PKI/CA
2023-02-15 15:42:43 0 举报AI智能生成
PKI/CA 与数字证书技术大全
作者其他创作
大纲/内容
每次加密或解密一位或一字节的明文或密文
RC4
流密码算法
DES、IDEA、RC2、AES、SM4
分组密码算法
对称算法
RSA、DH、DSA、ECDSA、ECC、SM2
非对称算法
MD5 SHA1 SM3
摘要算法
密码学
不直接使用共享密钥而是基于共享密钥产生会话密钥
无中心模式
密钥管理中心动态验证对方密钥的合法性
有中心模式
对称密钥
非对称密钥(简化密钥管理)
穷举攻击法
字典攻击法
攻击方法
复杂度高,长度长
防范
密钥产生
密钥传输
密钥验证
密钥更新
密钥存储
密钥托管
密钥分割
密钥共享
密钥备份
密钥管理
密码技术
CA用私钥对用户信息和公钥签名形成数字证书
获得证书后,用CA的公钥对数字证书解密
CA和数字证书
作用:避免CA中心性能瓶颈
对外查询和下载服务
LDAP
作用:方便用户获得证书状态
CRL:证书作废列表
OCSP:在线证书状态协议
CRL和OCSP
PKI本质是将非对称密钥管理标准化
私钥(手写签名)
电子签名法
为什么会出现PKI技术
数字证书与私钥
为什么引入RA
数字证书的管理
身份认证、保密性、完整性、抗抵赖性
数字证书的应用
体系框架
数字证书最初的目的是建立公钥和用户的对应关系
数字证书可作为网络身份证
作用:解决私钥的备份与恢复问题
对私钥的全生命周期进行管理
CA与KMC
应用
运营
PKCS7 密码消息语法标准
PKCS 11 密码Token接口标准
公钥密码标准
PKCS系列
IC卡
ISO/IEC 7816
X.509规范
发布RFC规范
IETF PKIX
法规标准
根为自签名证书
根CA信任
交叉认证信任
桥CA信任
用户可拥有多个信任锚
信任列表
信任模型
PKI包括哪些内容
PGP
EMV
其他非对称密钥管理体系
1.如何理解PKI
网络管理协议SNMP
移动电话:TCAP消息协议
整形 布尔 字符串 比特串 OCTET字节
基本类型
结构 链表 选择
结构类型
数据类型
标识串 长度串 内容串 内容结束串
编码信息
基本类型定长模式
结构类型定长模式
结构类型非定长模式
BER基本编码规则
DER定长编码规则
把使用ASN.1语言说明的数据转化为一种标准格式的系列规则,同事保证转换后的数据在任意操作系统中只要使用相同的编码规则解码器就可以解码获取原始数据
意义
数据类型标识和派生数据类型标识
编码规则
抽象文法描述与几种标准化编码关联
编码规定了如何在非传输介质下实现ASN.1定义的数据类型与字节流的相互转换
应用广泛的原因
ASN.1 及其编码规则
DES AES SM4
优势:加解密运算快,但密钥分发和管理比较负责
RSA DSA ECC SM2
优势公私钥分离,适合分发和管理,但是运行速度不快
密码算法
ECB电子密码本
CBC密码分组链接
CFB密码反馈
OFB输出反馈
运算模式
MAC与HMAC
OTP(一次性口令)
PKCS 1规范了使用RSA算法进行签名时的摘要格式
PKC 7和RFC 2315规范规定了数字签名消息的具体封装格式
数字签名消息封装格式使用ANS.1
数字签名
先用对称密码算法进行加密,并采用非对称密码算法对该对称密钥加密;解密时,先用非对称解密获得对称密钥,在用对称密码算法解密获取数据明文
数字信封
扩展机制
密码应用实践
密码算法ASN.1描述
密码消息ASN.1描述
Base64编码
目录服务与LDAP
IBM TDS
Sun Java
常见LDAP产品介绍
LDAP部署与优化
LDAP设计与开发
LDAP技术
DER编码
RSA算法
DER编码和RSA算法
2.PKI基础
RSA加密格式
RSA签名格式
PKCS 1规定了RSA公钥/私钥的具体格式
RSA公私钥都可进行加密和解密操作
RSA
《SM2密码算法使用规范》规定了数字证书SM2的公私钥及加密签名格式
公钥是SM2曲线上的一个点
加密数据格式
签名数据格式
SM2密钥对保护数据格式
SM2
公/私钥格式
子主题
证书域组成Certificate
证书内容 tbsCertificate
RFC 3280规定了 X509数字证书的基本格式
互联网扩展项
标准扩展项
国内扩展项
数字证书格式
CA证书 用户证书
个人证书 单位证书 系统证书
根据证书持有者分类
签名证书和加密证书
根据密钥分类
数字证书分类
DER文件形式(.der/.crt)
Base64文件形式
PKCS#7 文件形式
Windows证书库形式
证书保存形式
文件形式、密码设备形式和软件系统形式
PKCS 8文件形式
PKCS 12文件形式(pfx或p12)
JDK1.4支持X.509
Java Keystore文件形式
密码设备形式
软件系统形式
私钥保存形式
密码模块:密码算法运算、密钥存储及产生的装置
私钥与证书存储方式
安全加密应用服务框架
CSP
使用私钥
CryptoAPI
安全编程接口,目的是屏蔽密码设备的差异性
Cryptoki
PKCS 11
JAVA平台提供用于安全加密服务的两组API但并不实现任何算法,只是连接程序和算法的接口
JCA可出口 JCE限制出口
JCA/JCE
CNG
PC/SC
既支持SM2密码算法又支持RSA算法
国密接口
私钥与证书访问方式
RSA公钥格式编码
数字证书格式编码
3.数字证书与私钥:网络身份证
国际标准
国内标准
系统结构
CA
KMC密钥管理系统
系统设计
OCSP
SOCSP
CRL(证书作废列表)
对外在线服务
网络部署结构
OpenSSL 和EJBCA
4.CA与KMC
5.PKI之应用
6.PKI之运营
国内法规
7.PKI之法规与标准
PKI/CA与数字证书
0 条评论
下一页
