IPsec 如何使用數字證書和數字簽名?

IPSec 是市場上用於連線網路站點的一種安全技術。

IPSec 的設計目的是在跨網路傳輸資料包時提供以下安全特性:

  • 身份驗證 - 驗證接收到的資料包確實來自聲稱的傳送者。

  • 完整性 - 確保資料包的內容在傳輸過程中未被篡改。

  • 機密性 - 透過加密隱藏訊息內容。

數字證書的使用

以下是 IP 安全 (IPsec) 如何使用數字證書的說明。

數字證書是由證書頒發機構 (CA) 頒發的電子文件。它包含數字簽名的公鑰,並指定與金鑰相關的身份,例如公司的名稱。

證書用於驗證公鑰屬於特定的組織。CA 充當擔保人。

數字證書必須由可信機構頒發,並且僅在特定時間段內有效。它們是建立數字簽名所必需的。

示例

假設有兩個實體。以下是 IPSec 使用數字證書的說明:

  • 主機 A 和主機 B 需要使用證書來認證 VPN。他們都需要向可信 CA 註冊,獲取 CA 的證書並獲取自簽名證書。

  • 首先,每個實體都將向 CA 註冊並獲取 CA 的證書。

  • CA 證書包含 CA 的身份資料和 CA 公鑰。要獲得自簽名證書,主機 A 和 B 都必須生成一對公鑰/私鑰。然後,每個主機都將他們的公鑰和身份資料提交給可信的證書頒發機構。

  • 證書頒發機構將驗證使用者的身份,並將使用者的身份和公鑰資料組合到一個數字文件中。

  • 然後,CA 將“簽名”此文件。CA 透過使用其雜湊演算法對證書內容進行雜湊運算來簽名文件。

  • 然後使用 CA 的私鑰加密雜湊值,並將其包含在證書中。

  • 然後,CA 將證書頒發給主機 A 和 B。當主機 A 需要與主機 B 建立認證會話時,主機 A 將將其自簽名證書以及有關頒發證書的 CA 的資訊傳送給主機 B。

  • 由於主機 B 訂閱了相同的 CA,因此主機 B 將擁有包含 CA 公鑰和指定 CA 使用的雜湊演算法的資料的 CA 證書。

  • 然後,主機 B 將使用 CA 公鑰來解密主機 A 的自簽名證書。主機 B 現在將執行 CA 雜湊演算法並重新建立主機 A 證書的雜湊值。

  • 如果主機 A 自簽名證書的雜湊值與 CA 生成的雜湊值匹配,則該證書被認為有效。

數字簽名的使用

以下是 IP 安全 (IPsec) 如何使用數字簽名的說明。

  • 步驟 1 - 數字簽名就像電子“指紋”。數字簽名以編碼訊息的形式,將簽名者與記錄的交易中的文件牢固地關聯起來。

  • 步驟 2 - 數字簽名使用稱為公鑰基礎設施 (PKI) 的通用、公認的格式,以提供最高級別的安全性和普遍接受度。它們是電子簽名 (eSignature) 的特定簽名技術實現。

  • 步驟 3 - 數字簽名與手寫簽名一樣,對每個簽名者都是唯一的。數字簽名解決方案提供商(如 DocuSign)遵循稱為 PKI 的特定協議。

  • 步驟 4 - PKI 要求提供商使用數學演算法生成兩個長數字,稱為金鑰。一個金鑰是公開的,一個金鑰是私有的。

  • 步驟 5 - 當簽名者電子簽名文件時,簽名是使用簽名者的私鑰生成的,該私鑰通常由簽名者安全保管。

  • 步驟 6 - 數學演算法充當密碼,生成與簽名文件匹配的資料(稱為雜湊值),並加密該資料。生成的加密資料就是數字簽名。

  • 步驟 7 - 簽名還記錄了文件簽名的日期和時間。如果文件在簽名後發生更改,則數字簽名無效。

示例

Harry 使用她的私鑰簽署了一份出售分時度假權的協議。客戶收到了這份檔案。收到該檔案的客戶還收到了 Harry 公鑰的副本。

如果公鑰無法解密簽名,則意味著該簽名不是 Harry 的,或者自簽名以來已被修改。然後簽名被認為無效。

為了保護簽名的完整性,PKI 要求金鑰的生成、處理和儲存必須安全可靠,並且通常需要可信的證書頒發機構 (CA) 的服務。數字簽名提供商(如 DocuSign)滿足 PKI 對安全數字簽名的要求。

更新於:2021年9月15日

922 次瀏覽

啟動您的職業生涯

透過完成課程獲得認證

開始
廣告
© . All rights reserved.