PKI认证和加密数据的基本流图:
传送过程:
A要给B 发送“我们的五年计划是····”的明文,将不定长的明文用摘要算法计算后变为定长的的摘要,然后用认证私钥对摘要进行签名,再将明文和签名后的摘要用相应的对称密钥(用B的加密公钥对对称密钥进行加密传输)进行加密变为密文。
接收过程:
B用自己的加密私钥对对称密钥解密,用得到的对称密钥对密文进行解密,用A的公钥对摘要进行认证,通过认证后,对明文以同样的摘要算法进行摘要计算,如果得到的摘要与A传送过来的摘要一致,则说明明文正确。
网上身份安全认证过程:
1.交易双方建立连接以后,通过访问证书目录,查询各自的CRL,保证对方的证书是可靠的;
2.用CA的公钥对CA的签名进行验证,保证该CA正是为参与各方提供服务的可信的第三方CA;
2.在真正处理业务前,用户还要对自己的ID和password用签名私钥进行签名,传给交易中的验证方。验证方用用户证书中的公钥对签名进行验证,得到了用户的ID和PASSWORD,并和用户注册的身份ID和password比较,如果一致,则可以确认该用户的身份。
(有的系统为了防止泄露,保存的是ID和password的杂凑值)
简单认证:
B要对A进行认证
A将其ID,password,时间戳和一个随机数做为单向函数的参数,进行计算得到结果protected1,然后将A的ID,时间戳,随机数和protected1传递给B,B利用A提供的ID,时间戳,随机数和本地保留的A的password的拷贝,用同样的单向函数进行计算得到的结果与protected1比较,如果一致,则可以确认为A。
高强度认证:
这个过程利用了X.509的证书框架,利用公钥加密系统完成。
