身份認證:數(shù)字證書+USBKey認證算法:RSA2048(非對稱密碼算法)�。雙向認證。
過程:key中包括的信息有:自己的數(shù)字證書�����,服務(wù)器的數(shù)字證書����,和私鑰����。
1.client向server提交身份認證請求���,附帶將產(chǎn)生隨機數(shù)R1和client的簽名證書發(fā)送給server���。
2.server收到請求后,先驗證client的簽名證書�。因為我們客戶端的數(shù)字證書是由服務(wù)器端產(chǎn)生,服務(wù)器端把客戶的簽名證書匹配證書庫�����,確認其有效�。
3.server用私鑰加密隨機數(shù)R1,產(chǎn)生簽名sig1����,并把server的簽名證書和隨機數(shù)R2發(fā)給client�。
4.client首先驗證服務(wù)器的證書。這個客戶端和服務(wù)器的證書是配套的�,在key中有保留。服務(wù)器的證書有效��,客戶端用服務(wù)器的數(shù)字證書去解密sig1,得到的解密在和隨機數(shù)R1比較�,若是相同,表示服務(wù)器沒有錯誤���,完成了客戶端對服務(wù)器認證�����。
5.client用自己的私鑰�,對server發(fā)過來的R2進行加密�,產(chǎn)生sig2,發(fā)送給server�����。
6.server用client的數(shù)字證書解密sig2��,得到的結(jié)果去匹配server產(chǎn)生的隨機數(shù)R2.若匹配��,表示client正確����,client的身份得到認證。
客戶端加密:有CA的 有公私鑰加密和對稱加密(AES 128)。
加密需要密鑰和加密信息���。密鑰是key中隨機產(chǎn)生������?蛻舳诵陆ㄎ臋n�,用密鑰加密文檔,用client證書加密AES密鑰�����,通過FTP把加密后的文檔和加密的AES密鑰上傳到服務(wù)器����。
用戶打開文檔,先從數(shù)據(jù)庫中下載加密的AES密鑰���,用自己的私鑰解密得到AES密鑰�,用AES密鑰對加密的文檔進行解密�。
用戶共享:
客戶端共享文件,創(chuàng)建了文檔的副本�����,把用服務(wù)器的證書加密AES密鑰和加密的文檔上傳到數(shù)據(jù)庫中�。其他用戶下載共享文檔時,服務(wù)器用自己的私鑰解密共享文檔的AES密鑰��,在用共享用戶的證書加密AES密鑰����,并把加密文檔一起下發(fā)給用戶。用戶接受后���,用自己的私鑰去解密AES密鑰�����,在用密鑰解密加密文檔�。
文檔外帶:
用戶用自己的證書加密AES密鑰���,和加密文檔保存在客戶端��。用戶離線使用時���,用自己的私鑰去解密AES密鑰,在用密鑰去解密文檔。
服務(wù)器文檔加密��。
FTP服務(wù)器收到上傳的文檔���,產(chǎn)生隨機數(shù)作為文檔加密的密鑰�����。通過密碼卡對文檔數(shù)據(jù)進行加密�,用服務(wù)器的證書對文檔加密的密鑰進行加密并放入數(shù)據(jù)庫中�����,把加密的文檔放在FTP目錄中�。
FTP服務(wù)器下載文檔,在數(shù)據(jù)庫中獲取密鑰加密�����,用服務(wù)器的私鑰去解密�����,用文檔加密密鑰和密碼卡對文檔進行解密�����,把解密后的文檔傳送給客戶端。
