故事中的主演：

小華今年上大一，這是她第一次離開父母，獨(dú)自一人到北京上學(xué)。今天媽媽的生日，想了想要給媽媽一個(gè)祝福，便給媽媽發(fā)了條消息：

媽媽收到這條消息非常開心，女兒這么忙還能記得自己的生日，兩個(gè)人便開始聊了起來。媽媽知道女兒一直省吃儉用，決定給女兒打點(diǎn)錢過去。

小黑是個(gè)黑客，專搞一些“偷雞摸狗”的事情，他已經(jīng)監(jiān)聽了這對(duì)母女的對(duì)話。一直看著她們嘮家常，都快睡著了。

直到看到母女提到錢的事情，立馬打起精神，決定搞一筆。然后他截獲了小華的消息，替換成自己精心準(zhǔn)備的內(nèi)容給小華的媽媽發(fā)過去了。

小華的媽媽隨后就把錢打給了小華，未曾想到母女二人的聊天內(nèi)容盡在小黑的掌控之中。小黑拿到錢后就逃之夭夭了。

「注：HTTP 協(xié)議是建立在 TCP 之上的，TCP 是否安全決定了 HTTP 是否安全。HTTP的報(bào)文內(nèi)容并未加密，容易被監(jiān)聽和篡改。小黑就監(jiān)聽了母女二人的聊天內(nèi)容，并對(duì)內(nèi)容進(jìn)行了篡改，偽裝成女兒進(jìn)行聊天。所以 HTTP 有以下 3 個(gè)問題：

• 內(nèi)容未加密，容易被監(jiān)聽，都是明文傳輸;
• 無法驗(yàn)證內(nèi)容的完整性，容易被篡改，也就是說不知道消息是不是被修改過;
• 無法驗(yàn)證對(duì)方的身份，我現(xiàn)在聊天的人是誰，可靠嗎?」

小華被騙后，心里很難過，把這件事告訴了她的計(jì)算機(jī)老師王大強(qiáng)。王老師聽到被騙的經(jīng)歷，感到非常驚訝，消息為什么會(huì)被篡改呢!立馬查看了她們使用的聊天軟件，原來這個(gè)軟件直接使用的是 TCP 協(xié)議，沒有做安全措施。

研究完軟件后，大強(qiáng)對(duì)小華說：“這款軟件有問題，以后別用了，要用具有安全措施的軟件，比如使用 TSL/SSL 協(xié)議的軟件”。

小華說：“什么是 TSL/SSL 呢?”。大強(qiáng)看到小華誠(chéng)懇的表情，決定把 HTTPS 的原理告訴她，但是想到她可能理解不了，然后決定剖析一下她和媽媽被騙的場(chǎng)景。

既然小華和她媽媽的聊天內(nèi)容是明文傳輸?shù)模侵苯影褍?nèi)容加密不就完事了嗎。小華和她媽媽就約定了一個(gè)密碼，所有的內(nèi)容都通過這個(gè)密碼進(jìn)行加密和解密。

「注：這種加密方式稱為對(duì)稱加密，加密解密都是通過同一個(gè)密碼來操作，所以需要保證密碼的安全，一旦泄露，后果很嚴(yán)重」

小華立馬覺察到事情的不妙，密碼如何才能傳給她媽媽呢。只能雙方見面后來約定一個(gè)密碼。但是她想到遠(yuǎn)在美國(guó)的爸爸，如果向他要錢的話，需要飛往美國(guó)把密碼告訴他。這太麻煩了。

王大強(qiáng)老師說：“別急，還有更好的方法”。那就使用兩個(gè)密鑰，一個(gè)用來加密(稱為私鑰)，另一個(gè)用來解密(稱為公鑰)，使用私鑰加密過的內(nèi)容，只能通過公鑰進(jìn)行解密。私鑰只有自己有，公鑰可以丟給別人。

小華和媽媽，只把公鑰交給對(duì)方就行。小華給媽媽發(fā)消息的時(shí)候，用媽媽的公鑰進(jìn)行加密，私鑰只有媽媽有，也就是說只有媽媽能解密。

「注：這種加密方式稱為非對(duì)稱加密，會(huì)有二個(gè)鑰匙，一個(gè)鑰匙加密過的內(nèi)容只能通過另一個(gè)鑰匙進(jìn)行解密。至于為啥要說公鑰加密私鑰解密，雖然兩個(gè)鑰匙都可以進(jìn)行加密解密，但是公鑰加密私鑰解密這種說法不是更好理解嗎?公鑰被人都知道，私鑰只有自己知道」。

小華想了想覺得還是有點(diǎn)不安全，假如她和媽媽進(jìn)行交換公鑰的時(shí)候，被小黑監(jiān)聽了。

小華把自己的公鑰 xiaohua_pub 發(fā)給媽媽，中途被小黑掉包了，小黑把自己的公鑰 xiaohei_pub 發(fā)給了小華的媽媽。這樣小華媽媽發(fā)消息的時(shí)候就使用了小黑的公鑰進(jìn)行了加密，小黑獲取到消息表可以用自己的私鑰進(jìn)行解密。

媽媽發(fā)送自己的公鑰給小華的時(shí)候也被小黑掉包了，這時(shí)小黑就有了雙方的公鑰。

小黑監(jiān)聽到小華要求媽媽打錢的消息，對(duì)消息進(jìn)行了篡改。

王大強(qiáng)老師聽完小華的疑慮，豎起了大拇指，說道：“別急，聽我慢慢解釋”。

現(xiàn)在的問題是出在交換公鑰的時(shí)候被小黑調(diào)包了，那接下來就需要解決這個(gè)問題。如何才能把公鑰安全地送到對(duì)方手上。

這似乎是永遠(yuǎn)解不了的問題，畢竟公鑰始終是要經(jīng)過傳輸?shù)?。這似乎是一個(gè)雞生蛋蛋生雞的問題。后來小華想了想他平時(shí)網(wǎng)上購(gòu)物的時(shí)候，以前總是擔(dān)心怕付款了，商家跑路不給發(fā)貨，自從有了淘寶這個(gè)第三方機(jī)構(gòu)，畢竟阿里家大業(yè)大，值得信賴，即使商家跑路了可以找淘寶。

后來就出現(xiàn)了關(guān)于公鑰的認(rèn)證機(jī)構(gòu)，這些認(rèn)證機(jī)構(gòu)很少，但非常權(quán)威，它會(huì)和電腦、瀏覽器等廠商達(dá)成信任關(guān)系，提前把認(rèn)證機(jī)構(gòu)的公鑰安裝到系統(tǒng)中，這樣就不會(huì)涉及到傳輸?shù)膯栴}了。

在聊天的過程中，小華發(fā)現(xiàn)消息發(fā)送和接收的時(shí)候很慢，后來發(fā)現(xiàn)因?yàn)槭羌用芩惴ê馁M(fèi)比較長(zhǎng)的時(shí)間。小華想了想，使用對(duì)稱加密的時(shí)候，唯一的缺點(diǎn)是交換秘鑰比較麻煩，但是速度非常快。那么可以通過非對(duì)稱加密來傳輸對(duì)稱加密的密鑰，密鑰傳輸成功后，使用對(duì)稱加密來加密消息。

到此，你理解如何保證通信安全了嗎?

「注：HTTP 屬于應(yīng)用層協(xié)議，HTTPS 并不是一個(gè)新的協(xié)議，它只是比 HTTP 協(xié)議多了一層(TSL/SSL)來保證數(shù)據(jù)傳輸安全。TSL/SSL也屬于協(xié)議，它的主要作用是保證數(shù)據(jù)傳輸安全。大多數(shù)使用的是 OpenSSL 來實(shí)現(xiàn)，比如 Node 中的 TSL 就是基于 OpenSSL 實(shí)現(xiàn)的」。

總結(jié)

本文以故事的形式介紹了 HTTP 的不安全，保證 HTTPS 安全性的背后支持，包含數(shù)字證書、數(shù)字簽名、對(duì)稱加密、非對(duì)稱加密的概念，當(dāng)然光有理論還不行，需要實(shí)踐才能更好地理解。大家加油。