鸿 网 互 联 www.68idc.cn

当前位置 : 服务器租用 > 网站安全 > 加密解密 > >

电子商务时代必知的PKI及HTTPS

来源:互联网 作者:佚名 时间:2015-09-08 10:55
PKI 1、 通用 加密 算法以及HASH函数 2、证书颁发机构CA(CertificationAuthority) 3、数字证书 通用 加密 算法 对称 加密 算法: 加密 使用的密钥和解密使用的密钥是同一把密钥。3DES、AES、RC5…… 非对称 加密 算法: 加密 和解密使用两把不同的密钥,一

PKI

1、通用加密算法以及HASH函数
2、证书颁发机构CA(Certification Authority)
3、数字证书

通用加密算法

  1. 对称加密算法:加密使用的密钥和解密使用的密钥是同一把密钥。3DES、AES、RC5……

  2. 非对称加密算法:加密和解密使用两把不同的密钥,一把称为公钥,可以让所有人知道;另一把称为私钥,必须严格保管不能被拥有者以外的任何人知道。RSA、DSA、ECC

传统加密(对称加密

1、加密速度快(winrar AES算法)
2、可以加密大量数据
3、但是密钥传递困难

加密用的密钥没有一种安全的传递方式
即使有,在电子商务这种需要密钥大量快速传递的应用场景中,也没有效率。

非对称加密(公钥加密):

解决了KEY传递的问题。
加密速度慢于对称加密1000倍。

服务器将自己的公钥通过某种方式纷发出去,如放到网站上。
客户使用服务器01的公钥对数据加密,只有服务器01使用自己的私钥能解开。
服务器01使用自己的私钥加密,也只有他的公钥能解开。

唯一性
不可复制性
不可否认性

对源文件运算后产生一串固定长度的消息摘要(特征码)
用于唯一的标识源文件。

解决了不需要保密数据的传递问题。

混合加密

混合加密的解密:

服务器将自己的公钥还有自己的身份信息HASH
用自己的私钥将特征码加密
一起放到网站上,让客户下载
下载后拿公钥解开特征码得到服务器信息
作为普通用户为了证明某网站不是假冒的需要浪费大量精力,这在电子商务时代是不可接受的。

所有需要提供安全服务的服务者需要找CA认证自己。
认证后CA会用自己的私钥将认证者的公钥及相关信息HASH后的特征码加密(签名)并还给被认证者。
客户端浏览器会集成CA的公钥,能够得到数字证书中的服务器公钥和相关信息,使用相同方法HASH后和CA签名的值对比,正确后可以认定公钥及相关信息是对的。

HTTPS
各种VPN
安全电子邮件
网上银行

基于PKI的HTTPS工作原理

  1. 客户端的浏览器向服务器传送客户端 SSL 协议的版本号,加密算法的种类,产生的随机数,以及其他必须要的各种信息。

  2. 服务器向客户端传送 SSL 协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。

  3. 客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的 CA 是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。

  4. 用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤②中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。 

  5. 如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数字签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。

  6. 如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA 是否可靠,发行CA 的公钥能否正确解开客户证书的发行 CA 的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码 ”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。

  7. 服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于 SSL 协议的安全数据通讯的加解密通讯。同时在 SSL 通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。

  8. 客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤7中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。

  9. 服务器向客户端发出信息,指明后面的数据通讯将使用的步骤7中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。

  10. SSL 的握手部分结束,SSL 安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。


    网络技术群:75156605      运营商技术交流群:80268245   我老师的群 交流现网技术!

     

     

     

??技术控?

网友评论
<