艾銻無限整理：HTTPS協(xié)議簡介

2020-02-21 17:33 作者：admin 瀏覽量：

 
這幾天如果大家關(guān)注疫情數(shù)據(jù)的變化，可以看到新增確診病例在持續(xù)下降，這意味著疫情很快就會結(jié)束，大家再也不用在家辦公了，到不是在家工作有什么不好，但人類發(fā)明工作不簡簡單單只是為了實現(xiàn)結(jié)果的達成，還有一個非常重要的因素就是人與人之間的聯(lián)結(jié)，這是人類內(nèi)在價值的需求，透過工作與人接觸，共同感受彼此的能量流動，從而達到自我價值的實現(xiàn)，這就像演員都渴望登上奧斯卡的舞臺，來實現(xiàn)自我角色的認可一樣。  
在家辦公，畢竟是家，松、散、懶以及無所謂的態(tài)度會隨時產(chǎn)生，我相信不是每個人都會這樣，但大部分人會如此，因為家本來就是放松的能量場，接下來大家即將回到公司，回到自己的工作崗位，難免會把在家的狀態(tài)帶入工作中，如果每個人都是這樣的狀態(tài)，企業(yè)很快會陷入新的窘境，所以沒有狀態(tài)，也不會有好的結(jié)果，狀態(tài)就是一切。
 
團隊的勢氣決定企業(yè)整體的戰(zhàn)斗力，那如何調(diào)整陸陸續(xù)續(xù)回來的團隊成員呢？
 
   
艾銻無限對中小企業(yè)有三條建議：
 
第一，重新梳理整個企業(yè)的戰(zhàn)略，疫情的發(fā)生，是否給你企業(yè)帶來了變化？如果有那是什么？是否需要調(diào)整自己原有的戰(zhàn)略方向來應(yīng)對疫情發(fā)生后的影響？
 
第二，重新明確每個人的目標和目的，目標就是重回企業(yè)的人要干什么？干到什么程度？什么時間可以看到這個結(jié)果的發(fā)生？目的就是為什么要實現(xiàn)這個目標？這個目標與自己的意義是什么？與企業(yè)的意義又是什么？達成了會怎么樣？達不成又會怎么樣？
 
只有清晰這些問題，才會讓回到工作崗位的人快速改變自己的狀態(tài)投入到接下來的工作中，只有積極的狀態(tài)投入工作才會有積極的成果發(fā)生，反之依然。
 
第三，企業(yè)高管與員工建立一對一的對話機制，因疫情的影響，每個人心理或多或少都會產(chǎn)生一些內(nèi)在的變化，作為企業(yè)的高層管理人員，最好與企業(yè)內(nèi)部員工一對一的進行溝通，去了解在這個過程中員工受到的影響和產(chǎn)生的變化，以便接下來更好的調(diào)整他們的狀態(tài)，因為如果他們的心沒有回來，企業(yè)的要求和制度帶來的也都是大家沒有能量的重復(fù)和機械的工作，最終也很難帶來好的結(jié)果。
 
以上三點是企業(yè)管理者需要重視的，當然身為企業(yè)的一員無論是誰也都需要重新審視自己的狀態(tài)，因為這關(guān)系著企業(yè)接下來的生、死、存、亡，能量是企業(yè)持續(xù)發(fā)展的源泉，以上所有的目的都是為了聚合企業(yè)人的能量，重新點燃大家面對工作的激情和信心，這將是企業(yè)至勝的法定。
 
當然這只是我們一家之言，每家企業(yè)可根據(jù)自身的情況做出相應(yīng)的調(diào)整和改變。
 
以上三點做為每一家企業(yè)的管理者都有必要重視起來，因為這關(guān)系著企業(yè)接下來的生、死、存、亡，當然這只是我們一家之言，可根據(jù)自身的情況做出相應(yīng)的調(diào)整和改變。
 
那為什么我們會有這樣的思考，因為艾銻無限是一家企業(yè)互聯(lián)網(wǎng)”云”解決方案服務(wù)平臺，企業(yè)在初創(chuàng)時經(jīng)歷了2003年的非典，后來又經(jīng)歷了2008年的經(jīng)濟危機以及2016年互聯(lián)網(wǎng)創(chuàng)業(yè)大潮，生生死死，幾經(jīng)沉浮，最終發(fā)現(xiàn)上述三點是生死線中最重要的，所以愿意分享給大家，期望這次疫情大家不僅能渡過難關(guān)，更能看見大家在這個過程中強而有力的領(lǐng)導(dǎo)力，讓自己企業(yè)力挽狂瀾，讓自己的工作更上一層樓，讓自己的生活在2020年更精彩。
 
在這次疫情后各個企業(yè)恢復(fù)的過程中，艾銻無限還能為大家做的就是免費為中小企業(yè)提供相應(yīng)的IT服務(wù)，以下是艾銻無限可以提供服務(wù)的內(nèi)容，如果大家有相應(yīng)的需求，可以打下面的電話與我們的企業(yè)相關(guān)人員聯(lián)系，我們一定會盡全力幫助大家渡過難關(guān)。
   
 
歷經(jīng)10幾年,艾銻無限服務(wù)了5000多家中小企業(yè)并保障了幾十萬臺設(shè)備的正常運轉(zhuǎn)，積累了豐富的企業(yè)IT緊急問題和特殊故障的解決方案，我們?yōu)槟钠髽I(yè)提供的IT服務(wù)分為三大版塊:
 
第一版塊是保障性IT外包服務(wù):如電腦設(shè)備運維，辦公設(shè)備運維，網(wǎng)絡(luò)設(shè)備運維，服務(wù)器運維等綜合性企業(yè)IT設(shè)備運維服務(wù)。
 
第二版塊是功能性互聯(lián)網(wǎng)外包服務(wù):如網(wǎng)站開發(fā)外包，小程序開發(fā)外包，APP開發(fā)外包，電商平臺開發(fā)外包，業(yè)務(wù)系統(tǒng)的開發(fā)外包和后期的運維外包服務(wù)。
 
第三版塊是增值性云服務(wù)外包:如企業(yè)郵箱上云，企業(yè)網(wǎng)站上云，企業(yè)存儲上云，企業(yè)APP小程序上云，企業(yè)業(yè)務(wù)系統(tǒng)上云，阿里云產(chǎn)品等后續(xù)的云運維外包服務(wù)。
   
更多服務(wù)也可以登錄艾銻無限的官網(wǎng): www.bjitwx.com 查看詳細說明。

每家企業(yè)都有著不同的人，每個人都有著不一樣的思考，所以企業(yè)不需要統(tǒng)一所有人的思維，企業(yè)只需要統(tǒng)一所有人的心，因為只要心在一起了，能量就會合一，能量合一企業(yè)將無所不能。
 
相信這次疫情帶給中國企業(yè)的不僅僅是災(zāi)難，更有可能的是歷練，這幾年經(jīng)濟發(fā)展如此快速，大部分中小企業(yè)的成長都是隨著國家政策及整個社會的大勢起來的，沒有經(jīng)過太多的挑戰(zhàn)和困難，所以存活周期也會很短，從2016年大眾創(chuàng)業(yè)，萬眾創(chuàng)新倡導(dǎo)下成立了上千萬家企業(yè)，但真正存活下來的就只有幾萬家，這樣的結(jié)果即不能給國家?guī)矸€(wěn)定持續(xù)發(fā)展的動力，也不能為社會創(chuàng)造更大的價值，反而讓更多的人投機取巧，心浮氣躁，沉不下來真正把一件事做好，做到極致。
 
所以這次疫情也會讓大部分企業(yè)重新思考，問問自己，為什么要創(chuàng)立這家企業(yè)，想為這個國家和社會帶來的是什么？企業(yè)真正在創(chuàng)造的是什么？如何做才能讓社會因自己的企業(yè)變得更好？.....
 
當企業(yè)真正去思考，用心去創(chuàng)造價值的時候，也就是人們幸福快樂的時候，因為再也不用擔心假貨、次貨、買到不好的產(chǎn)品，更不用擔心環(huán)境被污染，大氣被破壞，疫情即是一場災(zāi)難，又是重新成就中國企業(yè)的一次機會，讓全世界人覺醒，生命只有一次，我們要如何做才能不枉此生呢？
 
   
你對世界微笑，世界絕不會對你哭，希望大家都能積極樂觀起來，讓自己、自己的家人、自己的企業(yè)、還有自己的國家都快樂起來，把焦點、意識、能量放在我們想要什么上，而不是不要的事情上，我相信，就在不久的將來，我們一定會看到一個富強、文明、健康的中國以及一個和諧友愛的世界。
 
萬物同體，能量合一，最后無論你是中小企業(yè)，還是大型國有企業(yè)，只要你選擇艾銻無限，我們就一定全力以赴幫助大家渡過難關(guān)，服務(wù)有限，信息無限，透過全體艾銻人的努力，為您收集最有效的IT技術(shù)信息，讓您企業(yè)更快速解決遇到的IT問題：
 

艾銻知識 | 
1.艾銻無限整理：HTTPS協(xié)議簡介
 
協(xié)議安全和加密越來越引起人們的重視和關(guān)注，今天就跟大家分享一點協(xié)議加密方面的知識。要說清楚 HTTPS 協(xié)議的實現(xiàn)原理，至少需要如下幾個背景知識。
1. 大致了解幾個基本術(shù)語(HTTPS、SSL、TLS)的含義
2. 大致了解 HTTP 和 TCP 的關(guān)系(尤其是 “短連接”VS“長連接”)
3. 大致了解加密算法的概念(尤其是 “對稱加密與非對稱加密” 的區(qū)別)
4. 大致了解 CA 證書的用途 一、先澄清幾個術(shù)語——HTTPS、SSL、TLS。
1. “HTTP” 是什么
      首先，HTTP 是一個網(wǎng)絡(luò)協(xié)議，是專門用來幫你傳輸 Web 內(nèi)容滴。關(guān)于這個協(xié)議，就算你不了解，至少也聽說過吧？比如你訪問俺的博客的主頁，瀏覽器地址欄會出現(xiàn)如下的網(wǎng)址http://www.xxx.com/
      俺加了粗體的部分就是指 HTTP 協(xié)議。大部分網(wǎng)站都是通過 HTTP 協(xié)議來傳輸 Web 頁面、以及 Web 頁面上包含的各種東東(圖片、CSS 樣式、JS 腳本)。
 
2. “SSL/TLS” 是什么
      SSL 是洋文 “Secure Sockets Layer” 的縮寫，中文叫做 “安全套接層”。它是在上世紀 90 年代中期，由網(wǎng)景公司設(shè)計的。因為原先互聯(lián)網(wǎng)上使用的 HTTP 協(xié)議是明文的，存在很多缺點——比如傳輸內(nèi)容會被偷窺(嗅探)和篡改。發(fā)明 SSL 協(xié)議，就是為了解決這些問題。
      到了 1999 年，SSL 因為應(yīng)用廣泛，已經(jīng)成為互聯(lián)網(wǎng)上的事實標準。IETF 就在那年把 SSL 標準化。標準化之后的名稱改為 TLS(是 “Transport Layer Security” 的縮寫)，中文叫做“傳輸層安全協(xié)議”。
      很多相關(guān)的文章都把這兩者并列稱呼(SSL/TLS)，因為這兩者可以視作同一個東西的不同階段。
 
3. “HTTPS” 是什么
      解釋完 HTTP 和 SSL/TLS，現(xiàn)在就可以來解釋 HTTPS 啦。咱們通常所說的 HTTPS 協(xié)議，說白了就是 “HTTP 協(xié)議” 和“SSL/TLS 協(xié)議”的組合。你可以把 HTTPS 大致理解為——“HTTP over SSL”或“HTTP over TLS”(反正 SSL 和 TLS 差不多)。
 
二、再來說說 HTTP 協(xié)議的特點
      作為背景知識介紹，還需要再稍微談一下 HTTP 協(xié)議本身的特點。HTTP 本身有很多特點，考慮到篇幅有限，俺只談那些和 HTTPS 相關(guān)的特點。
 
1. HTTP 的版本和歷史
      如今咱們用的 HTTP 協(xié)議，版本號是 1.1(也就是 HTTP 1.1)。這個 1.1 版本是 1995 年底開始起草的(技術(shù)文檔是 RFC2068)，并在 1999 年正式發(fā)布(技術(shù)文檔是 RFC2616)。
      在 1.1 之前，還有曾經(jīng)出現(xiàn)過兩個版本 “0.9 和 1.0”，其中的 HTTP 0.9 沒有被廣泛使用，而 HTTP 1.0 被廣泛使用過。 另外，2015年IETF 就要發(fā)布 HTTP 2.0 的標準了。
 
2. HTTP 和 TCP 之間的關(guān)系
      簡單地說，TCP 協(xié)議是 HTTP 協(xié)議的基石——HTTP 協(xié)議需要依靠 TCP 協(xié)議來傳輸數(shù)據(jù)。在網(wǎng)絡(luò)分層模型中，TCP 被稱為 “傳輸層協(xié)議”，而 HTTP 被稱為 “應(yīng)用層協(xié)議”。
      有很多常見的應(yīng)用層協(xié)議是以 TCP 為基礎(chǔ)的，比如 “FTP、SMTP、POP、IMAP” 等。
      TCP 被稱為 “面向連接” 的傳輸層協(xié)議。關(guān)于它的具體細節(jié)，俺就不展開了(否則篇幅又失控了)。你只需知道：傳輸層主要有兩個協(xié)議，分別是 TCP 和 UDP。TCP 比 UDP 更可靠。你可以把 TCP 協(xié)議想象成某個水管，發(fā)送端這頭進水，接收端那頭就出水。并且 TCP 協(xié)議能夠確保，先發(fā)送的數(shù)據(jù)先到達(與之相反，UDP 不保證這點)。
 
3. HTTP 協(xié)議如何使用 TCP 連接？
      HTTP 對 TCP 連接的使用，分為兩種方式：俗稱 “短連接” 和“長連接”(“長連接”又稱 “持久連接”，洋文叫做“Keep-Alive” 或“Persistent Connection”) 假設(shè)有一個網(wǎng)頁，里面包含好多圖片，還包含好多外部的CSS 文件和 JS 文件。在 “短連接” 的模式下，瀏覽器會先發(fā)起一個 TCP 連接，拿到該網(wǎng)頁的 HTML 源代碼(拿到 HTML 之后，這個 TCP 連接就關(guān)閉了)。然后，瀏覽器開始分析這個網(wǎng)頁的源碼，知道這個頁面包含很多外部資源(圖片、CSS、JS)。
      然后針對每一個外部資源，再分別發(fā)起一個個 TCP 連接，把這些文件獲取到本地(同樣的，每抓取一個外部資源后，相應(yīng)的 TCP 就斷開) 相反，如果是 “長連接” 的方式，瀏覽器也會先發(fā)起一個 TCP 連接去抓取頁面。但是抓取頁面之后，該 TCP 連接并不會立即關(guān)閉，而是暫時先保持著(所謂的“Keep-Alive”)。然后瀏覽器分析 HTML 源碼之后，發(fā)現(xiàn)有很多外部資源，就用剛才那個 TCP 連接去抓取此頁面的外部資源。
      在 HTTP 1.0 版本，默認使用的是 “短連接”(那時候是 Web 誕生初期，網(wǎng)頁相對簡單，“短連接” 的問題不大)； 到了 1995 年底開始制定 HTTP 1.1 草案的時候，網(wǎng)頁已經(jīng)開始變得復(fù)雜(網(wǎng)頁內(nèi)的圖片、腳本越來越多了)。這時候再用短連接的方式，效率太低下了(因為建立 TCP 連接是有 “時間成本” 和“CPU 成本”滴)。
      所以，在 HTTP 1.1 中，默認采用的是 “Keep-Alive” 的方式。 關(guān)于 “Keep-Alive” 的更多介紹，可以參見維基百科詞條。
 
三、談?wù)?“對稱加密” 和“非對稱加密”的概念
 
1. 什么是 “加密” 和“解密”？
      通俗而言，你可以把 “加密” 和“解密”理解為某種互逆的數(shù)學運算。就好比 “加法和減法” 互為逆運算、“乘法和除法”互為逆運算。
 
      “加密”的過程，就是把 “明文” 變成 “密文” 的過程；反之，“解密”的過程，就是把 “密文” 變?yōu)?ldquo;明文”。在這兩個過程中，都需要一個關(guān)鍵的東東——叫做“密鑰”——來參與數(shù)學運算。
 
2. 什么是 “對稱加密”？
      所謂的 “對稱加密技術(shù)”，意思就是說：“加密” 和“解密”使用相同的密鑰。這個比較好理解。就好比你用 7zip 或 WinRAR 創(chuàng)建一個帶密碼(口令)的加密壓縮包。當你下次要把這個壓縮文件解開的時候，你需要輸入同樣的密碼。在這個例子中，密碼 / 口令就如同剛才說的“密鑰”。
 
3. 什么是 “非對稱加密”？
      所謂的 “非對稱加密技術(shù)”，意思就是說：“加密” 和“解密”使用不同的密鑰。這玩意兒比較難理解，也比較難想到。當年 “非對稱加密” 的發(fā)明，還被譽為 “密碼學” 歷史上的一次革命。
      由于篇幅有限，對 “非對稱加密” 這個話題，俺就不展開了。有空的話，再單獨寫一篇掃盲。
 
4. 各自有什么優(yōu)缺點？
      看完剛才的定義，很顯然：(從功能角度而言)“非對稱加密”能干的事情比 “對稱加密” 要多。這是 “非對稱加密” 的優(yōu)點。但是 “非對稱加密” 的實現(xiàn)，通常需要涉及到 “復(fù)雜數(shù)學問題”。所以，“非對稱加密” 的性能通常要差很多(相對于 “對稱加密” 而言)。 這兩者的優(yōu)缺點，也影響到了 SSL 協(xié)議的設(shè)計。
 
四、HTTPS 協(xié)議的需求是啥？
     下面正式進入正題。先來說說當初設(shè)計 HTTPS 是為了滿足哪些需求？
      很多介紹 HTTPS 的文章一上來就給你講實現(xiàn)細節(jié)。個人覺得：這是不好的做法。早在 2009 年開博的時候，發(fā)過一篇<學習技術(shù)的三部曲：WHAT、HOW、WHY>，其中談到 “WHY 型問題” 的重要性。一上來就給你講協(xié)議細節(jié)，你充其量只能知道 WHAT 和 HOW，無法理解 WHY。
      俺在前一個章節(jié)講了“背景知識”，在這個章節(jié)講了“需求”，這就有助于你理解：當初為什么要設(shè)計成這樣？——這就是 WHY 型的問題。
 
 
兼容性
      因為是先有 HTTP 再有 HTTPS。所以，HTTPS 的設(shè)計者肯定要考慮到對原有 HTTP 的兼容性。 這里所說的兼容性包括很多方面。比如已有的 Web 應(yīng)用要盡可能無縫地遷移到 HTTPS；比如對瀏覽器廠商而言，改動要盡可能?。换?“兼容性” 方面的考慮，很容易得出如下幾個結(jié)論:
1. HTTPS 還是要基于 TCP 來傳輸(如果改為 UDP 作傳輸層，無論是 Web 服務(wù)端還是瀏覽器客戶端，都要大改，動靜太大了)。
2. 單獨使用一個新的協(xié)議，把 HTTP 協(xié)議包裹起來 (所謂的 “HTTP over SSL”，實際上是在原有的 HTTP 數(shù)據(jù)外面加了一層 SSL 的封裝。HTTP 協(xié)議原有的 GET、POST 之類的機制，基本上原封不動)。
      打個比方：如果原來的 HTTP 是塑料水管，容易被戳破；那么如今新設(shè)計的 HTTPS 就像是在原有的塑料水管之外，再包一層金屬水管。一來，原有的塑料水管照樣運行；二來，用金屬加固了之后，不容易被戳破。
 
可擴展性
      前面說了，HTTPS 相當于是 “HTTP over SSL”。 如果 SSL 這個協(xié)議在 “可擴展性” 方面的設(shè)計足夠牛逼，那么它除了能跟 HTTP 搭配，還能夠跟其它的應(yīng)用層協(xié)議搭配。豈不美哉？
      現(xiàn)在看來，當初設(shè)計 SSL 的人確實比較牛。如今的 SSL/TLS 可以跟很多常用的應(yīng)用層協(xié)議(比如: FTP、SMTP、POP、Telnet)搭配，來強化這些應(yīng)用層協(xié)議的安全性。
      接著剛才打的比方：如果把 SSL/TLS 視作一根用來加固的金屬管，它不僅可以用來加固輸水的管道，還可以用來加固輸煤氣的管道。
 
保密性
      HTTPS 需要做到足夠好的保密性。說到保密性，首先要能夠?qū)剐崽?行話叫 Sniffer)。所謂的 “嗅探”，通俗而言就是監(jiān)視你的網(wǎng)絡(luò)傳輸流量。如果你使用明文的 HTTP 上網(wǎng)，那么監(jiān)視者通過嗅探，就知道你在訪問哪些網(wǎng)站的哪些頁面。
      嗅探是最低級的攻擊手法。除了嗅探，HTTPS 還需要能對抗其它一些稍微高級的攻擊手法——比如 “重放攻擊”。
 
完整性
      除了 “保密性”，還有一個同樣重要的目標是“確保完整性”。關(guān)于“完整性” 這個概念，在之前的博文<掃盲文件完整性校驗——關(guān)于散列值和數(shù)字簽名>中大致提過。健忘的同學再去溫習一下。 在發(fā)明 HTTPS 之前，由于 HTTP 是明文的，不但容易被嗅探，還容易被篡改。
      舉個例子：比如咱們天朝的網(wǎng)絡(luò)運營商都比較流氓，經(jīng)常有網(wǎng)友抱怨說訪問某網(wǎng)站(本來是沒有廣告的)，竟然會跳出很多廣告。為啥會這樣捏？因為你的網(wǎng)絡(luò)流量需要經(jīng)過 ISP 的線路才能到達公網(wǎng)。如果你使用的是明文的 HTTP，ISP 很容易就可以在你訪問的頁面中植入廣告。所以，當初設(shè)計 HTTPS 的時候，還有一個需求是 “確保 HTTP 協(xié)議的內(nèi)容不被篡改”。
 
真實性
      在談到 HTTPS 的需求時，“真實性”經(jīng)常被忽略。其實 “真實性” 的重要程度不亞于前面的 “保密性” 和“完整性”。
      舉個例子：你因為使用網(wǎng)銀，需要訪問該網(wǎng)銀的 Web 站點。那么，你如何確保你訪問的網(wǎng)站確實是你想訪問的網(wǎng)站？(這話有點繞口令) 有些天真的同學會說：通過看網(wǎng)址里面的域名來確保。
      為啥說這樣的同學是 “天真的”？因為 DNS 系統(tǒng)本身是不可靠的(尤其是在設(shè)計 SSL 的那個年代，連DNSSEC 都還沒發(fā)明)。由于DNS 的不可靠(存在“域名欺騙” 和“域名劫持”)，你看到的網(wǎng)址里面的域名未必是真實滴！所以，HTTPS 協(xié)議必須有某種機制來確保 “真實性” 的需求。
 
性能
      再來說最后一個需求——性能。引入 HTTPS 之后，不能導(dǎo)致性能變得太差。否則的話，誰還愿意用？ 為了確保性能，SSL的設(shè)計者至少要考慮如下幾點:
1. 如何選擇加密算法(“對稱”or“非對稱”)？
2. 如何兼顧 HTTP 采用的 “短連接”TCP 方式？
      SSL 是在1995 年之前開始設(shè)計的，那時候的 HTTP 版本還是 1.0，默認使用的是 “短連接” 的 TCP 方式——默認不啟用 Keep-Alive)。