計算機網路之十三：HTTPS協議

一：對稱加密

在對稱加密演算法中，加密和解密使用的金鑰是相同的。

二：非對稱加密

在非對稱加密演算法中，加密使用的金鑰和解密使用的金鑰是不相同的。一是作為公開的公鑰，一是作為誰都不能給的私鑰。

三：數字證書

1.數字證書簡介

數字證書是網際網路通訊中標誌通訊各方身份資訊的一些列資料，提供了一種在Internet上驗證您身份的方式。類似於司機的

駕駛執照或身份證。

它是由一個權威機構----CA機構(證書授權中心)發行的。人們可以在網上用它來識別對方的身份。

數字證書是一個經證書授權中心數字簽名的包含公開金鑰擁有者資訊以及公開金鑰的檔案。最簡單的證書包含一個公開金鑰，名稱以及證書授權

中心的數字簽名。一般情況下證書中還包括金鑰的有效時間，發證機關的名稱，該證書的序列號等資訊，證書的格式遵循

ITUT X.509國際標準。

2.一個標準的X.509數字證書包含：

a.證書的版本資訊

b.證書的序列號，每個證書都有一個唯一的證書序列號

c.證書所使用的簽名演算法

d.證書的發行機構名稱，命名規則一般採用X.500格式

e.證書的有效期，現在通用的證書一般採用UTC時間格式，它的計時範圍為1950-2049

f.證書所用人的名稱，命名規則一般採用X.500格式

g.證書所有人的公開金鑰

h.證書發行者對證書的簽名

3.數字證書基本功能

a.資訊的保密性

b.交易者身份的確定性

c.不可否認性

d.不可修改性

四：數字證書原理

1.數字證書通過運用對稱和非對稱密碼技術建立起一套嚴密的身份認證體系，從而保證：資訊除傳送方和接收

方外不被其他人竊取；資訊在傳輸過程中不被篡改；傳送方能夠通過數字證書來確認接收方的身份；傳送方對於

自己的資訊不能抵賴。

2.數字證書採用公鑰體制，即利用一對互相匹配的金鑰進行加密，解密。每個使用者自己設定一個私鑰，用它進行解密

和簽名。同時設定一把公鑰，並由本人公開，用於加密和驗證簽名。

3.使用者可以採用自己的私鑰對資訊加以處理，由於私鑰僅為本人所有，這樣就產生了別人無法生成的檔案，也就形成了

數字簽名。採用數字簽名可以保證資訊是由簽名者自己簽名傳送的，簽名者不能否認或難以否認；保證資訊自簽發後

到收到為止未曾做過任何修改，簽發的檔案是真實檔案。

五：數字簽名方法

1.將報文按雙方約定的Hash演算法就算得到一個固定位數的報文摘要。在數學上保證：只要改動報文中任何一位，重新

計算出的報文摘要只就會與原先的至不相符。這樣就保證了報文的不可更改性。

2.將該報文摘要值用傳送者的私鑰加密，然後連同原報文一起傳送給接收者，而產生的報文即稱數字簽名。

3.接收方收到數字簽名後，用同樣的Hash演算法對報文計算摘要值，然後與用傳送者的公開金鑰進行解密開的報文摘要值

相比較。如相等則說明報文確實來自於所稱的傳送者。

六：CA 證書授權中心

CA作為電子商務交易中受信任的第三方，承擔公鑰體系中公鑰的合法性檢驗的責任。CA中心為每個使用公開金鑰的使用者

發放一個數字證書，數字證書的作用是證明證書中列出的使用者合法擁有證書中列出的公開金鑰。

七：HTTPS的工作模式

1.客戶端向服務端發起對話，協商傳送加密演算法。如，對稱加密演算法有DES，RC5. 金鑰互動演算法有RSA和DH，摘要演算法

有MD5和SHA

2.伺服器向客戶端傳送伺服器數字證書。比如：使用DES-RSA-MD5這對組合進行通訊。客戶端可以驗證伺服器的身份，

決定是否建立通訊。

3.客戶端向伺服器傳送本次對話的金鑰。在檢查伺服器的數字證書是否正確，通過CA機構頒發的證書驗證了伺服器證書

的真實有效性後，客戶端生成利用伺服器的公鑰加密的本地對話的金鑰傳送給伺服器。

4.伺服器用自己的私鑰解密，獲取本次通訊的金鑰

5.雙方通訊正式開始。

來自 “ ITPUB部落格 ” ，連結：http://blog.itpub.net/28624388/viewspace-2651212/，如需轉載，請註明出處，否則將追究法律責任。