【Linux|计算机网络】HTTPS工作原理与安全机制详解

1、HTTPS是什么？

HTTPS就是经过加密解密后的HTTP。

HTTPS 也是一个应用层协议，是在 HTTP 协议的基础上引入了一个加密层。

那HTTP协议为什么要加密呢？因为HTTP本身很不安全！

HTTP 协议内容都是按照文本的方式明文传输的. 这就导致在传输过程中出现一些被篡改的情况。

2、概念准备

2.1.什么是加密、解密、密钥

• 加密就是把明文 (要传输的信息)进行一系列变换, 生成密文
• 解密就是把密文再进行一系列变换, 还原成 明文 .
• 在这个加密和解密的过程中, 往往需要一个或者多个中间的数据, 辅助进行这个过程, 这样的数据称为密钥

2.2.为什么要加密

臭名昭著的 "运营商劫持"：

下载一个 天天动听 未被劫持的效果, 点击下载按钮, 就会弹出天天动听的下载链接.

已被劫持的效果, 点击下载按钮, 就会弹出 QQ 浏览器的下载链接

1. 客户端与服务端进行通信不是直接进行通信的，而是通过第三方的运营商进行信息的中转。
2. 作为中间人的运营商就能够看到客户端和服务端通信的信息是是什么，这样势必会造成用户隐私的泄漏！

在互联网上, 明文传输是比较危险的事情!!! HTTPS 就是在 HTTP 的基础上进行了加密, 进一步的来保证用户的信息安全~

2.3.常见的加密方式

1.对称加密

• 采用单钥密码系统的加密方法，同一个密钥可以同时用作信息的加密和解密，这种加密方法称为对称加密，也称为单密钥加密，特征：加密和解密所用的密钥是相同的
• 常见对称加密算法(了解)：DES、3DES、AES、TDEA、Blowfish、RC2 等
• 特点：算法公开、计算量⼩、加密速度快、加密效率高

对称加密其实就是通过同一个 "密钥" , 把明文加密成密文, 并且也能把密文解密成明文。

一个简单的对称加密, 按位异或 假设 明文 a = 1234, 密钥 key = 8888 则加密 a ^ key 得到的密文 b 为 9834. 然后针对密文 9834 再次进行运算 b ^ key, 得到的就是原来的明文 1234. (对于字符串的对称加密也是同理, 每一个字符都可以表示成一个数字) 当然, 按位异或只是最简单的对称加密。 HTTPS 中并不是使用按位异或。

2.非对称加密

概念： 需要两个密钥来进行加密和解密，这两个密钥是公开密钥（public key，简称公钥）和私有密钥（private key，简称私钥）。

常见非对称加密算法(了解)：RSA，DSA，ECDSA • 特点：算法强度复杂、安全性依赖于算法与密钥但是由于其算法复杂，而使得加密解密速度没有对称加密解密的速度快。 非对称加密要用到两个密钥, 一个叫做 "公钥", 一个叫做 "私钥". 公钥和私钥是配对的. 最大的缺点就是运算速度非常慢，比对称加密要慢很多.

用法：

• 通过公钥对明文加密, 变成密文
• 通过私钥对密文解密, 变成明文

也可以反着用

• 通过私钥对明文加密, 变成密文
• 通过公钥对密文解密, 变成明文

2.4.数据摘要 && 数据指纹

数据摘要为什么叫做数据指纹，因为数据摘要具有唯一性，跟人的指纹一样具有唯一性

• 数字指纹(数据摘要),其基本原理是利用单向散列函数(Hash 函数)对信息进行运算,生成一串固定长度的数字摘要。数字指纹并不是一种加密机制,但可以用来判断数据有没有被篡改。
• 摘要常见算法：有 MD5、SHA1、SHA256、SHA512 等，算法把无限的映射成有限，因此可能会有碰撞（两个不同的信息，算出的摘要相同，但是概率非常低）
• 摘要特征：和加密算法的区别是，摘要严格意义不是加密，因为没有解密，只不过从摘要很难反推原信息，通常用来进行数据对比

比如数据库明文密码保存——不推荐，我们就可以将密码进行摘要保存

2.5. 数字签名

摘要经过加密，就得到数字签名

3.HTTPS 的工作过程探究

既然要保证数据安全, 就需要进行 "加密". 网络传输中不再直接传输明文了, 而是加密之后的 "密文". 加密的方式有很多, 但是整体可以分成两大类: 对称加密 和 非对称加密

方案 1 - 只使用对称加密

如果通信双方都各自持有同一个密钥 X，且没有别人知道，这两方的通信安全当然是可以被保证的（除非密钥被破解）

但是我们怎么让客户端双方都知道这个锁是什么呢，如果明文传递的话，不就是又泄露了！

所以只用对称加密，首次的时候，无法同步双方的密钥X。

方案 2 - 只使用非对称加密

鉴于非对称加密的机制，如果服务器先把公钥以明文方式传输给浏览器，之后浏览器向服务器传数据前都先用这个公钥加密好再传，从客户端到服务器信道似乎是安全的(有安全问题)，因为只有服务器有相应的私钥能解开公钥加密的数据。 但是服务器到浏览器的这条路怎么保障安全？

如果服务器用它的私钥加密数据传给浏览器，那么浏览器用公钥可以解密它，而这个公钥是一开始通过明文传输给浏览器的，若这个公钥被中间人劫持到了，那他也能用该公钥解密服务器传来的信息了！

方案二保证单向的数据安全（但也是临时的），并且运算速度非常慢，所以也不采用！

方案二的安全隐患：

但是服务器到浏览器的这条路怎么保障安全？ 如果服务器用它的私钥加密数据传给浏览器，那么浏览器用公钥可以解密它，而这个公钥是一开始通过明文传输给浏览器的，若这个公钥被中间人劫持到了，那他也能用该公钥解密服务器传来的信息了！

所以也存在安全隐患！

方案 3 - 双方都使用非对称加密

1. 服务端拥有公钥 S 与对应的私钥 S'，客户端拥有公钥 C 与对应的私钥 C'
2. 客户和服务端交换公钥
3. 客户端给服务端发信息：先用 S 对数据加密，再发送，只能由服务器解密，因为只有服务器有私钥 S'
4. 服务端给客户端发信息：先用 C 对数据加密，在发送，只能由客户端解密，因为只有客户端有私钥 C'

存在的问题：

1. 其实也并不安全！（同方案二）
2. 通信速度会比较慢！

方案 4 - 非对称加密 + 对称加密

通信过程：

1. 服务端具有非对称公钥 S 和私钥 S'
2. 客户端发起 https 请求，获取服务端公钥 S
3. 客户端在本地生成对称密钥 C, 通过公钥 S 加密, 发送给服务器.
4. 由于中间的网络设备没有私钥, 即使截获了数据, 也无法还原出内部的原文, 也就无法获取到对称密钥(真的吗？)
5. 服务器通过私钥 S'解密, 还原出客户端发送的对称密钥 C. 并且使用这个对称密钥加密给客户端返回的响应数据.
6. 后续客户端和服务器的通信都只用对称加密即可. 由于该密钥只有客户端和服务器两个主机知道, 其他主机/设备不知道密钥即使截获数据也没有意义。

由于对称加密的效率比非对称加密⾼很多, 因此只是在开始阶段协商密钥的时候使用非对称加密, 后 续的传输仍然使用对称加密，所以效率问题解决了！

虽然上面已经比较接近答案了，但是依旧有安全问题 方案 2，方案 3，方案 4 都存在一个问题，如果最开始，中间人就已经开始攻击了呢？

4.中间人攻击 - 针对上面的场景

Man-in-the-MiddleAttack，简称“MITM 攻击”

确实，在方案 2/3/4 中，客户端获取到公钥 S 之后，对客户端形成的对称秘钥 X 用服务端给客户端的公钥 S 进行加密，中间人即使窃取到了数据，此时中间人确实无法解出客户端形成的密钥 X，因为只有服务器有私钥 S'。 但是中间人的攻击，如果在最开始握手协商的时候就进行中间人攻击了，那就不一定了，假设hacker 已经成功成为中间人了呢？！

攻击流程：

1. 服务器具有非对称加密算法的公钥 S，私钥 S'
2. 中间人具有非对称加密算法的公钥 M，私钥 M'
3. 客户端向服务器发起请求，服务器明文传送公钥 S 给客户端
4. 中间人劫持数据报文，提取公钥 S 并保存好，然后将被劫持报文中的公钥 S 替换成为自己的公钥 M，并将伪造报文发给客户端
5. 客户端收到报文，提取公钥 M(自己当然不知道公钥被更换过了)，自己形成对称秘钥 X，用公钥 M 加密 X，形成报文发送给服务器
6. 中间人劫持后，直接用自己的私钥 M'进行解密，得到通信秘钥 X，再用曾经保存的服务端公钥 S 加密后，将报文推送给服务器
7. 服务器拿到报文，用自己的私钥 S'解密，得到通信秘钥 X
8. 双方开始采用 X 进行对称加密，进行通信。但是一切都在中间人的掌握中，劫持数据，进行窃听甚至修改，都是可以的

上面的攻击方案，同样适用于方案 2，方案 3 问题本质出在哪里了呢？客户端无法确定收到的公钥是否是合法的！那么如何让client得知，自己收到的“公钥”是合法的呢？

5.证书的引入

CA 认证 服务端在使用 HTTPS 前，需要向 CA 机构申领一份数字证书，数字证书里含有证书申请者信息、公钥信息等。服务器把证书传输给浏览器，浏览器从证书里获取公钥就行了，证书就如身份证，证明服务端公钥的权威性

这个证书可以理解成是一个结构化的字符串, 里面包含了以下信息: • 证书发布机构 • 证书有效期 • 公钥 • 证书所有者 • 签名

6.理解数据签名

数据签名就是将数据摘要或者指纹进行加密。

当服务端申请 CA 证书的时候，CA 机构会对该服务端进行审核，并专门为该网站形成

数字签名过程

1. CA 机构拥有非对称加密的私钥 A 和公钥 A'
2. CA 机构对服务端申请的证书明文数据进行 hash，形成数据摘要
3. 然后对数据摘要用 CA 私钥 A'加密，得到数字签名 S

验证过程：

1. 接收到数据时，先将原始数据和签名分开，
2. 然后原始数据通过同样的散列算法再次获得到一个散列值。
3. 将签名通过签名者的公钥进行解密，新散列值和签名进行比较，最终就可以判断数据是否有被更改了！

那么客户端的签名者公钥是从哪里来的呢？ 所有的浏览器（客户端），一般都要有内置可信的CA机构或者授权的子机构的公钥！

7.HTTPS最终方案：非对称加密 + 对称加密 + 证书认证

在客户端和服务器刚一建立连接的时候, 服务器给客户端返回一个 证书，证书包含了之前服务端的公钥, 也包含了网站的身份信息.

客户端进行认证

client第一次请求，得到返回结果，不仅仅得到了公钥，实际上client得到的是一个”证书“，CA机构签发的证书。

客户端获取到这个证书之后, 会对证书进行校验(防止证书是伪造的).

• 判定证书的有效期是否过期
• 判定证书的发布机构是否受信任(操作系统中已内置的受信任的证书发布机构).
• 验证证书是否被篡改: 从系统中拿到该证书发布机构的公钥, 对签名解密, 得到一个hash 值(称为数据摘要), 设为 hash1. 然后计算整个证书的 hash 值, 设为 hash2. 对比 hash1 和 hash2 是否相等. 如果相等, 则说明证书是没有被篡改过的

常见问题：

中间人有没有可能篡改该证书？

由于中间人没有 CA 机构的私钥，所以无法 hash 之后用私钥加密形成签名，那么也就没法办法对篡改后的证书形成匹配的签名，这个世界上只有CA机构有私钥，也就意味着，只有CA机构才有对数据进行签名的能力！

中间人整个掉包证书？

• 因为中间人没有 CA 私钥，所以无法制作假的证书
• 所以中间人只能向 CA 申请真证书，然后用自己申请的证书进行掉包
• 这个确实能做到证书的整体掉包，但是别忘记，证书明文中包含了域名等服务端认证信息，如果整体掉包，客户端依旧能够识别出来。
• 永远记住：中间人没有 CA 私钥，所以对任何证书都无法进行合法修改，包括自己的

为什么签名不直接加密，而是要先 hash 形成摘要?

缩⼩签名密文的⻓度,加快数字签名的验证签名的运算速度

HTTPS通信的完整流程：

总结 HTTPS 工作过程中涉及到的密钥有三组：

• 第一组(非对称加密): 用于校验证书是否被篡改. 服务器持有私钥(私钥在形成 CSR 文件与申请证书时获得), 客户端持有公钥(操作系统包含了可信任的 CA 认证机构有哪些, 同时持有对应的公钥). 服务器在客户端请求时，返回携带签名的证书. 客户端通过这个公钥进行证书验证, 保证证书的合法性，进一步保证证书中携带的服务端公钥权威性。
• 第二组(非对称加密): 用于协商生成对称加密的密钥. 客户端用收到的 CA 证书中的公钥(是可被信任的)给随机生成的对称加密的密钥加密, 传输给服务器, 服务器通过私钥解密获取到对称加密密钥.
• 第三组(对称加密): 客户端和服务器后续传输的数据都通过这个对称密钥加密解密.

其实一切的关键都是围绕这个对称加密的密钥. 其他的机制都是辅助这个密钥工作的！