Web通信的演进与安全保障
在早期的Web 1.0时代,HTTP协议满足了大部分的网络通信需求。由于费用和服务器计算资源的昂贵,HTTPS主要应用于登录、交易等关键场景。但随着业务逐渐向线上转移,网站对用户隐私和安全性愈发重视。在众多安全隐患中,HTTPS以其出色的防恶意、中间人攻击和恶意劫持篡改能力,成为主流网站的首选安全协议。
HTTP(超文本传输协议)是一种无状态协议,通过定义一组规则和标准,使得信息能够在互联网上传播。在此过程中,客户端通过Socket建立TCP/IP连接,并与服务器完成信息交换后关闭连接(后来通过Connection: Keep-Alive实现了长连接)。
HTTP请求与响应的结构如图所示,其头部由一系列键值对组成,允许客户端发送附加信息或自身信息至服务器端,如accept、accept-encoding、cookie等,且头部后面必须有一个空行。请求行由方法、URL和HTTP版本构成,而响应行则包括HTTP版本、状态码和信息提示符。
随着技术的发展,HTTP的二进制格式逐渐取代了文本格式,因其更便于实现且健壮性更强。HTTP2.0还引入了多路复用机制,允许一个连接上共享多个请求,并随机混杂接收请求。HTTP2.0还支持header压缩,以减少传输大小和重复发送的信息。服务端推送功能也得到了增强。
HTTP通信使用明文可能被,不验证通信方身份可能遭遇伪装,且无法证文完整性,这促使了HTTPS的流行。HTTPS是HTTP的安全形式,其所有请求和响应数据在发送前都会进行加理。这得益于SSL(接层)或其后续者TLS(传输层安全)提供的传输级密码安全层。
在TLS/SSL协议中,传输的数据必须具备性和完整性。这些数据通过一系列密钥块进行加理,如对称加密算法的密钥和HMAC算法的密钥等。协议还涉及一系列关键步骤如认证、密钥协商和数据加密等。握手阶段是其中的重要环节,分为五步完成双方密钥的协商和验证。在这个过程中,服务器的公钥和数字起到了关键作用。
值得一提的是,为了保障通信安全,我们可以考虑将握手阶段的算法从默认的RSA算法改为Diffie-Hellman算法(简称DH算法)。采用DH算法后,双方无需传递敏感的随机数(Premaster secret),只需交换各自参数即可算出该随机数。
相关术语如密钥、对称密钥加密系统、不对称密钥加密系统等在保障通信安全中扮演着重要角色。这些技术和协议共同构成了现代网络通信的安全基石。无论是HTTP还是HTTPS,其背后都离不开这些技术的支撑与保障。