上一篇文章我们介绍了HTTP协议，是用来客户端向服务端请求资源的，通过编码的方式验证了HTTP协议请求和响应的格式，但是存在的一个问题就是HTTP协议在网络中数据传输是以明文的形式进行传输的，今天我们要介绍的HTTPS协议是基于HTTP协议，解决数据以明文的形式传输存在不安全的问题，解决的方式，是通过加密，在网络中传输加密后的数据，下面我们就一起来看看是如何实现加密保证安全性的。

1.理解加密和解密

加密就是把明⽂(要传输的信息)进⾏⼀系列变换,⽣成密⽂。
解密就是把密⽂再进⾏⼀系列变换,还原成明⽂。

2.为什么要加密

例：下载⼀个天天动听
未被劫持的效果,点击下载按钮,就会弹出天天动听的下载链接.

已被劫持的效果,点击下载按钮,就会弹出QQ浏览器的下载链接

由于我们通过网络传输的任何的数据包都会经过运营商的网络设备(路由器,交换机等),那么运营商的网络设备就可以解析出你传输的数据内容,并进⾏篡改.点击"下载按钮",其实就是在给服务器发送了⼀个HTTP请求,获取到的HTTP响应其实就包含了APP的下载链接.运营商劫持之后,就发现这个请求是要下载天天动听,那么就⾃动的把交给用户的响应给篡改成"QQ浏览器"的下载地址了。

如图所示：

所以：因为http的内容是明⽂传输的，明⽂数据会经过路由器、wifi热点、通信服务运营商、代理服务器等多个物理节点，如果信息在传输过程中被劫持，传输的内容就完全暴露了。劫持者还可以篡改传输的信息且不被双⽅察觉，这就是中间⼈攻击，所以我们才需要对信息进行加密。

3.常见的加密方式

3.1对称加密

⼀个简单的对称加密,按位异或
假设明⽂a=1234,密钥key=8888
则加密a^key得到的密⽂b为9834
然后针对密⽂9834再次进⾏运算b^key,得到的就是原来的明⽂1234

3.2非对称加密

4.数据摘要和数据指纹

5. 数字签名

摘要经过加密，就得到数字签名

6.HTTPS的加密策略

说明：网络通信中，谈到安全，我们必须要解决两个问题，一个是数据被监听的问题，一个数据被篡改的问题，在这里HTTPS实现安全也是围绕这两个问题逐步解决的。

6.1只使用对称加密

客户端使用密钥将数据加密之后发送给服务端，在网络中传输的过程中将密钥和密文一起发给服务端，服务端收到密钥和密文之后对密文进行解密，存在的问题，中间人可以获取到密文和密钥，一旦获取到密文和密钥之后，中间人也可以解密获得数据，此时只是单纯的使用对称加密是无法解决数据不安全的问题的。

6.2使用非对称加密

6.2.1服务端使用非对称加密

如图所示：

6.2.2双方都使用非对称加密

如图所示：

说明：双方都使用非对称加密的方式好像解决了安全问题，但是这里依旧是存在安全问题的，后面继续介绍为什么会有问题，除了会有安全问题之外，双方都采用非对称会导致效率太低，双方需要先进行交换公钥，然后再加密发送数据。首先解决效率问题可以采用对称加密结合非对称加密的方式进行解决。

6.3对称加密+非对称加密

如图所示：

注：虽然上面的方案好像已经解决了安全问题，但是其实并不然，下面我们就一起来看看，为什么依旧会存在安全问题，以及该如何解决呢？

7.中间人攻击

Man-in-the-MiddleAttack，简称“MITM攻击”

客户端获取到公钥S之后，对客⼾端形成的对称秘钥X⽤服务端给客⼾端的公钥S进⾏加密，中间⼈即使窃取到了数据，此时中间人确实⽆法解出客⼾端形成的密钥X，因为只有服务器有私钥S'但是中间人的攻击，如果在最开始握⼿协商的时候就进⾏了，那就不⼀定了，假设hacker已经成功成为中间人。

如图所示：

所以问题的本质出在哪里了呢？

客户端无法确定收到的含有公钥的数据报文，就是目标标服务器发送过来的！那该如何解决呢？答案是使用证书进行解决，下面我们就一起看看什么是证书，以及证书是如何解决的。

8.证书

服务端在使⽤HTTPS前，需要向CA机构申领⼀份数字证书，数字证书⾥含有证书申请者信息、公钥信息等。服务器把证书传输给浏览器，浏览器从证书⾥获取公钥就⾏了，证书就如⾝份证，证明服务端公钥的权威性

如图所示：

证书申请成功后会使用hash形成摘要，然后使用CA认证的私钥对摘要进行加密形成数据签名，然后将签名和证书结合起来，如图所示：

当客户端收到服务端的证书之后，会根据证书中的内容进行hash的方法形成摘要，然后使用证书中的公钥形成数据签名，然后CA会在浏览器中内置自己的公钥，使用自己内置的公钥形成数据签名，两者进行对比，如果相等，则证明服务端发给客户端的公钥没有没修改过，如果不相等就证明是被修改过，通过这样的方式就可以确认是否是目标服务器发过来的。