最近工作接触到网银登录的安全认证这一块,在网上查看了很多数字证书和数字签名相关的知识,看完后收获很大,但仍然没有形成清晰的认识,在此做一个简短的自我回顾,一是相关知识点做一个全面梳理,二是加深记忆,防止日后忘记。
首先,数字证书和数字签名相关的知识参考如下文章:What is a Digital Signature?,我就不班门弄斧了,毕竟自己也是一知半解...
下面浅谈一下自己的理解:
- 用户A在银行开通了数字证书,银行给他一个UKey,UKey里面存放CA生成的一对公私钥和银行提供的公钥;
- A访问登录页面时,服务器生成一个32位随机数,并用该随机数生成随机因子,传入客户端,客户端使用js函数生成一次性公钥;
- 点击登录,安全控件生成时间戳ts,获取公钥pk和报文,将报文用一次性公钥加密生成c1,报文+时间戳用hash算法生成摘要d,并用CA私钥加密摘要生成d1,银行公钥加密一次性公钥pk生成pk1,将hash算法、pk1、d、d1、c1一起发送给服务器;
- 服务器从证书中获取CA公钥,解密d1生成d2;
- 银行用自己的私钥解密pk1得到一次性公钥;
- 将c1用一次性公钥使用对称解密算法解密出原报文+时间戳,并用hash算法生成摘要d3;
- 比较d3与d2,如果一致说明数据在发送途中未被篡改;
- 验签成功。
问题:证书信息会连同报文一起发送至服务端吗?
应该会吧,服务器是通过拿到证书后获取的CA公钥。