HTTP有哪些风险?是怎么解决的?

一、风险

HTTP是通过明文传输的,存在窃听风险、篡改风险以及冒充风险。

二、如何解决

HTTPS在HTTP的下层加了一个SSL/TLS层,保证了安全,通过混合加密解决窃听风险、数字签名解决篡改风险、数字证书解决冒充风险。

(1)混合加密

① 对称加密:发送方和接收方用一个同样的秘钥进行加密和解密。加密过程较简单,速度较快。

② 非对称加密:使用了公钥和私钥。公钥加密的消息可以用私钥解密,私钥加密的消息可以用公钥解密。加密过程较复杂,速度较慢。

③ 混合加密:++++HTTPS采用的是++++ ++++对称加密++++ ++++和++++ ++++非对称加密++++ ++++结合的混合加密方式++++ 。在通信建立前 采用非对称加密 的方式交换会话秘钥。在通信过程中 全部使用对称加密 的会话秘钥的方式加密明文数据。例如,服务端给客户端发送服务端公钥,客户端发送用服务端公钥 加密后的对称秘钥,服务端可以利用自己的私钥解密得到对称秘钥,后续就可以使用对称密钥来交换消息。

(2)数字签名

发送端计算消息的hash值,使用发送端的私钥 加密,得到消息的签名。发送端将签名和对称秘钥加密后的消息传输到接收端。接收端用对称秘钥解密消息,同样的方式计算出hash值。接收端使用发送端的公钥解密签名,得到另一个值,比较这两个值是否一致。如果是一致,说明消息没有被篡改。

(3)数字证书

假如有个黑客拦截了服务端向客户端发送的公钥,并用黑客的公钥向客户端发送消息,而后客户端发送了用黑客公钥加密的消息,黑客就可以用自己的私钥解密这个信息,从而导致了数据的窃听。

因此服务端向客户端发送公钥的时候,需要使用认证机构的私钥 对服务端的公钥加密得到证书,将证书发送给客户端后,客户端内置了一些可信任的认证机构的公钥,然后使用认证机构的公钥对证书进行解密,若验证通过才可以拿到服务端的公钥。证书的申请需要服务方主动去认证机构注册才能生效,而黑客伪造的证书通常没有被认证机构认证,因此解决了公钥被冒充的问题。

相关推荐
灯琰111 小时前
STM32F4+W5500 移植与开发常见问题
网络
qyr678912 小时前
全球新能源汽车电机驱动器市场深度调研报告
大数据·网络·人工智能·自动化·汽车
Hiyajo pray13 小时前
SDN 访问控制性能调优方法
服务器·网络·网络安全
初晴融雪-快雪时晴13 小时前
网络硬件全景梳理:从光纤到手机,一张网是如何连接的?
网络·智能手机·智能路由器
辣椒思密达14 小时前
AI出海产品本地化测试:住宅IP在模拟海外用户环境中的实践价值
网络协议·tcp/ip·安全·php·苹果vision pro
huainingning14 小时前
交换机通过ftp下载文件或者传输文件到ftp服务器
运维·服务器·网络
qq_5896660515 小时前
如何避免用户手速过快多次点击触发 api 多次调用
java·前端·网络
花生了什么事o16 小时前
DNS:把域名翻译成 IP 的层级查询机制
网络·网络协议·tcp/ip
海域云-罗鹏17 小时前
多云连接策略实战指南:企业如何打破云孤岛,构建跨公有云、私有云与混合云的高效网络
网络
其实防守也摸鱼17 小时前
渗透--损坏的对象级别鉴权漏洞(Broken Object Level Authorization, BOLA)
大数据·网络·数据库·学习·tcp/ip·安全·安全威胁分析