加密传输SSL协议4

隔了那么多天终于有时间继续把这个专题做完了，这次一定连续写完这方面的笔记。

上篇博文说明了非对称加密和对称加密各自的优缺点，那么就很自然的衍生出了一种综合的方案。

两种方案的结合--扬长避短

首先发送方如果想加密发送一个很大的数据，由于非对称加密的速度很慢，所以只能采用对称式的加密方式，加密这个很大的明文数据。这时的口令就是一个session key，这个口令是个随机数，每次通讯的时候都不一样，发送方也不关心这个口令是什么，因为他只要能安全的给接收方就可以了。

那么怎样才能确保这个session key安全的到达接收方呢？

用非对称加密的方式对session key加密，这样只有接收方用自己的私钥才能解密session key，并用session key解密那个很大的文件的密文。

其他的人不管是截取了那个数据都看不到原始的明文数据。

接收方的工作流程，这样就能很好的做到了数据的加密传输。

做到现在似乎已经无懈可击了，哈哈~~其实不然，这个方案依然有很大的安全漏洞，后面讲！

非对称加密的另一种应用--数字签名

在日常的生活中，这种签名的方案到处都在，如信用卡购物，付款的时候消费者要签名，证明这个账单或者文件被签名人认可。这里的数字签名一样的道理，但是有所不同，不同的是：购物时的签名，能通过笔迹确定这个签名是谁签的，但是在网络通信中怎么确定这个签名的主人呢？利用非对称加密就能搞定。

具体做法就是：发送方用自己的私钥加密也就是这个的签名，然后数据接收方用发送方的公钥解密还原明文。这里签名的意思就是发送者认可这个明文，然后才对这个明文签名的（加密），也就是说发送者对这个明文负法律责任。这个明文出现任何的虚假的信息，发送者都有法律责任，因为你签过名，认可了这个文件；因为只有你自己有你的私钥，这个签的人一定是你。（说什么我的私钥被盗了，不好意思，还是你的责任）

也就是说只要接收方收的的密文，用接收方的公钥能解密，就说明你签名了，文件出现任何的虚假的信息，接收方都可以追究发送方的责任。

签名认证的实验

(1)产生用于签名认证的一对钥匙

方式同加解密的钥匙对一样，不同点在于这里是用私钥加密，用公钥解密。

(2)用私钥签名（加密）

(3)用公钥验证（解密）

上面个的过程就奠定了对一个电子文件不可否认的基石，只要你对一个电子文档签了名（也就是用你的私钥对该电子文档加了密），就代表你对这个电子文档认可，你要对他的真实性负法律责任。

提示：

对数据的非对称加密和文件的签名认证其实是一回事，都是加解密的过程。不同的仅仅是加密和解密用的密钥不同，no big deal。

遗留问题：

前面说过非对称加密的速度很慢，特别是对大的文件。那么如果要签名一个很大的文件，应该怎么做？还是用一个session key结合对称加密？其实没有必要，因为我用私钥加密，我的公钥又散布给所有的人，任何人都能看到我的明文。他们只是要确定这个明文的可靠性，通过我的认证来确定这个明文的可靠性。下面将解决的办法。