IPsec 如何使用数字证书和数字签名?
IPSec是市场上用于连接网络站点的安全技术之一。
IPSec旨在提供后续安全功能,一旦跨网络传输数据包以下因素-
身份验证-验证收到的数据包确实来自声称的发件人。
完整性-确保数据包的内容在传输过程中没有修改。
机密性-通过秘密写作隐藏消息内容。
数字证书的使用
下面解释了IP安全(IPsec)如何使用数字证书。
数字证书是由证书颁发机构(CA)颁发的关联电子文档。它包含数字签名的通用公钥并指定与密钥相关的身份,如公司名称。
该证书用于证明通用公钥属于特定组织。CA因为担保人而行动。
数字证书应由确定的权威机构和地区单位颁发,仅在该时间段内有效。需要它们来形成数字签名。
示例
假设有单元2实体。下面给出了IPSec使用数字证书的解释-
需要使用证书来认证VPN的HostA和HostB。他们每个人都应该用一个确定的CA来招聘,获得CA的证书并获得自我证书。
首先,每个实体都可以与CA进行招聘并获得CA的证书。
CA证书包含CA的身份数据,因此包含CA公钥。要获得自我证书,主机A和主机B应该各自生成一个公钥/私钥尝试。然后每个主机都可以将他的公钥和身份数据提交给一个确定的证书颁发机构。
证书颁发机构可以验证用户的身份并将用户的身份和公钥数据组合成一个数字文档。
然后CA可以“签署”这份文件。CA通过使用其语言算法程序散列证书内容来签署文档。
然后将散列加密,以牺牲CA的非公开密钥并包含在证书中。
然后,CA可以向主机A和B颁发证书。一旦主机A想要证明与主机B的会话,主机A就可以将其自我证书连同有关颁发证书的CA的数据发送给主机B。
由于主机B订阅了一个类似的CA,主机B可以拥有包含CA公钥和指定CA使用的语言算法程序的数据的CA证书。
主机B将使用CA公钥重写主机A的自证书。主机B当前将运行CA语言算法程序并重新创建主机A证书的哈希。
如果主机A的自证书的哈希值与CA创建的哈希值匹配,则该证书被视为有效。
数字签名的使用
下面解释了IP安全(IPsec)如何使用数字签名。
第1步-数字签名是类似于电子“指纹”的单位。在编码消息的种类中,数字签名在记录的集体行动期间将签名者与文档牢固地关联起来。
第2步-数字签名使用一种典型的、公认的格式,称为公钥基础设施(PKI),以提供最佳级别的安全性和普遍接受性。它们是电子签名(eSignature)的特定签名技术实现。
第3步-数字签名,如书面签名,每个签名者都不同的区域单位。数字签名答案供应商(如DocuSign)遵循称为PKI的特定协议。
第4步-PKI需要供应商使用数学算法程序来提出2个长数字,称为密钥。一个秘密是公开的,一个秘密是非公开的。
第5步-当签名者对文档进行电子签名时,签名会损害签名者的非公钥,通常签名者不会破坏该公钥。
第6步-数学算法程序充当密码,使知识与签名文档匹配,称为哈希,并加密该知识。随之而来的加密知识就是数字签名。
步骤7-签名会与文件签署的时间一起记录。如果文档更改了一种语言,则数字签名无效。
示例
哈利签署了一份联合协议,以出售她的非公钥的分时度假受害者。客户收到文件。客户联合国机构收到文件后,还会收到一份哈利的公钥的副本。
如果通用公钥无法重写签名,则意味着该签名不是Harry的或自签名以来已被修改。然后认为签名无效。
为了保护签名的完整性,PKI需要牢固地创建、执行和保存密钥,有时还需要可靠的证书颁发机构(CA)的服务。数字签名供应商,如DocuSign,满足PKI对安全数字语言的要求。