是一种通过计算机网路进行安全通讯的传输合同。HTTPS是在HTTP上构建SSL/TLS加密层,并对传输数据进行加密,简单来说就是安全版的HTTP合同。
2、TLS/SSL 协议介绍
TLS/SSL 的功能实现主要依赖于三类基本算法:散列算法 、对称加密和非对称加密,其借助非对称加密实现身分认证和秘钥协商,对称加密算法采用协商的秘钥对数据加密,基于散列函数验证信息的完整性。
SSL 协议介绍
3、加揭秘相关知识介绍3.1、对称加密
加密和揭秘同用一个秘钥的形式称为对称加密,也被称作共享密钥加密(Common key crypto system)。常见的对称加密有:DES(Data Encryption Standard)、AES(Advanced Encryption Standard)、RC4、IDEA
3.2、非对称加密
非对称加密加密使用一对非对称的秘钥。一把称作私有秘钥 (private key),另一把称作公开密钥(public key)。顾名思 义,私有秘钥不能让其他任何人晓得,而公开秘钥则可以随便发 布,任何人都可以获得。也被称为公开密钥加密
(1)乙方生成两把秘钥(公钥和公钥)。公钥是公开的,任何人都可以获得,私钥则是保密的。(2)甲方获取甲方的私钥,然后用它对信息加密。(3)乙方得到加密后的信息,用公钥揭秘。
常见的非对称加密有:RSA算法、ECC算法
3.2、数字签名
数字签名,简单来说就是通过提供可辨认的数字信息验自身身分的一种形式。一套数字签名一般定义两种互补的运算,一个用于签名,另一个用于验证。分别由 发送者持有才能 代表自己身分 的 私钥 (私钥不可泄漏),由接受者持有与公钥对应的私钥,能够在接受到来自发送者信息时用于验证其身分。数字签名具有验证身分和确保信息完整的作用。
3.2.1、数字签名生成
image.png
将一段文本通过哈希(hash)生成消息摘要,再通过公钥加密处理后生成数字签名。
3.2.2、数字签名校验
image.png
假设A和B通讯,A将消息和签名一起发送给B,B收到后就可以校准信息是不是A发送的,以及是不是被篡改了。假设B晓得A的私钥,通过私钥就可以揭秘被加密的消息摘要,然后借助哈希(hash)对收到的原文形成一个消息摘要,与上一步得到的消息摘要进行对比,如果相同,则说明收到的信息是完整的,在传输过程中没有被更改,否则说明信息被更改过,因此数字签名才能验证信息的完整性。
3.2.3、证书颁授机构
在前文中,校验数字签名的时侯,是假定晓得私钥的,问题的关键是和消息一样,公钥本身不在不安全的网路中直接发送。此时,就引入了证书颁授机构(Certificate Authority,简称CA)。CA数目并不多,B客户端外置了所有受信任CA的证书。CA对A的私钥(和其他信息)数字签名后生成证书。
A将证书发送给B后,B通过CA证书的私钥验证证书签名。B信任CA,CA信任A 使得 Bob信任A,信任链(Chain Of Trust)就是这样产生的。事实上,B客户端外置的是CA的根证书(Root Certificate),HTTPS合同中服务器会发送证书链(Certificate Chain)给客户端。
3.2.4、证书
证书包含:
image.png
数字证书认证机构的业务流程:
