計算機網絡之十三：HTTPS協議

一：對稱加密

在對稱加密算法中，加密和解密使用的密鑰是相同的。

二：非對稱加密

在非對稱加密算法中，加密使用的密鑰和解密使用的密鑰是不相同的。一是作為公開的公鑰，一是作為誰都不能給的私鑰。

三：數字證書

1.數字證書簡介

數字證書是互聯網通信中標志通信各方身份信息的一些列數據，提供了一種在Internet上驗證您身份的方式。類似于司機的

駕駛執照或身份證。

它是由一個權威機構----CA機構(證書授權中心)發行的。人們可以在網上用它來識別對方的身份。

數字證書是一個經證書授權中心數字簽名的包含公開密鑰擁有者信息以及公開密鑰的文件。最簡單的證書包含一個公開密鑰，名稱以及證書授權

中心的數字簽名。一般情況下證書中還包括密鑰的有效時間，發證機關的名稱，該證書的序列號等信息，證書的格式遵循

ITUT X.509國際標準。

2.一個標準的X.509數字證書包含：

a.證書的版本信息

b.證書的序列號，每個證書都有一個唯一的證書序列號

c.證書所使用的簽名算法

d.證書的發行機構名稱，命名規則一般采用X.500格式

e.證書的有效期，現在通用的證書一般采用UTC時間格式，它的計時范圍為1950-2049

f.證書所用人的名稱，命名規則一般采用X.500格式

g.證書所有人的公開密鑰

h.證書發行者對證書的簽名

3.數字證書基本功能

a.信息的保密性

b.交易者身份的確定性

c.不可否認性

d.不可修改性

四：數字證書原理

1.數字證書通過運用對稱和非對稱密碼技術建立起一套嚴密的身份認證體系，從而保證：信息除發送方和接收

方外不被其他人竊取；信息在傳輸過程中不被篡改；發送方能夠通過數字證書來確認接收方的身份；發送方對于

自己的信息不能抵賴。

2.數字證書采用公鑰體制，即利用一對互相匹配的密鑰進行加密，解密。每個用戶自己設定一個私鑰，用它進行解密

和簽名。同時設定一把公鑰，并由本人公開，用于加密和驗證簽名。

3.用戶可以采用自己的私鑰對信息加以處理，由于私鑰僅為本人所有，這樣就產生了別人無法生成的文件，也就形成了

數字簽名。采用數字簽名可以保證信息是由簽名者自己簽名發送的，簽名者不能否認或難以否認；保證信息自簽發后

到收到為止未曾做過任何修改，簽發的文件是真實文件。

五：數字簽名方法

1.將報文按雙方約定的Hash算法就算得到一個固定位數的報文摘要。在數學上保證：只要改動報文中任何一位，重新

計算出的報文摘要只就會與原先的至不相符。這樣就保證了報文的不可更改性。

2.將該報文摘要值用發送者的私鑰加密，然后連同原報文一起發送給接收者，而產生的報文即稱數字簽名。

3.接收方收到數字簽名后，用同樣的Hash算法對報文計算摘要值，然后與用發送者的公開密鑰進行解密開的報文摘要值

相比較。如相等則說明報文確實來自于所稱的發送者。

六：CA 證書授權中心

CA作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開密鑰的用戶

發放一個數字證書，數字證書的作用是證明證書中列出的用戶合法擁有證書中列出的公開密鑰。

七：HTTPS的工作模式

1.客戶端向服務端發起對話，協商傳送加密算法。如，對稱加密算法有DES，RC5. 密鑰交互算法有RSA和DH，摘要算法

有MD5和SHA

2.服務器向客戶端發送服務器數字證書。比如：使用DES-RSA-MD5這對組合進行通信。客戶端可以驗證服務器的身份，

決定是否建立通信。

3.客戶端向服務器傳送本次對話的密鑰。在檢查服務器的數字證書是否正確，通過CA機構頒發的證書驗證了服務器證書

的真實有效性后，客戶端生成利用服務器的公鑰加密的本地對話的密鑰發送給服務器。

4.服務器用自己的私鑰解密，獲取本次通信的密鑰

5.雙方通信正式開始。