初探HTTPS协议

概述

HTTP协议属于明文传输协议，交互过程以及数据传输都没有进行过加密，通信双方也没有进行身份验证，通信过程非常容易遭到劫持，篡改等安全问题，为了提高网络传输的安全性，HTTPS应运而生.相比HTTP，HTTPS提供了以下三个特性：

1. 数据完整性：内容传输经过完整性校验
2. 数据隐私性：内容经过对称加密，每个连接生成一个唯一的加密密钥
3. 身份认证：第三方无法伪造服务端（客户端）身份

然而HTTPS的工作流程是怎样的呢，且往下看：

几个重要概念

HTTPS协议中涉及到了几个重要的概念，先说明一下：

1. SSL/TSL

SSL（secure sockets layer）：安全套接层，它是在上世纪90年代中期，由网景公司设计的，为解决使用的 HTTP 协议造成传输内容会被偷窥（嗅探）和篡改等安全问题而设计的，到了1999年，SSL成为互联网上的标准，名称改为TSL（transport layer security）：传输层安全协议，两者可视为同一种东西的不同阶段。
HTTPS（HTTP over SSL）也是在HTTP的基础加了一层SSL的封装。

2. 对称加密与非对称加密

对称加密（AES，RC4，3DES） 采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，优点是算法公开、计算量小、加密速度快、加密效率高。；
非对称加密（RSA，DSA/DSS ）算法需要两个密钥：公开密钥（publickey）和私有密钥（privatekey）。公开密钥与私有密钥是一对，如果用公开密钥对数据进行加密，只有用对应的私有密钥才能解密；如果用私有密钥对数据进行加密，那么只有用对应的公开密钥才能解密，非对称加密算法比对称加密算法慢数千倍，但在保护通信安全方面，非对称加密算法却具有对称密码难以企及的优势。

3.CA 证书

CA是Certificate Authority的缩写，也叫“证书授权中心”，CA 证书，顾名思义，就是CA颁发的证书（内含公钥和私钥），网上的公众用户通过验证 CA 的签字从而信任 CA ，任何人都可以得到 CA 的证书（含公钥），用以验证它所签发的证书。

4.TCP与UDP

TCP协议是面向连接、保证高可靠性(数据无丢失、数据无失序、数据无错误、数据无重复到达)传输层协议。
UDP协议也是传输层协议，它是无连接，不保证可靠的传输层协议。

5.哈希算法

哈希算法（MD5，SHA1）将任意长度的二进制值映射为较短的固定长度的二进制值，这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。
了解完几个概念之后。进入正题，HTTPS的工作流程：

HTTPS工作流程

1. 客户端向服务器发送请求，并告诉服务器支持的算法列表；
2. 服务器选择一种算法，并将自己的证书返回给客户端，证书包含服务器域名和公钥等信息；
3. 客户端得到证书后进行验证，验证通过的话就生成一个随机值，并用证书中的公钥进行加密
4. 传递加密信息，目的就是让服务器得到这个随机值，以后客户端与服务器的通信就可以通过这个随机值来进行加密解密；
5. 服务器用自己的私钥解密客户端传过来的随机值，然后把内容进行对称加密，即将信息和私钥通过加密算法混在一起，这样除非知道私钥，不然无法获取到内容，而客户端与服务器都知道这个私钥，所以只要加密算法够强大，私钥够复杂，数据就很安全了；
6. 将加密后的信息发给客户端，客户端还原信息
7. 客户端用之前生成的私钥解密服务器发过来的信息，便获取到了解密后的内容；

为什么会同时使用对称加密与非对称加密呢？因为非对称加密是分解大素数，大数计算，数据分割需要消耗很多的cpu资源，但是安全性非常高，对称加密相对来说安全性没那么高，但是计算量小，速度快，所以在第一次握手的时候，使用的非对称加密来交换对称加密的密钥，之后就通过对称加密来通信；