【计算机网络学习笔记（十三）】之HTTPS，HTTP认证机制，安全漏洞

た入场券 2023-10-07 16:21 29阅读 0赞

#### 文章目录 ####

*   *  本文章由公号【开发小鸽】发布！欢迎关注！！！
     *  一． HTTPS
     *   *  （一） HTTP的缺点
         *   *  1. 通信使用明文
             *  2. 没有身份验证机制
             *  3. 无法验证报文的完整性
         *  （二） HTTPS介绍
         *   *  1. 概述
             *  2. 加密技术
             *   *  （1） 共享密钥加密
                 *  （2） 公共密钥加密
             *  3. HTTPS的加密机制
             *  4. 证书机制
             *  5. HTTPS通信步骤
             *  6. 客户端证书
     *  二． HTTP的认证机制
     *   *  （一） 认证机制分类
         *  （二） Basic认证
         *  （三） Digest认证
         *  （四） SSL客户端认证
         *  （五） 表单认证
     *  三． 安全漏洞
     *   *  （一） 点击劫持
         *  （二） Dos攻击
         *  （三） 后门程序

### 本文章由公号【开发小鸽】发布！欢迎关注！！！ ###

**老规矩–妹妹镇楼：**

![20200721223424816.JPG][]

### 一． HTTPS ###

#### （一） HTTP的缺点 ####

##### 1. 通信使用明文 #####

HTTP协议通信使用的是明文，没有经过加密处理，容易被窃听。HTTP协议不具有加密的功能，无法对通信整体进行加密。有两种加密方式，一种是对通信过程加密，另一种是对内容加密。

通信过程加密通过SSL（Secure Socket Layer）安全套接层或TLS（Transport Layer Security）安全传输层协议组合使用，建立安全通信线路，与SSL组合使用的HTTP为HTTPS（超文本传输安全协议）。

对内容本身加密是通过客户端的加密和服务器端的解密过程实现的。

##### 2. 没有身份验证机制 #####

HTTP协议不验证通信方的身份，因此可能遭遇伪装。通过使用SSL可以实现身份的认证，SSL不仅提供加密处理，还是用了证书，证书由信任的第三方机构颁发，用以证明服务器和客户端是实际存在的，同时客户端持有证书也可以完成个人身份的证明。

##### 3. 无法验证报文的完整性 #####

HTTP协议无法证明报文是完整的，因此可能遭遇篡改。

#### （二） HTTPS介绍 ####

##### 1. 概述 #####

HTTPS就是添加了加密，认证机制以及完整性保护的HTTP，他并不是应用层的一种新的协议，只是HTTP通信接口部分使用SSL和TLS协议代替。通常HTTP直接和TCP通信，当使用SSL时，则先和SSL通信，再由SSL和TCP通信，即SSL协议在HTTP协议的外层。

采用了SSL之后，HTTP就拥有了HTTPS的加密，证书，完整性保护功能。SSL是独立的协议，所以其他应用层协议如SMTP，Telnet都可以和SSL协议配合使用。且SSL的通信速度比HTTP要慢2到100倍，同时SSL还要处理加密与解密，更慢了。

##### 2. 加密技术 #####

###### （1） 共享密钥加密 ######

加密和解密使用同一个密钥的方式称为共享密钥加密，也叫对称密钥加密。该方式在加密之后需要将密钥发送给该对方，如何保证密钥能够安全地传输给对方，且如果密钥传输是安全的，那么通信也就是安全的，密钥就成为多余的了。

###### （2） 公共密钥加密 ######

公共密钥加密解决了共享密钥加密的问题，使用一对非对称的密钥，一个是私钥，本人保存；一个是公钥，可以公开。发送密文的一方使用对方的公开密钥进行加密，对方接收到被加密的信息后，再使用自己的私钥解密。这种方式不需要发送解密的私钥，私钥丢失概率降低。

##### 3. HTTPS的加密机制 #####

HTTPS采用两者混合的加密机制，由于公共密钥加密处理更为复杂，因此通信速率较低。在交换密钥阶段采用的是公共密钥加密，而在需要大量流量通信的交换报文阶段使用的是共享密钥加密方式。

##### 4. 证书机制 #####

但这样还不够，交换密钥阶段无法证明发送的公钥就是服务器的公钥，为了解决这个问题，使用由数字证书认证机构（CA，Certificate Authority）颁发的公开密钥证书证明公钥的有效性。服务器向机构申请公钥证书，机构判明申请者的身份后，使用机构的私钥对服务器的公钥做数字签名，然后将已签名的服务器公钥放入公钥证书中，服务器再将该证书发送给客户端，客户端中一般内置了常见的机构的公钥，客户端根据机构的公钥解开得到服务器的公钥，就可以通过该公钥解开得到服务器通过私钥加密的共享通信的密钥，接下来就可以进行共享密钥的通信了。

##### 5. HTTPS通信步骤 #####

（1） 服务器向证书机构申请服务器公钥的证书，机构验证了申请者的身份后，就会使用机构自己的私钥对服务器公钥进行签名，和服务器公钥一起放入公钥证书中；

（2） 服务器将公钥证书发送给客户端，客户端中一般都内置了常见机构的公钥，接受到公钥证书后，通过机构的公钥解开得到了服务器公钥；

（3） 客户端通过服务器公钥加密了最后HTTP通信使用的共享密钥后发送给服务器，服务器接收到之后用服务器的私钥解密得到了HTTP通信使用的共享密钥；

（4） 客户端和服务器端都得到了共享密钥，就可以通过共享密钥来进行HTTP通信了。

##### 6. 客户端证书 #####

HTTPS还可以使用客户端证书，证明客户端的身份，作用和服务器证书一致，但是要想获取证书，需要用户自己安装客户端证书，且该证书通常是付费的，很少使用，一般用在银行的网上银行中，用以确保用户从特定的客户端登录。

### 二． HTTP的认证机制 ###

#### （一） 认证机制分类 ####

HTTP/1.1使用的认证机制有四种，Basic基本认证，Digest摘要认证，SSL客户端认证，FormBase表单认证。

#### （二） Basic认证 ####

基本认证是HTTP/1.0定义的认证方式，认证步骤如下：