加密-數字信封-完整性驗證-數字簽名-資料加解密及身份認證流程

上回說到CA這個我們結合執行個體具體說下網絡安全加密-數字信封-完整性驗證-數字簽名-資料加解密及身份認證流程：

在說之前我們首先要明白兩個概念數字信封和簽名

數字信封;明文用對稱加密   私鑰用非對稱加密,它結合了對稱加密速度快和非對稱加密安全性高的優點

數字簽名：數字指紋  明文用hash函數-獲得一個摘要-——用私鑰加密摘要

<a href="http://blog.51cto.com/attachment/201008/205308361.png" target="_blank"></a>

<a href="http://blog.51cto.com/attachment/201008/205406825.png" target="_blank"></a>

上圖就是A  B兩使用者安全通信的示意圖，我們通過它來了解加密技術在通訊中的具體應用;

1.使用者要發一封秘密郵件給B使用者，首先A使用者的明文通過hash函數得到一個資訊摘要，在用A的私鑰對摘要進行簽名得到一個數字信封，我們中的數字信封又稱數字指紋，具有不可否認性，就是說我們可以根據數字信封來确認這封郵件是A發過來的，這個數字簽名有什麼用途，下面我們就知道了

2.明文 A的數字簽名 A的公鑰鑰三者和三惟一用對稱加密密鑰進行加密，通常這步對使用者來說是透明的，換句話來說就是系統自動用對稱加密算法對資料進行加密處理，來防止網上有人的資訊監聽

3.用使用者B的公鑰對對稱加密的密鑰進行加密，得到一個數字信封，我們知道對于非對稱加密算法，用B的公鑰進行加密，隻有B使用者的私鑰才可以解密，而使用者B的私鑰是存儲在B的個人pc機上的，這樣即使在傳輸過程中資訊被人截獲，由于無法得知使用者B的私鑰根本上是打不開的，

4.A使用者把資訊發送到公網

對于B使用者來說，他需要做的也有4步

1.先對數字信封用B的私鑰進行解密，因為我們發送的檔案使用對稱加密算法得出的，對于對稱加密算法鑰匙就有一個，而B使用者是不知對稱加密的密鑰的，ok，B使用者首先用自己的私鑰對數字信封進行解密，進而得到對稱加密的密鑰

2.用對稱加密的密鑰對密文進行解密，這時候B使用者才可以看到檔案的明文，通過解密B使用者也同時得到了三個檔案，分别是明文，A的數字簽名，A的公鑰，這時候有人要問了，那麼我們不可以僞造A的公鑰嗎？首先A的公鑰是在我們通過非對稱加密用B的私鑰和對稱加密算法揭開的，要得到A的公鑰我們就是和對稱加密和非對稱加密為敵，即使是可以僞造A的公鑰，可A的私鑰是僞造不出來的，我們知道對于非對稱加密算法，密鑰是成對出現的，用私鑰加密隻能公鑰解開，二者是互相關聯的，即使有人僞造了A的公鑰，同樣解不開密文。這步對于使用者來說同樣是透明的。

3.下面我們就說到數字簽名了，我們用A的公鑰對數字簽名進行解密，如果能解得開說明檔案就是A使用者發過來的，具有不可抵賴性，這樣我們也就知道了為什麼數字簽名又叫數字指紋了。這樣我們得到一個資訊摘要，同樣我們對明文進行HASH運算同樣能得到一個資訊摘要.

4.我們通過對二者進行對比，一樣說明資訊傳遞無誤，不一樣則說明檔案别人篡改了。

我們通過這樣一個例子就可以了解加密算法，如何在網絡通信的應用，下面有個問題就是關于證書的了，什麼是正書，證書有什麼用？如何頒發的?為什麼可信?

CA為電子政務，電子商務等網絡環境中的各個實體頒發數字證書，以證明身份的真實性，并負責在交易中檢驗和管理證書

CA對數字證書的簽名使得第三方不能僞造和篡改證書，證書是由可信賴的機構頒發的，如微軟 ，網際網路中心等

證書的作用 允許加密磁盤上的資料   保護電子郵件消息   向遠端計算機證明您的身份  基于ssl完整的web通路

證書的頒發可以有效緩解我們在操作中的複雜性，因為證書中是包含公鑰的，說白了證書就是證明我們就是我，不是别人，現在的釣魚網站我們就可以通過證書驗證真僞，這個問題下篇文章我們在讨論。

 本文轉自q狼的誘惑 51CTO部落格，原文連結：http://blog.51cto.com/liangrui/373006，如需轉載請自行聯系原作者