是一種很常用的協(xié)議。其實(shí)SSL/TLS上面不僅可以承載 HTTP，還可以承載其他很多協(xié)議。例如，發(fā)送郵件時(shí)使用的SMTP(Simple Mail Transfer Protocol, 簡單郵件傳輸協(xié)議)和接收郵件時(shí)使用的POP3(Post Oice Protocol，郵局協(xié)議)都可以用SSL/TLS進(jìn)行承載。在這樣的情況下，SSL/TLS就可以對收發(fā)的郵件進(jìn)行保護(hù)。

用SSL/TLS承載HTTP、SMTP和POP3的結(jié)構(gòu)如下圖所示。一般的電子郵件軟件都可以完成發(fā)送和接收郵件這兩種操作，其實(shí)是同時(shí)扮演了SMTP客戶端和POP3客戶端這兩種角色。

SSL/TLS承載HTTP、SMTP和POP3的結(jié)構(gòu)

3. https

3.1. http和https

HTTP協(xié)議:是互聯(lián)網(wǎng)上應(yīng)用最為廣泛的一種網(wǎng)絡(luò)協(xié)議，是一個(gè)客戶端和服務(wù)器端請求和應(yīng)答的標(biāo)準(zhǔn)(TCP)，用于從WWW服務(wù)器傳輸超文本到本地瀏覽器的傳輸協(xié)議，它可以使瀏覽器更加高效，使網(wǎng)絡(luò)傳輸減少。

HTTPS:是以安全為目標(biāo)的HTTP通道，簡單講是HTTP的安全版，即HTTP下加入SSL/TLS層，HTTPS的安全基礎(chǔ) 是SSL/TLS，因此加密的詳細(xì)內(nèi)容就需要SSL/TLS。

HTTPS協(xié)議的主要作用可以分為兩種: 建立一個(gè)信息安全通道，來+ + 保證數(shù)據(jù)傳輸?shù)陌踩?

確認(rèn)網(wǎng)站的真實(shí)性。
HTTPS和HTTP的區(qū)別主要如下:
1、https協(xié)議需要到ca申請證書，一般免費(fèi)證書較少，因而需要一定費(fèi)用。
2、http是超文本傳輸協(xié)議，信息是明文傳輸，https則是具有安全性的ssl/tls加密傳輸協(xié)議。
3、http和https使用的是完全不同的連接方式，用的端口也不一樣，前者是80，后者是443。
4、http的連接很簡單，是無狀態(tài)的;HTTPS協(xié)議是由SSL/TLS+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸

3.2. https優(yōu)缺點(diǎn)

https的優(yōu)點(diǎn)
盡管HTTPS并非絕對安全，掌握根證書的機(jī)構(gòu)、掌握加密算法的組織同樣可以進(jìn)行中間人形式的攻擊，但 HTTPS仍是現(xiàn)行架構(gòu)下最安全的解決方案，主要有以下幾個(gè)好處:

使用HTTPS協(xié)議可認(rèn)證用戶和服務(wù)器，確保數(shù)據(jù)發(fā)送到正確的客戶機(jī)和服務(wù)器;
HTTPS協(xié)議是由SSL+HTTP協(xié)議構(gòu)建的可進(jìn)行加密傳輸、身份認(rèn)證的網(wǎng)絡(luò)協(xié)議，要比http協(xié)議安全，
可防止數(shù)據(jù)在傳輸過程中不被竊取、改變，確保數(shù)據(jù)的完整性。
HTTPS是現(xiàn)行架構(gòu)下最安全的解決方案，雖然不是絕對安全，但它大幅增加了中間人攻擊的成本。 4. 谷歌曾在2014年8月份調(diào)整搜索引擎算法，并稱 “比起同等HTTP網(wǎng)站，采用HTTPS加密的網(wǎng)站在搜索結(jié)果中的排名將會(huì)更高”。

https的缺點(diǎn)
雖然說HTTPS有很大的優(yōu)勢，但其相對來說，還是存在不足之處的:

HTTPS協(xié)議握手階段比較費(fèi)時(shí)，會(huì)使頁面的加載時(shí)間延長近50%，增加10%到20%的耗電;
HTTPS連接緩存不如HTTP高效，會(huì)增加數(shù)據(jù)開銷和功耗，甚至已有的安全措施也會(huì)因此而受到影
響;
SSL/TLS證書需要錢，功能越強(qiáng)大的證書費(fèi)用越高，個(gè)人網(wǎng)站、小網(wǎng)站沒有必要一般不會(huì)用。
SSL/TLS證書通常需要綁定IP，不能在同一IP上綁定多個(gè)域名，IPv4資源不可能支撐這個(gè)消耗。
HTTPS協(xié)議的加密范圍也比較有限，在黑客攻擊、拒絕服務(wù)攻擊、服務(wù)器劫持等方面幾乎起不到什
么作用。最關(guān)鍵的，SSL證書的信用鏈體系并不安全，特別是在某些國家可以控制CA根證書的情況下，中間人攻擊一樣可行。

本頁內(nèi)容由塔燈網(wǎng)絡(luò)科技有限公司通過網(wǎng)絡(luò)收集編輯所得，所有資料僅供用戶學(xué)習(xí)參考，本站不擁有所有權(quán)，如您認(rèn)為本網(wǎng)頁中由涉嫌抄襲的內(nèi)容，請及時(shí)與我們聯(lián)系，并提供相關(guān)證據(jù)，工作人員會(huì)在5工作日內(nèi)聯(lián)系您，一經(jīng)查實(shí)，本站立刻刪除侵權(quán)內(nèi)容。本文鏈接:http://jstctz.cn/20446.html

上一篇：<GoDaddy主機(jī)優(yōu)惠三重曲助力站長建站下一篇：第7章負(fù)載均衡>