HTTPS协议原理解析

一、对称加密与非对称加密

1，定义:

　　对称加密：加密和解密的秘钥使用的是同一个。

　　非对称加密：与对称加密算法不同，非对称加密算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。 公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥，所以这种算法叫作非对称加密算法。

2，特点:

　　对称加密：算法公开、计算量小、加密速度快、加密效率高。常见算法有：DES、3DES、Blowfish、IDEA、RC4、RC5、RC6 和 AES。

　　非对称加密:安全速度慢。常见算法有：RSA、ECC（移动设备用）、Diffie-Hellman、El Gamal、DSA（数字签名用）。

二、HTTPS的实现原理

1，整个过程的秘钥:

　　服务器端的公钥和私钥，用来进行非对称加密

　　客户端生成的随机密钥，用来进行对称加密（提高效率）

2，过程解析:

.客户端向服务器发起HTTPS请求，连接到服务器的443端口
.服务器端有一个密钥对，即公钥和私钥，是用来进行非对称加密使用的，服务器端保存着私钥，不能将其泄露，公钥可以发送给任何人。
.服务器将自己的公钥发送给客户端。
.客户端收到服务器端的证书之后，会对证书进行检查，验证其合法性，如果发现发现证书有问题，那么HTTPS传输就无法继续。严格的说，这里应该是验证服务器发送的数字证书的合法性，如果公钥合格，那么客户端会生成一个随机值，这个随机值就是用于进行对称加密的密钥，我们将该密钥称之为client key，即客户端密钥，这样在概念上和服务器端的密钥容易进行区分。然后用服务器的公钥对客户端密钥进行非对称加密，这样客户端密钥就变成密文了，至此，HTTPS中的第一次HTTP请求结束。
.客户端会发起HTTPS中的第二个HTTP请求，将加密之后的客户端密钥发送给服务器。
.服务器接收到客户端发来的密文之后，会用自己的私钥对其进行非对称解密，解密之后的明文就是客户端密钥，然后用客户端密钥对数据进行对称加密，这样数据就变成了密文。
.然后服务器将加密后的密文发送给客户端。
.客户端收到服务器发送来的密文，用客户端密钥对其进行对称解密，得到服务器发送的数据。这样HTTPS中的第二个HTTP请求结束，整个HTTPS传输完成。

3，为什么数据传输是用对称加密?

　　a）非对称加密的加解密效率是非常低的，而 http 的应用场景中通常端与端之间存在大量的交互，非对称加密的效率是无法接受的。

　　b）在 HTTPS 的场景中只有服务端保存了私钥，一对公私钥只能实现单向的加解密，所以 HTTPS 中内容传输加密采取的是对称加密，而不是非对称加密。

4，为什么需要 CA 认证机构颁发证书?

　　HTTP 协议被认为不安全是因为传输过程容易被监听者勾线监听、伪造服务器，而 HTTPS 协议主要解决的便是网络传输的安全性问题。首先我们假设不存在认证机构，任何人都可以制作证书，这带来的安全风险便是经典的“中间人攻击”问题。

　　"中间人攻击"的具体过程如下：