当前位置:
  1. 首页
  2. 八股文_计算机网络面试题
  3. 正文

HTTPS 是如何保证通信安全的?

八股文_计算机网络面试题 0 262

参考回答

HTTPS(Hypertext Transfer Protocol Secure) 是通过 HTTP + TLS/SSL 协议实现的安全通信协议,它通过 加密认证完整性校验 来保证通信的安全性,具体体现在以下三方面:

  1. 数据加密
    • 防止传输的数据被第三方窃取。
    • 使用对称加密保证数据传输的机密性。
  2. 身份认证
    • 使用数字证书验证服务器的真实性,防止中间人伪装服务器。
  3. 数据完整性
    • 使用消息摘要和校验机制,确保数据在传输过程中未被篡改。

详细讲解与拓展

1. HTTPS 的核心安全机制

HTTPS 是通过 TLS/SSL 协议来实现通信加密的,具体包括以下几个方面:

1) 数据加密:防止窃听
  • HTTPS 使用 对称加密 加密通信内容,保证数据的机密性。
    • 对称加密:客户端和服务器使用同一个密钥对数据进行加密和解密。
    • 问题:对称加密需要事先共享密钥。
    • 解决方案:HTTPS 使用 非对称加密 在通信开始时安全地交换对称加密密钥。
  • 流程
    1. 客户端生成对称密钥(会话密钥)。
    2. 客户端用服务器的公钥(非对称加密)加密会话密钥。
    3. 服务器用自己的私钥解密,得到会话密钥。
    4. 后续通信中使用对称加密进行数据加密传输。
2) 身份认证:防止伪装
  • HTTPS 通过 数字证书 验证服务器的身份,确保客户端与真正的服务器通信。
  • 数字证书的工作原理
    1. 服务器向客户端提供 数字证书
    2. 数字证书由权威机构(CA,Certificate Authority)颁发,包含服务器的公钥、服务器信息和 CA 的签名。
    3. 客户端验证证书是否合法:
    • 检查证书是否由受信任的 CA 签发。
    • 验证证书是否过期或被吊销。
    • 验证服务器域名与证书中标明的域名是否一致。
      1. 如果证书验证通过,客户端信任服务器的身份。
  • 意义
    • 防止中间人攻击(攻击者伪装成服务器欺骗客户端)。
3) 数据完整性:防止篡改
  • HTTPS 使用 消息摘要算法(如 SHA-256)对数据生成校验码,确保数据在传输过程中未被篡改。
  • 流程
    1. 发送方在发送数据前计算数据的摘要值(哈希值)。
    2. 数据和摘要值一同发送。
    3. 接收方收到数据后重新计算摘要值,与发送方提供的摘要值进行比对。
    4. 如果一致,说明数据未被篡改;否则,说明数据在传输中被修改。
  • 意义
    • 防止数据被篡改(如攻击者在传输过程中插入恶意代码)。

2. HTTPS 握手过程

HTTPS 的安全性依赖于 TLS/SSL 协议,以下是典型的 TLS 握手过程

  1. 客户端发起请求
    • 客户端向服务器发送请求,包含支持的加密算法和随机数(ClientHello)。
  2. 服务器响应
    • 服务器返回数字证书(包含公钥)和支持的加密算法(ServerHello)。
  3. 证书验证
    • 客户端验证服务器的数字证书是否合法。
    • 验证通过后,继续握手;否则,终止连接。
  4. 密钥交换
    • 客户端生成对称加密密钥(会话密钥)。
    • 使用服务器的公钥加密会话密钥,发送给服务器。
  5. 建立安全连接
    • 服务器用自己的私钥解密会话密钥。
    • 双方开始使用对称加密进行通信。
  6. 完成握手
    • 握手完成后,客户端与服务器使用对称加密安全传输数据。

3. HTTPS 如何防止常见攻击

1) 防止中间人攻击
  • 原理:中间人伪装成服务器,劫持数据。
  • HTTPS 防护
    • 数字证书验证服务器身份。
    • 客户端不信任伪造的证书,握手失败。
2) 防止窃听
  • 原理:攻击者监听网络流量,获取敏感信息。
  • HTTPS 防护
    • 数据通过对称加密传输,攻击者无法解密。
3) 防止数据篡改
  • 原理:攻击者修改数据包(如插入恶意代码)。
  • HTTPS 防护
    • 数据摘要校验,确保数据完整性。

4. HTTPS 的安全依赖点

  • CA(证书颁发机构)
    • 数字证书必须由可信的 CA 签发。
    • 如果 CA 被攻破,可能导致伪造证书。
  • 加密算法
    • HTTPS 的安全性取决于加密算法的强度。
    • 常用的算法:
    • 对称加密:AES。
    • 非对称加密:RSA、ECDSA。
    • 摘要算法:SHA-256。

5. HTTPS 的优点

  1. 数据机密性:防止数据被窃听。
  2. 身份验证:确保通信双方身份真实。
  3. 数据完整性:防止数据在传输中被篡改。
  4. 用户信任:现代浏览器标记未使用 HTTPS 的网站为“不安全”,HTTPS 提升了用户信任度。

6. HTTPS 的缺点与优化

  1. 缺点
    • 加密和解密增加 CPU 和内存开销。
    • 握手阶段增加延迟。
  2. 优化
    • 使用 HTTP/2:支持多路复用,减少连接数量。
    • 启用会话复用(Session Resumption):减少握手次数。
    • 使用硬件加速:如 SSL 加速卡。

总结

HTTPS 通过 加密传输身份认证数据完整性校验,有效地防止了窃听、篡改和伪装攻击,从而保证了通信的安全性。它是现代互联网通信的基础,尤其适用于敏感数据的传输场景,如登录认证、支付交易和隐私信息保护。

上一篇 HTTP 报文常见字段有哪些?
下一篇 HTTPS 大概过程流程讲一下?

发表评论

后才能评论
1 计算机网络面试真题简介
2 写在前面:串联网络各大协议
3 计算机网络五层模型分别负责什么?
4 IP 地址和 Mac 地址有啥区别?
5 说一说三次握手
6 三次握手过程中可以携带数据吗
7 说一说四次挥手
8 为什么 TIME-WAIT 状态必须等待 2MSL 的时间呢?
9 说一说TCP与UDP的区别
10 TCP 和 UDP 分别对应的常见应用层协议有哪些?
11 浏览器对同一 Host 建立 TCP 连接到的数量有没有限制?
12 说一说HTTP1.0,1.1,2.0 的区别
13 什么是SQL 注入?举个例子?
14 谈一谈 XSS 攻击,举个例子?
15 什么是DDos攻击?
16 GET请求中URL编码的意义
17 HTTP 哪些常用的状态码及使用场景?
18 HTTP状态码301和302的区别,都有哪些用途?
19 简单说下每一层对应的网络协议有哪些?
20 ARP 协议的工作原理?
21 保活计时器的作用?
22 TCP 协议是如何保证可靠传输的?
23 谈谈你对 ARQ 协议的理解?
24 什么是流量控制?
25 TCP 是如何实现流量控制的?
26 什么是滑动窗口
27 那你讲一讲什么是TCP粘包和拆包?
28 forward 和 redirect 的区别?
29 HTTP 常见方法有哪些?
30 说一说POST与GET有哪些区别
31 在浏览器中输入 URL 地址到显示主页的过程?
32 DNS 的解析过程?
33 为了 DNS 解析更多,你觉得可以用到哪些优化手段?
34 什么是 HTTP 长连接?
35 HTTP 长连接短连接使用场景是什么
36 HTTP 和 HTTPS 的区别?
37 HTTP 报文常见字段有哪些?
38 HTTPS 是如何保证通信安全的?
39 HTTPS 大概过程流程讲一下?
40 什么是数字证书?
41 什么是对称加密、非对称加密?
42 什么是 Cookie?
43 什么是 Session?
44 cookie和session是怎么实现用户的登录状态的?
45 cookie和session有什么区别?
46 UDP 如何实现可靠传输?
47 URI和 URL之间的区别
48 什么是ICMP协议?
49 ICMP 有哪些实际应用,举几个例子?
50 IPV4 地址不够如何解决
共 50 篇文章

网站配套小程序

学习路径图