week9：Security: Web Security

（一）   Securing Web Connections（保护网络连接）

1.Security Public/Private Key-Secure Sockets（安全公钥/私钥-安全套接字）

• 术语

保密性：防止未经授权者查看私人信息

完整性：信息来自于真实的发送方，并且自发送以来没有被修改

• 公钥加密（Public-key cryptography，也称非对称密钥）：

①发明者：由Whitfield Diffie和Martin Hellman于1976年提出。

②实现：需要两个密钥，一个是公开密钥，另一个是私有密钥；一个用作加密，另一个则用作解密。使用其中一个密钥把明文加密后所得的密文，只能用相对应的另一个密钥才能解密得到原本的明文；甚至连最初用来加密的密钥也不能用作解密。由于加密和解密需要两个不同的密钥，故被称为非对称加密；不同于加密和解密都使用同一个密钥的对称加密。

③特点：虽然两个密钥在数学上相关，但如果知道了其中一个，并不能凭此计算出另外一个；因此其中一个可以公开，称为公钥，任意向外发布；不公开的密钥为私钥，必须由用户自行严格秘密保管，绝不透过任何途径向任何人提供，也不会透露给被信任的要通信的另一方。

④其他功能：基于公开密钥加密的特性，它还提供数字签名的功能，使电子文件可以得到如同在纸本文件上亲笔签署的效果。公开密钥基础建设透过信任数字证书认证机构的根证书、及其使用公开密钥加密作数字签名核发的公开密钥认证，形成信任链架构，已在TLS实现并在万维网的HTTP以HTTPS、在电子邮件的SMTP以STARTTLS引入。

• Http和Https

①基本概念：

HTTP：是互联网上应用最为广泛的一种网络协议，是一个客户端和服务器端请求和应答的标准（TCP），用于从WWW服务器传输超文本到本地浏览器的传输协议，它可以使浏览器更加高效，使网络传输减少。

HTTPS：是以安全为目标的HTTP通道，简单讲是HTTP的安全版，即HTTP下加入SSL层，HTTPS的安全基础是SSL，因此加密的详细内容就需要SSL。

HTTPS协议的主要作用可以分为两种：一种是建立一个信息安全通道，来保证数据传输的安全；另一种就是确认网站的真实性。

②区别：

1、https协议需要到ca申请证书，一般免费证书较少，因而需要一定费用。

2、http是超文本传输协议，信息是明文传输，https则是具有安全性的ssl加密传输协议。

3、http和https使用的是完全不同的连接方式，用的端口也不一样，前者是80，后者是443。

4、http的连接很简单，是无状态的；HTTPS协议是由SSL+HTTP协议构建的可进行加密传输、身份认证的网络协议，比http协议安全。

（二）Identity on the Web（网络上的身份）

1.Security-Integrity and Certificate Authorities（安全性-完整性和证书颁发机构）

• 证书颁发机构(CA)

证书颁发机构是颁发数字证书的实体。数字证书由证书的指定主体证明公钥的所有权。CA是受信任的第三方，它同时受到证书所有者和依赖证书的一方的信任。

• 数字证书

在密码学中，公钥证书(也称为数字证书或身份证书)是一种电子文档，它使用数字签名将公钥与身份(如个人或组织的名称、地址等信息)绑定在一起。证书可用于验证公钥是否属于特定个人或组织。