HTTPS是如何工作的
本文共 2270 字,大约阅读时间需要 7 分钟。
译者: @Edgar
译文链接: http://www.zcfy.cc/article/how-does-https-work-1280.html
原文链接: http://www.songzhw.com/2016/09/13/how-does-https-work/
这篇文章来自于我在团队的内部分享。 很多人可能不能很好的理解HTTPS,不能理解为什么HTTPS的代码要那样写。 因此我写了这片博客,希望能让更多人了解HTTPS。
密码(Cipher)
Java 1.2内置了一个叫做"JCE"(Java Crytography Extension)的系统。 它主要负责Java内部的密钥和证书的管理。
众所周知,我们要给一段信息加密或者解密,就必须要有密钥。 这就好比开门或者锁门,你得有一把钥匙。
这个密钥可以用Java带的KeyGenerator 或者 KeyPairGenerator生成。 前者用于生成对称密钥,后者用于生成分对称密钥。
对称加密(symmetric cryptography) _ 使用相同的key加密和解密
非对称加密(asymmetric cryptography) — 使用不同的keys加密和解密。keys通常分为公钥和私钥。
公钥也许分布广泛,但是私钥只有它的服务器知道。
在一个安全的非对称加密方案中,当使用公钥加密一段信息后,只有配对的私钥可以解密这一段信息。 因此,即使黑客拿到了公钥加密信息,他也不能解密这一段信息。 因为他没有配对的私钥。 所以说,使用非对称加密传输的信息是安全的。
证书(Certificate)
生活中,假设你要买钻石然后进入了一家钻石店。 你怎么能够知道钻石是真的。 对于多数人来说,他们没有钻石相关的知识,是很难分辨钻石的真假的。 但是,如果这家店有美国政府发布的的钻石营业执照,你就能确定这家店卖的是真的钻石。
证书在计算机世界好比上面说的营业执照,它可能有另一些密钥——另一个证书(假设是“B”)。 这个密钥正是我需要的,而“B”则是证明这个证书是可信赖的凭证。
你可能会问:我怎么知道“B”是可信的。 这是一个好问题。
Android在手机里内置了将近150份CA(certificate agent 代理证明机构)根证书。 他们就好像美国的首席法官(like the chief justice in u.s),在整个世界都是被认可的。
“B”内置了内另一个证书(C),因此我们会检查“C”是否是可信的。 。 。 查询整条证书链,如果在这条证书链的末端或者根证书,正是我们在手机中内置的150份预设的证书之一,我们就确信原证书是合法的。
P.S. : 证书有很多格式。
“x.509” :x.509 证书通常用于包含公钥。
“PKCS12”
PKCS12证书同时包含私钥和公钥。 因此,PKCS12证书需要密码开启。
Https
最后,讲讲“https”部分。 之所以前面介绍“密码”和“证书”两部分,是因为HTTPs包含它们。
HTTPs(HTTP over SSL)被设计用于在互联网中安全通信。
1. 何如安全通信?
怎么才能建立安全的通信呢? 首先想到的是加密。 我给需要传输的数据加密,然后将数据和“加密用的密钥”传给服务器,服务器就能使用这个k密钥解密传输的数据了。 
让我们想象这样一个场景: 黑客拦截了这次通信,这意味着加密用的密钥和加密的数据都被盗取了。 如果黑客有密钥,解密这段加密的数据就不是什么难事了。 好了,你的数据泄露了。
2. 非对称加密(Asymmetric Cryptography)如何呢?
上一个方法一点也不安全,我们考虑下一个,非对称加密有怎么样呢?
这是一个很棒的想法。 你使用服务器提供的公钥加密信息。 因为服务器是唯一知道这个与公钥配对的私钥的,这意味着只有服务器能够解密这段加密的信息。
这样,即使是黑客拦截了这段消息,它没有配对的私钥,也无法解密这段信息。 因此,数据是安全的。
不足之处就是,非对称加密较对称加密来说,需要花费更长的时间来完成加解密的工作。 出于用户体验的考虑,给一大串数据执行非对称加解密,并不是一个理想的方案。
3. 最终的方案
先前两个方案都失败了。 有没有综合两个方案优势的方案呢? 下面这个方案就是你需要的。
HTTPS :
上图很清楚的展示了HTTPS的执行加解密的过程
[server] 生成配对的公钥和私钥,我们称它为“Key”和“KeyPri”
[server] 服务器将“KeyPub”传给客户端
[Client] 生成对称秘钥("key2"),然后用key2加密信息
[Client] 使用“KeyPub”加密“key2”。因为只有服务器知道“keyPri”,所以“key2”是安全的
[Client]传递加密后的数据和加密的key给服务器
[Server] 用“KeyPri”解密这个key,拿到“key2”
[Server]用“key2”解密加密后的数据。数据安全的到达来了服务器(Now the data arrieve(?arrive) in Server safely)。
结论
因为对称加密比非对称加密快,因此HTTPS使用对称加密给数据加密,使用非对称加密加密对称加密生成的密钥,从而确保数据传输的安全性。 使用这种方法,加密就变的即快速又安全了。
总之,理解HTTPS的工作原理是非常重要。 这样在现实工作生活中就可以使用这种思想保证你的数据安全。
转载地址:http://syfpi.baihongyu.com/
你可能感兴趣的文章
9. Spring MVC4.1-Spring MVC的配置(含自定义HttpMessageConverter)
查看>>
10.Spring MVC4.1-异步请求处理(包含兼容浏览器的服务器端推送)
查看>>
11. Spring MVC4.1-全局异常处理
查看>>
12. spring4.1.6+spring mvc4.1.6+spring data jpa1.7.0+maven整合
查看>>
1. Spring 4.2.3前瞻-更简单的Application Event
查看>>
2. Spring 4.2.3前瞻-对java8默认方法(default method)定义Bean的支持
查看>>
3. Spring 4.2.3前瞻-@Import注解的升级
查看>>
4. Spring 4.2.3前瞻-使用@Order调整配置类加载顺序
查看>>
Jquery,ajax 跨域访问
查看>>
JSON--Java与AJAX(Jquery)
查看>>
基于linux系统下的SVN服务安装
查看>>
windows7_64下Oracle客户端及PL/SQL安装
查看>>
初级软件测试工程师工资(薪资待遇)一般是多少?
查看>>
去了阿里面试软件测试工程师,面试官问我3-5年的职业规划!
查看>>
从手工功能测试到自动化测试开发,我的思维经历了哪些变化?
查看>>
【2021还不知道这个就out了】DevOps/TestOps概念
查看>>
关于自动化测试的误区(完整版)
查看>>
测试之美---测试员的心思你不懂
查看>>
微软的软件测试工程师——《微软的软件测试之道》
查看>>
软件测试工程师,你到底需要多少技能傍身,才能平安度过此生?
查看>>