关于 HTTPS 的加密流程-Toy模板网

这篇具有很好参考价值的文章主要介绍了关于 HTTPS 的加密流程。希望对大家有所帮助。如果存在错误或未考虑完全的地方，请大家不吝赐教，您也可以点击"举报违法"按钮提交疑问。

HTTP 与 HTTPS 的区别

其实 HTTPS 与 HTTP 一样都是应用层协议, HTTPS 只是在 HTTP 的基础上再加上了一个加密层.

为啥要对 HTTP 进行加密呢?
HTTP 协议内容都是按照文本格式明文传输的, 这就导致在传输过程中可能会被篡改. (明文传输的各种信息会被别人一览无余, 没有隐私)

曾经就发生过一个大事件 : “运营商劫持”.
就好比我现在进入官网下载一个官方软件, 点击下载后弹出的是其他软件的下载, 这过程就是我发送一个HTTP请求给服务器, 服务器返回一个带有下载链接的HTTP响应, 结果被运营商修改了响应里的下载链接, 这样我得到的就是换掉的链接了.

为啥运营商能劫持数据呢 ?
由于我们通过网络传输的任何的数据包都会经过运营商的网络设备(路由器, 交换机等), 那么运营商的网络设备就可以解析出你传输的数据报的内容, 并进行篡改.
其实不止运营商能得到用户与服务器交互的数据报, 黑客也可以.

HTTPS 就是在 HTTP 的基础上进行了加密, 进一步的来保证用户的信息安全.

加密方式

网络传输中不再直接传输明文了, 而是加密之后的 “密文”.
加密的方式有很多, 但是整体可以分成两大类: 对称加密和非对称加密

对称加密 :
只有一个密钥 key, 通过这个 key 可以将明文加密成密文, 同样的也可以用 key 将密文解密为明文.
对称加密的特点 : 计算起来比较快.

非对称加密 :
非对称加密要用到两个密钥, 一个叫做公钥(pub), 一个叫做私钥(pri). 公钥和私钥是配对的.
非对称加密的使用 :

通过私钥对明文加密, 变成密文, 再通过公钥对密文解密, 变成明文.
也可以反着来 : 通过公钥对明文加密, 变成密文, 再通过私钥对密文解密, 变成明文.

非对称加密缺点 : 运算速度非常慢，比对称加密要慢很多.

HTTPS 基本工作过程

注意 : 加密是针对 HTTP 的各种 header 和 body.

1. 仅使用对称密钥

关于 HTTPS 的加密流程
注意 : 以上交互的前提是服务器存储了客户端的 key.

但实际上服务器所要服务的客户端非常多, 不可能将客户端的 key 都存储下来, 而客户端也不可能都使用一个 key, 如果所有客户端都使用一个 key, 那黑客就直接知道 key 了, 可以对数据报进行修改.

那咋办呢 ?
我们可以通过客户端自己生成一个 key, 在与服务器进行交互时, 提前告诉服务器我的 key 是多少, 然后客户端和服务器就用 key 来对数据加密解密.

那客户端总不能明文传输 key 吧, 这时候就要用到非对称密钥来对 key 加密了.

2. 引入非对称密钥对 key 进行加密

首先明确目标 : 客户端要将 key 安全送达到服务器, 不被黑客拿到.

先是客户端随机自己生成了一个 key, 服务器自己则有一对非对称密钥.
具体加密过程如下图 :

关于 HTTPS 的加密流程

这样难道就真的安全吗? 黑客就没办法破解吗?

其实黑客可以通过欺骗手段来获取 key, 简称 “中间人攻击”.
原理如下 :
关于 HTTPS 的加密流程
中间人攻击的关键在于客户端信任公钥, 同时这也是破解中间人攻击的关键.

3. 引入证书, 破解中间人攻击

证书就好比人的身份证, 作为这个网站的身份标识. 搭建一个 HTTPS 网站要在CA机构先申请一个证书. (类似于去公安局办个身份证).

证书可以理解为一个对象, 这个对象包含了 :
服务器的 url, 证书的有效期, 颁布证书的机构, 服务器自己的公钥 pub, 签名等等.
注意, 签名前面的都是明文展示的, 签名是进行加密了的.
这个签名其实就是一个校验和, 证书颁布机构会针对所有属性计算一个校验和, 然后用机构自己的私钥对其进行加密.