https认证详解

最近公司准备提供一套类似第三方支付服务的系统。一提支付，少不了信息安全，数据的安全是支付系统的鸟之翼，船之桨，重中之重。为了保证系统的安全，我们参考了https的安全模式，下面主要介绍一下https是怎么保证数据安全的。

涉及相关技术：

SSL加密协议，SSL安全套接层，位于应用层和TCP层中间，应用要传输数据不是直接发给TCP，而是通过SSL层，对数据进行加密，并且在其数据头部加上SSL相关选项，然后把数据报文传给TCP。SSL加密主要涉及两种加密方式：对称加密和非对称加密。对称加密主要对数据进行加密，非对称加密主要是对对称秘钥进行加密。

一、https单向认证（服务器认证）

1、客户端向服务器端发送数据信息，包含SSL版本等信息

2、服务器端给客户端响应SSL版本，随机数信息，会话ID，服务端证书等

3、客户端拿到证书后，首先验证证书是否权威合法，请求注册的合法证书颁发机构，验证证书是否有效合法，如果不合法，发出警告。

4、客户端发送支持的加密套件给服务器端，让服务器选择

5、服务器选择一种加密高效的加密算法

6、服务器将选择好的加密方式明文方式发送给客户端

7、客户端收到加密方式之后，产生随机码作为对称加密的秘钥，使用服务器端证书中的公钥对其对称秘钥进行加密，发送给服务器

8、服务器收到后，用证书的私钥进行解密，得到对称秘钥

9、双方用对称秘钥把数据进行加密，然后信息通信

10、双方用对称秘钥对数据进行解密

二、https双向认证

1、客户端向服务器端发送数据信息，包含SSL版本等信息

2、服务器端给客户端响应SSL版本，随机数信息，会话ID，服务端证书等

3、客户端拿到证书后，首先验证证书是否权威合法，请求注册的合法证书颁发机构，验证证书是否有效合法，如果不合法，发出警告。

4、客户端发送自己的证书给服务器端

5、服务器验证客户端的证书，得到客户端公钥

6、客户端发送支持的加密套件给服务器端，让服务器选择

7、服务器选择一种加密高效的加密算法

8、服务器将选择好的加密方式用客户端公钥进行加密发送给客户端

9、客户端收到加密方式之后，用自己的私钥解密，产生随机码作为对称加密的秘钥，使用服务器端证书中的公钥对其对称秘钥进行加密，发送给服务器

10、服务器收到后，用证书的私钥进行解密，得到对称秘钥

11、双方用对称秘钥把数据进行加密，然后信息通信

12、双方用对称秘钥对数据进行解密

最后支付系统选择了https双向认证，保证数据的安全性