PKI/CA
2023-02-15 15:42:43 0 举报AI智能生成
PKI/CA 与数字证书技术大全
作者其他创作
大纲/内容
1.如何理解PKI
为什么会出现PKI技术
密码学
对称算法
流密码算法
每次加密或解密一位或一字节的明文或密文
RC4
分组密码算法
DES、IDEA、RC2、AES、SM4
非对称算法
RSA、DH、DSA、ECDSA、ECC、SM2
摘要算法
MD5 SHA1 SM3
密码技术
对称密钥
无中心模式
不直接使用共享密钥而是基于共享密钥产生会话密钥
有中心模式
密钥管理中心动态验证对方密钥的合法性
非对称密钥(简化密钥管理)
密钥管理
密钥产生
攻击方法
穷举攻击法
字典攻击法
防范
复杂度高,长度长
密钥传输
密钥验证
密钥更新
密钥存储
密钥备份
密钥托管
密钥分割
密钥共享
PKI本质是将非对称密钥管理标准化
CA和数字证书
CA用私钥对用户信息和公钥签名形成数字证书
获得证书后,用CA的公钥对数字证书解密
LDAP
作用:避免CA中心性能瓶颈
对外查询和下载服务
CRL和OCSP
作用:方便用户获得证书状态
CRL:证书作废列表
OCSP:在线证书状态协议
私钥(手写签名)
电子签名法
PKI包括哪些内容
体系框架
数字证书与私钥
数字证书的管理
为什么引入RA
数字证书的应用
身份认证、保密性、完整性、抗抵赖性
数字证书与私钥
数字证书最初的目的是建立公钥和用户的对应关系
数字证书可作为网络身份证
CA与KMC
作用:解决私钥的备份与恢复问题
对私钥的全生命周期进行管理
应用
运营
法规标准
PKCS系列
公钥密码标准
PKCS7 密码消息语法标准
PKCS 11 密码Token接口标准
ISO/IEC 7816
IC卡
IETF PKIX
X.509规范
发布RFC规范
信任模型
根CA信任
根为自签名证书
交叉认证信任
桥CA信任
信任列表
用户可拥有多个信任锚
其他非对称密钥管理体系
PGP
EMV
2.PKI基础
ASN.1 及其编码规则
应用
网络管理协议SNMP
移动电话:TCAP消息协议
数据类型
基本类型
整形 布尔 字符串 比特串 OCTET字节
结构类型
结构 链表 选择
编码规则
BER基本编码规则
编码信息
标识串 长度串 内容串 内容结束串
基本类型定长模式
结构类型定长模式
结构类型非定长模式
DER定长编码规则
意义
把使用ASN.1语言说明的数据转化为一种标准格式的系列规则,同事保证转换后的数据在任意操作系统中只要使用相同的编码规则解码器就可以解码获取原始数据
数据类型标识和派生数据类型标识
应用广泛的原因
抽象文法描述与几种标准化编码关联
编码规定了如何在非传输介质下实现ASN.1定义的数据类型与字节流的相互转换
密码技术
密码算法
对称算法
DES AES SM4
优势:加解密运算快,但密钥分发和管理比较负责
非对称算法
RSA DSA ECC SM2
优势公私钥分离,适合分发和管理,但是运行速度不快
摘要算法
MD5 SHA1 SM3
运算模式
ECB电子密码本
CBC密码分组链接
CFB密码反馈
OFB输出反馈
扩展机制
MAC与HMAC
OTP(一次性口令)
数字签名
PKCS 1规范了使用RSA算法进行签名时的摘要格式
PKC 7和RFC 2315规范规定了数字签名消息的具体封装格式
数字签名消息封装格式使用ANS.1
数字信封
先用对称密码算法进行加密,并采用非对称密码算法对该对称密钥加密;
解密时,先用非对称解密获得对称密钥,在用对称密码算法解密获取数据明文
解密时,先用非对称解密获得对称密钥,在用对称密码算法解密获取数据明文
密码应用实践
密码算法ASN.1描述
密码消息ASN.1描述
Base64编码
LDAP技术
目录服务与LDAP
常见LDAP产品介绍
IBM TDS
Sun Java
LDAP部署与优化
LDAP设计与开发
DER编码和RSA算法
DER编码
RSA算法
3.数字证书与私钥:网络身份证
公/私钥格式
RSA
PKCS 1规定了RSA公钥/私钥的具体格式
RSA加密格式
RSA签名格式
RSA公私钥都可进行加密和解密操作
SM2
《SM2密码算法使用规范》规定了数字证书SM2的公私钥及加密签名格式
公钥是SM2曲线上的一个点
加密数据格式
签名数据格式
SM2密钥对保护数据格式
数字证书格式
RFC 3280规定了 X509数字证书的基本格式
证书域组成Certificate
子主题
证书内容 tbsCertificate
子主题
标准扩展项
子主题
互联网扩展项
子主题
国内扩展项
数字证书分类
根据证书持有者分类
CA证书 用户证书
个人证书 单位证书 系统证书
根据密钥分类
签名证书和加密证书
私钥与证书存储方式
证书保存形式
DER文件形式(.der/.crt)
Base64文件形式
PKCS#7 文件形式
Windows证书库形式
私钥保存形式
文件形式、密码设备形式和软件系统形式
PKCS 8文件形式
PKCS 12文件形式(pfx或p12)
Java Keystore文件形式
JDK1.4支持X.509
密码设备形式
软件系统形式
密码模块:密码算法运算、密钥存储及产生的装置
私钥与证书访问方式
CryptoAPI
安全加密应用服务框架
CSP
使用私钥
PKCS 11
安全编程接口,目的是屏蔽密码设备的差异性
Cryptoki
使用私钥
JCA/JCE
JAVA平台提供用于安全加密服务的两组API
但并不实现任何算法,只是连接程序和算法的接口
但并不实现任何算法,只是连接程序和算法的接口
JCA可出口 JCE限制出口
CNG
PC/SC
国密接口
既支持SM2密码算法又支持RSA算法
RSA公钥格式编码
数字证书格式编码
4.CA与KMC
系统结构
国际标准
国内标准
系统设计
CA
KMC密钥管理系统
对外在线服务
OCSP
SOCSP
CRL(证书作废列表)
LDAP
网络部署结构
OpenSSL 和EJBCA
5.PKI之应用
6.PKI之运营
7.PKI之法规与标准
国内法规
国内标准
国际标准
0 条评论
下一页
