偶看新闻米勒米勒是什么歌:加密、数字签名、数字证书--我的理解
来源:百度文库 编辑:偶看新闻 时间:2024/04/29 23:28:42
加密:就用对方的公钥来加密后的文件发给对方,对方拿他自己的私钥解密。
数字证书(签名):用自己的私钥签名对方用我方的公钥解密签名。
数字签名:用自己的私钥加密哈希散列值,对方拿我们的公钥解密得到一个散列值后对方拿我们发送的消息执行哈希运算得到一个散列值,对方比较值是否相等。如果相等,证明这是我们发过去的东东。
双证书
数字证书分为:签名证书和加密证书(俗称双证书)。PKI中使用双证书、即双密钥,双密钥是指签名密钥对与加密密钥对,从本质上说,两个密钥对都是非对称密钥对,因此,都可以用来作非对称加解密,然而为什么需要双密钥呢?这必须从两个密钥的用法说起。
签名密钥对用于数据的完整性检测,保证防伪造与防抵赖,签名私钥的遗失,并不会影响对以前签名数据的验证,因此,签名私钥无须备份,因此,签名密钥不需要也不应该需要第三方来管理,完全由持有者自己产生;而加密密钥对用于数据的加密保护,若加密私钥遗失,将导致以前的加密数据无法解密,这在实际应用中是无法接受的,加密私钥应该由可信的第三方(即通常所说的CA)来备份,以保证加密数据的可用性,因此,加密密钥对可以由第三方来产生,并备份。
由于签名密钥与加密密钥的使用与管理上的不同,决定了双证书使用的合理性与必然性。”
数字签名私钥没必要给第三方备份,反而增加了签名伪造的风险,同时节约不必要的支出。私钥掉了或者过期了大不了再产生一对,不过加密证书的私钥丢失加密数据就无法恢复了。
证书的验证
这通常通过一个被业界接受的、可信的第三方认证中心。
如果要验证请求者的证书,那么请求者会将它的证书放在SOAP消息中。当服务提供者验证这个数字证书时,会使用第三方CA的公共密钥而不使用它们自己签署的CA密钥。这其中,假设服务提供者已经和第三方认证中心确立了信任关系,并且详细CA在向用户签发证书前会对他们进行充分的认证。
如果要验证接收方的身份,发送方会去找到接收方的第三方证书,通过一个可信任的第三方认证中心。
参考:
实现 WS-Security
http://zhidao.baidu.com/question/117338621.html