關于“https”的原理和作用之芻議

雷凱屹

（江蘇省宜興中學，宜興 214206）

早在2015年，百度公司就首先推出了“https”的安全加密服務，對那些通過HTTP通道的資料添加SSL安全套接層。這種加密服務的應用能夠將用戶的各種信息搜索需求轉換成加密的狀態，也能夠為廣大市民提供私密的信息安全服務。2015年10月，阿里巴巴也在其所有的電商平臺使用了HTTPS服務，各種網站的域名前綴也帶有“https：//”的標識。“Https”的應用過程需要大量的資金投入，同時其技術難度較高，但是它能夠有效地應對各種中間人的劫持問題。本文將就“https”的原理和作用進行簡要地分析。

1 “Https”介紹

https協議是安全超文本傳輸協議，是由“Http”和“SSL”協議配合組成的。所謂的HTTP協議是超文本傳輸協議，它規定了瀏覽器和瀏覽器服務商之間相互通信的相關規則，也是當前各種網絡數據傳輸過程中應用最廣泛的基礎性協議。目前，我國大部分網站都采用Http協議。這種協議采用的是明文傳遞方式，在信息的檢測方面不夠完整。該協議存在一定的安全缺陷，導致網民的信息很容易被竊取，用戶的各種賬號和密碼也很容易泄露。在當前第三方支付非常流行的時代，HTTP協議的安全弊端不斷顯現出來。

而SSL協議則是指安全套接層，這是為各種網絡安全通信提供安全保障和數據的安全協議，主要是用來保障互聯網數據傳輸的安全，并對相關數據進行加密。這種安全套接層能夠有效地預防信息傳輸過程中被竊聽。

而HTTPS協議則是指信息輸送過程中進行身份認證和加密處理的安全協議。它在HTTP協議的基礎上利用身份認證技術和傳輸加密技術有效地保證了信息傳輸的安全。我們只要看到網站的地址是以“https：//”開頭，就可以認為其信息傳輸過程中相對安全，如“http：//www.baidu.com”。HTTPS的使用需要到相關的CA去進行申請，而這種申請程序一般是需要繳納一定費用的。作為一種超文本傳輸協議，HTTPS應用了SSL證書，這是一種數字協議證書，是由CA（全球信任的證書頒發機構）下發的，多含有公共鑰匙。

2 “Https”協議的工作原理和應用

2.1 “Https”協議的工作原理

在真正的數據交互之前，HTTPS要先通過SSL協議形成一個對稱的密鑰，并利用這個密鑰對各種通信數據進行加密處理。用戶在客戶端要先發起HTTPS的請求，在瀏覽器地址欄輸入相應的網站，然后連接到服務器端口。HTTP協議作用下的服務器多由專門的數字證書，這些證書可以自行制作，也可以向CA申請。但是，自行制作的證書必須獲得客戶端的驗證之后，才能夠繼續瀏覽和訪問。所謂的數字證書就好比一把鑰匙，又分為密鑰和公鑰兩種。你自己先要把鑰匙交給別人，別人才能夠把你需要的重要的東西鎖起來然后發給你，之后你就可以利用鑰匙打開并查看你想要的東西。

傳送證書之后，客戶端要解析證書。對于接收到的信息，SSL協議先要驗證公鑰的有效性與否，看其頒發是否合理、是否存在異常。如果存在異常，那么系統就會自動彈出警示框，并提出當前系統存在的問題。之后，系統就會生成一個隨機值，然后SSL證書會對隨機值進行加密處理，將隨機值鎖起來，防止內容被其他人看見。之后系統要對證書加密后的隨機值進行傳輸，可以也可以利用隨機值進行加密或者解密。利用私鑰解密之后，服務端就會得到隨機值，之后就會對該值進行對稱加密，利用某種算法將信息和秘鑰混合處理，保證數據的足夠安全。利用上一步生產的私鑰，用戶在客戶端就會接收到信息，并獲得信息的內容。

2.2 “Https”協議的加密方法

“Https”協議主要利用對稱和非對稱的加密方法對數據進行加密。所謂對稱加密就是指用戶利用相同的秘鑰對數據進行加密和解密。非對稱加密則是指加密和解密的過程利用的秘鑰是不同的。一般來說，如果采用對稱加密的算法，傳輸內容的安全度較高，很難被破譯。但是，密鑰的生產過程難度較大。非對稱加密則主要利用密鑰進行信息的交換。通過瀏覽器，用戶的新建對話可以利用非對稱交換算法形成對稱密鑰，完成加密、解密和驗證過程。不同的新對話的秘鑰不同，因此其他用戶很難獲得秘鑰。

2.3 “Https”協議的應用

與其他協議相比，“https”的安全性能較高，受到用戶的廣泛歡迎，國外很多大型的互聯網公司已經啟用了全站HTTPS。但是，就目前來說，該協議還沒有得到大面積的普及，主要原因在于如下方面：第一，HTTPS與HTTP之間的通信過程還是存在一定的差異。用戶如果在地址欄中直接輸入“https”，那么就會出現重定向的問題；數據傳輸過程中增加了數字簽名驗證等過程，耗時增加。另外，HTTS協議的交互性也增加了協議握手階段耗費的時間，會影響整個網站的反應速度。SSL證書的獲取還需要用戶繳納一定的費用，而很多網站不愿意承擔該筆開銷。

3 結束語

隨著HTTPS應用范圍的不斷擴大，網絡環境會愈加安全，信息傳輸的安全性大大提升，會為廣大用戶提供更為便捷的服務。HTTP協議具有良好的發展前景，也是未來互聯網的發展趨勢，必將發揮更大的作用。