数字签名和数字证书
数字签名是一种用于信息 真实性 和 完整性 校验的手段,一套数字签名包含签名和验证两种运算。下面是一套简单的数字签名示意图。
数字签名使用 非对称加密 技术。每个人都有一对钥匙,私钥只有本人知道,公钥公开,私钥签名,公钥验签。
在进行信息传递时,信息发送者用私钥生成签名并将公钥一起发送给信息接收者,接收者使用公钥验签。上述过程中信息完整性得到校验,但发送者的身份是否合法无法得知(因为任何人都可以声称自己是合法的),因此引入了 身份认证机构 。
身份认证机构是 信息接收者 能信任的机构,所有的公钥必须向该机构进行注册。注册后身份认证机构给发送者颁发一 数字证书 。对文件签名后,发送者把此数字证书连同文件及签名一起发给信息接收者,接收者向身份认证机构求证是否真地是用发送者密钥签发的文件。
数字证书是一种电子档案,用来证明公钥拥有者的身份。此档案包含了公钥信息、拥有者身份信息(主体)、以及数字证书认证机构(发行者)对该文件的数字签名。
证书的本质就是对公钥加数字签名,认证机构用自己的私钥对需要认证的人(或组织机构)的公钥进行数字签名并生成证书。
我们需要了解以下几种类型的证书
自签证书
用户可以自己生成数字证书,不过没有任何可信赖的人签名,它主要用于小范围测试,这种自签名证书通常不会被广泛信任,使用时可能会遇到电脑软件的安全警告。
根证书
根证书获得广泛认可,通常已预先安装在各种软体(包括操作系统、浏览器、电邮软件等),作为信任链的起点,来自于公认可靠的政府机关、证书颁发机构公司、非营利组织等,与各大软件商透过严谨的核认程序才在不同的软件广泛部署。由于部署程序复杂费时,需要行政人员的授权及机构法人身份的核认,一张根证书有效期可能长达二十年以上。在某些企业,也可能会在内部电脑自行安装企业自签的根证书,以支援内部网的企业级软件;但是这些证书可能未被广泛认可,只在企业内部适用。
中介证书
认证机构的一个重要任务就是为客户签发证书,虽然广泛认可的认证机构都已拥有根证书,相对应的私钥可用以签署其他证书,但因为密钥管理和行政考虑,一般会先行签发中介证书,才为客户作数位签署。中介证书的有效期会较根证书为短,并可能对不同类别的客户有不同的中介证书作分工。
TLS服务器证书
网站在互联网上提供服务时,域名就是服务器证书上主体,相关机构名称则写在组织或单位一栏上。证书和私钥会安装在服务器。客户端的软件(如浏览器)会执行认证路径验证算(Certification path validation algorithm)以确保安全,如果未能肯定加密通道是否安全(例如证书上的主体名称不对应网站域名、伺服器使用了自签证书、或加密算法不够强),可能会警告用户。
TLS客户端证书
客户端证书包含电子邮件地址或个人姓名,而不是主机名。客户端证书比较不常见,因为考虑到技术门槛及成本因素,通常都是由服务提供者验证客户身份,而不是依赖第三方认证机构。通常,需要使用到客户端证书的服务都是内部网的企业级软件,他们会设立自己的内部根证书,由企业的技术人员在企业内部的电脑安装相关客户端证书以便使用。在公开的互联网,大多数网站都是使用登入密码和Cookie来验证用户,而不是客户端证书。
根证书(自签证书)、中介证书和终端实体(TLS服务器/客户端)证书的形成如下信任链
证书一般遵从X.509格式规范
证书可以二进制或 Base64 形式储存,常见的文件扩展名有.cer、.crt、.der和.pem。如果把证书和私钥一起储存,则可以使用PKCS#12(.p12)格式。
我们在写对外 API 时,针对信息传递的安全考虑,做如下设计
我们使用 SHA256withRSA 进行签名,下面是一个Java简单例子
绛旓細澶ц瘽瀵嗙爜鎶鏈紙浜旓級锛鏁板瓧绛惧悕涓庢暟瀛楄瘉涔鐨勫ゥ绉 涓銆佹暟瀛楃鍚嶏紝淇′换鐨勫畧鎶よ 鏁板瓧绛惧悕锛屽嚟鍊焗ash绠楁硶涓庡叕閽ュ姞瀵嗘妧鏈紝鏄‘淇濇暟瀛椾俊鎭湡瀹炴у拰涓嶅彲鎶佃禆鎬х殑鍏抽敭宸ュ叿銆傚畠鍏锋湁涓夊ぇ鏍稿績鐗规э細1锛夋姤鏂囬壌鍒紝绉侀挜鐨勫敮涓鎬х‘淇濅簡鍙湁绛惧悕鑰呰兘浼犳垨鍐掑厖锛屾湁鏁堥槻姝俊鎭鏀癸紱2锛夋姤鏂囧畬鏁存э紝閫氳繃hash绠楁硶锛屼换浣曟湭缁忔巿...
绛旓細鏁板瓧绛惧悕鏄數瀛愮鍚嶇殑涓绉嶅舰寮忥紝鏄數瀛愮鍚嶇殑涓涓瓙闆嗐傜數瀛愮鍚嶆槸鎸囦互鐢靛瓙褰㈠紡瀛樺湪浜庝换浣曟暟鎹數鏂囦腑锛岀敤鏉ヨ瘑鍒鍚嶈呰韩浠藉苟琛ㄦ槑绛惧悕鑰呰瘑鍒叾涓唴瀹圭殑鏁版嵁锛涚嫮涔夌殑鐢靛瓙绛惧悕鏄娇鐢≒KI绯荤粺鐨勬暟瀛楃鍚嶃傛暟瀛楄瘉涔︽槸鐢辩涓夋柟璁よ瘉鏈烘瀯锛圕A锛夐鍙戝拰绠$悊鐨勪竴绉嶇綉缁滄暟瀛楄韩浠借瘉涔︺
绛旓細1銆佹硶寰嬩腑瀹氫箟鐨鐢靛瓙绛惧悕鏄换浣曚互鐢靛瓙褰㈠紡鎵鍚佹墍闄勭敤浜庤瘑鍒鍚嶄汉韬唤骞惰〃鏄庣鍚嶄汉璁ゅ彲鍏朵腑鍐呭鐨勬暟鎹紱鐙箟鐨勭數瀛愮鍚嶅嵆鏁板瓧绛惧悕銆2銆鏁板瓧璇佷功鏄敱鏉冨▉鍏瘉鐨勭涓夋柟璁よ瘉鏈烘瀯锛堝嵆CA锛孋ertificate Authority锛夎礋璐g鍙戝拰绠$悊鐨勩佷釜浜烘垨浼佷笟鐨勭綉缁滄暟瀛楄韩浠借瘉鏄庛3銆佹暟瀛楃鍚嶆槸鐢ㄦ暟瀛楄瘉涔﹀鐢靛瓙鏂囦欢绛惧悕鍚庡湪鐢靛瓙...
绛旓細鏁板瓧璇佷功鏄竴绉嶇數瀛愭。妗堬紝鐢ㄦ潵璇佹槑鍏挜鎷ユ湁鑰呯殑韬唤銆傛妗f鍖呭惈浜嗗叕閽ヤ俊鎭佹嫢鏈夎呰韩浠戒俊鎭紙涓讳綋锛夈佷互鍙婃暟瀛楄瘉涔﹁璇佹満鏋勶紙鍙戣鑰咃級瀵硅鏂囦欢鐨鏁板瓧绛惧悕銆傝瘉涔︾殑鏈川灏辨槸瀵瑰叕閽ュ姞鏁板瓧绛惧悕锛岃璇佹満鏋勭敤鑷繁鐨勭閽ュ闇瑕佽璇佺殑浜猴紙鎴栫粍缁囨満鏋勶級鐨勫叕閽ヨ繘琛屾暟瀛楃鍚嶅苟鐢熸垚璇佷功銆傛垜浠渶瑕佷簡瑙d互涓嬪嚑绉嶇被鍨嬬殑璇佷功 ...
绛旓細鏁板瓧绛惧悕鏄渶瑕佷娇鐢鏁板瓧璇佷功鐨勶紝鐢靛瓙绛剧珷鏄繍鐢ㄤ簡鏁板瓧绛惧悕鎶鏈殑锛屼篃浣跨敤浜嗘暟瀛楄瘉涔︺傜數瀛愮绔犱腑锛屽寘鍚暟瀛楃鍚嶇殑鏁版嵁锛屽苟鍦ㄦ枃浠朵腑鏄剧ず鍐呯疆濂界殑鍥剧墖锛堢珷鐨勫浘鐗囷級銆傛暟瀛楄瘉涔 鏁板瓧璇佷功灏辨槸浜掕仈缃戦氳涓爣蹇楅氳鍚勬柟韬唤淇℃伅鐨勪竴涓叉暟瀛楋紝鎻愪緵浜嗕竴绉嶅湪Internet涓婇獙璇侀氫俊瀹炰綋韬唤鐨勬柟寮忥紝鏁板瓧璇佷功涓嶆槸鏁板瓧韬唤璇侊紝...
绛旓細鏈変簡鏁板瓧璇佷功鎵嶈兘椤哄埄瀹夎骞惰繍琛岃杞欢锛岀鍚嶅氨鏄粰浜嗚繖涓蒋浠跺悎娉曠殑韬唤锛屽彇寰椾簡绯荤粺鏉冮檺銆傚彲浠ラ殢鎵嬫満鍚姩銆1銆佹暟瀛楄瘉涔︼細鐢ㄨ嚜宸辩殑绉侀挜绛惧悕瀵规柟鐢ㄦ湰鏂圭殑鍏挜瑙e瘑绛惧悕銆2銆鏁板瓧绛惧悕锛氱敤绉侀挜鍔犲瘑鍝堝笇鏁e垪鍊硷紝瀵规柟鎷挎満涓荤殑鍏挜瑙e瘑寰楀埌涓涓暎鍒楀煎悗瀵规柟鎷挎満涓诲彂閫佺殑娑堟伅鎵ц鍝堝笇杩愮畻寰楀埌涓涓暎鍒楀硷紝瀵规柟姣旇緝...
绛旓細浜岃呯殑鑱旂郴锛鏁板瓧璇佷功鏄竴涓粡璇佷功鎺堟潈涓績鏁板瓧绛惧悕鐨勫寘鍚叕寮瀵嗛挜鎷ユ湁鑰呬俊鎭互鍙婂叕寮瀵嗛挜鐨勬枃浠躲傛渶绠鍗曠殑璇佷功鍖呭惈涓涓叕寮瀵嗛挜銆佸悕绉颁互鍙婅瘉涔︽巿鏉冧腑蹇冪殑鏁板瓧绛惧悕銆傛暟瀛楄瘉涔﹁繕鏈変竴涓噸瑕佺殑鐗瑰緛灏辨槸鍙湪鐗瑰畾鐨勬椂闂存鍐呮湁鏁堛傚娉細鏁板瓧绛惧悕鎶鏈槸灏嗘憳瑕佷俊鎭敤鍙戦佽呯殑绉侀挜鍔犲瘑锛屼笌鍘熸枃涓璧蜂紶閫佺粰鎺ユ敹鑰呫傛帴鏀惰...
绛旓細灏辨槸鏁板瓧绛惧悕銆鏁板瓧璇佷功浠ュ瘑鐮佸涓哄熀纭锛岄噰鐢ㄦ暟瀛楃鍚嶃佹暟瀛椾俊灏併佹椂闂存埑鏈嶅姟绛夋妧鏈紝鍦ㄤ簰鑱旂綉涓婂缓绔嬭捣鏈夋晥鐨勪俊浠绘満鍒讹紝鍏蜂綋鏉ヨ锛屽畠涓昏鍖呭惈璇佷功鎵鏈夎呯殑淇℃伅銆佽瘉涔︽墍鏈夎呯殑鍏紑瀵嗛挜鍜岃瘉涔﹂鍙戞満鏋勭殑绛惧悕绛夊唴瀹广傜涓夋柟鐢靛瓙绛惧悕骞冲彴閮介噰鐢ㄤ簡鏁板瓧绛惧悕銆佹椂闂存埑銆佸疄鍚嶈璇佺瓑鎶鏈紝鍙楀埌娉曞緥鐨勪繚鎶ゃ
绛旓細涓涓鏁板瓧璇佷功鐨勫唴瀹逛竴鑸寘鎷細鎵鏈夎呯殑鍏挜鎵鏈夎呯殑鍚嶅瓧鍏挜鐨勫け鏁堟湡鍙戞斁鏈烘瀯鐨勫悕绉帮紙鍙戞斁鏁板瓧璇佷功鐨 CA锛夋暟瀛楄瘉涔︾殑搴忓垪鍙峰彂鏀炬満鏋勭殑鏁板瓧绛惧悕琚箍娉涙帴鍙楃殑鏁板瓧璇佷功鏍煎紡鐢 CCITT X.509 鍥介檯鏍囧噯瀹氫箟锛涘洜姝や换浣曠鍚 X.509 鐨勫簲鐢ㄧ▼搴忛兘鍙鍐欒瘉涔︺傚湪 PKCS 鏍囧噯鍜 PEM 鏍囧噯涓湁鏇磋繘涓姝ョ殑鏄庣‘琛ㄨ揪銆傛暟瀛...
绛旓細鏁板瓧璇佷功鏄粡璇佷功鎺堟潈涓績鏁板瓧绛惧悕鐨勫寘鍚叕寮瀵嗛挜鎷ユ湁鑰呬俊鎭互鍙婂叕寮瀵嗛挜鐨勬枃浠躲鐢靛瓙绛惧悕浜у搧锛屽彧鏈夊彇寰楀叧浜庡瘑鐮佷骇鍝佷笁澶ц祫璐ㄤ互鍙婁娇鐢ㄧ粡杩囪璇佺殑CA鏈烘瀯鏁板瓧璇佷功锛屾墠鍏锋湁娉曞緥鍚堣鎬с傚湪鏁板瓧璇佷功涓紝鍙互鏌ュ埌鐨勪俊鎭湁璇佷功鐨勯鍙戞満鏋勩佺缃叉椂闂淬佽瘉涔︾殑鏈夋晥鏈熺瓑淇℃伅銆傛墍鏈塁A璇佷功閲囩敤鐨勯兘鏄浗瀹剁粺涓鏍囧噯锛屾病鏈夊尯鍒
