AI 助理
备案控制台
开发者社区 安全 文章 正文

加密、数字签名和数字证书

2017-11-12 1859
版权
版权声明:
本文内容由阿里云实名注册用户自发贡献,版权归原作者所有,阿里云开发者社区不拥有其著作权,亦不承担相应法律责任。具体规则请查看《 阿里云开发者社区用户服务协议》和 《阿里云开发者社区知识产权保护指引》。如果您发现本社区中有涉嫌抄袭的内容,填写 侵权投诉表单进行举报,一经查实,本社区将立刻删除涉嫌侵权内容。
本文涉及的产品
密钥管理服务KMS,1000个密钥,100个凭据,1个月
简介:

加密、数字签名和数字证书

 

 

1      对称加密

对称加密算法中,加密和解密使用的是同一个秘钥,所以秘钥的保护是非常重要的,对称加密和解密过程如下图:

  • 对称算法加密过程

wKioL1mvvsuiJa7CAAhYSOJpHlw952.bmp

  • 对称算法解密过程

wKiom1mvvwrRiGXeAAfImDkIBEo454.bmp

尽管对称秘钥能够满足对内容的加密了,但是对称算法还是存在以下两个问题的。

1、秘钥泄密风险:务端与客户端彼此之间必须约定将使用的密钥,而这个约定的过程本身就可能存在泄密的风险;

2、如果有100甚至更多的客户端要向服务器发送文件。那么,服务器可能需要有100多次约定密钥的过程。

 

由此可见,无论是安全性还是可用性上,对称密钥都是存在问题的。而两个问题则是必须解决的。

2      非对称加密

非对称算法加密和解密使用的是不同的秘钥,加密算法有一对秘钥,分别是公钥和私钥,公钥是公开的,私钥则是自己保管。

 

  • 非对称算法加密过程

wKioL1mvvxnAPhJVAAetLCUyqfo998.bmp

 

  • 非对称算法解密过程

wKioL1mvvyziq9EPAAdXiC_aypw581.bmp

 

 

3      数字签名和加密

加密是指对某个内容加密,加密后的内容还可以通过解密进行还原。 比如我们把一封邮件进行加密,加密后的内容在网络上进行传输,接收者在收到后,通过解密可以还原邮件的真实内容。

 

签名就是在信息的后面再加上一段内容,可以证明信息没有被修改过。签名一般是对信息做一个hash计算得到一个hash值,注意,这个过程是不可逆的,也就是说无法通过hash值得出原来的信息内容。在把信息发送出去时,把这个hash值加密(使用非对称算法的私钥进行加密)后做为一个签名和信息一起发出去。接收方在收到信息后,会重新计算信息的hash值,并和信息所附带的hash(解密后)进行对比,如果一致,就说明信息的内容没有被修改过,因为这里hash计算可以保证不同的内容一定会得到不同的hash值,所以只要内容一被修改,根据信息内容计算的hash值就会变化。当然,不怀好意的人也可以修改信息内容的同时也修改hash值,从而让它们可以相匹配,为了防止这种情况,hash值一般都会加密后(也就是签名)再和信息一起发送,以保证这个hash值不被修改。

数字签名解决了信息安全上面的不可抵赖性和不可篡改性问题。

4      数字证书

基于非对称密钥算法,Bob生成了一对公私钥。Bob将公钥发布在公开的密钥库中。而Alice在向Bob发送加密文件或者验证Bob签名的文件时,均要从公钥库取到Bob的公钥。我们已经知道,一般来说公钥就是一段固定长度的字符串,并没有特定的含义。

为了让Alice能够方便的辨别公钥,我们可以考虑对给公钥附加一些信息,例如该公钥使用的算法,该公钥的所有者(主题),该公钥的有效期等一系列属性。这样的数据结构我们称作PKCS10数据包

wKioL1mvv-zTnMCpAAC6fpatIJg317.jpg

公钥的主题我们采用唯一标示符(或称DN-distinguished name),以尽量唯一的标示公钥所有者。以下是基于抽象语法表示法所定义的PKCS10数据结构:

 

我们已经有了PKCS10数据包,除了公钥信息外,还有公钥的持有者,公钥的版本号等信息。然而这样的数据结构其实并没有任何权威性。例如有一天一个叫做Richard的人想冒充Bob,也生成一对公私钥,并且使用了相同的公钥主题封装为P10数据结构。Alice其实并没有办法分辨哪个是真实Bob的公钥。

为了解决这个问题,就需要一个权威的第三方机构,对P10结构的数据进行认证。就如同对P10文件盖上一个权威的章,防止仿照。这样的权威机构,我们称作CA(Certificate Authority)数字证书认证中心。而CA如何为P10数据盖章呢?非常简单,就是我们前文已经提到的数字签名技术:

wKiom1mvwCzTSY6FAAD_5NSlBDI694.jpg

① 如上图所示,CA机构其实也持有一张私钥。一般来说,CA会对这份私钥进行特别的保护,严禁泄漏和盗用。

 

② Bob将自己的公钥附加上一系列信息后,形成了P10数据包(请求包),并发送给CA

 

③ CA机构通过其他一些手段,例如查看Bob的身份信息等方式,认可了Bob的身份。于是使用自己的私钥对P10请求进行签名。(也可能会先对数据进行一些简单修改,如修改有效期或主题等)

 

④ 这样的签名结果,我们就称作数字证书。

 

数字证书同样遵循一个格式标准,我们称作X509标准,我们一般提到的X509证书就是如此。

5      基于数字证书发送文件过程

基于数字证书,我们可以再来看看Bob如何给Alice发送一份不可否认、不可篡改的文件:

wKioL1mvwDnz6cTeAADYhNvFEUw516.jpg

第一步:Bob除了对文件进行签名操作外,同时附加了自己的数字证书。一同发给Alice

wKiom1mvwGrD6qRfAAC3h8RFkH4719.jpg

第二步:Alice首先使用CA的公钥,对证书进行验证。如果验证成功,提取证书中的公钥,对Bob发来的文件进行验签。如果验证成功,则证明文件的不可否认和不可篡改。

 

可以看到,基于数字证书后,Alice不在需要一个公钥库维护Bob(或其他人)的公钥证书,只要持有CA的公钥即可。数字证书在电子商务,电子认证等方面使用非常广泛,就如同计算机世界的身份证,可以证明企业、个人、网站等实体的身份。同时基于数字证书,加密算法的技术也可以支持一些安全交互协议(如SSL)。

 


参考:https://yq.aliyun.com/articles/54155


本文转自 老鹰a  51CTO博客,原文链接:http://blog.51cto.com/laoyinga/1963167


文章标签:
密钥管理服务
数据安全/隐私保护
算法
网络安全
安全
关键词:
密钥管理服务数字证书
密钥管理服务数字签名
科技小能手
目录
相关文章
sunrr
|
4月前
|
安全 网络安全 数据安全/隐私保护
SSL/TLS证书**是一种用于加密网络通信的数字证书
SSL/TLS证书**是一种用于加密网络通信的数字证书
sunrr
191 6
热爱技术的小郑
|
7月前
|
安全 算法 数据安全/隐私保护
加密与安全:公开密钥加密、加密过程、数字签名等
这篇文章详细解释了非对称加密算法,包括公开密钥加密的原理、加密过程、数字签名的功能,以及它与对称加密的比较和实际应用场景。
热爱技术的小郑
259 4
加密与安全:公开密钥加密、加密过程、数字签名等
weixin_836869520
|
8月前
|
存储 安全 算法
Java中的数据加密与数字签名技术
Java中的数据加密与数字签名技术
weixin_836869520
70 1
爱你三千遍斯塔克
|
8月前
|
算法 安全 数据安全/隐私保护
支付系统---微信支付09------数字签名,现在Bob想要给Pink写一封信,信件的内容不需要加密,怎样能够保证信息的完整性,使用信息完整性的主要手段是摘要算法,散列函数,哈希函数,H称为数据指纹
支付系统---微信支付09------数字签名,现在Bob想要给Pink写一封信,信件的内容不需要加密,怎样能够保证信息的完整性,使用信息完整性的主要手段是摘要算法,散列函数,哈希函数,H称为数据指纹
爱你三千遍斯塔克
85 0
iOS学霸
|
10月前
|
安全 Java 数据安全/隐私保护
Android和iOS应用程序加固方法详解:混淆、加壳、数据加密、动态加载和数字签名实现
Android和iOS应用程序加固方法详解:混淆、加壳、数据加密、动态加载和数字签名实现
iOS学霸
247 0
Carl_奕然
|
安全 测试技术 数据安全/隐私保护
认证、加密及数字签名的区别
认证、加密及数字签名的区别
Carl_奕然
477 0
i进击的攻城狮
|
安全 算法 数据安全/隐私保护
HTTPS加密原理,搞懂什么是对称加密、非对称加密、证书、数字签名
众所周知,http协议是一种未加密的协议,我们未加密的数据,在传输的过程中会经过一个又一个的物理节点,如果被人通过抓包的方式拿到了我们的数据,将会给我们造成无法估量的损失。 为了解决解决这个问题,https应运而生。https通过加密的手段,保障的数据的安全性。那https的怎么加密的呢?这就是我们接下来需要讨论的内容。
i进击的攻城狮
471 0
HTTPS加密原理,搞懂什么是对称加密、非对称加密、证书、数字签名
BUG弄潮儿
|
算法 Java API
RSA加密解密及数字签名Java实现
RSA算法是一种非对称密码算法,所谓非对称,就是指该算法需要一对密钥,使用其中一个加密,则需要用另一个才能解密。
BUG弄潮儿
601 0
韩曙亮
|
安全 算法 网络安全
【计算机网络】网络安全 : 总结 ( 网络攻击类型 | 网络安全指标 | 数据加密模型 | 对称密钥密码体质 | 公钥密码体质 | 数字签名 | 报文鉴别 | 实体鉴别 | 各层安全 ) ★(一)
【计算机网络】网络安全 : 总结 ( 网络攻击类型 | 网络安全指标 | 数据加密模型 | 对称密钥密码体质 | 公钥密码体质 | 数字签名 | 报文鉴别 | 实体鉴别 | 各层安全 ) ★(一)
韩曙亮
291 0
韩曙亮
|
安全 网络协议 网络安全
【计算机网络】网络安全 : 总结 ( 网络攻击类型 | 网络安全指标 | 数据加密模型 | 对称密钥密码体质 | 公钥密码体质 | 数字签名 | 报文鉴别 | 实体鉴别 | 各层安全 ) ★(三)
【计算机网络】网络安全 : 总结 ( 网络攻击类型 | 网络安全指标 | 数据加密模型 | 对称密钥密码体质 | 公钥密码体质 | 数字签名 | 报文鉴别 | 实体鉴别 | 各层安全 ) ★(三)
韩曙亮
278 0

热门文章

最新文章

  • 1
    解析:HTTPS通过SSL/TLS证书加密的原理与逻辑
  • 2
    即时通讯安全篇(一):正确地理解和使用Android端加密算法
  • 3
    sql server加密算法加盐
  • 4
    SSL/TLS:构建数字世界的加密长城
  • 5
    Pandas高级数据处理:数据加密与解密
  • 6
    如何在Spring Boot中实现数据加密
  • 7
    《数字证书:互联网世界的"身份证"与"防盗门"》 ——揭秘网络安全背后的加密江湖
  • 8
    这款流行 AI 工具被盗用挖取加密货币,这些隐患你需要知道
  • 9
    SSL/TLS:互联网通信的加密基石与安全实践
  • 10
    这款流行 AI 工具被盗用挖取加密货币,这些隐患你需要知道
  • 1
    Hyper V文件复制安全:加密与访问控制
    24
  • 2
    如何在Spring Boot中实现数据加密
    32
  • 3
    SSL/TLS:构建数字世界的加密长城
    36
  • 4
    数字时代的信任快餐:DV证书的生存法则与文明困境——当加密锁链成为互联网的“方便面哲学”
    15
  • 5
    这款流行 AI 工具被盗用挖取加密货币,这些隐患你需要知道
    22
  • 6
    SSL/TLS:互联网通信的加密基石与安全实践
    25
  • 7
    《数字证书:互联网世界的"身份证"与"防盗门"》 ——揭秘网络安全背后的加密江湖
    29
  • 8
    这款流行 AI 工具被盗用挖取加密货币,这些隐患你需要知道
    28
  • 9
    探讨组合加密算法在IM中的应用
    21
  • 10
    sql server加密算法加盐
    40

    • 相关电子书

    更多
  • 基于可信计算与加密计算 打造云上原生计算安全
  • 视频服务特色解决方案——直播连麦与点播加密
  • 量子加密通信技术

    • 相关实验场景

    更多
  • 通过HTTPS加速网关快速部署网站加密
  • 数字证书
  • RSA非对称加密算法
    • 下一篇
    获取百炼API-KEY