HTTPS与SSL.doc

1. HTTPS
HTTPS （全称:Hypertext Transfer Protocol over Secure Socket Layer ）,是以安
全为目标的HTTP通道，简单讲是 HTTP的安全版。即 HTTP下加入SSL层，HTTPS的安全基 础是SSL，因此加密的详细内容就需要 SSL。它是一个URI scheme （抽象标识符体系），句
法类同http:体系。用于安全的 HTTP数据传输。https:URL表明它使用了 HTTPS但HTTPS 存在不同于HTTP的默认端口及一个加密/身份验证层（在HTTP与TCP之间）。这个系统的最 初研发由网景公司进行， 提供了身份验证与加密通讯方法， 现在它被广泛用于万维网上安全
敏感的通讯，例如交易支付方面
HTTPS和 HTTP的 区别
一、 https 协议需要到 ca申请证书，一般免费证书很少，需要交费。
二、 http是超文本传输协议，信息是明文传输， https 则是具有安全性的 ssl
加密传输协议。
三、 http和https使用的是完全不同的连接方式，用的端口也不一样，前者是
80，后者是443。
四、http的连接很简单，是无状态的； HTTPS协议是由 SSL+HTTP协议构建的可
进行加密传输、身份认证的网络协议，比 http协议安全。
https的实现原理
有两种基本的加解密算法类型
1） 对称加密：密钥只有一个，加密解密为同一个密码，且加解密速度快，典型的对称 加密算法有DES AES等；
2） 非对称加密：密钥成对出现（且根据公钥无法推知私钥， 根据私钥也无法推知公钥）：
加密解密使用不同密钥（公钥加密需要私钥解密，私钥加密需要公钥解密） ，相对对称加密
速度较慢，典型的非对称加密算法有 RSA DSA等。
https的通信过程
https的通信过程
https的通信过程
https通信的优点
1 ）客户端产生的密钥只有客户端和服务器端能得到;
2） 加密的数据只有客户端和服务器端才能得到明文;
3） 客户端到服务端的通信是安全的。
HTTPS解决的问题
一、 信任主机的问题 .
采用https 的服务器必须从 CA （ Certificate Authority ）申请一个用于证明
服务器用途类型的证书。 该证书只有用于对应的服务器的时候， 客户端才信任此主机。
所以目前所有的银行系统网站， 关键部分应用都是 https 的。客户通过信任该证书，
从而信任了该主机。其实这样做效率很低，但是银行更侧重安全。这一点对我们没有 任何意义，我们的服务器，采用的证书不管是自己发布的还是从公众的地方发布的， 其客户端都是自己人，所以我们也就肯定信任该服务器。
二、 通讯过程中的数据的泄密和被篡改
一般意义上的 https，就是服务器有一个证书。
a）主要目的是保证服务器就是他声称的服务器，这个跟第一点一样。
b）服务端和客户端之间的所有通讯，都是加密的。
具体讲，是客户端产生一个对称的密钥，通过服务器的证书来交换密钥，即 一般意义上的握手过程。
ii. 接下来所有的信息往来就都是加密的。第三方即使截获，也没有任何意义，
因为他没有密钥，当然篡改也就没有什么意义了。
少许对客户端有要求的情况下，会要求客户端也必须有一个证书。
a） 这里客户端证书，其实就类似表示个人信息的时候，除了用户名 /密码，还有
一个CA认证过的身份。因为个人证书一般来说是别人无法模拟的，所有这样能够更
深的确认自己的身份。
b） 目前少数个人银行的专业版是这种做法，具体证书可能是拿 U盘（即U盾）
作为一个备份的载体
理解误区
它的安全保护依赖浏览器的正确实现以及服务器软件、实际加密算法的支持 •
一种常见的误解是“银行用户在线使用 https:就能充分彻底保障他们的银行卡
号不被偷窃。”实际上，与服务器的加密连接中能保护银行卡号的部分，只有用户到 服务器之间的连接及服务器自身。并不能绝对确保服务器自己是安全的，这点甚至已 被攻击者利用，常见例子是模仿银行域名的钓鱼攻击。少数罕见攻击在网站传输客户 数据时发生，攻击者会尝试窃听传输中的数据。
商业网站被人们期望迅速尽早引入新的特殊处理程序到金融网关， 仅保留传输码
（transaction number）。不过他们常常存储银行卡号在同一个数据库里。那些数据库
和服务器少数情况有可能被未授权用户攻击和损害。
SSL
SSL介绍
SSL 安全套接层协议 （Secure Socket Layer）
为Netscape所研发，用以保障在 In ternet 上数据传输之安全，利用数据加密
（En cryp