扩大
缩小

WCF安全2-非对称加密

概述:

数字签名和加密依赖于相应的加密算法

  自变量:加密前的数据、密钥

  因变量:加密后的数据

加密算法分类:根据加密和解密这两种步骤采用的密钥的是否相同进行分类

  相同:对称加密

  不相同:非对称加密

非对称加密的应用场景:

  (1)通过对消息进行加密解决机密性问题(消息的内容仅对发送者期望的接收者可见)

  2)通过数字签名实现身份认证和数据一致性

1.消息加密

非对称加密:公钥/私钥

 

2.数字签名

签名:

1)发送方采用某种算法对整个消息的内容实施哈希计算,得到一个哈希码

2)发送发使用自己的私钥对该哈希码进行加密,加密后得到的密文就是数字签名

3)将数字签名和密钥对中的公钥附加到源消息上

4)将附加的源消息发送给接收方

检验:

1)提取源消息,将源消息通过相同的哈希算法得到一个哈希码

2)提取数字签名和公钥,将数字签名通过公钥进行解密,得到申城数字签名的那个哈希码

3)两个哈希码进行比较,如果一致,则可以证明数字签名的有效性及消息本身的完整性。

数字签名的作用:

1)身份认证

确认消息的发送源是否是私钥的正真正拥有者

2)防止抵赖

如果接收方采用某个实体的公钥对数字签名检验成功,那么这个实体就是消息的发送方,不允许对方抵赖。因为能够通过公钥对某个数字签名成功检验,证明生成该数字签名使用的是正确的私钥。

3)消息一致性

消息的内容一旦出现任何改变,最终对数字签名的检验都将失败。

 

3.数字证书

(1)公钥一般情况下是通过数字证书的形式进行传递的,数字证书在这里作为发送方的凭证。

(2)数字证书将公钥值绑定到持有对应私钥的个人、设备或服务的标识信息上。

(3)大多数证书基于X.509 V3证书标准,所以称作X.509证书。

(4)X.509证书应用于加密和数字签名,以提供认证的实现和确保数据的一致性和机密性。

(5)X.509证书就是一个将某个密钥中的公钥与某个主题进行绑定的文件。

 

(1)数字证书的颁发机制

对于数字证书,尤其是用于商业用途的数字郑虎,也具有相应的官方颁发机构,我们这样机构称为认证权威机构(CA)。

(2)创建数字证书

用户对数字证书的认可取决于对证书颁发机构的信息,所以证书颁发机构决定了数字证书的可用范围。

对于学习研究或者开发测试,没有必要去购买这些商用证书,可以利用一些工具以手动的方式创建证书。

  MakeCert.exe

    -n x509name:指定证书的主题名称。"CN=My Name"

    -pe:将所生成的私钥标记为可导出,这样可将私钥包括在证书中

    -sr location:数字证书的存储位置,具有CurrentUserLocationMachine两个可选之。前者基于当前登录用户,后者基于本机。

    -ss store:数字证书的存储区。

    -sky keytype:指定密钥类型,必须是signatureexchange或一个标识提供程序类型的证书(1标识交换密钥,2标识签名密钥)。

 

通过下面的命令会创建一个主题名称为www.artech.com的数字证书,密钥类型为交换密钥,并且包含私钥。

posted @ 2015-05-21 07:32  悟空聊架构  阅读(700)  评论(0编辑  收藏  举报
Copyright ©2019 悟空聊架构