加密
• 共享/对称密钥加密:客户端和服务端使用相同的密钥加密,缺陷:发送密钥有被窃听的风险,但不发送,对方就不能解密。如果密钥能够安全发送,那么数据也能安全送达,就无需加密。
• 公开密钥加密:非对称加密,一把私钥,一把公钥,成对。首先,发送公钥给加密方,发送密文一方使用对方的公钥进行加密,对方收到密文后,使用自己的私钥进行解密。
• 混合加密:使用公开密钥加密方式传递共享密钥,再使用共享密钥加密传递的数据
证书的正确性:CA(数字认证机构)颁发的公开密钥证书
• 服务器把自己的公钥登录至CA进行认证;
• CA机构使用自己的私钥给服务器的公钥署数字签名并颁发公钥证书;
• 客户端拿到服务器的公钥证书后,使用数字证书认证机构的公开密钥(事先植入到浏览器客户端),向数字证书认证机构验证公钥证书上的数字签名,以确认服务器的公开密钥的真实性;
• 使用服务器的公开密钥对报文加密并发送
服务器使用自己的私有密钥进行解密
SSL/TLS握手协议:
• 客户端给出协议版本号,一个随机数(client random),以及客户端支持的加密方式;
• 服务端确认双方使用的加密方式,并给出数字证书,以及一个服务器生成的随机数(server random);
• 客户端确认证书有效,然后生成一个新的随机数(premaster secret),并使用数字证书的公钥加密这个随机数,发送给服务端;
• 服务端使用自己的私钥,获得客户端发送的随机数(premaster secret);
• 客户端和服务端,根据约定的加密方式,使用前面的三个随机数,生成一个对话密钥(session key),及共享密钥,然后使用该密钥加密整个数据交互过程。