|
上回說到CA這個我們結(jié)合實(shí)例具體說下網(wǎng)絡(luò)安全加密-數(shù)字信封-完整性驗(yàn)證-數(shù)字簽名-數(shù)據(jù)加解密及身份認(rèn)證流程:
在說之前我們首先要明白兩個概念數(shù)字信封和簽名
數(shù)字信封;明文用對稱加密 私鑰用非對稱加密,它結(jié)合了對稱加密速度快和非對稱加密安全性高的優(yōu)點(diǎn)
數(shù)字簽名:數(shù)字指紋 明文用hash函數(shù)-獲得一個摘要-——用私鑰加密摘要
上圖就是A B兩用戶安全通信的示意圖,我們通過它來了解加密技術(shù)在通訊中的具體應(yīng)用;
1.用戶要發(fā)一封秘密郵件給B用戶����,首先A用戶的明文通過hash函數(shù)得到一個信息摘要,在用A的私鑰對摘要進(jìn)行簽名得到一個數(shù)字信封���,我們中的數(shù)字信封又稱數(shù)字指紋,具有不可否認(rèn)性�,就是說我們可以根據(jù)數(shù)字信封來確認(rèn)這封郵件是A發(fā)過來的,這個數(shù)字簽名有什么用途�,下面我們就知道了
2.明文, A的數(shù)字簽名 ���,A的公鑰����,這三者(和三惟一)用唯一的對稱加密密鑰進(jìn)行加密�����,通常這步對用戶來說是透明的,換句話來說就是系統(tǒng)自動用對稱加密算法對數(shù)據(jù)進(jìn)行加密處理��,來防止網(wǎng)上有人的信息監(jiān)聽
3.用用戶B的公鑰 對 對稱加密的密鑰進(jìn)行加密��,得到一個數(shù)字信封�����,我們知道對于非對稱加密算法��,用B的公鑰進(jìn)行加密�,只有B用戶的私鑰才可以解密,而用戶B的私鑰是存儲在B的個人pc機(jī)上的�,這樣即使在傳輸過程中信息被人截獲,由于無法得知用戶B的私鑰根本上是打不開的�����,
4.A用戶把信息發(fā)送到公網(wǎng)
對于B用戶來說���,他需要做的也有4步
1.先對數(shù)字信封用B的私鑰進(jìn)行解密�����,因?yàn)槲覀儼l(fā)送的文件使用對稱加密算法得出的���,對于對稱加密算法鑰匙就有一個���,而B用戶是不知對稱加密的密鑰的,ok�����,B用戶首先用自己的私鑰對數(shù)字信封進(jìn)行解密�����,從而得到對稱加密的密鑰
2.用對稱加密的密鑰對密文進(jìn)行解密��,這時候B用戶才可以看到文件的明文����,通過解密B用戶也同時得到了三個文件���,分別是明文����,A的數(shù)字簽名,A的公鑰���,這時候有人要問了���,那么我們不可以偽造A的公鑰嗎?首先A的公鑰是在我們通過非對稱加密用B的私鑰和對稱加密算法揭開的����,要得到A的公鑰我們就是和對稱加密和非對稱加密為敵,即使是可以偽造A的公鑰��,可A的私鑰是偽造不出來的�����,我們知道對于非對稱加密算法���,密鑰是成對出現(xiàn)的����,用私鑰加密只能公鑰解開���,二者是相互關(guān)聯(lián)的����,即使有人偽造了A的公鑰,同樣解不開密文����。這步對于用戶來說同樣是透明的。
3.下面我們就說到數(shù)字簽名了�����,我們用A的公鑰對數(shù)字簽名進(jìn)行解密�,如果能解得開說明文件就是A用戶發(fā)過來的,具有不可抵賴性�,這樣我們也就知道了為什么數(shù)字簽名又叫數(shù)字指紋了。這樣我們得到一個信息摘要��,同樣我們對明文進(jìn)行HASH運(yùn)算同樣能得到一個信息摘要.
4.我們通過對二者進(jìn)行對比��,一樣說明信息傳遞無誤����,不一樣則說明文件別人篡改了����。
我們通過這樣一個例子就可以了解加密算法����,如何在網(wǎng)絡(luò)通信的應(yīng)用��,下面有個問題就是關(guān)于證書的了��,什么是正書��,證書有什么用��?如何頒發(fā)的?為什么可信?
CA為電子政務(wù)���,電子商務(wù)等網(wǎng)絡(luò)環(huán)境中的各個實(shí)體頒發(fā)數(shù)字證書��,以證明身份的真實(shí)性�,并負(fù)責(zé)在交易中檢驗(yàn)和管理證書
CA對數(shù)字證書的簽名使得第三方不能偽造和篡改證書�����,證書是由可信賴的機(jī)構(gòu)頒發(fā)的�����,如微軟 ����,互聯(lián)網(wǎng)中心等
證書的作用 允許加密磁盤上的數(shù)據(jù) 保護(hù)電子郵件消息 向遠(yuǎn)程計(jì)算機(jī)證明您的身份 基于ssl完整的web訪問
證書的頒發(fā)可以有效緩解我們在操作中的復(fù)雜性���,因?yàn)樽C書中是包含公鑰的,說白了證書就是證明我們就是我�����,不是別人���,現(xiàn)在的釣魚網(wǎng)站我們就可以通過證書驗(yàn)證真?zhèn)?���,這個問題下篇文章我們在討論��。
CA用來公證 公鑰����,防止公鑰假冒
本文出自 “cisco network” 博客,請務(wù)必保留此出處http://liangrui.blog.51cto.com/1510945/373006
|
