來(lái)自公眾號：素燕

故事中的主演：

小華今年上大一，這是她第一次離開(kāi)父母，獨自一人到北京上學(xué)。今天媽媽的生日，想了想要給媽媽一個(gè)祝福，便給媽媽發(fā)了條消息：

媽媽收到這條消息非常開(kāi)心，女兒這么忙還能記得自己的生日，兩個(gè)人便開(kāi)始聊了起來(lái)。媽媽知道女兒一直省吃?xún)€用，決定給女兒打點(diǎn)錢(qián)過(guò)去。

小黑是個(gè)黑客，專(zhuān)搞一些“偷雞摸狗”的事情，他已經(jīng)監聽(tīng)了這對母女的對話(huà)。一直看著(zhù)她們嘮家常，都快睡著(zhù)了。

直到看到母女提到錢(qián)的事情，立馬打起精神，決定搞一筆。然后他截獲了小華的消息，替換成自己精心準備的內容給小華的媽媽發(fā)過(guò)去了。

小華的媽媽隨后就把錢(qián)打給了小華，未曾想到母女二人的聊天內容盡在小黑的掌控之中。小黑拿到錢(qián)后就逃之夭夭了。

「公眾號素燕注：HTTP 協(xié)議是建立在 TCP 之上的，TCP 是否安全決定了 HTTP 是否安全。HTTP的報文內容并未加密，容易被監聽(tīng)和篡改。小黑就監聽(tīng)了母女二人的聊天內容，并對內容進(jìn)行了篡改，偽裝成女兒進(jìn)行聊天。所以 HTTP 有以下 3 個(gè)問(wèn)題：

3.無(wú)法驗證對方的身份，我現在聊天的人是誰(shuí)，可靠嗎？」

小華被騙后，心里很難過(guò)，把這件事告訴了她的計算機老師王大強。王老師聽(tīng)到被騙的經(jīng)歷，感到非常驚訝，消息為什么會(huì )被篡改呢！立馬查看了她們使用的聊天軟件，原來(lái)這個(gè)軟件直接使用的是 TCP 協(xié)議，沒(méi)有做安全措施。

研究完軟件后，大強對小華說(shuō)：“這款軟件有問(wèn)題，以后別用了，要用具有安全措施的軟件，比如使用 TLS/SSL 協(xié)議的軟件”。

小華說(shuō)：“什么是 TLS/SSL 呢？”。大強看到小華誠懇的表情，決定把 HTTPS 的原理告訴她，但是想到她可能理解不了，然后決定剖析一下她和媽媽被騙的場(chǎng)景。

既然小華和她媽媽的聊天內容是明文傳輸的，那直接把內容加密不就完事了嗎。小華和她媽媽就約定了一個(gè)密碼，所有的內容都通過(guò)這個(gè)密碼進(jìn)行加密和解密。

「公眾號素燕注：這種加密方式稱(chēng)為對稱(chēng)加密，加密解密都是通過(guò)同一個(gè)密碼來(lái)操作，所以需要保證密碼的安全，一旦泄露，后果很?chē)乐亍?/p>

小華立馬覺(jué)察到事情的不妙，密碼如何才能傳給她媽媽呢。只能雙方見(jiàn)面后來(lái)約定一個(gè)密碼。但是她想到遠在美國的爸爸，如果向他要錢(qián)的話(huà)，需要飛往美國把密碼告訴他。這太麻煩了。

王大強老師說(shuō)：“別急，還有更好的方法”。那就使用兩個(gè)密鑰，一個(gè)用來(lái)加密（稱(chēng)為公鑰），另一個(gè)用來(lái)解密（稱(chēng)為私鑰），使用公鑰加密過(guò)的內容，只能通過(guò)私鑰進(jìn)行解密。私鑰只有自己有，公鑰可以丟給別人。

小華和媽媽?zhuān)话压€交給對方就行。小華給媽媽發(fā)消息的時(shí)候，用媽媽的公鑰進(jìn)行加密，私鑰只有媽媽有，也就是說(shuō)只有媽媽能解密。

「公眾號素燕注：這種加密方式稱(chēng)為非對稱(chēng)加密，會(huì )有二個(gè)鑰匙，一個(gè)鑰匙加密過(guò)的內容只能通過(guò)另一個(gè)鑰匙進(jìn)行解密。至于為啥要說(shuō)公鑰加密私鑰解密，雖然兩個(gè)鑰匙都可以進(jìn)行加密解密，但是公鑰加密私鑰解密這種說(shuō)法不是更好理解嗎？公鑰被人都知道，私鑰只有自己知道」。

小華想了想覺(jué)得還是有點(diǎn)不安全，假如她和媽媽進(jìn)行交換公鑰的時(shí)候，被小黑監聽(tīng)了。

小華把自己的公鑰 xiaohua_pub 發(fā)給媽媽?zhuān)型颈恍『诘舭?，小黑把自己的公鑰 xiaohei_pub 發(fā)給了小華的媽媽。這樣小華媽媽發(fā)消息的時(shí)候就使用了小黑的公鑰進(jìn)行了加密，小黑獲取到消息表可以用自己的私鑰進(jìn)行解密。

媽媽發(fā)送自己的公鑰給小華的時(shí)候也被小黑掉包了，這時(shí)小黑就有了雙方的公鑰。

小黑監聽(tīng)到小華要求媽媽打錢(qián)的消息，對消息進(jìn)行了篡改。

王大強老師聽(tīng)完小華的疑慮，豎起了大拇指，說(shuō)道：“別急，聽(tīng)我慢慢解釋”。

現在的問(wèn)題是出在交換公鑰的時(shí)候被小黑調包了，那接下來(lái)就需要解決這個(gè)問(wèn)題。如何才能把公鑰安全地送到對方手上。

這似乎是永遠解不了的問(wèn)題，畢竟公鑰始終是要經(jīng)過(guò)傳輸的。這似乎是一個(gè)雞生蛋蛋生雞的問(wèn)題。后來(lái)小華想了想他平時(shí)網(wǎng)上購物的時(shí)候，以前總是擔心怕付款了，商家跑路不給發(fā)貨，自從有了淘寶這個(gè)第三方機構，畢竟阿里家大業(yè)大，值得信賴(lài)，即使商家跑路了可以找淘寶。

后來(lái)就出現了關(guān)于公鑰的認證機構，這些認證機構很少，但非常權威，它會(huì )和電腦、瀏覽器等廠(chǎng)商達成信任關(guān)系，提前把認證機構的公鑰安裝到系統中，這樣就不會(huì )涉及到傳輸的問(wèn)題了。

在聊天的過(guò)程中，小華發(fā)現消息發(fā)送和接收的時(shí)候很慢，后來(lái)發(fā)現因為是加密算法耗費比較長(cháng)的時(shí)間。小華想了想，使用對稱(chēng)加密的時(shí)候，唯一的缺點(diǎn)是交換秘鑰比較麻煩，但是速度非?？?。那么可以通過(guò)非對稱(chēng)加密來(lái)傳輸對稱(chēng)加密的密鑰，密鑰傳輸成功后，使用對稱(chēng)加密來(lái)加密消息。

到此，你理解如何保證通信安全了嗎？

「公眾號素燕注：HTTP 屬于應用層協(xié)議，HTTPS 并不是一個(gè)新的協(xié)議，它只是比 HTTP 協(xié)議多了一層（TLS/SSL）來(lái)保證數據傳輸安全。TLS/SSL也屬于協(xié)議，它的主要作用是保證數據傳輸安全。大多數使用的是 OpenSSL 來(lái)實(shí)現，比如 Node 中的 TLS 就是基于 OpenSSL 實(shí)現的」。

總結

本文以故事的形式介紹了 HTTP 的不安全，保證 HTTPS 安全性的背后支持，包含數字證書(shū)、數字簽名、對稱(chēng)加密、非對稱(chēng)加密的概念，當然光有理論還不行，需要實(shí)踐才能更好地理解。大家加油。