知识点
1.对称加密:双方用同一个密码加解密。如des,aes
2.非对称加密:双方各有一对公私密码,公钥公开给别人,别人可以用它来加密;同一对的公钥加密后私钥可解,私钥加密后,公钥可解。如:rsa
3.哈希算法(摘要算法):提取内容(数据)相关信息(摘要)的一种算法,用于标识该内容。如:md5,sha-1
4.数字签名:对内容签个名,具体算法是:用自己的私钥 对自己的内容的摘要 加个密,所得结果就是你给内容的一个签名。
5.数字证书:由权威机构颁发的数据内容,浏览器中的证书就是CA中心颁发给相应网站的,包含网站的域名+网站的公钥,存储在服务端,建立连接时发到客户端浏览器中。
下面我们就来详细的叙述一下证书签名,证书分发以及证书验证的整个过程。
1、服务端人员使用RSA算法生成两个密钥,一个用来加密一个用来解密。将负责加密的那个密钥公布出去,所以我们称之为公钥(Public Key),而用来解密的那个密钥,不能对外公布,只有服务端持有,所以我们称之为私钥(Private Key)。服务端在将Public Key进行分发证书之前需要向CA机构申请给将要分发的公钥进行数字签名。(服务器公钥负责加密,服务器私钥负责解密)
2、生成数字签名公钥证书:对于CA机构来说,其也有两个密钥,我们暂且称之为CA私钥和CA公钥。CA机构将服务端的Public Key作为输入参数将其转换为一个特有的Hash值。然后使用CA私钥将这个Hash值进行加密处理,并与服务端的Public Key绑定在一起,生成数字签名证书。其实数字签名证书的本质就是服务端的公钥+CA私钥加密的Hash值。(CA私钥负责签名,CA公钥负责验证)
3、服务器获取到这个已经含有数字签名并带有公钥的证书,将该证书发送给客户端。当客户端收到该公钥数字证书后,会验证其有效性。大部分客户端都会预装CA机构的公钥,也就是CA公钥。客户端使用CA公钥对数字证书上的签名进行验证,这个验证的过程就是使用CA公钥对CA私钥加密的内容进行解密,将解密后的内容与服务端的Public Key所生成的Hash值进行匹配,如果匹配成功,则说明该证书就是相应的服务端发过来的。否则就是非法证书。
4、验证完服务端公钥的合法性后,就可以使用该公钥进行加密通信了。
SSL的加密过程是RSA与AES混合进行的。简单概括一下,就是通过RSA加密方式来交换AES加解密的密钥,然后使用AES加密的方式来传输报文。下方是SSL建立连接以及传输数据的图解。在下图中大体可以分为四步:
第一步:有客户端发起的第一次握手,此次握手过程的主要目的是从服务端获取数字签名证书,服务端在发送数字签名证书之前要先确认客户端的SSL版本、加密算法等信息。
第二步:完成第一次握手后,接着进行第二次握手。第二次握手是在客户端收到证书后发起的,主要目的是将AES加解密使用的Key (Pre-master secret)发送给服务端。当然这个AES_KEY是使用第一次握手获取的公钥进行加密的。客户端收到这个使用公钥加密后的AES_KEY,使用服务端的私钥进行解密。这样客户端和服务端经过二次握手后都持有了AES加解密的KEY。
第三步:当Client与Server端都持有AES_KEY后,就可以对HTTP报文进行加解密了。
5022
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
