网络（二）http和https

一、区别

　　1.http由于是明文传输的，所以安全会有以下三个风险：窃听风险，篡改风险，冒充风险

　　2.https在http与tcp层之间加入了SSL/TLS协议：信息加密，校验机制（无法篡改信息），身份证书

二、https是如何解决上面三个风险

　　1.混合加密的方式实现信息的机密性，解决了窃听的风险

　　2.摘要算法的方式来实现完整性，它能够为数据生成独一无二的【指纹】，指纹用于校验数据的完整性，解决了篡改的风险

　　3.将服务器公钥放入到数字证书中，解决了冒充的风险

　　混合加密：通过混合加密的方式可以保证信息的机密性，解决了窃听风险

　　　　1.https采用的是对称加密和非对称加密的结合的【混合加密】方式

　　　　-在通信建立前采用非对称加密的方式交换【会话密钥】，后续就不再使用非对称加密

　　　　-在通信过程中全部使用对称加密的【会话密钥】的方式加密明文数据

　　（2）采用【混合加密】的方式的原因

　　　　1.对称加密只使用一个密钥，运算速度快，密钥必须保密，无法做到安全的密钥交换

　　　　2.非对称加密使用两个密钥：公钥和私钥，公钥可以任何分发而私钥保密，解决了密钥交换问题但速度慢

　　我的理解是：【混合加密】使用了两种加密方式：一是对称加密，二是非对称加密；前者只用一个密钥，运算速度快，但做不到安全密钥交换，后者使用两种密钥：公钥和私钥，解决了密钥交换的问题，但速度很慢。两种方式结合互补-----通信建立前使用非对称加密（可以实现交换密钥），通信过程中就只使用对称加密（一个密钥完全保密，而且速度快）。

　　摘要算法：摘要算法用来实现完整性，能够为数据生成独一无二的【指纹】，用于校验数据的完整性，解决了篡改的风险

　　　　1.客户端在发送明文之前会通过摘要算法算出明文【指纹】，发送的时候把【指纹+明文】一同加密成秘文后，发送给服务器，服务器解密后，用相同的摘要算法算出发送过来的明文，通过对比较客户端携带的【指纹】和当前算出的【指纹】做比较，若【指纹】相同，说明数据是完整的

　　数字证书：第三方权威机构 CA（数字证书认证机构），将服务器公钥放在数字证书（由数字证书认证机构颁发）中，只要证书是可信的，公钥就是可信的，通过数字证书的方式保证服务器公钥匙的身份，解决冒充的风险。