一文看懂https如何保證數據傳輸的安全性的

08-11

來自專欄 java工程師之路1 人贊了文章

大家都知道，在客戶端與伺服器數據傳輸的過程中，http協議的傳輸是不安全的，也就是一般情況下http是明文傳輸的。但https協議的數據傳輸是安全的，也就是說https數據的傳輸是經過加密。

在客戶端與伺服器這兩個完全沒有見過面的陌生人交流中，https是如何保證數據傳輸的安全性的呢？

下面我將帶大家一步步了解https是如何加密才得以保證數據傳輸的安全性的。我們先把客戶端稱為小客，伺服器稱為小服。然後一步步探索在小客與小服的交流中（就是一方請求一方響應）,https是如何保證他們的交流不會被中間人竊聽的。

1. 對稱加密

假如現在小客與小服要進行一次私密的對話，他們不希望這次對話內容被其他外人知道。可是，我們平時的數據傳輸過程中又是明文傳輸的，萬一被某個黑客把他們的對話內容給竊取了，那就難受了。

為了解決這個問題，小服這傢伙想到了一個方法來加密數據，讓黑客看不到具體的內容。該方法是這樣子的：

在每次數據傳輸之前，小服會先傳輸小客一把密鑰，然後小服在之後給小客發消息的過程中，會用這把密鑰對這些消息進行加密。小客在收到這些消息後，會用之前小服給的那把密鑰對這些消息進行解密，這樣，小客就能得到密文裡面真正的數據了。如果小客要給小服發消息，也同樣用這把密鑰來對消息進行加密，小服收到後也用這把密鑰進行解密。這樣，就保證了數據傳輸的安全性。如圖所示:

這時，小服想著自己的策咯，還是挺得意的。

可是，這時候問題來了。這個策略安全的前提是，小客擁有小服的那把密鑰。可問題是，小服是以明文的方式把這把密鑰傳輸給小客的，這個時候，如果黑客截取了這把密鑰，那就難受了。小服與小客就算是加密了內容，在截取了密鑰的黑客老哥眼裡，這和明文沒啥區別。

2. 非對稱加密

小服還是挺聰明的，得意了一會之後，小服意識到了密鑰會被截取這個問題。倔強的小服又想到了另外一種方法：用非對稱加密的方法來加密數據。該方法是這樣的：

小服和小客都擁有兩把鑰匙，一把鑰匙的公開的（全世界都知道也沒關係），稱之為公鑰；而另一把鑰匙是保密（也就是只有自己才知道），稱之為私鑰。並且，用公鑰加密的數據，只有對應的私鑰才能解密；用私鑰加密的數據，只有對應的公鑰才能解密。

所以在傳輸數據的過程中，小服在給小客傳輸數據的過程中，會用小客給他的公鑰進行加密，然後小客收到後，再用自己的私鑰進行解密。小客給小服發消息的時候，也一樣會用小服給他的公鑰進行加密，然後小服再用自己的私鑰進行解密。這樣，數據就能安全著到達雙方。如圖：

想著這麼複雜的策略都能想出來，小服可是得意的不能在得意了.....

看著那麼得意的小服，小客這時心情就不得好了。還沒等小服得意多久，小客就給它潑了一波冷水了。

小客嚴肅著說：其實，你的這種方法也不是那麼的安全啊。還是存在被黑客截取的危險啊。例如：

你在給我傳輸公鑰的過程中，如果黑客截取了你的公鑰，並且拿著自己的公鑰來冒充你的公鑰來發給我。我收到公鑰之後，會用公鑰進行加密傳輸（這時用的公鑰實際上是黑客的公鑰）。黑客截取了加密的消息之後，可以用他自己的私鑰來進行解密來獲取消息內容。然後在用你（小服）的公鑰來對消息進行加密，之後再發給你（小服）。這樣子，我們的對話內容還是被黑客給截取了啊。（倒過來小客給小服傳輸公鑰的時候也一樣）。

我靠，這麼精妙的想法居然也不行，小服這波，滿臉無神。

## 插講下 ##

其實在傳輸數據的過程中，在速度上用對稱加密的方法會比非對稱加密的方法快很多。所以在傳輸數據的時候，一般不單單只用非對稱加密這種方法(我們先假設非對稱密碼這種方法很安全)，而是會用非對稱加密 + 對稱加密這兩種結合的方法。你想啊，對於對稱加密這種方法來說，之所以不安全是因為密鑰在傳輸的過程中，被別人知道了。基於這個，我們可以用非對稱加密方法來安全著傳輸密鑰，之後在用對稱加密的方法來傳輸消息內容（當然，我這裡假定了非對稱加密傳輸是安全的，下面會講如何使之安全）。