1. 信息安全三要素
信息安全中有三個(gè)需要解決的問(wèn)題:
- 保密性(Confidentiality):信息在傳輸時(shí)不被泄露
- 完整性(Integrity):信息在傳輸時(shí)不被篡改
- 有效性(Availability):信息的使用者是合法的
這三要素統(tǒng)稱為 CIA Triad昼浦。
公鑰私鑰解決保密性問(wèn)題萌焰。
數(shù)字簽名解決完整性問(wèn)題和有效性問(wèn)題。
2. 數(shù)字簽名(Digital Signature)
2.1 生成簽名
將消息的哈希值用私鑰加密肌厨,得到數(shù)字簽名脓豪。
生成簽名
2.2 驗(yàn)證簽名
用公鑰解密簽名符匾,與明文消息的哈希值對(duì)比蕴潦,相同則驗(yàn)證成功净薛。
驗(yàn)證簽名
3. 數(shù)字證書(Digital Certificate)
證書是對(duì)公鑰生成的數(shù)字簽名汪榔,用于為公鑰提供合法性證明。
證書一般包含:公鑰肃拜、公鑰的數(shù)字簽名痴腌、公鑰擁有者的信息。
若證書驗(yàn)證成功燃领,表明該公鑰是合法的士聪,可信的。
數(shù)字證書
3.1 認(rèn)證機(jī)構(gòu)(Certification Authority柿菩,CA)
CA 是受信任的第三方機(jī)構(gòu)戚嗅,負(fù)責(zé)發(fā)放和管理數(shù)字證書。
3.2 生成證書
- 服務(wù)器將公鑰 A 給 CA
- CA 用自己的私鑰 B 給公鑰 A 加密,生成數(shù)字簽名 A
- CA 把公鑰 A懦胞,數(shù)字簽名 A 和附加的服務(wù)器信息整合在一起替久,生成證書,發(fā)回給服務(wù)器
生成證書
3.3 驗(yàn)證證書
驗(yàn)證證書就是驗(yàn)證證書中的簽名躏尉。
驗(yàn)證證書
3.4 證書作廢
當(dāng)用戶私鑰丟失蚯根、被盜,CA 需要對(duì)證書進(jìn)行作廢(revoke)胀糜。要作廢證書颅拦,CA 需要制作一張證書作廢清單(Certificate Revocation List,CRL)教藻。
一個(gè)有效的證書必須滿足:
- 有合法的認(rèn)證機(jī)構(gòu)簽名
- 在有效期內(nèi)
- 該證書沒(méi)有作廢
