https的工作機制

最近在看到這麼一篇講解Https原理的文章，語言精煉，通俗易懂，特地將其翻譯下，原文在此how does https work

加密算法簡介

正文開始之前，我先來解釋簡單的解釋下對稱加密和非對稱加密.

對稱加密採用對稱密碼編碼技術，也就是編碼和解碼採用相同描述字符，即加密和解密使用相同的密鑰，實現這種加密技術的算法稱對稱加密算法。對稱加密使用簡單，密鑰較短，加密和解密過程較快，耗時短，常見的對稱加密算法有DES，3DES，lDEA，AES，RC4等。
非對稱加密與對稱加密不同，其加密算法需要兩個密鑰：公開密鑰（publickey）和私有密鑰（private），兩者是一對的。如果用公鑰加密，只能用私鑰才能解密。非對稱加密保密性好，但加密和解密花費的時間較長，不適合對大文件加密而只適合對少量的數據加密。常見的非對稱加密算法有RSA，ECC，DSA(數字簽名)等。
Hash算法是一種單向算法，通過Hash算法可以對目標數據生成一段特定長度、唯一的hash值,但是不能通過這個hash值重新計算出原始的數據，因此也稱之爲摘要算法，經常被用在不需要數據還原的密碼加密以及數據完整性校驗上，常用的算法有MD2，MD4，MD5，SHA等。

現在我們對對稱加密，非對稱加密及Hash算法做了簡單的說明之後，就可以開始瞭解https的工作原理了。

https是如何工作的？

這篇文章是我在我團隊中分享的。很多人不理解https的好處，不理解https的原理，因此我將這篇文章也分享給大家。

加密（Cipher）

在java 1.2時，引入JCR（java 加密擴展）系統，用來負責java中的密鑰和證書。

我們都知道，如果我們想要加密或解密一些信息，我們必須要有一個密鑰。這好比你想要開門或者鎖門，必須要有鑰匙一樣。

在java中，密鑰由KeyGenerator或KeyPairGenerator生成。前者用來生成對稱密鑰，後者用來生成非對稱密鑰。

• 對稱密鑰：使用同一個密鑰進行加密和解密
• 非對稱密鑰：使用不同的密鑰進行加密和解密，通常被稱爲公鑰（public key）和私鑰（private key）。 公鑰可以廣泛傳播，但是私鑰只有其所有者知道。在一個安全的非對稱密鑰加密方案中，當信息用公鑰加密後，只有用私鑰才能解密。所以，即使一個黑客拿到你公鑰加密過後的信息，也無法解密它，因爲它沒有配對的私鑰。這樣，傳輸的消息就是安全的。

證書（Certificate）

在現實中，如果你進入到鑽石專賣店中想要買一顆鑽石，你怎麼知道鑽石是真的？作爲一個普通人來說，我們沒有鑽石方面的知識，但是如果這鑽石有個由美國政府頒發的許可證，我們就會相信它是真的。（去過珠寶店的同學都知道，每件珠寶都有自己的鑑定書）

證書的作用也是如此。在計算機世界中，它可能是包含一些密鑰，是另一個證書（姑且稱之爲證書B好了）。這些密鑰是我們需要的，而證書B是一個許可證，用來證明這個證書是可信賴的。

做個簡短的解釋，每個鑽石都有自己的“身份證書”，但是如何說明這個身份證書是合法的，而不是自己僞造的？因此，我們需要一個權威的機構來證明這個鑽石的身份證書是合法的，如果這個鑽石的身份是合法的，該權威機構就會爲其頒發一個“許可證”，這個許可證就相當於上面我們說到的證書B。可以看到，證書B的目的就是證明這個身份證書是這個鑽石的身份證書，即證明某某東西是某某東西的東西

問題來了：我們怎麼確定證書B是可信賴的呢？這個問題非常棒。

Android已經把將近150個CA根證書（數字證書認證機構認證過的證書）內置在我們手機中。這150多個證書被全世界信賴，他們就像是美國的大法官。

這150多個證書類似我們剛纔說的證書B，分別用來證明某某東西是某某東西的東西

B證書中裏有另外一個證書（姑且稱之爲C證書），我們通過檢查C來確定C是否是可信任的。。。通過這個證書鏈，如果我們找到的最後一個或根證書 和手機中預置的150個證書中某個相同，我們就可以這個證書原件（此處就是B）

這裏我對證書鏈進行說明。證書之間的信任關係是可以嵌套的。比如，CA信任D，D信任C，C信任B 
,B信任A。。。這就是證書鏈。只要我們信任證書鏈上的頭一個證書，那麼後續的證書都是可以信任的。這裏也就是如果我信任了證書CA，那麼後面的D，C，B，A都是可以信任的。這裏來打個比方，架設軍隊中的每個士兵都只認識自己的直接上級，那麼這時候總司令怎麼確認某個士兵是自己部隊 當中的呢？總司令（CA）會問的直接下級（D），而司令的直接下級又會找自己的直接下級，依次往下找…如果最後能找到這個士兵直屬上級，那就說明這個士兵是該部隊當中的。

附：證書有多種格式

• x.509 
  x.509證書通常用於包含一個公鑰

• PKCS12 
  PKCS12證書通常用來包含一個私鑰。因此，PKCS12需要密碼才能打開。

Https

現在我們來了解https部分。Https（http over ssl）包含上面提到的加密和證書兩部分，被設計用來在Internet安全進行通信。

如何安全的通信？

如何安全通信呢？對稱加密是我們最先想到的方案：將數據進行加密，然後將加密過的數據和密鑰同時傳到服務器，服務器使用這個密鑰解密加密過後的數據。 

現在，我們來看看這種可能的場景：黑客截獲了該通信，這意味着黑客擁有了密鑰和密文。一旦黑客有了密鑰，那麼解密密文就是很簡單的事情了，我們的數據就這樣泄漏了。

如何使用非對稱加密？

上面的解決方案非常不安全。我們繼續往下看。使用非對稱加密怎麼樣？

這個想法非常棒：服務端發送給你公鑰，你使用這個公鑰加密數據。因爲服務端是唯一擁有私鑰的， 
這意味着只有服務端能夠解密密文。即使黑客截獲了該通訊，但因爲沒有私鑰也就無法解密密文。

但是，非對稱加密比對稱加密更加耗時。爲了用戶體驗，不建議使用非對稱加密這種方式來加密/解密大量的數據 
。

最終方案

前兩種方案都無法解決我們安全通信，我們怎麼結合上面的兩種方案呢？來看看最終方案：

上面這張圖片已經清楚的展示了HTTPS工作的流程。

1.[Server]生成一對密鑰：公鑰和私鑰，我們稱之爲“KeyPub”，“KeyPri” 
2.[Server]服務端將公鑰（KeyPub）發送到客戶端 
3.[Client]生成一個對稱密鑰（姑且稱之爲key2），然後用key2加密數據。 
4.[Client]使用公鑰（KeyPub）加密key2.這時，key2是安全的，因爲只有服務度有私鑰KeyPri 
5.[Client]發送用key2加密後的信息及用KeyPub加密過的key2到服務端 
6.[Server]服務端使用KeyPri解密得到加密過的key2，得到真正的key2 
7.[Server]使用key2解密消息正文。這樣，數據就被安全的傳輸到了服務端。

結論

由於對稱加密比非對稱加密快，https決定使用對稱加密來加密數據，使用非對稱加密對稱加密生成的密鑰，以確保安全。

這篇文章最後並沒有很好的說明證書的作用，因此如果你以前沒了解過，到此可能產生一些困惑，後面我會再單獨寫一篇文章來說明下。

文章來源：http://blog.csdn.net/dd864140130/article/details/52598107