加密:就用對方的公鑰來加密后的文件發(fā)給對方����,對方拿他自己的私鑰解密�。
數(shù)字證書(簽名):用自己的私鑰簽名對方用我方的公鑰解密簽名。
數(shù)字簽名:用自己的私鑰加密哈希散列值����,對方拿我們的公鑰解密得到一個散列值后對方拿我們發(fā)送的消息執(zhí)行哈希運算得到一個散列值,對方比較值是否相等��。如果相等�����,證明這是我們發(fā)過去的東東��。
雙證書
數(shù)字證書分為:簽名證書和加密證書(俗稱雙證書)�。PKI中使用雙證書、即雙密鑰�,雙密鑰是指簽名密鑰對與加密密鑰對�,從本質(zhì)上說�����,兩個密鑰對都是非對稱密鑰對����,因此,都可以用來作非對稱加解密�����,然而為什么需要雙密鑰呢����?這必須從兩個密鑰的用法說起。
簽名密鑰對用于數(shù)據(jù)的完整性檢測���,保證防偽造與防抵賴�,簽名私鑰的遺失����,并不會影響對以前簽名數(shù)據(jù)的驗證,因此,簽名私鑰無須備份����,因此,簽名密鑰不需要也不應(yīng)該需要第三方來管理�����,完全由持有者自己產(chǎn)生����;而加密密鑰對用于數(shù)據(jù)的加密保護�,若加密私鑰遺失,將導(dǎo)致以前的加密數(shù)據(jù)無法解密�����,這在實際應(yīng)用中是無法接受的�����,加密私鑰應(yīng)該由可信的第三方(即通常所說的CA)來備份�����,以保證加密數(shù)據(jù)的可用性,因此��,加密密鑰對可以由第三方來產(chǎn)生�,并備份。
由于簽名密鑰與加密密鑰的使用與管理上的不同�����,決定了雙證書使用的合理性與必然性����。”
數(shù)字簽名私鑰沒必要給第三方備份,反而增加了簽名偽造的風(fēng)險�,同時節(jié)約不必要的支出。私鑰掉了或者過期了大不了再產(chǎn)生一對��,不過加密證書的私鑰丟失加密數(shù)據(jù)就無法恢復(fù)了�。
證書的驗證
這通常通過一個被業(yè)界接受的、可信的第三方認(rèn)證中心����。
如果要驗證請求者的證書,那么請求者會將它的證書放在SOAP消息中��。當(dāng)服務(wù)提供者驗證這個數(shù)字證書時����,會使用第三方CA的公共密鑰而不使用它們自己簽署的CA密鑰����。這其中�����,假設(shè)服務(wù)提供者已經(jīng)和第三方認(rèn)證中心確立了信任關(guān)系����,并且詳細(xì)CA在向用戶簽發(fā)證書前會對他們進行充分的認(rèn)證。
如果要驗證接收方的身份�����,發(fā)送方會去找到接收方的第三方證書�,通過一個可信任的第三方認(rèn)證中心�。
參考:
實現(xiàn) WS-Security
http://zhidao.baidu.com/question/117338621.html
