姓名：丁英琦

學(xué)號：17101223408

轉(zhuǎn)載自：http://m.blog.csdn.net/shouldnotappearcalm/article/details/77388867?有改動

【嵌牛導(dǎo)讀】本文主要介紹https安全傳輸?shù)脑?b>

【嵌牛鼻子】https安全傳輸?shù)脑?/p>

【嵌牛提問】https是怎樣實現(xiàn)安全傳輸?shù)哪兀?/p>

【嵌牛正文】

今天來聊一聊https 安全傳輸?shù)脑怼?/p>

在開始之前，我們來虛構(gòu)兩個人物， 一個是位于中國的張大胖（怎么又是你？?。?， 還有一個是位于米國的Bill (怎么還是你？！)。

這倆哥們隔著千山萬水，通過網(wǎng)絡(luò)聯(lián)系上了， 兩個人臭味相投，聊得火熱。

此時正值米國大選， 張大胖親切地“致電”Bill, 對米國總統(tǒng)大選的情況表示強烈地關(guān)注。 Bill則回電說謝謝關(guān)心米國人的事情我們米國人自己做主，不用你們歪果仁瞎操心......

張大胖繼續(xù)“致電”說其實我們支持特朗普， 因為希拉里太情緒化，太難打交道了， 我們挺希望看到特朗普上臺這樣米國就會變成 The Divided State of America ......

Bill 回電： 拉倒你吧你， 我們米國的政體有著強大的糾錯性， 雖然有時候發(fā)展得慢， 有時候會走上岔路， 但很快就會回到正途，幾百年來穩(wěn)定得很，不像你們像坐了過山車一樣.....

兩個人越聊越投機，天南地北，海闊天空，還夾雜著不少隱私的話題。

2

總是有一種被偷看的感覺

有一天， Bill 突然意識到： 壞了， 我們的通信是明文的， 這簡直就是網(wǎng)絡(luò)上裸奔啊， 任何一個不懷好意的家伙都可以監(jiān)聽我們通信，打開我們發(fā)送的數(shù)據(jù)包，窺探我們的隱私啊。

張大胖說： “你不早點說，我剛才是不是把我的微信號給你發(fā)過去了？ 我是不是告訴你我上周去哪兒旅游了? ? 估計已經(jīng)被人截取了吧！”

Bill ?提議： “要不我們做個數(shù)據(jù)的加密？ 每次傳輸之前， 你把消息用一個加密算法加密， 然后發(fā)到我這里以后我再解密， 這樣別人就無法偷窺了，像這樣： ”

張大胖冰雪聰明，一看就明白了， 這加密和解密算法是公開的，那個密鑰是保密的， 只有兩人才知道， 這樣生成的加密消息（密文） 別人就無法得知了。 他說： “Bill 老兄，你生成一個密鑰， 然后把密鑰發(fā)給我， 咱們這就開啟加密消息， 讓那些偷窺狂人們哭去吧！”

（碼農(nóng)翻身注：這叫對稱加密算法，因為加密和解密用的是同一個密鑰）

一炷香功夫過去了， Bill 還是沒有回音， 張大胖忍不住地催促： “快發(fā)??？?。。　?/p>

Bill 終于回復(fù)了： “ 我感覺有一雙眼睛正在虎視眈眈地盯著我們的通話， 如果我把密鑰發(fā)給你， 也被他截取了， 那加密豈不白費工夫？”

張大胖沉默了， 是啊， 網(wǎng)絡(luò)是不安全的， 這密鑰怎么安全地發(fā)過來啊 ？

“奧，對了，我下周要去米國旅游，到時候我們見一面，把密碼確定下來，寫到紙上，誰也偷不走， 這不就結(jié)了？”

“哈哈， 這倒是終極解決之道 ” ?Bill 笑了， “不過，我不僅僅和你聊天， 我還要和易卜拉欣，阿卜杜拉， 弗拉基米爾，克里斯托夫，瑪格麗特， 橋本龍?zhí)桑?李賢俊， 許木木，郭芙蓉，呂秀才等人通信， 我總不能打著飛的，滿世界的和人交換密碼吧？ ”

張大胖心里暗自佩服Bill同學(xué)的好友竟然遍布全球，看來他對加密通信的要求更加強烈??！

可是這個加密解密算法需要的密鑰雙方必須得知道啊， 但是密鑰又無法通過網(wǎng)絡(luò)發(fā)送， 這該死的偷窺者！

3

RSA : 非對稱加密

Bill 和 張大胖的通信無法加密，說話謹慎了不少， 直到有一天， 他們聽說了一個叫做RSA的非對稱加密算法，一下子來了靈感。

這個RSA算法非常有意思，它不是像之前的算法， 雙方必須協(xié)商一個保密的密鑰， 而是有一對兒鑰匙， 一個是保密的，稱為私鑰，另外一個是公開的，稱為公鑰。

更有意思的是，用私鑰加密的數(shù)據(jù)，只有對應(yīng)的公鑰才能解密，用公鑰加密的數(shù)據(jù)， 只有對應(yīng)的私鑰才能解密。

有了這兩個漂亮的特性， 當(dāng)張大胖給Bill發(fā)消息的時候， 就可以先用Bill的公鑰去加密（反正Bill的公鑰是公開的，地球人都知道）， 等到消息被Bill 收到后， 他就可以用自己的私鑰去解密（只有Bill才能解開，私鑰是保密的 ）

反過來也是如此， 當(dāng)Bill 想給張大胖發(fā)消息的時候，就用張大胖的公鑰加密， 張大胖收到后，就用自己的私鑰解密。

這樣以來，通信安全固若金湯， 沒有任何人能窺探他們的小秘密了。

4

非對稱加密+對稱加密

兩人實驗了幾次， ?張大胖說： “Bill ?, 你有沒有感覺這個RSA的加密和解密有點慢?。俊?/p>

Bill嘆了口氣 ：“是啊， 我也注意到了， 剛才搜了一下，這個RSA算法比之前的對稱密鑰算法要慢上百倍。我們就是加個密而已，現(xiàn)在搞得都沒法用了”

“回到咱們最初的問題，我們想用一個密鑰來加密通信，那個對稱加密算法是非?？斓?，但是苦于密鑰無法安全傳輸， 現(xiàn)在有了RSA ,我想可以結(jié)合一下， 分兩步走(1) 我生成一個對稱加密算法的密鑰， 用RSA的方式安全發(fā)給你， ?(2) 我們隨后就不用RSA了， 只用這個密鑰，利用對稱加密算法來通信, ?如何？ ? ”

Bill 說： “你小子可以啊， 這樣以來既解決了密鑰的傳遞問題， 又解決了RSA速度慢的問題，不錯。”

于是兩人就安全地傳遞了對稱加密的密鑰， 用它來加密解密，果然快多了！

5

中間人攻擊

張大胖把和Bill 聊天的情況給老婆匯報了一次。

老婆告誡他說： “你要小心啊， 你確定網(wǎng)絡(luò)那邊坐著的確實是Bill ?”

張大胖著急地辯解說：“肯定是他啊，我都有他的公鑰，我們倆的通信都是加密的?！?/p>

老婆提醒道：＂假如啊，Bill給你發(fā)公鑰的時候， 有個中間人，截取了Bill的公鑰， 然后把自己的公鑰發(fā)給了你，冒充Bill ，你發(fā)的消息就用中間人的公鑰加了密，　那中間人不就可以解密看到消息了？＂

張大胖背后出汗了，是啊，這個中間人解密以后，還可以用Bill的公鑰加密，發(fā)給Bill , ?Bill和我根本都意識不到， 還以為我們在安全傳輸呢！

看來問題出現(xiàn)在公鑰的分發(fā)上！ ?雖然這個東西是公開的， 但是在別有用心的人看來，截取以后還可以干壞事 ！

6

你到底是誰？

但是怎么安全地分發(fā)公鑰呢？ 似乎又回到了最初的問題： 怎么安全的保護密鑰？

可是似乎和最初的問題還不一樣，這一次的公鑰不用保密，但是一定得有個辦法聲明這個公鑰確實是Bill的， 而不是別人的。

怎么聲明呢？

張大胖突然想到： 現(xiàn)實中有公證處，它提供的公證材料大家都信任，那在網(wǎng)絡(luò)世界也可以建立一個這樣的具備公信力的認證中心， 這個中心給大家頒發(fā)一個證書， 用于證明一個人的身份。

這個證書里除了包含一個人的基本信息之外，還有包括最關(guān)鍵的一環(huán)：這個人的公鑰！

這樣以來我拿到證書就可以安全地取到公鑰了 ！ 完美！

可是Bill 馬上潑了一盆冷水：證書怎么安全傳輸？ 要是證書傳遞的過程中被篡改了怎么辦？

張大胖心里不由地咒罵起來： 我操， 這簡直就是雞生蛋，蛋生雞的問題啊。

天無絕人之路， 張大胖很快就找到了突破口：數(shù)字簽名。

簡單來講是這樣的， Bill可以把他的公鑰和個人信息用一個Hash算法生成一個消息摘要， 這個Hash算法有個極好的特性，只要輸入數(shù)據(jù)有一點點變化，那生成的消息摘要就會有巨變，這樣就可以防止別人修改原始內(nèi)容。

可是作為攻擊者的中間人笑了： “雖然我沒辦法改公鑰，但是我可以把整個原始信息都替換了， 生成一個新的消息摘要， 你不還是辨別不出來？”

張大胖說你別得意的太早 ， 我們會讓有公信力的認證中心（簡稱CA）用它的私鑰對消息摘要加密，形成簽名：

這還不算， 還把原始信息和數(shù)據(jù)簽名合并， 形成一個全新的東西，叫做“數(shù)字證書”

張大胖接著說：當(dāng)Bill把他的證書發(fā)給我的時候， 我就用同樣的Hash 算法， 再次生成消息摘要，然后用CA的公鑰對數(shù)字簽名解密， 得到CA創(chuàng)建的消息摘要， 兩者一比，就知道有沒有人篡改了！

如果沒人篡改， 我就可以安全的拿到Bill的公鑰嘍，有了公鑰， 后序的加密工作就可以開始了。

雖然很費勁， 但是為了防范你們這些偷窺者，實在是沒辦法啊。

中間人惡狠狠地說： “算你小子狠！ 等著吧，我還有別的招。 對了，我且問你， 你這個CA的公鑰怎么拿到？　難道不怕我在你傳輸ＣＡ公鑰的時候發(fā)起中間人攻擊嗎？　如果我成功的偽裝成了ＣＡ，你這一套體系徹底玩完?！?/p>

張大胖語塞了，折騰了半天，又回到了公鑰安全傳輸?shù)膯栴}！

不過轉(zhuǎn)念一想，想解決雞生蛋，蛋生雞的問題必須得打破這個怪圈才行，我必須得信任ＣＡ，并且通過安全的的方式獲取他們的公鑰，這樣才能把游戲玩下去。

（公眾號碼農(nóng)翻身注：這些ＣＡ本身也有證書來證明自己的身份，并且ＣＡ的信用是像樹一樣分級的，高層的ＣＡ給底層的ＣＡ做信用背書，而操作系統(tǒng)／瀏覽器中會內(nèi)置一些頂層的ＣＡ的證書，相當(dāng)于你自動信任了他們。　這些頂層的ＣＡ證書一定得安全地放入操作系統(tǒng)／瀏覽器當(dāng)中，否則世界大亂。）

7

https

終于可以介紹https了，前面已經(jīng)介紹了https的原理， 你把張大胖替換成瀏覽器， 把Bill 替換成某個網(wǎng)站就行了。

一個簡化的（例如下圖沒有包含Pre-Master Secret）https流程圖是這樣的， 如果你理解了前面的原理，這張圖就變得非常簡單：

（完）