`

总结:CA & HTTPS &非对称加密&数字签名

 
阅读更多

CA

电子商务认证授权机构(CA, Certificate Authority),也称为电子商务认证中心,是负责发放和管理数字证书的权威机构,并作为电子商务交易中受信任的第三方,承担公钥体系中公钥的合法性检验的责任。

CA证书的种类有:

<!--[if !supportLists]-->·        <!--[endif]-->Root证书

这是CA server的证书。如果要申请其他种类的证书,必须先到CA server下载Root证书。该证书是唯一的。

<!--[if !supportLists]-->·        <!--[endif]-->Web证书

此证书用于认证一台设备(如:PC)是合法的。一般Web server需要此类型的证书。例如该设备提供https服务,那么当client去访问该server时,server会将证书发送给clientclient可以对server的身份进行验证。

<!--[if !supportLists]-->·        <!--[endif]-->User证书

此证书用于认证一个用户帐号是合法的。当一个client试图访问server时,server根据client的证书去验证该用户是否合法。此证书可以用于多台机器,它只与用户名相匹配。

HTTPS

HTTPS(全称:Hypertext Transfer Protocol over Secure Socket Layer),是以安全为目标的HTTP通道,简单讲是HTTP的安全版。即HTTP下加入SSL层,HTTPS的安全基础是SSL。它内置于其浏览器中,用于对数据进行压缩和解压操作,并返回网络上传送回的结果。它的主要作用可以分为两种:一种是建立一个信息安全通道,来保证数据传输的安全;另一种就是确认网站的真实性。

非对称加密

非对称加密算法(Asymmetric Cryptography)需要两个密钥:公开密钥(publickey)和私有密钥(privatekey)。公开密钥与私有密钥是一对,如果用公开密钥对数据进行加密,只有用对应的私有密钥才能解密;如果用私有密钥对数据进行加密,那么只有用对应的公开密钥才能解密。因为加密和解密使用的是两个不同的密钥,所以这种算法叫作非对称加密算法。

SSL

SSLSecure Socket Layer)协议位于TCP/IP协议与各种应用层协议之间,为数据通讯提供安全支持。SSL协议可分为两层:SSL记录协议(SSL Record Protocol):它建立在可靠的传输协议(如TCP)之上,为高层协议提供数据封装、压缩、加密等基本功能的支持。SSL握手协议(SSL Handshake Protocol):它建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等。

SSL协议提供的服务主要有:

<!--[if !supportLists]-->·        <!--[endif]-->认证用户和服务器,确保数据发送到正确的客户机和服务器;

<!--[if !supportLists]-->·        <!--[endif]-->加密数据以防止数据中途被窃取;

<!--[if !supportLists]-->·        <!--[endif]-->维护数据的完整性,确保数据在传输过程中不被改变。

SSL的握手协议非常有效的让客户和服务器之间完成相互之间的身份认证,其主要过程如下:

客户端的浏览器向服务器传送客户端SSL协议的版本号,加密算法的种类,产生的随机数,以及其他服务器和客户端之间通讯所需要的各种信息。

服务器向客户端传送SSL协议的版本号,加密算法的种类,随机数以及其他相关信息,同时服务器还将向客户端传送自己的证书。

客户利用服务器传过来的信息验证服务器的合法性,服务器的合法性包括:证书是否过期,发行服务器证书的CA是否可靠,发行者证书的公钥能否正确解开服务器证书的“发行者的数字签名”,服务器证书上的域名是否和服务器的实际域名相匹配。如果合法性验证没有通过,通讯将断开;如果合法性验证通过,将继续进行第四步。

用户端随机产生一个用于后面通讯的“对称密码”,然后用服务器的公钥(服务器的公钥从步骤中的服务器的证书中获得)对其加密,然后将加密后的“预主密码”传给服务器。

如果服务器要求客户的身份认证(在握手过程中为可选),用户可以建立一个随机数然后对其进行数据签名,将这个含有签名的随机数和客户自己的证书以及加密过的“预主密码”一起传给服务器。

如果服务器要求客户的身份认证,服务器必须检验客户证书和签名随机数的合法性,具体的合法性验证过程包括:客户的证书使用日期是否有效,为客户提供证书的CA是否可靠,发行CA的公钥能否正确解开客户证书的发行CA的数字签名,检查客户的证书是否在证书废止列表(CRL)中。检验如果没有通过,通讯立刻中断;如果验证通过,服务器将用自己的私钥解开加密的“预主密码”,然后执行一系列步骤来产生主通讯密码(客户端也将通过同样的方法产生相同的主通讯密码)。

服务器和客户端用相同的主密码即“通话密码”,一个对称密钥用于SSL协议的安全数据通讯的加解密通讯。同时在SSL通讯过程中还要完成数据通讯的完整性,防止数据通讯中的任何变化。

客户端向服务器端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知服务器客户端的握手过程结束。

服务器向客户端发出信息,指明后面的数据通讯将使用的步骤⑦中的主密码为对称密钥,同时通知客户端服务器端的握手过程结束。

SSL的握手部分结束,SSL安全通道的数据通讯开始,客户和服务器开始使用相同的对称密钥进行数据通讯,同时进行通讯完整性的检验。

数字签名

所谓数字签名(Digital signature)就是附加在数据单元上的一些数据,或是对数据单元所作的密码变换。这种数据或变换允许数据单元的接收者用以确认数据单元的来源和数据单元的完整性并保护数据,防止被人(例如接收者)进行伪造。它是对电子形式的消息进行签名的一种方法,一个签名消息能在一个通信网络中传输。基于公钥密码体制和私钥密码体制都可以获得数字签名,目前主要是基于公钥密码体制的数字签名。包括普通数字签名和特殊数字签名。普通数字签名算法有RSAElGamalFiat-ShamirGuillou- QuisquarterSchnorrOng-Schnorr-Shamir数字签名算法、Des/DSA,椭圆曲线数字签名算法和有限自动机数字签名算法等。

数字签名主要的功能是:保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

数字签名技术是将摘要信息用发送者的私钥加密,与原文一起传送给接收者。接收者只有用发送的公钥才能解密被加密的摘要信息,然后用HASH函数对收到的原文产生一个摘要信息,与解密的摘要信息对比。如果相同,则说明收到的信息是完整的,在传输过程中没有被修改,否则说明信息被修改过,因此数字签名能够验证信息的完整性。

发送内容:原文 + 加密(MD5(原文)

                    A                   B

接收方:MD5A=?= 解密(B

Reference

http://en.wikipedia.org/wiki/Digital_signature

http://en.wikipedia.org/wiki/Asymmetric_cryptography

http://baike.baidu.com/view/7626.htm

http://baike.baidu.com/view/356572.html?tp=5_11

http://baike.baidu.com/view/554866.html?wtp=tt

http://baike.baidu.com/view/16147.htm

http://baike.baidu.com/view/14121.htm

 


http://www.51testing.com/?uid-125649-action-viewspace-itemid-96069

分享到:
评论

相关推荐

    非对称加密

    3. **数字证书**:CA中心为网站颁发数字证书时,会使用非对称加密算法确保证书的真实性和有效性。 ### 结论 非对称加密作为一种重要的加密技术,在保障信息安全方面发挥了关键作用。虽然存在加密解密速度慢等缺点,...

    非对称加密的案例

    总结来说,非对称加密是保障信息安全的重要手段,尤其在传输敏感数据时。Java通过丰富的库支持了多种非对称加密算法,并提供了方便的API来管理和使用密钥对。理解并正确使用非对称加密,尤其是私钥和公钥的区分与...

    公钥私钥加密解密数字证书数字签名详解.docx

    - SSL/TLS 使用非对称加密算法建立会话密钥,然后使用对称加密算法进行数据加密传输。 - SSL/TLS 协议提供了多种加密算法选择,如RSA、AES等。 **3. 数字证书的作用:** - 数字证书是一种数字文件,它包含了证书...

    Java非对称加密源码实例.rar

    5. **数字签名**:非对称加密还可以用于创建数字签名,确保数据的完整性和来源的真实性。`Signature`类用于生成和验证数字签名。 6. **安全性考虑**:在使用非对称加密时,必须注意密钥长度的选择,较长的密钥意味...

    加密 RSA 数字签名 数字证书 实例

    接下来,RSA数字签名是一种非对称加密技术的应用,它用于验证信息的完整性和发送者的身份。数字签名并非手写的签名,而是通过一个算法对消息进行哈希运算,然后用私钥对哈希值进行加密,形成数字签名。接收方可以用...

    RSA加密!非对称加密

    总结起来,RSA加密是一种非对称加密方法,依赖于大素数的数学性质,提供了公钥和私钥的安全交换,保障了数据在开放网络上的安全传输。在实际应用中,RSA广泛应用于各种场景,包括数据加密、数字签名和身份验证,是...

    Asymmetric-Key-Cryptosystem.rar_非对称加密

    此外,实验可能还会涉及公钥基础设施(PKI)的概念,包括证书颁发机构(CA)、数字证书和证书撤销列表(CRL),这些都是非对称加密在现实世界应用中的关键元素。 总结来说,非对称加密提供了一种安全的数据交换方法...

    公钥加密,数字签名,公钥认证,认证授权,基于 PKI 授权.zip

    数字签名是一种非对称加密的应用,用于验证数据的完整性和发送者的身份。发送者通过自己的私钥对消息的哈希值进行加密,接收者可以使用发送者的公钥来解密这个签名,如果解密后的哈希值与原始消息的哈希值一致,就...

    基于AES对称加密算法实现任意文件的加密和基于RSA算法的数字签名和数字证书颁发实现

    它包含了公钥、拥有者的身份信息以及CA的数字签名。当两个实体进行通信时,一方可以通过验证对方的数字证书来确认其身份。证书的使用确保了公钥的可信性,防止中间人攻击。 在"文件加密机"中,这些技术被整合在一起...

    看图片 读故事:轻松理解数字签名和数字证书 pdf

    它基于公钥基础设施(PKI)体系,利用非对称加密技术实现。具体流程如下: 1. **密钥生成**:用户(例如鲍勃)生成一对密钥——公钥和私钥。私钥由鲍勃本人持有,公钥可以公开分享给他人。 2. **公钥分发**:鲍勃将...

    Swift中的非对称密码学.zip

    数字签名利用非对称加密提供数据完整性验证和发送者身份确认。发送者使用其私钥对数据的哈希值进行签名,接收者使用发送者的公钥验证签名。在Swift中,CryptoKit提供了一套完整的API来创建和验证数字签名。 5. **...

    深入理解加密、解密、数字签名和数字证书

    这一过程通过一系列算法实现,如对称加密算法和非对称加密算法。对称加密算法中,加密和解密使用同一密钥,如数据加密标准(DES)、三重数据加密算法(3DES)和RC5等。它们的速度较快,但密钥的管理和分发存在较大...

    信息安全平台客户端--对称密码 非对称密码 RSA 数字证书

    RSA是一种著名的非对称加密算法,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出,它的安全性基于大整数因子分解的困难性。非对称密码解决了密钥管理问题,但加密解密速度相对较慢。 3. **RSA**:RSA是一...

    代码签名数字证书(含私钥)_过期证书_过期数字签名强制签名工具_数字签名_证书

    “数字签名”是一个关键的概念,它是通过哈希算法和非对称加密技术实现的。软件的源代码经过哈希运算得到一个唯一的数值,然后用证书的私钥加密这个数值,形成数字签名。接收者可以使用证书的公钥解密签名并重新计算...

    RSA非对称加解密实例

    RSA非对称加密是一种广泛应用的公钥加密算法,由Ron Rivest、Adi Shamir和Leonard Adleman在1977年提出,因此得名RSA。它在网络安全、数据传输、数字签名等领域有着重要应用。在.NET环境中,我们可以使用内置的...

    ,易语言软件的数字签名

    数字签名是通过一种非对称加密算法(如RSA)实现的,它能够证明软件是由特定的开发者或公司发布的,并且软件自签署以来未被修改过。数字签名包括两个部分:签名和公钥。签名是用开发者私钥对软件哈希值的加密,公钥...

    Java-ca.rar_CA_DVB ca_ca java_java Ca_数字签名

    Java的数字签名机制基于公钥基础设施(PKI),即使用非对称加密算法,如RSA或DSA。一个基本的数字签名过程包括两个主要步骤:签名生成和签名验证。当发送方想要签署一个消息时,他们会使用私钥对消息的哈希值进行...

    深入掌握:是时候理解下HTTPS及背后的加密原理了.pdf

    总结来说,HTTPS在保证数据传输安全方面,使用了对称加密和非对称加密的混合策略,通过数字证书和数字签名机制验证服务器的身份,并保证了数据传输的完整性和不可否认性。这些技术共同作用,使得HTTPS成为互联网上最...

Global site tag (gtag.js) - Google Analytics