HTTPS是什么
HTTPS 也是一个应用层协议. 是在 HTTP 协议的基础上引入了一个加密层.
HTTP 协议内容都是按照文本的方式明文传输的. 这就导致在传输过程中出现一些被篡改的情况.
比如:臭名昭著的 运营商劫持
HTTPS的工作过程
通过https的网络传输中不再直接传输明文了, 而是加密之后的 "密文".
而加密的方式有很多, 但是整体可以分成两大类: 对称加密 和 非对称加密
加密的术语
| 明文 | 要传输的原始数据 |
|---|---|
| 密文 | 已经经过了一定规则变换之后的内容 |
| 加密 | 把明文变成密文称为加密 |
| 解密 | 把密文变成明文称为解密 |
| 密钥 | 在加密解密的过程中,经常需要用到的一个特殊过程 |
对称加密
对称加密其实就是通过同一个 "密钥" , 把明文加密成密文, 并且也能把密文解密成明文.
一个简单的对称加密, 按位异或
假设 明文 a = 1234, 密钥 key = 8888
则加密 a ^ key 得到的密文 b 为 9834.
然后针对密文 9834 再次进行运算 b ^ key, 得到的就是原来的明文 1234.
(对于字符串的对称加密也是同理, 每一个字符都可以表示成一个数字)
当然, 按位异或只是最简单的对称加密. HTTPS 中并不是使用按位异或.
引入对称加密之后, 即使数据被截获, 由于黑客不知道密钥是啥, 因此就无法进行解密, 也就不知道请求的
但事情没这么简单. 服务器同一时刻其实是给很多客户端提供服务的. 这么多客户端, 每个人用的秘钥都 必须是不同的(如果是相同那密钥就太容易扩散了, 黑客就也能拿到了). 因此服务器就需要维护每个客户 端和每个密钥之间的关联关系, 这也是个很麻烦的事情~
比较理想的做法, 就是能在客户端和服务器建立连接的时候, 双方协商确定这次的密钥是啥~
但是如果直接把密钥明文传输, 那么黑客也就能获得密钥了~~ 此时后续的加密操作就形同虚设了. 因此密钥的传输也必须加密传输! 但是要想对密钥进行对称加密, 就仍然需要先协商确定一个 "密钥的密钥". 此时密钥的传输再用对称加密就行不通了. 就需要引入非对称加密.
非对称加密
公钥加密,私钥解密
- 首先是服务器自己生成一个公钥私钥对,公钥就公开出去,谁都可以获取(黑客也可以拿到),私钥自己保存(不让别人知道)
- 客户端拿到公钥之后,使用公钥对对称密钥进行加密,在把加密后的密钥密文通过网络传输给服务器。
- 黑客可以获取到这里的密文,但是黑客只有公钥,没有私钥。公钥加密,私钥解密。因此即使黑客拿到了公钥,也无法进行解密。
- 后续客户端和服务器之间就可以使用对称密钥进行加密解密了。
中间人攻击
中间人攻击漏洞产生原因:是因为客户端需要通过网络获取到服务器的公钥,但是客户端无法识别这个公钥是否为伪造的。
https工作过程总结
面试常考:
**1. 对称加密:用于传输的数据进行加密(请求,响应。。。),需要有一个对称密钥。客户端生成的,需要告知服务器。
- 非对称加密:服务器提供一个公钥(服务器自己持有一个私钥),客户端使用公钥对对称密钥进行加密,密文传给服务器。
- 中间人攻击:黑客可能劫持了服务器给客户端的公钥,用自己生成的公钥代替,从而导致对称密钥的泄露。
- 为了解决中间人攻击,引入了证书机制。通过第三方公证机构,向网站颁发证书。证书里面就包含公钥。客户端向服务器请求的也就是证书了。客户端拿着证书去公证机构进行验证,看看证书是否合法。**
准确来说,这个过程是SSL/TLS的一个流程。而SSL/TLS不仅仅是使用在HTTPS中,也在很多其它的地方会用到。
