ra:註冊中心,用於對使用者提供面對面的證書業務服務。
系統功能:
安全審計;安全管理;多級審核;
ra具有並行處理的能力
crl:證書撤銷列表,是最常用的證書撤銷機制。
crl基本格式:被簽名的資訊內容、簽名演算法、簽名結果。
發布證書撤銷資訊過程:pki系統中的ca將當前證書的撤銷標識(通常是證書序列號)集中到乙個列表中,向pki所有使用者公布。
檢查證書撤銷狀態過程:1.驗證crl本身的有效性;2.構造被撤銷證書的證書序列號列表。3.檢查證書是否已經被撤銷。
ocsp協議要求伺服器對響應訊息進行數字簽名,在響應訊息中加入當前時間,提供資料起源鑑別和資料完整性保護。
ocsp響應的僅僅是關於撤銷狀態,不檢查其他方面。例如ocsp伺服器不驗證證書是否已經過期等。
ocsp伺服器/證書狀態資料庫:接受請求,根據請求資訊中的證書序列號查詢證書狀態,查詢結果返回給請求者;
密碼裝置:驗證請求資訊中的簽名,並對查詢結果進行簽名;
安全管理:ocsp伺服器的配置;啟動/停止查詢服務;
安全審計:查詢安全審計日誌,進行統計與列印;
ldap:基於x.500標準的輕量級目錄訪問協議。
目錄是乙個為查詢、瀏覽和搜尋而優化的資料庫,它成樹狀結構組織資料,類似檔案目錄一樣。
ldap目錄服務是由目錄資料庫和一套訪問協議組成的系統。
目錄樹概念
目錄樹:在乙個目錄服務系統中,整個目錄資訊集可以表示為乙個目錄資訊樹,樹中的每個節點是乙個條目。
條目:每個條目就是一條記錄,每個條目有自己的唯一可區別的名稱(dn)。
物件類:與某個實體型別對應的一組屬性,物件類是可以繼承的,這樣父類的必須屬性也會被繼承下來。
屬性:描述條目的某個方面的資訊,乙個屬性由乙個屬性型別和乙個或多個屬性值組成,屬性有必須屬性和非必須屬性。
基本模型
1).資訊模型 2).命名模型 3). 功能模型 4). 安全模型
數字證書和簽名證書
簽名證書:用於簽名的證書,根據電子簽名法,由訂戶自己生成並專有控制。
加密證書:用於加密的私鑰,根據密碼管理規定,由專門的可信機構(kmc)生成並和使用者共同掌握,用於金鑰的恢復。
雙證書操作流程
簽名證書申請:
申請者生成金鑰對;
申請者將身份資訊和公鑰交給ra;
ra確認無誤後,ca簽發證書。
申請者將身份資訊交給ra,申請證書;
ra確認無誤後,ra或者ca從cma獲得金鑰對;
ca簽發證書,並和私鑰一起交給申請者。
使用者和ra只進行一次互動,kmc只面向ca。
申請者生成簽名金鑰對;
申請者向ra提出證書申請,訊息中包含簽名公鑰;
ra審核申請人資訊,對簽名公鑰做pop檢查;
ca/ra向kmc請求加密金鑰對;
kmc分配金鑰,響應請求;
ca簽發兩張證書,和加密金鑰一起交給申請者。
1.相互問候,協商金鑰交換演算法和壓縮演算法;
2.伺服器發言,根據既定的金鑰交換演算法向客戶端提供資訊;
3.客戶端發言,根據既定的金鑰交換演算法向服務的提供資訊;
4.雙方互相確認並結束握手過程;
客戶端服務端分別持有自己的證書相互進行身份驗證;PKI CA基礎知識整理
pki 安全基礎設施。pki的本質是把非對稱金鑰標準化,充分利用公鑰密碼學的倫理基礎,建立起一種普遍適用的基礎設施,為各種網路應用提供全面的安全服務。pki的核心技術圍繞著數字證書的整個生命週期展開的。在公開金鑰密碼的基礎上,主要解決金鑰屬於誰 通過數字證書 即金鑰認證問題。基本元件 證書認證中心 ...
前端基礎知識整理(二)
html 5html 4.01 strict 標準模式 該 dtd 包含所有 html 元素和屬性,但不包括展示性的和棄用的元素 比如 font 不允許框架集 framesets html 4.01 transitional 該 dtd 包含所有 html 元素和屬性,包括展示性的和棄用的元素 比如...
CSS基礎知識整理二
下面是定義乙個盒子的border div下面是定義乙個盒子的寬度,其寬度由padding left padding right margin left margin right border left border right和自己本身物體的寬度組成 div 以上案例中div的寬度為232px 乙個...