IPsec 如何使用数字证书和数字签名？

IPSec 是市场上用于连接网络站点的一种安全技术。

IPSec 的设计目的是在跨网络传输数据包时提供以下安全特性：

• 身份验证 - 验证接收到的数据包确实来自声称的发送者。

• 完整性 - 确保数据包的内容在传输过程中未被篡改。

• 机密性 - 通过加密隐藏消息内容。

数字证书的使用

以下是 IP 安全 (IPsec) 如何使用数字证书的说明。

数字证书是由证书颁发机构 (CA) 颁发的电子文档。它包含数字签名的公钥，并指定与密钥相关的身份，例如公司的名称。

证书用于验证公钥属于特定的组织。CA 充当担保人。

数字证书必须由可信机构颁发，并且仅在特定时间段内有效。它们是创建数字签名所必需的。

示例

假设有两个实体。以下是 IPSec 使用数字证书的说明：

• 主机 A 和主机 B 需要使用证书来认证 VPN。他们都需要向可信 CA 注册，获取 CA 的证书并获取自签名证书。

• 首先，每个实体都将向 CA 注册并获取 CA 的证书。

• CA 证书包含 CA 的身份数据和 CA 公钥。要获得自签名证书，主机 A 和 B 都必须生成一对公钥/私钥。然后，每个主机都将他们的公钥和身份数据提交给可信的证书颁发机构。

• 证书颁发机构将验证用户的身份，并将用户的身份和公钥数据组合到一个数字文档中。

• 然后，CA 将“签名”此文档。CA 通过使用其哈希算法对证书内容进行哈希运算来签名文档。

• 然后使用 CA 的私钥加密哈希值，并将其包含在证书中。

• 然后，CA 将证书颁发给主机 A 和 B。当主机 A 需要与主机 B 建立认证会话时，主机 A 将将其自签名证书以及有关颁发证书的 CA 的信息发送给主机 B。

• 由于主机 B 订阅了相同的 CA，因此主机 B 将拥有包含 CA 公钥和指定 CA 使用的哈希算法的数据的 CA 证书。

• 然后，主机 B 将使用 CA 公钥来解密主机 A 的自签名证书。主机 B 现在将运行 CA 哈希算法并重新创建主机 A 证书的哈希值。

• 如果主机 A 自签名证书的哈希值与 CA 生成的哈希值匹配，则该证书被认为有效。

数字签名的使用

以下是 IP 安全 (IPsec) 如何使用数字签名的说明。

• 步骤 1 - 数字签名就像电子“指纹”。数字签名以编码消息的形式，将签名者与记录的交易中的文档牢固地关联起来。

• 步骤 2 - 数字签名使用称为公钥基础设施 (PKI) 的通用、公认的格式，以提供最高级别的安全性和普遍接受度。它们是电子签名 (eSignature) 的特定签名技术实现。

• 步骤 3 - 数字签名与手写签名一样，对每个签名者都是唯一的。数字签名解决方案提供商（如 DocuSign）遵循称为 PKI 的特定协议。

• 步骤 4 - PKI 要求提供商使用数学算法生成两个长数字，称为密钥。一个密钥是公开的，一个密钥是私有的。

• 步骤 5 - 当签名者电子签名文档时，签名是使用签名者的私钥生成的，该私钥通常由签名者安全保管。

• 步骤 6 - 数学算法充当密码，生成与签名文档匹配的数据（称为哈希值），并加密该数据。生成的加密数据就是数字签名。

• 步骤 7 - 签名还记录了文档签名的日期和时间。如果文档在签名后发生更改，则数字签名无效。

示例

Harry 使用她的私钥签署了一份出售分时度假权的协议。客户收到了这份文件。收到该文件的客户还收到了 Harry 公钥的副本。

如果公钥无法解密签名，则意味着该签名不是 Harry 的，或者自签名以来已被修改。然后签名被认为无效。

为了保护签名的完整性，PKI 要求密钥的生成、处理和存储必须安全可靠，并且通常需要可信的证书颁发机构 (CA) 的服务。数字签名提供商（如 DocuSign）满足 PKI 对安全数字签名的要求。

Bhanu Priya

更新于：2021年9月15日

922 次浏览

启动您的职业生涯

通过完成课程获得认证

开始