2023年5月22日 周一
基础概念
UKEY
硬件加密机。类似U盘的证书管理和信息加密工具。
CA认证登录
CA(Certificate Authority)认证中心。使用CA颁发的证书对用户信息进行加解密并进行登录认证的操作。
CA证书的单证、双证
单证书
用户使用唯一的证书及对应的私钥进行签名和加密操作。通常国际上使用一张证书实现加密和签名。
签名时:用户A(简称A)使用自己的私钥加密信息的摘要,即签名操作;用户B(简称B)使用A的公钥进行解密,对比该摘要是否正确,若正确,则B就确定了A的身份,即验签成功。
加密时:A用B的公钥将信息加密传递给B,B使用自己的私钥解密,进而获得信息。
双证书
包括签名证书和加密证书。在我国,需要将加密及签名功能区分,对于订户而言即同时拥有加密及签名双证书。
签名时:签名证书仅仅用来验证身份使用,其公钥和私钥均由A自己产生,并且由自己保管,CA不负责其保管任务。
加密时:加密证书在传递加密数据时使用,其私钥和公钥由CA产生,并由CA保管(存根)。
私钥、公钥、数字签名、数字证书的关系
根据非对称密码学的原理,每个证书持有人都有一对公钥和私钥,这两把密钥可以互为加解密。使用密钥对的时候,如果用其中一个密钥加密一段数据,只能使用密钥对中的另一个密钥才能解密数据。
公钥是公开的,不需要保密,而私钥是由证书持有人自己特有,并且必须妥善保管和注意保密。数字证书则是由证书认证机构(CA)对证书申请者真实身份验证之后,用CA的根证书对申请人的一些基本信息以及申请人的公钥进行签名(相当于加盖发证书机构的公章)后形成的一个数字文件。
数字证书就是经过CA认证过的公钥,因此数字证书和公钥一样是公开的。
可以这样说,数字证书就是经过CA认证过的公钥,而私钥一般情况都是由证书持有者在自己本地生成或委托受信的第三方生成的,由证书持有者自己负责保管或委托受信的第三方保管。
总结:公私钥互为加解密、数字签名保证发送人及内容真实完整、数字证书证明公钥可信。
双向认证
客户端校验服务器数字证书是否真实,服务器端验证用户信息是否是可信。
