http通信有一些什么問題

• 竊聽 - 對稱加密
• 傳遞密鑰 - 非對稱加密
• 安全速度 - 非對稱加密 + 對稱加密
• 中間人攻擊 - 證書
• 證書偽造 - 消息摘要
• 摘要偽造 - 數(shù)字簽名

可能被竊聽

• http本身不具備加密功能，http報文使用明文方式發(fā)送

還可能存在驗證問題

• 無法確認發(fā)送到的服務器就是真正的目標服務器（可能是偽裝的服務器）
• 無法確定返回的客戶端是否是按照真實意圖接受的客戶端（可能是偽裝的客戶端）
• 無法確定正在通信的對方是否具備訪問權限，web服務器上某些重要的信息，只想發(fā)給特定用戶即使是無意義的請求也會照單全手。無法阻止海量請求下的DoS攻擊
• 可能被篡改，在請求或者響應的傳輸途中，遭攻擊者攔截并篡改內容的攻擊(中間人攻擊)

對稱加密

• 常見的有AES-CBC、DES、3DES、AES-GCM等，相同的密鑰可用于信息的加密和解密，掌握密鑰才能獲取信息，能夠防止信息竊聽，這種方式是一對一的，對稱加密需要共享相同的密碼，密碼的安全是保證信息安全的基礎，服務器和多個客戶端通信需要維持多個密碼記錄，且缺少修改密碼的機制；
• 優(yōu)點：算法公開、計算量小、加密速度快，加密效率高。
• 缺點：雙方使用同樣的鑰匙，安全性得不到保證。

非對稱加密

• 常見的RSA算法，還包括ECC，DH等算法，算法特點是密鑰成對出現(xiàn)，一般稱為公鑰和私鑰，公鑰加密的信息只能私鑰解開，私鑰加密的信息只能公鑰解開，因此掌握公鑰的不同客戶端之間不能相互解密信息，只能和掌握私鑰的服務器端解密，服務器可以實現(xiàn)1對多的通信，客戶端也可以用來驗證掌握私鑰的服務器身份。
• 非對稱加密的特點是信息傳輸1對多，服務器只需要維持一個私鑰就能夠對多個客戶端進行加密通信，但服務器發(fā)出的信息能夠被所有的客戶端解密，且該算法計算復雜加密速度慢

完整性驗證算法

• 常見的有MD5，SHA1、SHA256該函數(shù)的特點是單向不可逆，對輸入非常敏感，輸出長度固定，針對數(shù)據(jù)的任何修改都會改變散列函數(shù)的結果，用于防治信息篡改并驗證數(shù)據(jù)的完整性；
• 在信息傳輸過程中，散列函數(shù)不能單獨實現(xiàn)信息防篡改，因為明文傳輸，中間人可以修改信息之后重新計算信息摘要，因此需要對傳輸?shù)男畔⒁约靶畔⒄M行加密