返回
数字证书双向认证

数字证书双向认证

ID:9950137

大小:1021.01 KB

页数:28页

时间:2018-05-16

数字证书双向认证_第1页
数字证书双向认证_第2页
数字证书双向认证_第3页
数字证书双向认证_第4页
数字证书双向认证_第5页
资源描述:

《数字证书双向认证》由会员上传分享,免费在线阅读,更多相关内容在行业资料-天天文库

1、1.CA认证原理1.1.概念数字证书为发布公钥提供了一种简便的途径,其数字证书则成为加密算法以及公钥的载体,依靠数字证书,我们可以构建一个简单的加密网络应用平台,数字证书就好比我们生活中的身份证,现实中,身份证由公安机关签发,而网络用户的身份凭证由数字证书颁发认证机构—CA签发,只有经过CA签发的证书在网络中才具备可认证性,CA并不是一个单纯的防御手段,它集合了多种密码学算法:n消息摘要算法:MD5、和SHA(对数字证书本省做摘要处理,用于验证数据完整性服务器)n对称加密算法:RC2、RC4、IDEA、DES、AES(对数据进行加密/解密

2、操作,用于保证数据保密性服务)n非对称加密算法:RSA、DH(对数据进行加密/解密操作,用于保证数据保密性服务)n数字签名算法:RSA、DSA(对数据进行签名/验证操作,保证数据的完整性和抗否认性)。证书的签发过程实际上是对申请数字证书的公钥做数字签名,证书的验证过程实际上是对数字证书的公钥做验证签名,其中还包含证书有效期验证,通过CA数字证书,我们对网络上传输的数据进行加密/解密和签名/验证操作,确保数据机密性、完整性、抗否认性、认证性,保证交易实体身份的真实性,保证网络安全性。所有证书有多种文件编码格式,主要包括:lCER编码(规范编

3、码格式):是数字证书的一种编码格式,它是BER(基本编码格式)的一个变种,比BER规定得更严格lDER(卓越编码格式):同样是BER的一个变种,与CER的不同在于,DER使用定长模式,而CER使用变长模式。所有证书都符合公钥基础设施(PKI)制定的ITU-TX509国际标准,PKCS(公钥加密标准)由RSA实验室和其他安全系统开发商为促进公钥密码的发展而制定的一系列标准,比如:PKCS#7(密码消息语法标准----文件后缀名:.p7b、.p7c、.spc)、PKCS#10(证书请求语法标准----文件后缀名:.p10、.csr)、PKCS

4、#12(个人信息交换语法标准----文件后缀名:.p12、.pfx)等,在获得数字证书后,可以将其保存在电脑中,也可以保存在USBKey等相应的设备中。1.1.SSL/TLS原理我们先来看一个简单的证书机构签发的流程:这里的认证机构如何是证书申请者本身,将获得自签名证书。当客户端获得服务器下发的数字证书后,即可使用数字证书进行加密交互:数字证书的应用环境是在https安全协议中,使用流程远比上述加密交互流程复杂,但是相关操作封装在传输层,对于应用层透明,在https安全协议中使用非对称加密算法交换密钥,使用对称加密算法对数据进行加密/解密

5、操作,提高加密/解密效率。要获得数字证书,我们需要使用数字证书管理工具:KeyTool和OpenSSL构建CSR(数字证书签发申请),交由CA机构签发,形成最终的数字证书,这里我们不对KeyTool做讲解(KeyTool不含有根证书,因此KeyTool没有办法作为CA),网上资料对keytool讲解的也挺多的,我们下面针对OpenSSL进行讲解。 在我们搭建OPENSSL环境前,我们要知道HTTPS协议和SSL/TLS协议,简单的说,HTTPS就是HTTP+SSL(securesocketlayer)/TLS(TransportLayer

6、Security)协议,HTTPS协议为数字证书提供了最佳的应用环境,HTTPS协议一般在服务器中配置,如HTTP服务器APACHE、TOMCAT等。SSL:位于TCP/IP中的网络传输层,作为网络通讯提供安全以及数据完整性的一种安全协议。TLS:作为SSL协议的继承者,成为下一代网络安全性和数据完整性安全协议SSL共有3个版本:1.0、2.0、3.0,TLS也有1.0、2.0、3.0,通常我们说的SSL/TLS协议指的是SSL3.0/TLS1.0的网络传输层安全协议SSL/TLS协议分为两层:记录协议:建议在可靠的传输协议之上,为高层协

7、议提供数据封装、压缩、加密等基本功能的支持握手协议:建立在SSL记录协议之上,用于在实际的数据传输开始前,通讯双方进行身份认证、协商加密算法、交换加密密钥等经过了SSL/TLS握手协议交互后,数据交互双方确定了本次会话使用的对称加密算法以及密钥,就可以开始进行加密数据交互了,以下是握手协议服务器端和客户端构建加密交互的相关流程图:协商算法1、随机数为后续构建密钥准备2、其他信息包括服务器证书、甚至包含获取客户端证书的请求验证算法如果服务器端回复客户端时带有其他信息,则进入数字证书验证阶段客户端验证服务器端证书:服务器端验证客户端证书:产生

8、密钥当服务器端和客户端经过上述流程后,就开始密钥构建交互了,服务器端和客户端最初需要主密钥为构建会话密钥做准备:上述5、6不存在次序关系,因为是异步完成会话密钥完成上述主密钥构建操作后,服务器

当前文档最多预览五页,下载文档查看全文

此文档下载收益归作者所有

当前文档最多预览五页,下载文档查看全文
温馨提示:
1. 部分包含数学公式或PPT动画的文件,查看预览时可能会显示错乱或异常,文件下载后无此问题,请放心下载。
2. 本文档由用户上传,版权归属用户,天天文库负责整理代发布。如果您对本文档版权有争议请及时联系客服。
3. 下载前请仔细阅读文档内容,确认文档内容符合您的需求后进行下载,若出现内容与标题不符可向本站投诉处理。
4. 下载文档时可能由于网络波动等原因无法下载或下载错误,付费完成后未能成功下载的用户请联系客服处理。