网络安全加密-数字信封-完整性验证-数字签名-数据加解密及身份认证流程:

在说之前我们首先要明白两个概念数字信封和数字签名

数字信封:明文用对称加密

数字签名:数字指纹  明文用hash函数-获得一个摘要-——用私钥加密摘要

 

加密-数字信封-完整性验证-数字签名-数据加解密及身份认证流程_加密算法

 

加密-数字信封-完整性验证-数字签名-数据加解密及身份认证流程_数字签名_02

上图就是A  B两用户安全通信的示意图,我们通过它来了解加密技术在通讯中的具体应用;

1.用户要发一封秘密邮件给B用户,首先A用户的明文通过hash函数得到一个信息摘要,在用A的私钥对摘要进行签名得到一个数字信封,我们中的数字信封又称数字指纹,具有不可否认性,就是说我们可以根据数字信封来确认这封邮件是A发过来的,这个数字签名有什么用途,下面我们就知道了

2.明文 A的数字签名 A的公钥钥三者和三惟一用对称加密密钥进行加密,通常这步对用户来说是透明的,换句话来说就是系统自动用对称加密算法对数据进行加密处理,来防止网上有人的信息监听

3.用用户B的公钥对对称加密的密钥进行加密,得到一个数字信封,我们知道对于非对称加密算法,用B的公钥进行加密,只有B用户的私钥才可以解密,而用户B的私钥是存储在B的个人pc机上的,这样即使在传输过程中信息被人截获,由于无法得知用户B的私钥根本上是打不开的,

4.A用户把信息发送到公网

对于B用户来说,他需要做的也有4步

1.先对数字信封用B的私钥进行解密,因为我们发送的文件使用对称加密算法得出的,对于对称加密算法钥匙就有一个,而B用户是不知对称加密的密钥的,ok,B用户首先用自己的私钥对数字信封进行解密,从而得到对称加密的密钥

2.用对称加密的密钥对密文进行解密,这时候B用户才可以看到文件的明文,通过解密B用户也同时得到了三个文件,分别是明文,A的数字签名,A的公钥,这时候有人要问了,那么我们不可以伪造A的公钥吗?首先A的公钥是在我们通过非对称加密用B的私钥和对称加密算法揭开的,要得到A的公钥我们就是和对称加密和非对称加密为敌,即使是可以伪造A的公钥,可A的私钥是伪造不出来的,我们知道对于非对称加密算法,密钥是成对出现的,用私钥加密只能公钥解开,二者是相互关联的,即使有人伪造了A的公钥,同样解不开密文。这步对于用户来说同样是透明的。

3.下面我们就说到数字签名了,我们用A的公钥对数字签名进行解密,如果能解得开说明文件就是A用户发过来的,具有不可抵赖性,这样我们也就知道了为什么数字签名又叫数字指纹了。这样我们得到一个信息摘要,同样我们对明文进行HASH运算同样能得到一个信息摘要.

4.我们通过对二者进行对比,一样说明信息传递无误,不一样则说明文件别人篡改了。

我们通过这样一个例子就可以了解加密算法,如何在网络通信的应用,下面有个问题就是关于证书的了,什么是正书,证书有什么用?如何颁发的?为什么可信?

 

CA为电子政务,电子商务等网络环境中的各个实体颁发数字证书,以证明身份的真实性,并负责在交易中检验和管理证书

CA对数字证书的签名使得第三方不能伪造和篡改证书,证书是由可信赖的机构颁发的,如微软 ,互联网中心等

证书的作用 允许加密磁盘上的数据   保护电子邮件消息   向远程计算机证明您的身份  基于ssl完整的web访问

证书的颁发可以有效缓解我们在操作中的复杂性,因为证书中是包含公钥的,说白了证书就是证明我们就是我,不是别人,现在的钓鱼网站我们就可以通过证书验证真伪,这个问题下篇文章我们在讨论。

 ----------------------------------------------------------

二、数字签名与数字信封

公钥密码体制在实际应用中包含数字签名和数字信封两种方式

1)         数字签名

用户用自己的【私钥】对原始数据的哈希摘要进行加密所得的数据。数字签名定义两种互补的运算:一个用于签名,另一个用于验证。"私钥签名,公钥验证"

签名:发送方用特殊的hash算法,由明文中产生固定长度的【摘要】,然后利用自己的私钥对形成的摘要进行加密,这里加密后的数据就是数字签名。

验证:接受方利用发送方的公钥解密被加密的摘要得到结果A,然后对明文也进行hash操作产生摘要B.最后,把A和B作比较。此方式既可以保证发送方的身份正确性,又可以保证数据在传输过程中不会被篡改。

数字签名(Digital Signature)技术是不对称加密算法的典型应用。保证信息传输的完整性、发送者的身份认证、防止交易中的抵赖发生。

2)         数字信封

数字信封的功能类似于普通信封。普通信封在法律的约束下保证只有收信人才能阅读信的内容;数字信封则采用密码技术保证了只有规定的接收人才能阅读信息的内容。

数字信封中采用了单钥加密体制和公钥密码体制。信息发送者首先利用随机产生的【对称密码】加密信息(因为非对称加密技术的速度比较慢),再利用接收方的【公钥】加密对称密码,被公钥加密后的对称密钥被称之为数字信封。在传递信息时,信息接收方要解密信息时,必须先用自己的私钥解密数字信封,得到对称密码,才能利用对称密码解密所得到的信息。

数字信封既发挥了对称加密算法速度快、安全性好的优点,又发挥了非对称加密算法密钥管理方便的优点。

三、应用示例

  1. 为了保证信息传送的真实性、完整性和不可否认性,需要对要传送的信息进行数字加密和数字签名。其传送过程如下:

发送者A:

1)         A准备要传送的数字信息(明文)

2)         A对数字信息(明文)进行哈希(hash)运算,得到一信息摘要。

3)         A用自己的【私钥(SK)】对信息摘要进行加密得到A的数字签名,并将其附在数字信息上。(数字签名)

4)         A随机产生一个加密钥(DES密钥),并用此密钥对要发送的信息(明文)进行加密,形成密文。(对称加密)

5)         A用B的【公钥(PK)】对刚才随机产生的加密密钥进行加密,将加密后的DES密钥连同密文一起传送给B。(数字信封)

接收者B:

1)         B收到A传送过来的密文和加过密的DES密钥,先用自己的私钥(SK)对加密的DES密钥进行解密,得到DES密钥。

2)         B然后用DES密钥对受到的密文进行解密,得到明文的数字信息,然后将DES密钥抛弃(即DES密钥作废)。

3)         B用A的公钥(PK)对A的数字签名进行解密,得到信息摘要。

4)         B用相同的has算法对收到的明文再进行一次hash运算,得到一个新的信息摘要。

5)         B将收到的信息摘要和新生成的信息摘要进行比较,如果一致,说明收到的信息没有被修改过。