身份認(rèn)證:數(shù)字證書(shū)+USBKey認(rèn)證算法:RSA2048(非對(duì)稱密碼算法)�����。雙向認(rèn)證���。
過(guò)程:key中包括的信息有:自己的數(shù)字證書(shū)�,服務(wù)器的數(shù)字證書(shū),和私鑰�。
1.client向server提交身份認(rèn)證請(qǐng)求,附帶將產(chǎn)生隨機(jī)數(shù)R1和client的簽名證書(shū)發(fā)送給server�。
2.server收到請(qǐng)求后,先驗(yàn)證client的簽名證書(shū)�。因?yàn)槲覀兛蛻舳说臄?shù)字證書(shū)是由服務(wù)器端產(chǎn)生,服務(wù)器端把客戶的簽名證書(shū)匹配證書(shū)庫(kù)����,確認(rèn)其有效。
3.server用私鑰加密隨機(jī)數(shù)R1�����,產(chǎn)生簽名sig1��,并把server的簽名證書(shū)和隨機(jī)數(shù)R2發(fā)給client����。
4.client首先驗(yàn)證服務(wù)器的證書(shū)���。這個(gè)客戶端和服務(wù)器的證書(shū)是配套的,在key中有保留����。服務(wù)器的證書(shū)有效,客戶端用服務(wù)器的數(shù)字證書(shū)去解密sig1���,得到的解密在和隨機(jī)數(shù)R1比較�����,若是相同��,表示服務(wù)器沒(méi)有錯(cuò)誤�����,完成了客戶端對(duì)服務(wù)器認(rèn)證���。
5.client用自己的私鑰,對(duì)server發(fā)過(guò)來(lái)的R2進(jìn)行加密���,產(chǎn)生sig2����,發(fā)送給server。
6.server用client的數(shù)字證書(shū)解密sig2�,得到的結(jié)果去匹配server產(chǎn)生的隨機(jī)數(shù)R2.若匹配,表示client正確���,client的身份得到認(rèn)證�。
客戶端加密:有CA的 有公私鑰加密和對(duì)稱加密(AES 128)��。
加密需要密鑰和加密信息���。密鑰是key中隨機(jī)產(chǎn)生���?蛻舳诵陆ㄎ臋n���,用密鑰加密文檔����,用client證書(shū)加密AES密鑰��,通過(guò)FTP把加密后的文檔和加密的AES密鑰上傳到服務(wù)器�����。
用戶打開(kāi)文檔�,先從數(shù)據(jù)庫(kù)中下載加密的AES密鑰,用自己的私鑰解密得到AES密鑰�����,用AES密鑰對(duì)加密的文檔進(jìn)行解密�����。
用戶共享:
客戶端共享文件�,創(chuàng)建了文檔的副本,把用服務(wù)器的證書(shū)加密AES密鑰和加密的文檔上傳到數(shù)據(jù)庫(kù)中����。其他用戶下載共享文檔時(shí),服務(wù)器用自己的私鑰解密共享文檔的AES密鑰,在用共享用戶的證書(shū)加密AES密鑰����,并把加密文檔一起下發(fā)給用戶。用戶接受后���,用自己的私鑰去解密AES密鑰��,在用密鑰解密加密文檔��。
文檔外帶:
用戶用自己的證書(shū)加密AES密鑰����,和加密文檔保存在客戶端�����。用戶離線使用時(shí)�,用自己的私鑰去解密AES密鑰,在用密鑰去解密文檔。
服務(wù)器文檔加密���。
FTP服務(wù)器收到上傳的文檔,產(chǎn)生隨機(jī)數(shù)作為文檔加密的密鑰���。通過(guò)密碼卡對(duì)文檔數(shù)據(jù)進(jìn)行加密���,用服務(wù)器的證書(shū)對(duì)文檔加密的密鑰進(jìn)行加密并放入數(shù)據(jù)庫(kù)中�,把加密的文檔放在FTP目錄中。
FTP服務(wù)器下載文檔�����,在數(shù)據(jù)庫(kù)中獲取密鑰加密����,用服務(wù)器的私鑰去解密��,用文檔加密密鑰和密碼卡對(duì)文檔進(jìn)行解密�,把解密后的文檔傳送給客戶端��。
