HTTPS,你不知道的事儿
what is https?
HTTPS(全称:Hyper Text Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL,因此加密的详细内容就需要SSL。
看到上面定义,我们大致也明白了HTTPS其实就是一个经过加密后的HTTP,具有更高的安全性。因此我们就需要了解一下经过加密的HTTPS是如何工作的?
加密算法
笔者目前所了解到的算法归为三类:
-
对称加密
-
对称密码编码技术
-
编码和解码采用相同描述字符(加密、解密采用相同密钥)
-
对称加密使用简单
-
密钥较短
-
加密、解密过程较快、耗时短
-
常见算法有:DES、3DES、IDEA、AES、RC4等等
-
非对称加密
-
加密需要两个密钥:公钥(publickey)、私钥(privatekey)
-
公钥加密,私钥才能解密
-
保密性好
-
加密、解密过程较慢、耗时多
-
适合对少量数据加密
-
常见算法有:RSA、ECC、DSA等等
-
Hash算法加密
-
单向加密
-
通过Hash算法对数据加密生成唯一Hash值,此值无法计算出原来的数据
-
频繁应用于数据完整性检验
-
常用算法有:SHA、MD2、MD4、MD5等等
how to work
在弄清HTTPS如何工作前,我需要了解两个概念:
密钥
-
加密或解密都需要一个密钥,正如开门或锁门都需要一把钥匙
-
Java中密钥由KeyGenerator或KeyPairGenerator生成的
-
对称密钥(KeyGenerator生成的)
-
使用同一个密钥加密或加密
-
非对称密钥(KeyPairGenerator生成的)
-
公钥(pulickey)广泛用做传播,主要用做加密,私钥(privatekey)用做解密(公钥加密后的数据只有私钥才能解密)
证书
- 证书是一个许可证,用来证明这个证书的可信赖的
- 证书中可能内置密钥
- android系统内置了很多证书,证书之间存在一定信任关系,信任是嵌套的,为了确保密钥的更高安全性
了解上面两个概念后,接下来我们来了解下HTTPS如何安全通信?前面在定义HTTPS时讲到HTTPS是一种加密的HTTP,为了更高的安全性,没错,密钥和证书正是特定设计来实现HTTPS安全通信的。
说到安全通信,我们可能先想到对称加密算法,思路如下:
- 将数据加密
- 将加密后的数据和密钥同时传给服务器
- 服务器利用传来的密钥解密数据
以上这种方案存在很大漏洞,假如加密后的数据和密钥被黑客给截获,黑客拿着密钥直接把加密后的数据给解密了,这样数据就泄漏出去了。
1132780-f58fe3a5c5a7c281.jpg
既然对称算法不行,那就来试试非对称算法,思路如下:
- 服务器将公钥发给客户端
- 客户端将数据采用公钥加密然后发送给服务器
- 服务器收到客户端加密数据,用私钥解密数据
以上这个方案貌似不错,看过前面加密算法说明的童鞋应该清楚非对称算法有缺陷,就是加密、解密过程较慢、耗时多,影响用户体验。
1132780-4e0c4064e76528b6.jpg
那有木有更好的方案呢?必须有啦~~HTTPS最终采用的安全通信方案,大家看清楚啦~
1132780-2d7d1306d1b86b65.jpg
思路如下:
- 服务器生成一对非对称加密密钥:公钥(publickey)、私钥(privatekey)
- 服务器将公钥(publickey)发送给客户端
- 客户端生成对称加密密钥(clientkey),利用clientkey给数据加密
- 客户端使用服务器传来的公钥(publickey)给clientkey进行加密、此时clientkey是安全的,因为只有服务器才有私钥(private)能解密它
- 客户端发送用clientkey加密过的数据和用公钥(publickey)加密过的clientkey给服务器
- 服务器使用私钥(privatekey)解密用公钥(publickey)加密过的clientkey,得到真的clientkey
- 使用clientkey解密数据,这样数据就安全地从客户端传给服务器了。
总结
由于对称加密算法比非对称加密算法效率高、性能好,https决定采用对称加密算法来加密解密数据,使用非对称加密算法加密解密对称算法密钥,以确保通信安全。
1132780-253900d649118aa0.jpg
关于作者
- QQ:872721111
- Email:leibing1989@126.com
- Github:leibing@github
- 简书:leibing@jianshu
- 掘金:leibing@juejin
