面试常问：HTTPS的加密过程 ----- 光明和黑暗的恩怨情仇

目录

关于运营商劫持 ：

什么是运营商劫持??

什么是运营商?

为什么要劫持?

如何劫持?

劫持的危害 

互联网公司怎么办?

HTTPS

什么是HTTPS

一些概念：

HTTPS加密

1. 对称加密：

2. 非对称加密

3. 非对称加密+对称加密

 4. 加密方案 --- 重点

---

GDM (GoodManSS) - Gitee.comhttps://gitee.com/GoodManSS      我的gitee主页

---

---

关于运营商劫持 ：

什么是运营商劫持??

运营商劫持    ==     你一级的红buff 被对面平a抢走

什么是运营商?

• 运营商是指那些提供宽带服务的ISP，包括三大运营商中国电信、中国移动、中国联通，还有一些小运营商，比如长城宽带、歌华有线宽带。
• 运营商提供最最基础的网络服务， 掌握着通往用户物理大门的钥匙。

为什么要劫持?

• 网络运营商轻易劫持的能力，并且 劫持 几乎等于 抢劫，有大量的收益

如何劫持?

• 域名劫持，跟PC端相似，用户在正常联网状态下（4G/WiFi），目标域名会被恶意地错误解析到其他IP地址，造成用户无法正常使用服务。
• 数据劫持，对于返回的内容，会在其中强行插入弹窗或嵌入式广告等其他内容，干扰用户的正常使用。一来由于劫持者替换了自己的广告，导致正常产品的广告无法展示，因此给互联网公司造成直接经济损失；其次互联网公司每年都会投入大笔的资金资源去获取流量，但是由于劫持，用户正常流量被伪装成渠道流量，导致投入的资金被嫁接到做劫持的渠道中。打个比方：

劫持的危害 

•  你给女朋友互相写情书，但是你们发出的信件居然连信封都没有，而送信的邮差恰恰是个流氓。。。（画面太美，想象不下去了）
• 还有更猛烈的。运营商即使再无节操，也是有基本底线的。但如果黑客利用运营商强上你的时候留下的漏洞，“黑吃黑”地再次劫持了你的数据，那么事情的发展就不在掌握中了。黑客完全可以调用你的摄像头、获取你的所有登陆密码、读取或修改你手机上的所有文件，包括照片，嗯。 

互联网公司怎么办?

• 告上法庭：法律并不健全，一个小小公司跟 运营商 玩  ??！
• 发挥互联网公司的技术优势：我们可以发现 互联网之所以劫持，并精准的投放给你不同类目的东西，一切都源于 “信息透明”。
• 假如信息不再透明：

• 你给女朋友互相写情书，信封包死，送信的是个流氓，但他却不能打开信封
• 运营商 拿到你的请求  一脸懵逼 ，即便黑客，拿到你的数据，啥也看不懂，那岂不是一点办法都没?

HTTPS

什么是HTTPS

• HTTP ：HyperText Transfer Protocol，超文本传输协议
• HTTPS ：可以理解为HTTP+SSL/TLS。SSL/TLS是一种密码通信框架，他是世界上使用最广泛的密码通信方法。（现在用的都是TLS，SSL已经被淘汰了)

HTTPS就是互联网公司为了数据传输安全，而对HTTP进行加密升级的协议

一些概念：

• 明文：明文（plaintext）是加密之前的原始数据
• 密文：通过密码（cipher）运算后得到的结果成为密文
• 秘钥：密钥 (key) 密钥是一种参数，它是在使用密码（cipher）算法过程中输入的参数。

很多知名的密码算法都是公开的，密钥才是决定密文是否安全的重要参数，通常密钥越长，破解的难度越大，加密就是  将明文通过密钥转变成密文；解密就是 将 密文通过密钥转变成明文。

对称加密：对加密和解密 使用相同密钥。

非对称加密：加密和解密 使用不同密钥。

HTTPS加密

1. 对称加密：

对称加密 ：同一把密钥进行加密、解密；

但是有个问题，我们如何保证把这个密钥 发送给对方呢?

密钥也很容易被攻击者截获，攻击者通样能够进行加密解密，这样的话，加密就没有了意义。

2. 非对称加密

非对称加密 ：用一把密钥进行加密（公钥)，用另一把密钥进行解密（私钥)。

这样的话，攻击者只能截获到 密文和公钥，并不能进行解密。

但是，非对称加密保证了数据的安全性，但由于数学上的复杂性，加密解密的效率是很低的

3. 非对称加密+对称加密

非对称加密传输密钥，对称加密传输数据。

这样既保证了安全，又保证了效率。

~~~~~~看似安全~~~~~~~看完下图你还会觉得安全吗?~~~~~

 4. 加密方案 --- 重点

防止中间人攻击，我们又引入了一个 “证书”

证书机制：引入一个公正的有权威的第三方，当某一方想要发布公钥时，它将自身的身份信息及公钥提交给这个第三方，第三方对其身份进行证实，如果没有问题，则将其信息和公钥打包成为证书（Certificate)。而这个公正的第三方，就是常说的证书颁发机构（Certificate Authority）。当我们需要获取公钥时，只需要获得其证书，然后从中提取出公钥就可以了。

HTTPS 在内容传输的加密上使用的是对称加密，非对称加密只作用在证书验证阶段。

通过第三方证书的验证，我们客户端就可以判断 这个公钥是否被掉包了，这样也就破解了中间人攻击。

最后一个小问题：这样就真的安全了吗? 道高一尺魔高一丈