加密

不可逆：

单向散列函数：MD5，SHA等

散列值的长度固定，计算速度快，具备单向性

可逆：

对称加密：DES，3DES，AES等

非对称加密：RSA等

其它：

混合密码系统

数字签名

证书

常用加密：

MD5：生成128bit的散列值，目前不安全

SHA-1：生成160bit的散列值，目前不安全

SHA-2：SHA-256，SHA-384，SHA-512

DES：将64bit明文加密成64bit密文的对称加密算法，秘钥长度是58bit，目前不安全

3DES：使用DES加密-解密-加密（3把秘钥）

AES：AES-128，AES-192，AES-256

RSA：非对称加密，公钥加密私钥解密，私钥加密公钥解密，速度慢

混合密码系统：网络上的密码通信所用的SSL、TLS都运用了混合密码系统

加密步骤：

1.消息发送者要拥有消息接收者的公钥

2.生成会话秘钥，作为对称加密的秘钥，加密消息

3.用消息接收者的公钥，加密会话秘钥

4.将2，3生成的加密结果，一并发给消息接收者

发送出去的内容包括：

用会话秘钥加密的消息（加密方法：对称加密）

用公钥加密的会话秘钥（加密方法：非对称加密）

解密步骤：

1.消息接收者用自己的私钥解密出会话秘钥

2.再用第一步解密出来的会话秘钥，解密消息

数字签名：防止有人篡改

1.消息发送者生成公钥私钥，把公钥给接收者

2.消息发送者把消息通过单向散列函数生成散列加密消息

3.消息发送者用自己的私钥对散列加密消息进行加密，生成签名

4.消息发送者把明文和用签名发给接收者

5.接收者通过发送者的公钥对签名进行解密，得到散列加密信息

6.接收者用散列函数对明文进行加密

7.把6的加密数据和5的加密数据进行对比

证书：

公钥证书：包含姓名，邮箱等个人信息，以及此人的公钥

并由认证机构CA施加数字签名

HTTPS：超文本传输安全协议

HTTP默认占用80断口，HTTPS默认占用443断口

HTTPS在HTTP基础上使用SSL/TLS来加密报文

TLS：传输层安全协议，前身是SSL（安全套接层）

HTTPS的成文：

1.证书费用，2.降低了访问速度

有些企业的做法是：包含敏感数据的使用HTTPS，其它的用HTTP

HTTPS的通信过程

1.TCP的3次握手

2.TLS的连接

3.HTTP请求和响应

TLS1.2连接的步骤，交换秘钥算法为ECDHE：

1.ClientHello,客户端发送，包含TLS版本，支持的加密组件（秘钥加密算法，对称加密算法，摘要算法），随机数

2.Server Hello,服务端发送，包含TLS版本，选择的加密组件，随机数

3.Certificate,服务器发送，服务器的公钥证书（CA认证）

4.Server Key Exchange,服务端发送，用以实现ECDHE（秘钥交换）算法的其中一个参数（Server params）,为了防止伪造，Server Params经过了服务器私钥签名

5.Server Hello Done,服务端发送，告知客户端协商部分结束

客户端验证公钥签名

6.Client Key Exchange,客户端发送，用以实现ECDHE算法的另一个参数

客户端，服务器都可以使用ECDHE算法

根据Server Params，Client Params计算出一个新的随机秘钥串Pre-master secret

然后结合Client Random,Server Random,Pre-master secret生成用以加密会话的会话秘钥（主密钥），还会分别派生出客户端发送消息的秘钥和服务器端发送消息的秘钥

7.Change Cipher Spec,客户端发送，告诉服务器之后的通信会采用计算出的会话秘钥进行加密

8.Finished,客户端发送，包含连接至今全部报文的整体校验值（摘要），加密之后发送给服务器

9.Change Cipher Spec,服务端发送

10.Fished

到此为止，客户端服务器都验证加密解密没问题，握手正式结束