https中用到了--對稱加密&非對稱加密
open-ssl

急速開發(fā)系列——Retrofit中如何正確的使用https臊旭？ - 代碼之道超埋，編程之法 - 博客頻道 - CSDN.NET
http://blog.csdn.net/dd864140130/article/details/52625666
很多文章對客戶端https的使用都是很模糊的鼓黔，不但如此键耕，有些開發(fā)者直接從網上拷貝一些使用https的“漏洞”代碼翼闹，無形之中讓客戶端處在一種高風險的情況下枫振。

今天我們就對有關https使用的問題進行深入的探討喻圃，希望能解決以往的困惑。對于https粪滤，需要了解其工作原理的可以參考https是如何工作的斧拍？，更多關于https的問題我會站在客戶端的角度在后面陸陸續(xù)續(xù)的寫出來杖小。

最近在看到這么一篇講解Https原理的文章肆汹，語言精煉，通俗易懂予权，特地將其翻譯下昂勉，原文在此how does https work
加密算法簡介
正文開始之前，我先來解釋簡單的解釋下對稱加密和非對稱加密.
對稱加密采用對稱密碼編碼技術扫腺，也就是編碼和解碼采用相同描述字符岗照，即加密和解密使用相同的密鑰，實現這種加密技術的算法稱對稱加密算法斧账。對稱加密使用簡單冻璃，密鑰較短陌粹，加密和解密過程較快砸脊，耗時短殃饿，常見的對稱加密算法有DES宏胯，3DES谦秧，lDEA蝎土，AES樱报，RC4等。
非對稱加密與對稱加密不同闪萄，其加密算法需要兩個密鑰：公開密鑰（publickey）和私有密鑰（private）梧却，兩者是一對的。如果用公鑰加密败去，只能用私鑰才能解密放航。非對稱加密保密性好，但加密和解密花費的時間較長圆裕，不適合對大文件加密而只適合對少量的數據加密广鳍。常見的非對稱加密算法有RSA，ECC吓妆，DSA(數字簽名)等赊时。
Hash算法是一種單向算法，通過Hash算法可以對目標數據生成一段特定長度行拢、唯一的hash值,但是不能通過這個hash值重新計算出原始的數據祖秒，因此也稱之為摘要算法，經常被用在不需要數據還原的密碼加密以及數據完整性校驗上舟奠，常用的算法有MD2竭缝，MD4，MD5沼瘫，SHA等歌馍。

現在我們對對稱加密，非對稱加密及Hash算法做了簡單的說明之后晕鹊，就可以開始了解https的工作原理了松却。
https是如何工作的？
這篇文章是我在我團隊中分享的溅话。很多人不理解https的好處晓锻，不理解https的原理，因此我將這篇文章也分享給大家飞几。
加密（Cipher）
在java 1.2時砚哆，引入JCR（java 加密擴展）系統(tǒng)，用來負責java中的密鑰和證書屑墨。
我們都知道躁锁，如果我們想要加密或解密一些信息，我們必須要有一個密鑰卵史。這好比你想要開門或者鎖門战转，必須要有鑰匙一樣。
在java中以躯，密鑰由KeyGenerator或KeyPairGenerator生成槐秧。前者用來生成對稱密鑰啄踊，后者用來生成非對稱密鑰。
對稱密鑰：使用同一個密鑰進行加密和解密
非對稱密鑰：使用不同的密鑰進行加密和解密刁标，通常被稱為公鑰（public key）和私鑰（private key）颠通。 公鑰可以廣泛傳播，但是私鑰只有其所有者知道膀懈。在一個安全的非對稱密鑰加密方案中顿锰，當信息用公鑰加密后，只有用私鑰才能解密启搂。所以撵儿，即使一個黑客拿到你公鑰加密過后的信息，也無法解密它狐血，因為它沒有配對的私鑰淀歇。這樣，傳輸的消息就是安全的匈织。

證書（Certificate）
在現實中浪默，如果你進入到鉆石專賣店中想要買一顆鉆石，你怎么知道鉆石是真的缀匕？作為一個普通人來說纳决，我們沒有鉆石方面的知識，但是如果這鉆石有個由美國政府頒發(fā)的許可證乡小，我們就會相信它是真的阔加。（去過珠寶店的同學都知道，每件珠寶都有自己的鑒定書）
證書的作用也是如此满钟。在計算機世界中胜榔，它可能是包含一些密鑰，是另一個證書（姑且稱之為證書B好了）湃番。這些密鑰是我們需要的夭织，而證書B是一個許可證，用來證明這個證書是可信賴的吠撮。
做個簡短的解釋尊惰，每個鉆石都有自己的“身份證書”，但是如何說明這個身份證書是合法的泥兰，而不是自己偽造的弄屡？因此，我們需要一個權威的機構來證明這個鉆石的身份證書是合法的鞋诗，如果這個鉆石的身份是合法的膀捷，該權威機構就會為其頒發(fā)一個“許可證”，這個許可證就相當于上面我們說到的證書B师脂〉？祝可以看到，證書B的目的就是證明這個身份證書是這個鉆石的身份證書吃警，即證明某某東西是某某東西的東西

問題來了：我們怎么確定證書B是可信賴的呢糕篇？這個問題非常棒。
Android已經把將近150個CA根證書（數字證書認證機構認證過的證書）內置在我們手機中酌心。這150多個證書被全世界信賴拌消，他們就像是美國的大法官。
這150多個證書類似我們剛才說的證書B安券，分別用來證明某某東西是某某東西的東西

B證書中里有另外一個證書（姑且稱之為C證書）墩崩，我們通過檢查C來確定C是否是可信任的。侯勉。鹦筹。通過這個證書鏈，如果我們找到的最后一個或根證書 和手機中預置的150個證書中某個相同址貌，我們就可以這個證書原件（此處就是B）
這里我對證書鏈進行說明铐拐。證書之間的信任關系是可以嵌套的。比如练对，CA信任D遍蟋，D信任C，C信任B ,B信任A螟凭。虚青。。這就是證書鏈螺男。只要我們信任證書鏈上的頭一個證書棒厘，那么后續(xù)的證書都是可以信任的。這里也就是如果我信任了證書CA下隧，那么后面的D绊谭，C，B汪拥，A都是可以信任的达传。這里來打個比方，架設軍隊中的每個士兵都只認識自己的直接上級迫筑，那么這時候總司令怎么確認某個士兵是自己部隊 當中的呢宪赶？總司令（CA）會問的直接下級（D），而司令的直接下級又會找自己的直接下級脯燃，依次往下找…如果最后能找到這個士兵直屬上級搂妻，那就說明這個士兵是該部隊當中的。

附：證書有多種格式
x.509 x.509證書通常用于包含一個公鑰

PKCS12 PKCS12證書通常用來包含一個私鑰辕棚。因此欲主，PKCS12需要密碼才能打開邓厕。

Https
現在我們來了解https部分。Https（http over ssl）包含上面提到的加密和證書兩部分扁瓢，被設計用來在Internet安全進行通信详恼。
如何安全的通信？

這里寫圖片描述

這個想法非常棒：服務端發(fā)送給你公鑰，你使用這個公鑰加密數據哭廉。因為服務端是唯一擁有私鑰的脊僚， 這意味著只有服務端能夠解密密文。即使黑客截獲了該通訊遵绰，但因為沒有私鑰也就無法解密密文辽幌。
但是，非對稱加密比對稱加密更加耗時椿访。為了用戶體驗乌企，不建議使用非對稱加密這種方式來加密/解密大量的數據 。
最終方案

這里寫圖片描述

--EOF--