HTTPS的加密过程

#HTTPS是什么

HTTPS 也是一个应用层协议. 是在 HTTP 协议的基础上引入了一个加密层. HTTP 协议内容都是按照文本的方式明文传输的. 这就导致在传输过程中出现一些被篡改的情况.

#加密是什么

加密就是把 明文 (要传输的信息)进行一系列变换, 生成 密文 . 解密就是把 密文 再进行一系列变换, 还原成 明文 . 在这个加密和解密的过程中, 往往需要一个或者多个中间的数据, 辅助进行这个过程, 这样的数据称为密钥。

#HTTPS加密的方式

1.对称加密

对称加密其实就是通过同一个 "密钥" , 把明文加密成密文, 并且也能把密文解密成明文.

一个简单的对称加密, 按位异或 假设 明文 a = 1234, 密钥 key = 8888 则加密 a ^ key 得到的密文 b 为 9834. 然后针对密文 9834 再次进行运算 b ^ key, 得到的就是原来的明文 1234. (对于字符串的对称加密也是同理, 每一个字符都可以表示成一个数字) 当然, 按位异或只是最简单的对称加密. HTTPS 中并不是使用按位异或.

 按道理来说，如果黑客获取不到密钥那么即使获取到了密文也没有任何办法但是在现实中往往没有那么简单。因为一台服务器是要给多个客户端服务的，大量的客户端使用不同的密钥，要想服务器记住那么多密钥是很消耗资源的。所以我们大多数情况下都是在通讯开始前确定传输所需的密钥

但是这样也就给了黑客截获密钥的机会，那么我们如何让黑客截获的密钥报废呢？很简单，我们只要给密钥也加密就好了，所以就引入了非对称加密。 

2.非对称加密

非对称加密要用到两个密钥，一个叫“公钥”，一个叫“私钥”。公钥与私钥是配对的，当我们每次用私钥解密公钥时是很耗费时间的，所以非对称加密相比对称加密来说速度慢了不少。

由于如果需要客户端告知服务器公钥与密钥那么就与对称加密基本没有区别了，所以更常见的做法是需要接收数据的一方向先另一方先发送公钥。

虽然非对称加密比起对称加密的安全性好了很多，但是客户端无法分别服务器所发送的公钥所以依旧有可能被黑客破解。如下图：

 

 

 3.混合加密机制

由于我们之前提到的，使用私钥解密的过程是慢于直接使用公钥解密的，所以我们可以结合两者的优势来进行加密通信。

 

4.证书的引入

那么为了解决非对称加密中存在的问题，我们引入了证书的概念。

在客户端和服务器刚一建立连接的时候, 服务器给客户端返回一个 证书. 这个证书包含了刚才的公钥, 也包含了网站的身份信息. 这个证书就好比人的身份证, 作为这个网站的身份标识. 搭建一个 HTTPS 网站要在CA（数字认证机构）机构先申请 一个证书. (类似于去公安局办个身份证). 

由于服务器的的公开密钥需要经过一系列认证，表明自己的合法身份后才能交付给权威的数字认证机构，同时许多厂商在发布浏览器之前就已将数字认证机构的公开密钥直接植入浏览器。这样一来就避免了被黑客发送自己所伪造的“假密钥”。

#最后

本文中使用的图片，大多来自《图解http》这本书，有兴趣的同学可以观看原书。