最近看了一些协议,下面就用一些例子来说明HTTPS中SSL/TLS协议.
鲍勃和他们的朋友在不同的地方,他们通过网络联系.
但是他们发现这样的方式不安全,因为消息在传输过程中可能被偷窥,甚至被修改.
于是他们想了个办法,鲍勃使用通过秘钥把明文加密,写在信件中,�收件人在收到消息的时候,通过秘钥解密把密文成明文.就算消息被拦截,也无法解密消息.
他们在通信中使用同一个秘钥用来加密和解密,也就是对称性加密.
有人可能要问了,他们秘钥都是同一个,那么他们怎么把秘钥传递给对方呢,如果直接放在消息里,万一被人拦截了,那加密不就白费了?
于是他们想了个绝妙的办法来解决这个问题——非对称性加密.
什么是非对称性加密呢
- 非对称性加密拥有两个秘钥——私钥、公钥.
私钥是私有的,公钥则是可以公开. - 私钥加密只能公钥解.
- 公钥加密只能私钥解.
当鲍勃想和他的朋友通信时候,比如爱丽丝.他首先发个消息给爱丽丝,请求爱丽丝给他公钥,当爱丽丝给他公钥的时候,鲍勃就用公钥加密,发送给爱丽丝.而爱丽丝就用她得私钥解密消息,并且用私钥加密回复内容,发送给鲍勃,鲍勃又用公钥解密.
由于非对称性加密的特性,就算鲍勃发送的消息被拦截了,他人没有私钥,也无法解密信件.而爱丽丝发送的消息,由于公钥是不是私密性的,可能其他人也拥有,所以爱丽丝发送的消息可能被偷窥,但是不能被修改.
为了不让爱丽丝发送的消息被别人偷窥到,他们又想出了办法.
他们约定还是使用对称性加密的方法,但是传递对称性加密的密钥时,使用非对称加密.怎么做呢?
首先鲍勃向爱丽丝请求公钥,当鲍勃拿到公钥后,鲍勃随机生成了一个密钥A,并且通过爱丽丝的公钥把密钥A加密,然后发送给爱丽丝.
爱丽丝拿到消息,通过私钥解密,拿到秘钥A,然后他们就通过秘钥A用对称性加密愉快的交谈了.
可能有刁钻的同学说了,如果当鲍勃第一次向爱丽丝请求公钥的时候,有个人假冒爱丽丝给了他公钥,那么鲍勃不就上当了.鲍勃会和假的爱丽丝聊天,然而却浑然不知.
于是他们又双叕想到了方法来解决这个问题——CA证书.
什么是CA证书呢,CA是个机构,而证书就是CA机构把你的公钥和你的你的一些信息通过他私钥加密出来的东西.
爱丽丝拿着她的公钥去CA,CA把她得公钥和她的一些基本信息通过CA的私钥加密成CA证书.然后当鲍勃请求她公钥的时候,她回复鲍勃的是CA证书.
鲍勃拿到证书,会用CA提供的公钥解密,如果解密成功,则证明这公钥肯定是爱丽丝给的.这样就避免了有人冒充爱丽丝和他交谈.
上述文字描述的很不规范,只是大概描述了HTTPS中的一些点,权当自己的一个记录.
(完)
网友评论