HTTPS的加密方式

1、概述

1.1大体目的

• 进一步了解HTTP和HTTPS
• 了解对称加密和非对称加密的工做方式
• 对HTTPS的加密有一个大概的了解
• 对证书有一个初步的了解

1.2加密方式

在学习HTTPS加密方式以前，有必要了解几种常见的加密方式，如：

• 对称加密
• 非对称加密

2、对称加密

2.1定义

须要对加密和解密使用相同密钥的加密算法。所谓对称，就是采用这种加密方法的双方使用方式用一样的密钥进行加密和解密。密钥是控制加密及解密过程的指令。算法是一组规则，规定如何进行加密和解密。
注意：对称加密也叫密钥加密

2.2密钥的形式

采用单钥密码系统的加密方法，同一个密钥能够同时用做信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密。

2.3优缺点

优势：对称加密算法的优势是算法公开、计算量小、加密速度快、加密效率高。
缺点：对称加密，密钥管理的安全性很低，由于加密和解密都使用同一个密钥，在密钥的发送过程当中，密钥可能被第三方截取，致使第三方也能够破解密文。

2.4具体实现

在每次发送真实数据以前，服务器先生成一把密钥，而后先把密钥传输给客户端。以后服务器给客户端发送真实数据的时候，会用这把密钥对数据进行加密，客户端收到加密数据以后，用刚才收到的密钥进行解密。

2.5图解

咱们以客户端发送请求给服务器为例：

对称加密在第一部和第二部上都可被第三者拦截（实时是第二步通常都可以被拦截，可是可否解密仍是要看第一步是否把密钥拦截下来）
由于，对称加密的解密钥匙和加密钥匙均是同一把。

3、非对称加密

3.1定义

非对称加密算法须要两个密钥：公开密钥（publickey:简称公钥）和私有密钥（privatekey:简称私钥）。公钥与私钥是一对，若是用公钥对数据进行加密，只有用对应的私钥才能解密。若是用公钥对数据进行加密，只有用对应的私钥才能解密。由于加密和解密使用的是两个不一样的密钥，因此这种算法叫做非对称加密算法。

3.2密钥的形式

公钥与私钥是一对。传输双方均有本身的一对密钥（也就是双方每方均有：公、私密钥一把，双方加起来共4把）

例子:传输双方好比是甲乙双方，甲方有配对的公、私密钥一对，且公钥负责加密，私钥负责解对应的公钥加的密。乙方同理。

3.3优缺点

非对称密钥的算法强度复杂（是优势也是缺点），安全性依赖于算法与密钥。
优势：安全性较高，比对称密钥安全性高不少。 非对称加密算法的保密性比较好，它消除了最终用户交换密钥的须要。
缺点：因为其算法复杂，而使得加密解密速度没有对称加密解密的速度快。

3.4具体实现

1.客户端要向服务器发送信息，客户端和服务器都要产生一对用于加密和解密的公钥和私钥。
2.客户端的私钥保密，客户端的公钥告诉服务器；服务器的私钥保密，服务器的公钥告诉客户端。
3.客户端要给服务器发送信息时，客户端用服务器的公钥加密信息，由于服务器的公钥是公开的，客户端能够获得。
4.客户端将这个消息发给服务器（已经用服务器的公钥加密消息）。
5.服务器收到这个消息后，服务器用本身的私钥解密客户端的消息。其余全部收到这个报文的人都没法解密，由于只有服务器才有服务器的私钥。

3.5图解

4、HTTPS采用的加密

HTTPS采用的是处理信息的方式是：结合对称加密+非对称加密这两种方式，咱们能够用非对称加密的方式来传输对称加密过程当中的密钥，以后咱们就能够采起对称加密的方式来传输数据了。具体是这样子的：

服务器用明文的方式给客户端发送本身的公钥，客户端收到公钥以后，会生成一把密钥(对称加密用的)，而后用服务器的公钥对这把密钥进行加密，以后再把密钥传输给服务器，服务器收到以后进行解密，最后服务器就能够安全获得这把密钥了，而客户端也有一样一把密钥，他们就能够进行对称加密了。

5、证书

5.1非对称加密的不足

事实上，在没有引入证书以前，非对称加密也并不是传输安全的，在此举个例子：

服务器以明文的方式给客户端传输公钥的时候，中间人截取了这把属于服务器的公钥，而且把中间人本身的公钥冒充服务器的公钥传输给了客户端。

以后客户端就会用中间人的公钥来加密本身生成的密钥。而后把被加密的密钥传输给服务器，这个时候中间人又把密钥给截取了，中间人用本身的私钥对这把被加密的密钥进行解密，解密后中间人就能够得到这把密钥了。

最后中间人再对这把密钥用刚才服务器的公钥进行加密，再发给服务器。

毫无疑问，在这个过程当中，中间人获取了对称加密中的密钥，在以后服务器和客户端的对称加密传输中，这些加密的数据对中间人来讲，和明文没啥区别。

5.2证书的引入

非对称性加密之因此不安全，是应为客户端不知道，这把公钥是否是服务器的。所以，咱们须要找到一种策略来证实这把公钥就是服务器的，而不是别人冒充的。解决这个问题的方式就是使用数字证书，具体是这样的：

一、咱们须要找到一个第三方机构，它是一个拥有公信力、你们都承认的认证中心，那就是数字证书认证机构(简称CA)。
二、服务器在给客户端传输公钥的过程当中，会把公钥以及服务器的我的信息经过Hash算法生成信息摘要。为了防止信息摘要被人调换，客户端还会用CA提供的私钥对信息摘要进行加密来造成数字签名。而且，最后还会把原来没Hash算法以前的我的信息以及公钥和数字签名合并在一块儿，造成数字证书。
三、当客户端拿到这份数字证书以后，就会用CA提供的公钥来对数字证书里面的数字签名进行解密来获得信息摘要，而后对数字证书里服务器的公钥以及我的信息进行Hash获得另一份信息摘要。最后把两份信息摘要进行对比，若是同样，则证实这我的是服务器，不然就不是。这样，就能够保证服务器的公钥安全着交给客户端了。

5.3浏览器内置经常使用证书

一个重要的问题是，如何安全转交认证机构的公钥是一件很困难的事，所以，大多数浏览器开发商发布版本时，会事先植入经常使用认证机关的公钥。
咱们能够Google Chrome为例：
打开浏览器的设置选项，选择高级，能够看到隐私设置和安全性下面的一些设置，其中管理证书就能够看到谷歌浏览器一些内置证书，如图：

5.4图解

下图选自图解HTTP：

5.5分析实例

咱们分析下下面的三种状况

一、网站是http协议的：

能够看到是不安全的。
二、 网站是彻底的HTTPS加密的:

能够看到Google网站的HTTPS前面是有一把小锁的，这表示，这个网站的链接是安全的，而且点击小锁能够看到证书信息。
三、 网站前带HTTPS可是不是彻底安全的：

注意第三点和第一点的表达：链接不安全和链接并不是彻底安全这是由于：站点还有http资源，须要把全部连接换成https才能够带锁。

---

参考资料 ：

• 图解HTTP
• 百度百科
• http加密那点事