WCF安全2-非对称加密

概述：

数字签名和加密依赖于相应的加密算法

　　自变量：加密前的数据、密钥

　　因变量：加密后的数据

加密算法分类：根据加密和解密这两种步骤采用的密钥的是否相同进行分类

　　相同：对称加密

　　不相同：非对称加密

非对称加密的应用场景：

　　（1）通过对消息进行加密解决机密性问题（消息的内容仅对发送者期望的接收者可见）

（2）通过数字签名实现身份认证和数据一致性

1.消息加密

非对称加密：公钥/私钥

2.数字签名

签名：

（1）发送方采用某种算法对整个消息的内容实施哈希计算，得到一个哈希码

（2）发送发使用自己的私钥对该哈希码进行加密，加密后得到的密文就是数字签名

（3）将数字签名和密钥对中的公钥附加到源消息上

（4）将附加的源消息发送给接收方

检验：

（1）提取源消息，将源消息通过相同的哈希算法得到一个哈希码

（2）提取数字签名和公钥，将数字签名通过公钥进行解密，得到申城数字签名的那个哈希码

（3）两个哈希码进行比较，如果一致，则可以证明数字签名的有效性及消息本身的完整性。

数字签名的作用：

（1）身份认证

确认消息的发送源是否是私钥的正真正拥有者

（2）防止抵赖

如果接收方采用某个实体的公钥对数字签名检验成功，那么这个实体就是消息的发送方，不允许对方抵赖。因为能够通过公钥对某个数字签名成功检验，证明生成该数字签名使用的是正确的私钥。

（3）消息一致性

消息的内容一旦出现任何改变，最终对数字签名的检验都将失败。

3.数字证书

（1）公钥一般情况下是通过数字证书的形式进行传递的，数字证书在这里作为发送方的凭证。

（2）数字证书将公钥值绑定到持有对应私钥的个人、设备或服务的标识信息上。

（3）大多数证书基于X.509 V3证书标准，所以称作X.509证书。

（4）X.509证书应用于加密和数字签名，以提供认证的实现和确保数据的一致性和机密性。

（5）X.509证书就是一个将某个密钥中的公钥与某个主题进行绑定的文件。

(1)数字证书的颁发机制

对于数字证书，尤其是用于商业用途的数字郑虎，也具有相应的官方颁发机构，我们这样机构称为认证权威机构（CA）。

(2)创建数字证书

用户对数字证书的认可取决于对证书颁发机构的信息，所以证书颁发机构决定了数字证书的可用范围。

对于学习研究或者开发测试，没有必要去购买这些商用证书，可以利用一些工具以手动的方式创建证书。

　　MakeCert.exe

　　　　-n x509name:指定证书的主题名称。"CN=My Name"

　　　　-pe:将所生成的私钥标记为可导出，这样可将私钥包括在证书中

　　　　-sr location:数字证书的存储位置，具有CurrentUser和LocationMachine两个可选之。前者基于当前登录用户，后者基于本机。

　　　　-ss store:数字证书的存储区。

　　　　-sky keytype:指定密钥类型，必须是signature、exchange或一个标识提供程序类型的证书（1标识交换密钥，2标识签名密钥）。

通过下面的命令会创建一个主题名称为www.artech.com的数字证书，密钥类型为交换密钥，并且包含私钥。