計算機網(wǎng)絡之十三：HTTPS協(xié)議

一：對稱加密

在對稱加密算法中，加密和解密使用的密鑰是相同的。

二：非對稱加密

在非對稱加密算法中，加密使用的密鑰和解密使用的密鑰是不相同的。一是作為公開的公鑰，一是作為誰都不能給的私鑰。

三：數(shù)字證書

1.數(shù)字證書簡介

數(shù)字證書是互聯(lián)網(wǎng)通信中標志通信各方身份信息的一些列數(shù)據(jù)，提供了一種在Internet上驗證您身份的方式。類似于司機的

駕駛執(zhí)照或身份證。

它是由一個權威機構----CA機構(證書授權中心)發(fā)行的。人們可以在網(wǎng)上用它來識別對方的身份。

數(shù)字證書是一個經(jīng)證書授權中心數(shù)字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰，名稱以及證書授權

中心的數(shù)字簽名。一般情況下證書中還包括密鑰的有效時間，發(fā)證機關的名稱，該證書的序列號等信息，證書的格式遵循

ITUT X.509國際標準。

2.一個標準的X.509數(shù)字證書包含：

a.證書的版本信息

b.證書的序列號，每個證書都有一個唯一的證書序列號

c.證書所使用的簽名算法

d.證書的發(fā)行機構名稱，命名規(guī)則一般采用X.500格式

e.證書的有效期，現(xiàn)在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049

f.證書所用人的名稱，命名規(guī)則一般采用X.500格式

g.證書所有人的公開密鑰

h.證書發(fā)行者對證書的簽名

3.數(shù)字證書基本功能

a.信息的保密性

b.交易者身份的確定性

c.不可否認性

d.不可修改性

四：數(shù)字證書原理

1.數(shù)字證書通過運用對稱和非對稱密碼技術建立起一套嚴密的身份認證體系，從而保證：信息除發(fā)送方和接收

方外不被其他人竊??；信息在傳輸過程中不被篡改；發(fā)送方能夠通過數(shù)字證書來確認接收方的身份；發(fā)送方對于

自己的信息不能抵賴。

2.數(shù)字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密，解密。每個用戶自己設定一個私鑰，用它進行解密

和簽名。同時設定一把公鑰，并由本人公開，用于加密和驗證簽名。

3.用戶可以采用自己的私鑰對信息加以處理，由于私鑰僅為本人所有，這樣就產(chǎn)生了別人無法生成的文件，也就形成了

數(shù)字簽名。采用數(shù)字簽名可以保證信息是由簽名者自己簽名發(fā)送的，簽名者不能否認或難以否認；保證信息自簽發(fā)后

到收到為止未曾做過任何修改，簽發(fā)的文件是真實文件。

五：數(shù)字簽名方法

1.將報文按雙方約定的Hash算法就算得到一個固定位數(shù)的報文摘要。在數(shù)學上保證：只要改動報文中任何一位，重新

計算出的報文摘要只就會與原先的至不相符。這樣就保證了報文的不可更改性。

2.將該報文摘要值用發(fā)送者的私鑰加密，然后連同原報文一起發(fā)送給接收者，而產(chǎn)生的報文即稱數(shù)字簽名。

3.接收方收到數(shù)字簽名后，用同樣的Hash算法對報文計算摘要值，然后與用發(fā)送者的公開密鑰進行解密開的報文摘要值

相比較。如相等則說明報文確實來自于所稱的發(fā)送者。

六：CA 證書授權中心

CA作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶

發(fā)放一個數(shù)字證書，數(shù)字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。

七：HTTPS的工作模式

1.客戶端向服務端發(fā)起對話，協(xié)商傳送加密算法。如，對稱加密算法有DES，RC5. 密鑰交互算法有RSA和DH，摘要算法

有MD5和SHA

2.服務器向客戶端發(fā)送服務器數(shù)字證書。比如：使用DES-RSA-MD5這對組合進行通信?？蛻舳丝梢则炞C服務器的身份，

決定是否建立通信。

3.客戶端向服務器傳送本次對話的密鑰。在檢查服務器的數(shù)字證書是否正確，通過CA機構頒發(fā)的證書驗證了服務器證書

的真實有效性后，客戶端生成利用服務器的公鑰加密的本地對話的密鑰發(fā)送給服務器。

4.服務器用自己的私鑰解密，獲取本次通信的密鑰

5.雙方通信正式開始。