• 2、通过某种机制协商成一样。
• 3、一边生成对称秘钥,利用接收方的公钥发给对方,对方用自己密码解密获得这个秘钥。
- 对称加密和非对称加密两者的优点相结合
• 对称秘钥加密数据效率高,非对称加密安全性高。
6、数字证书
数字证书简称为证书,它是由证书机构签发的电子数据,是PKI技术的基础。数字证书是网络上实体的身份证明,证明某一实体身份和公钥的合法性以及实体与公钥的匹配关系。证书是公钥的载体,证书上的公钥与唯一实体身份绑定。证书格式及证书内容遵循X.509标准,主要内容包括:序列号、用户公钥、用户实体信息、签证机构的信息、签证机构的签名(数字签名)、证书有效期等。
7、证书吊销列表
由于用户身份、用户信息或者用户公钥的改变、用户私钥泄漏、CA私钥泄漏、从属关系改变或用户业务中止等原因,需要存在一种方法提前将现行的证书撤消,即撤消公钥及相关用户身份信息的绑定关系。在PKI 中,使用的方法为CRL(CertificateRevocationList,证书吊销列表),即证书黑名单。通常证书具有一定的有效期,但CA可通过证书吊销的过程来缩短这一有效期。CA 发布一个证书吊销列表,列出被认为不能再使用的证书的序列号。CRL指定的寿命通常比证书指定的寿命短得多。CA 也可以在CRL中加入证书被吊销的理由。在吊销的证书到期之后,CRL中的有关条目被删除,以缩短CRL列表的大小。
8、证书注册
证书注册,即证书申请,就是实体向CA 自我介绍并获取证书的过程。实体向CA 提供身份信息,以及相应的公钥,这些信息将成为颁发给该实体证书的主要组成部分。实体向CA 提出证书申请,有离线和在线两种方式。离线申请方式下,CA 允许申请者通过带外方式(如电话、磁盘、电子邮件等)向CA 提供申请信息。在线证书申请有手工发起和自动发起两种方式。
PKI系统逻辑结构
用户通过与PKI的管理层RA进行交互,通过RA身份认证后,就可以提交申请到CA进行证书申请CA就可以颁发证书给用户。通常,我们在现实生活中,例如网上银行要用到证书,证书申请还需要比较传统的方法,到银行去手动办理,进行填写表格后,由银行进行确认后,CA才会颁发。而在我们一些使用证书的解决方案中,就不需要这么麻烦,可以使用计算机通过网络来实现整个PKI结构的使用及其服务申请。
手动秘钥交换与确认
- 安全地交换公钥,最简单的安全方法是需要带外验证:1、回读收到的密钥(指纹)通过一个安全的通道/途径(电话)。2、如果它是匹配的,说明密钥在传输中没有被更改。3、它不具备可扩展性。
受信任关系
- 1、用户A和用户B已经安全的交换了公钥(通过离线确认)2、用户B和用户C已经安全的交换了公钥(通过离线确认)3、用户A和用户C能否通过用户B的帮助,安全的交换公钥呢?
- 用户B能够扮演类似一个受信任的介绍者的角色,因为它是被用户A和C两者都信任的。1、用户B通过自己的私钥给用户A的公钥做签名并把它发送给用户C。2、用户B通过自己的私钥给用户C的公钥做签名并把它发送给用户A。3、用户A和C能够验证签名,因为他们早已拥有了用户B的公钥
CA有自己的公钥和私钥用户A有自己的公钥和私钥用户B有自己的公钥和私钥三者都要具备自己的公钥和私钥(先决条件)
- 用户A在线或离线向CA办理证书。CA让用户A提交公钥,CA把用户A的公钥做哈希,用自己的私钥对哈希后的公钥做加密,结果就是签名。有了签名之后CA就能向用户A颁发证书。用户A把CA颁发的证书交给用户B的时候证书中包含A的公钥,B可以直接通过证书获得A的公钥。B如何证明证书中就是A的公钥?B会拿CA的公钥去解开签名得到A的公钥哈希值。B把证书中的公钥做本地的哈希值和签名中的哈希值做对比,一致证明这个公钥是合法的。
• 核心逻辑推理:我用CA的公钥能解开CA私钥的签名,一定代表A的签名是CA认证过的。1、B收到A的证书后,提取出证书中的公钥做本地哈希值。2、B根据自己获知的CA公钥去解开数字签名得到的是CA对用户A公钥哈希后的哈希值,本地计算出的哈希和解开数字签名后的哈希做对比,一样的话公钥认证成功,用户B就能确认我通过证书拿到的公钥就是A的公钥(能形成数字签名的机构是CA,而CA用自己私钥实现数字签名,我拿CA的公钥能解开CA的数字签名,这个哈希值一定是CA产生的,这个哈希值是A提交公钥给CA所产生的哈希值)。
证书组成内容
- CA生成的证书1、版本:即使用X.509的版本,目前普遍使用的是v3版本(0x2)。2、序列号:该序列号在CA服务范围内唯一。3、签名算法:CA签名使用的算法。4、颁发者:CA的名称。5、有效期:包含有效的起、止日期,不在有效期范围的证书为无效证书。6、主题:证书所有者的名称。7、公钥信息:对外公开的公钥。8、扩展信息:通常包含了使用者备用名称、使用者密钥标识符等可选字段。9、签名:CA的签名信息,又叫CA的指纹信息。
CA证书颁发过程
- PKI继承了这个概念并使其具有可扩展性:1、仅仅只有一个受信任的介绍者(证书颁发机构 )2、CA签署每一个人的公钥3、每个人都拥有CA的公钥
- CA 的核心功能就是发放和管理数字证书,包括:证书的颁发、证书的更新、证书的撤销、证书的查询、证书的归档、CRL的发布等。具体描述如下:(1)、证书申请处理:接收、验证用户数字证书的申请。(2)、证书审批处理:确定是否接受用户数字证书的申请。(3)、证书颁发处理:向申请者颁发或拒绝颁发数字证书。(4)、证书更新处理:接收、处理用户的数字证书更新请求。(5)、证书查询和撤销处理:接收用户数字证书的查询、撤销。(6)、发布CRL:产生和发布证书吊销列表(CRL)。(7)、证书的归档:数字证书的归档。(8)、密钥的备份和恢复。(9)、历史数据归档。
证书交换过程
证书注册
• CA的证书为根证书,根证书通常需要非常可靠的方式获得(根证书包含CA的公钥),
CA使用私钥为证书请求者做数字签名
• 用户提交公钥,CA会先对公钥做哈希,CA然后再用自己的私钥对哈希值做加密,形成数字签名,然后把数字签名、用户公钥、用户身份信息放在证书中,然后再将证书颁发给用户。
• 
• 
• 
交换证书相互认证
• 两个用户都知道CA的公钥,通过CA的公钥来判断对方的公钥是否是可以信任的。
数字证书在VPN中应用
数字证书在IKE中的应用
- 1、设备先获得CA根证书,根证书导入设备。2、用户在发起访问时会在报文中携带自己的证书。3、IKE协商中的某些参数,双方都知道信息做哈希计算,发起方用私钥对哈希值加密,形成数字签名,证书、 身份信息、数字签名发给对方。4、接收者收到数据包后,从发起方证书中提取发起方的公钥,用这个公钥去解析发起方数字签名拿到哈希值,和接收方计算的哈希值做对比。
- 用数字证书使双方进行信任
数字证书申请步骤
1、同步时间
• 设备时间如果不同步的话,证书有效期内,设备时间问题会导致证书失效问题。
2、部署证书服务器
- 通常CA要找权威机构(收费),中小企业在公司内部搭建CA服务器。
- CA分类:1、世界公认CA2、把自己当为权威CA
- 部署CA可以使用:(1)、window(2)、linux
3、客户端生成秘钥
- (1)、设备和用户都生成自己的公钥和私钥。(2)、CA生成自己的公钥和私钥。
4、验证证书服务器
• (1)、客户端先把CA的公钥下载到本地。(2)、用户提交自己的公钥给CA去申请个人证书。
5、申请个人证书
• (1)、CA拿客户的公钥去做哈希计算(2)、CA用自己的私钥对这个哈希的值做加密形成——“签名”(3)、CA生成证书 包含了用户身份、用户所提交公钥、CA为用户公钥做的“签名”、有效期、算法信息。
6、颁发个人证书
• A和B两位用户得到证书之后就可以交换证书去互相验证身份信息了。
• IPsec在IKE阶段一第五、六包中会携带自身证书实现设备认证。
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
726
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
