android:SSL

引自 http://blog.sina.com.cn/s/blog_4b359d2d010097bi.html 

一，公鑰私鑰 
  1，公鑰和私鑰成對出現 
  2，公開的密鑰叫公鑰，只有自己知道的叫私鑰 
  3，用公鑰加密的數據只有對應的私鑰可以解密 
  4，用私鑰加密的數據只有對應的公鑰可以解密 
  5，如果可以用公鑰解密，則必然是對應的私鑰加的密 
  6，如果可以用私鑰解密，則必然是對應的公鑰加的密 
  明白了？ 
  
  假設一下，我找了兩個數字，一個是1，一個是2。我喜歡2這個數字，就保留起來，不告訴你們，然后我告訴大家，1是我的公鑰。 
  
  我有一個文件，不能讓別人看，我就用1加密了。別人找到了這個文件，但是他不知道2就是解密的私鑰啊，所以他解不開，只有我可以用數字2，就是我的私鑰，來解密。這樣我就可以保護數據了。 
  
  我的好朋友x用我的公鑰1加密了字符a，加密后成了b，放在網上。別人偷到了這個文件，但是別人解不開，因為別人不知道2就是我的私鑰，只有我才能解密，解密后就得到a。這樣，我們就可以傳送加密的數據了。 
  
  現在我們知道用公鑰加密，然后用私鑰來解密，就可以解決安全傳輸的問題了。如果我用私鑰加密一段數據（當然只有我可以用私鑰加密，因為只有我知道2是我的私鑰），結果所有的人都看到我的內容了，因為他們都知道我的公鑰是1，那么這種加密有什么用處呢？ 
  
但是我的好朋友x說有人冒充我給他發信。怎么辦呢？我把我要發的信，內容是c，用我的私鑰2，加密，加密后的內容是d，發給x，再告訴他解密看是不是c。他用我的公鑰1解密，發現果然是c。這個時候，他會想到，能夠用我的公鑰解密的數據，必然是用我的私鑰加的密。只有我知道我得私鑰，因此他就可以確認確實是我發的東西。這樣我們就能確認發送方身份了。這個過程叫做數字簽名。當然具體的過程要稍微復雜一些。用私鑰來加密數據，用途就是數字簽名。 
  
  好，我們復習一下： 
  1，公鑰私鑰成對出現 
  2，私鑰只有我知道 
  3，大家可以用我的公鑰給我發加密的信了 
  4，大家用我的公鑰解密信的內容，看看能不能解開，能解開，說明是經過我的私鑰加密了，就可以確認確實是我發的了。 
  
  總結一下結論： 
  1，用公鑰加密數據，用私鑰來解密數據 
  2，用私鑰加密數據（數字簽名），用公鑰來驗證數字簽名。 
  
  在實際的使用中，公鑰不會單獨出現，總是以數字證書的方式出現，這樣是為了公鑰的安全性和有效性。 
  
  二，SSL 
  我和我得好朋友x，要進行安全的通信。這種通信可以是QQ聊天，很頻繁的。用我的公鑰加密數據就不行了，因為： 
1，我的好朋友x沒有公私鑰對，我怎么給他發加密的消息啊？   （注：實際情況中，可以雙方都有公私鑰對） 
  2，用公私鑰加密運算很費時間，很慢，影響QQ效果。 
  
  好了，好朋友x，找了一個數字3，用我的公鑰1，加密后發給我，說，我們以后就用這個數字來加密信息吧。我解開后，得到了數字3。這樣，只有我們兩個人知道這個秘密的數字3，別的人都不知道，因為他們既不知x挑了一個什么數字，加密后的內容他們也無法解開，我們把這個秘密的數字叫做會話密鑰。 
  
  然后，我們選擇一種對稱密鑰算法，比如DES，（對稱算法是說，加密過程和解密過程是對稱的，用一個密鑰加密，可以用同一個密鑰解密。使用公私鑰的算法是非對稱加密算法），來加密我們之間的通信內容。別人因為不知道3是我們的會話密鑰，因而無法解密。 
  
  好，復習一下： 
  1，SSL實現安全的通信 
  2，通信雙方使用一方或者雙方的公鑰來傳遞和約定會話密鑰   （這個過程叫做握手） 
  3，雙方使用會話密鑰，來加密雙方的通信內容 
  
上面說的是原理。大家可能覺得比較復雜了，實際使用中，比這還要復雜。不過慶幸的是，好心的先行者們在操作系統或者相關的軟件中實現了這層（Layer），並且起了一個難聽的名字叫做SSL，（Secure   Socket   Layer）。