电子商务时代必知的PKI及HTTPS

PKI

一、通用加密算法以及HASH函数
二、证书颁发机构CA（Certification Authority）
三、数字证书

通用加密算法

1. 对称加密算法：加密使用的密钥和解密使用的密钥是同一把密钥。3DES、AES、RC5……
   

2. 非对称加密算法：加密和解密使用两把不一样的密钥，一把称为公钥，可让全部人知道；另外一把称为私钥，必须严格保管不能被拥有者之外的任何人知道。RSA、DSA、ECC
   

传统加密（对称加密）

一、加密速度快（winrar AES算法）
二、能够加密大量数据
三、可是密钥传递困难

加密用的密钥没有一种安全的传递方式
即便有，在电子商务这种须要密钥大量快速传递的应用场景中，也没有效率。

非对称加密（公钥加密）：

解决了KEY传递的问题。
加密速度慢于对称加密1000倍。

服务器将本身的公钥经过某种方式纷发出去，如放到网站上。
客户使用服务器01的公钥对数据加密，只有服务器01使用本身的私钥能解开。
服务器01使用本身的私钥加密，也只有他的公钥能解开。

惟一性
不可复制性
不能否认性

对源文件运算后产生一串固定长度的消息摘要（特征码）
用于惟一的标识源文件。

解决了不须要保密数据的传递问题。

混合加密：

混合加密的解密：

服务器将本身的公钥还有本身的身份信息HASH
用本身的私钥将特征码加密
一块儿放到网站上，让客户下载
下载后拿公钥解开特征码获得服务器信息
做为普通用户为了证实某网站不是假冒的须要浪费大量精力，这在电子商务时代是不可接受的。

全部须要提供安全服务的服务者须要找CA认证本身。
认证后CA会用本身的私钥将认证者的公钥及相关信息HASH后的特征码加密（签名）并还给被认证者。
客户端浏览器会集成CA的公钥，可以获得数字证书中的服务器公钥和相关信息，使用相同方法HASH后和CA签名的值对比，正确后能够认定公钥及相关信息是对的。

HTTPS
各类×××
安全电子邮件
网上银行

基于PKI的HTTPS工做原理

1. 客户端的浏览器向服务器传送客户端 SSL 协议的版本号，加密算法的种类，产生的随机数，以及其余必需要的各类信息。
   

2. 服务器向客户端传送 SSL 协议的版本号，加密算法的种类，随机数以及其余相关信息，同时服务器还将向客户端传送本身的证书。

3. 客户利用服务器传过来的信息验证服务器的合法性，服务器的合法性包括：证书是否过时，发行服务器证书的 CA 是否可靠，发行者证书的公钥可否正确解开服务器证书的“发行者的数字签名”，服务器证书上的域名是否和服务器的实际域名相匹配。若是合法性验证没有经过，通信将断开；若是合法性验证经过，将继续进行第四步。
   

4. 用户端随机产生一个用于后面通信的“对称密码”，而后用服务器的公钥（服务器的公钥从步骤②中的服务器的证书中得到）对其加密，而后将加密后的“预主密码”传给服务器。 
   

5. 若是服务器要求客户的身份认证（在握手过程当中为可选），用户能够创建一个随机数而后对其进行数字签名，将这个含有签名的随机数和客户本身的证书以及加密过的“预主密码”一块儿传给服务器。
   

6. 若是服务器要求客户的身份认证，服务器必须检验客户证书和签名随机数的合法性，具体的合法性验证过程包括：客户的证书使用日期是否有效，为客户提供证书的CA 是否可靠，发行CA 的公钥可否正确解开客户证书的发行 CA 的数字签名，检查客户的证书是否在证书废止列表（CRL）中。检验若是没有经过，通信马上中断；若是验证经过，服务器将用本身的私钥解开加密的“预主密码 ”，而后执行一系列步骤来产生主通信密码（客户端也将经过一样的方法产生相同的主通信密码）。

7. 服务器和客户端用相同的主密码即“通话密码”，一个对称密钥用于 SSL 协议的安全数据通信的加解密通信。同时在 SSL 通信过程当中还要完成数据通信的完整性，防止数据通信中的任何变化。
   

8. 客户端向服务器端发出信息，指明后面的数据通信将使用的步骤7中的主密码为对称密钥，同时通知服务器客户端的握手过程结束。
   

9. 服务器向客户端发出信息，指明后面的数据通信将使用的步骤7中的主密码为对称密钥，同时通知客户端服务器端的握手过程结束。
   

10. SSL 的握手部分结束，SSL 安全通道的数据通信开始，客户和服务器开始使用相同的对称密钥进行数据通信，同时进行通信完整性的检验。
    

    
    

    网络技术群：75156605      运营商技术交流群：80268245   我老师的群 交流现网技术！