pki:安全基礎設施。
pki的本質是把非對稱金鑰標準化,充分利用公鑰密碼學的倫理基礎,建立起一種普遍適用的基礎設施,為各種網路應用提供全面的安全服務。
pki的核心技術圍繞著數字證書的整個生命週期展開的。在公開金鑰密碼的基礎上,主要解決金鑰屬於誰(通過數字證書)。即金鑰認證問題。
基本元件:
證書認證中心(ca,可信第三方)
證書持有者(使用者、裝置、程序、執行緒、軟體系統等)
依賴方(pki使用者、證書使用者、證書驗證者)
輔助元件:
數字證書與私鑰:
數字證書的管理:雙證書機制,簽名證書和數字證書;
數字證書的應用:身份認證、保密性、完整性、抗抵賴性;
證書內容:版本號、證書主體、主體公鑰資訊、簽發者、序列號、有效期、其他擴充套件等;
簽名演算法:給出了ca簽發證書時所使用的簽名演算法;
簽名結果
證書的產生
金鑰生成:選用ca支援的公鑰演算法生成公私金鑰對;
提交申請:證書的申請者向ca或ra提交申請材料;
審核檢查:由ca或授權的ra對申請材料審核;
分為:身份資訊審核和pop檢查;
pop檢查:私鑰擁有性證明,即ca在簽發證書之前必須確認訂戶的確擁有待簽發證書所繫結公鑰對應的私鑰;
證書的使用
證書獲取:根(ca)證書獲取、訂戶證書獲取;
驗證使用:利用公鑰加密、利用公鑰驗證簽名;
證書儲存:證書路徑列舉了該證書在驗證路徑上所需的其他證書,都儲存在本地系統;
ca中心是信任的產生**或信任起點,稱為信任錨;信任錨到數字證書構建的一條信任關係傳遞的路徑稱作認證路徑、證書路徑或信任鏈。證書在到期之前,被解除繫結關係的中途作廢證書的行為稱為證書撤銷;
證書的更新
正常狀態下僅僅更換有效期或更換金鑰的過程就是證書更新;
證書的歸檔
pki系統的數字證書失效或者撤銷後將其儲存起來,以滿足依賴方對過去資訊的閱讀和驗證要求;
對稱密碼演算法:
加密和解密金鑰相同,通訊雙方秘密共享相同的金鑰。
流/序列密碼演算法:rc4
分組密碼演算法:des、idea、aes、sm4等
甲方將明文使用金鑰加密,密文傳輸給乙方;
乙方收到密文後,用同乙個金鑰,解密得到明文。
加密和解密金鑰不同,使用者可公開發布的其中乙個金鑰稱為公鑰,秘密保護的另乙個金鑰稱為私鑰。
舉例:rsa、dh、dsa、ecc、sm2等
乙方生成一對公私鑰,並將公鑰給甲方 ;
甲方利用乙方給的公鑰將明文加密,生成密文,傳輸給乙方 ;
乙方接收到密文,用配對的私鑰解密,解出明文。
即加密模型
利用公鑰密碼學的鑑別模型,能夠提供數字簽名演算法。
舉例:rsa、elgamal、dsa等
甲方將明文用私鑰加密,密文傳輸給乙方;
乙方接收到密文後,查詢甲的公鑰驗證密文,判斷資訊完整性。
即鑑別模型
加密過程不需要金鑰,並且經過加密的資料無法被解密,目前可以被解密逆向的只有crc32演算法;
一般地,把對乙個資訊的摘要稱為該訊息的指紋或數字簽名。
訊息摘要演算法主要應用在「數字簽名」領域,作為對明文的摘要演算法。著名的摘要演算法有rsa公司的md5演算法和sha-1演算法及其大量的變體。
甲方用自己的私鑰對原始資料的雜湊摘要進行加密;
乙方使用甲方的公鑰對附在原始資訊後的數字簽名進行解密後獲得雜湊摘要;
乙方用自己收到的原始資料產生的雜湊摘要對照,以確信原始資訊是否被篡改,保證資料傳輸的不可否認性。
PKI CA基礎知識整理(二)
ra 註冊中心,用於對使用者提供面對面的證書業務服務。系統功能 安全審計 安全管理 多級審核 ra具有並行處理的能力 crl 證書撤銷列表,是最常用的證書撤銷機制。crl基本格式 被簽名的資訊內容 簽名演算法 簽名結果。發布證書撤銷資訊過程 pki系統中的ca將當前證書的撤銷標識 通常是證書序列號 ...
基礎知識整理
1.在輸出字元變數的值時,可以選擇以十進位制整數形式輸出,或以字元形式輸出。2.在乙個整數的末尾加大寫字母l或小寫字母l,表示它是長整型。3.代表除法運算子,兩個實數相除的結果是雙精度實數。兩個整數相除的結果是整數,捨去小數部分。但是,如果除數或被除數中有乙個是負值,則捨入的方向是不固定的。多數c編...
LDAP基礎知識整理
一 概述 ldap lightweight directory access protocol 輕量級目錄訪問協議 ldap 協議基於 x.500 標準,與x.500 不同,ldap 支援tcp ip,是跨平台的和標準的協議 二 基本概念在 ldap 中資訊以樹狀方式組織,在樹狀資訊中的基本資料單元...