X.690 ASN.1编码规则:BER、CER、DER初识

于 2024-04-29 16:46:28 发布
阅读量896 收藏 27
点赞数 31
分类专栏: 基础知识 文章标签: 算法 安全 DER ASN.1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/anjiyufei/article/details/138317502
版权

1. 简介

ASN.1(Abstract Syntax Notation One)是一个标准的接口描述语言(Interface description language/IDL),IDL是可以在跨平台中实现序列化和反序列化的数据结构。

ASN.1只定义了抽象语法,并没有限定编码规则。当前较为流行的编码规则有:Basic Encoding Rules(BER)、Canonical Encoding Rules(CER)、Distinguished Encoding Rules(DER)。本文是基于ITU-T X.690规范初步阅读形成的一个笔记。

1.1 BER、CER、DER差异

BER是ITU-T X.690给出的传输ASN.1数据结构的一套基础编码规则,因此它的规则较为宽松和灵活,在规则范围内,发送放可以自由选择。例如一个boolean类型的true值,只要该字节非0x00即可,因此发送放可以选择0x01表示true,也可以选择0x02表示true。

DER和CER在BER基础上进一步添加限制,形成一套比BER严格的编码规则,因此DER和CER是BER的一个子集。
在这里插入图片描述

BER/CER/DER编码都是典型的TLV格式:Type-Length-Value
在这里插入图片描述

基础的TLV结构包含如下三部分:

  • Type:Value标识符,标识Value类型
  • Length:Value长度
  • Value:数据内容
    TLV允许多层嵌套,如图所示,1级Value中,嵌套1个2级TLV,2级TLV中又嵌套1个TLV队列(包含2个TLV)

DER和CER一个显著的差异在于:DER的length长度必须是明确的,而CER可以通过end-of-contents octets来表明Value结束(end-of-contents octets详见章节2.1和2.1.4)。

2.BER

2.1 基础规则

BER编码也遵循TLV结构,如下:
在这里插入图片描述
a. identifier octets
b.length octets
c.contents octets
d.end-of-contents octets
end-of-contents octets只在length octets中要求展现时,才会展现。默认不进行展现。

2.1.1 identifier octets

identifier octets包含三个部分:Class、P/C、Tag number。针对不同的Tag number又分为2种情况:

2.1.1 .1 Tag number小于31(十进制)

当ag number小于31时,identifier octets长度为1个字节,格式如下:
在这里插入图片描述

  • Class:2个bit。包含4个值
    a. 00:Universal。最常用的类型。在ITU-T X.680里定义的tag number均属于此类型。详见Tag number处表格。
    b. 01:Application。
    c. 10:Context-specific。
    d. 11:Private。
  • P/C:1个bit。标记后续contents octets是一个基础值还是一个嵌套的TLV值。
    0:Primitive。后续contents octets为基础值
    1:Constructed。后续contents octets为嵌套的TLV。
  • Tag number:5个bit。最大值为0x1F,即十进制的31。

Type中字段规范表如下:

NameClassP/CDecimal Tag numberHexadecimal Tag number
End-of-Content(EOC)UniversalPrimitive00
BOOLEANUniversalPrimitive11
INTEGERUniversalPrimitive22
BIT STRINGUniversalBoth33
OCTET STRINGUniversalBoth44
NULLUniversalPrimitive55
OBJECT IDENTIFIERUniversalPrimitive66
Object DescriptorUniversalBoth77
EXTERNALUniversalConstructed88
REAL (float)UniversalPrimitive99
ENUMERATEDUniversalPrimitive10A
EMBEDDED PDVUniversalConstructed11B
UTF8StringUniversalBoth12C
RELATIVE-OIDUniversalPrimitive13D
TIMEUniversalPrimitive14E
ReservedUniversal/15F
SEQUENCE and SEQUENCE OFUniversalConstructed1610
SET and SET OFUniversalConstructed1711
NumericStringUniversalBoth1812
PrintableStringUniversalBoth1913
T61StringUniversalBoth2014
VideotexStringUniversalBoth2115
IA5StringUniversalBoth2216
UTCTimeUniversalBoth2317
GeneralizedTimeUniversalBoth2418
GraphicStringUniversalBoth2519
VisibleStringUniversalBoth261A
GeneralStringUniversalBoth271B
UniversalStringUniversalBoth281C
CHARACTER STRINGUniversalConstructed291D
BMPStringUniversalBoth301E
DATEUniversalPrimitive311F
TIME-OF-DAYUniversalPrimitive3220
DATE-TIMEUniversalPrimitive3321
DURATIONUniversalPrimitive3422
OID-IRIUniversalPrimitive3523
RELATIVE-OID-IRIUniversalPrimitive3624
2.1.1.2 Tag number大于31

当ag number大于等于31时,因1个字节的identifier octets只有5bit的tag number,无法表示31以上的值,此时需要identifier octets长度超过1个字节,identifier octets格式如下:
在这里插入图片描述

  • Class、P/C的值和Tag number小于31时无差异
  • 第一个字节的tag number字段(bit 1到bit 5)全部为二进制的1。后续字节的最高位bit8为标记位,若该位为0,则表明该字节为identifier octets最后1个字节,否则该位为1。Tag number由所有的Subsequent octet中bit7到bit1按照大端模式拼接而成。

2.1.2 length octets

length octets如下图所示
在这里插入图片描述
共存在4中场景:
1.Contents octets长度小于等于127字节:此时length octets长度为1个字节,bit 8为0,bit7~bit1存储Contents octets长度值。
2.length octets无需指明Contents octets长度:此时length octets长度为1个字节,bit 8为1,bit7~bit1全部为0。Contents octets结束后必须紧跟end-of-contents octets,用于表明Contents octets结束。
3.Contents octets长度大于127字节:此时length octets长度超过1个字节。bit 8为0,bit7~bit1表明后续还有几个字节。后续的字节值代表Contents octets的长度。例如Contents octets长度为290个字节,则length octets第1个字节值为0x82(bit8~bit1分别为10000010),第2个字节为0x01,第3个字节为0x22,最终的Contents octets长度为0x0122,即290个字节。
4.保留:此时length octets长度为1个字节,bit 8为1,bit7~bit1全部为1

总体上来说,发送者可以选择指定长度或不指定长度两种方式。是否指定长度,需遵守如下规则:
1.如果P/C是primitive,则必须在length octets中指定长度
2.若P/C是constructed且值是已知的,则两种方式都可以选择
3.若P/C是constructed且值不可知,则使用不指定长度的方式

2.1.3 contents octets

对数据值进行编码后保存在contents octets中,contents octets可以有0个、1个或多个字节组成。contents octets需要和tag number对应的Type类型匹配。

2.1.4 end-of-contents octets

当length octets为10000000,即0x80时,表明未指定contents octets长度。此时,当contents octets结束时,必须紧跟end-of-contents octets。end-of-contents octets为2个字节的0x00。

2.2 数据类型介绍

针对Contents octets的不同类型数据,本章节将介绍部分常见数据值。数据类型总览表如下:

NameClassP/CDecimal Tag numberHexadecimal Tag number
End-of-Content(EOC)UniversalPrimitive00
BOOLEANUniversalPrimitive11
INTEGERUniversalPrimitive22
BIT STRINGUniversalBoth33
OCTET STRINGUniversalBoth44
NULLUniversalPrimitive55
OBJECT IDENTIFIERUniversalPrimitive66
Object DescriptorUniversalBoth77
EXTERNALUniversalConstructed88
REAL (float)UniversalPrimitive99
ENUMERATEDUniversalPrimitive10A
EMBEDDED PDVUniversalConstructed11B
UTF8StringUniversalBoth12C
RELATIVE-OIDUniversalPrimitive13D
TIMEUniversalPrimitive14E
ReservedUniversal/15F
SEQUENCE and SEQUENCE OFUniversalConstructed1610
SET and SET OFUniversalConstructed1711
NumericStringUniversalBoth1812
PrintableStringUniversalBoth1913
T61StringUniversalBoth2014
VideotexStringUniversalBoth2115
IA5StringUniversalBoth2216
UTCTimeUniversalBoth2317
GeneralizedTimeUniversalBoth2418
GraphicStringUniversalBoth2519
VisibleStringUniversalBoth261A
GeneralStringUniversalBoth271B
UniversalStringUniversalBoth281C
CHARACTER STRINGUniversalConstructed291D
BMPStringUniversalBoth301E
DATEUniversalPrimitive311F
TIME-OF-DAYUniversalPrimitive3220
DATE-TIMEUniversalPrimitive3321
DURATIONUniversalPrimitive3422
OID-IRIUniversalPrimitive3523
RELATIVE-OID-IRIUniversalPrimitive3624

若需了解详细规则,请参考ITU-T X.680相关标准。

2.2.1 Boolean

Boolean的Contents octets只占用1个字节。当boolean值为FALSE,contents octets值为0x00。当boolean值为TRUE,contents octets值为非0x00,即范围在0x01到0xFF均合法,允许发送发自由定义。
示例
值为True的TLV结构

TLV
0x010x010xFF

2.2.2 INTEGER

integer类型的contents octets可以包含1个到多个字节。若contents octets包含多个字节时,第一个字节和第二个字节的bit8,不能全为1也不能全为0。contents octets应使用数值的补码。
示例
值为65537的TLV结构

TLV
0x020x030x01 0x00 0x01

2.2.3 NULL

null类型的不包含contents octets,length octets为0
示例

TL
0x050x00

2.2.4 UTF8String

UTF8编码的字符串
示例
字符串“tom”

TLV
0x0C0x030x74 0x6F 0x6D

2.2.5 SEQUENCE

标识contents octets是一个队列

示例
SEQUENCE {name UTF8String, ok BOOLEAN}对应的值为{name “tom”,ok TRUE}

TLV
0x300x080x0C 0x03 0x74 0x6F 0x6D 0x01 0x01 0xFF

在这里插入图片描述

3.CER和DER

CER和DER在BER基础上,进一步添加限制规则。

3.1 CER特有限制规则

1.如果tag number是constructed的,则Length octets应不指定长度(值为0x80)
2.bitstring/octetstring和restricted character string的contents cotets长度不超过1000个字节时,使用primitive编码。若超过10000个字节,应使用Constructed编码,每个string段长度为1000个字节且使用primitive,最后一个string段至少1个字节但不能超过1000个字节。(按标准翻译,没太理解)
3.set类型排序规则。

3.2 DER特有限制规则

1.length octets必须指明长度,且使用最小的字节数进行编码。
2.对于bitstring、octetstring、restricted character string类型,P/C不使用constructed。
3.set类型排序规则。

3.3 CER和DER公用规则

1.Boolean类型的TRUE值必须为0xFF
2.bitstring的最后一个字节里,未使用的bit需置0
3.当满足 ITU-T X.680 | ISO/IEC 8824-1, 22.7中内容时,在编码前,需移出尾部的所有0
等等(具体请查询X.690规范,此处未做深入研究)

4.总结

因公私钥、证书等均采用ASN.1进行编码,为更深入了解公私钥和证书信息,首先需要了解ASN.1和DER等规范。通过阅读ITU-T X.690规范,可以有效的初步掌握此类基础信息。若需深入了解不同数据的编码细节,需结合X.680,X.690等规范,深入阅读。

X.690规范的核心是TLV的数据结构。在TLV中,基于V的不同类型,产生了不同的T,L则用于表示V的长度,总体上形成一套完善的编码规范。

辛勤搬砖的门卫
关注
  • 31
    点赞
  • 27
    收藏
    觉得还不错? 一键收藏
  • 3
    评论
专栏目录
java asn.1编码_ASN.1编码方式详解
weixin_36043142的博客
02-16 1658
ASNASN.1 – Abstract Syntax Notation dot one,抽象记法1。数字1被ISO加在ASN的后边,是为了保持ASN的开放性,可以让以后功能更加强大的ASN被命名为ASN.2等,但至今也没有出现。描述了一种对数据进行表示、编码、传输和解码的数据格式。它提供了一整套正规的格式用于描述对象的结构,而不管语言上如何执行及这些数据的具体指代,也不用去管到底是什么样的应用程序...
ISO IEC 8825-2-2015 信息技术- ASN.1 编码规则:压缩编码规则(PER).pdf
03-16
英文版 2015版 ASN.1 编码规则:压缩编码规则(PER)文档
DER编码规则
最新发布
xingfuyisheng的专栏
11-25 1166
DER 适用于需要唯一编码的情况,例如在密码学中,并确保需要数字签名的数据结构产生唯一的序列化表示。DER 可以被认为是 BER 的规范形式。DER编码主要是为满足 X.509 规范的安全数据传输的要求而创建的。
【基础】基于 ASN.1 标准的基本编码规则 BER 和可辨别编码规则 DER 浅析
产品线负责人
11-22 7746
OSI 定义抽象对象的方法称为 ASN.1(Abstract Syntax Notation One,X.208),把这些对象转换成“0”和“1” 的比特流的一套规则称为 BER(Basic Encoding Rules , X.209)。 ASN.1 是一套灵活的记号,它允许定义多种数据类型,从 integer、 bit string 一类的简单类型到结构化类型,如 set 和 sequen...
DER编码规则详解
热门推荐
12-09 2万+
概念: DERBER的子集,它为每一个ASN.1类型定义一种唯一的编码方案。 DERBER的区别: DERBER的基础上增加了如下限制: 长度小于等于127,必须使用短型长度表示法。 长度大于127,必须使用长型长度表示法,并且要尽可能的短。 对于简单的string类型以及在其基础上隐性标签生成的类型使用简单定长表示法。 对于结构化类型以及在其基础上隐性标签生成的类型以
ASN1、BERDER与PKCS
vivid的技术专栏
06-11 6184
怎样理解和实现PKCS协议族1、ASN1抽象语法规则(osi定义抽象对象的方法)BER基本编码规则(定义了如何把ASN.1类型的值编码为8bit的字节流,通常每个值不止有一种的BER编码方法)DER可辨别编码规则(它是BER的一个子集,对每个ASN.1值只有唯一一种编码方法)2、软件开发管理最主要的设计原理是抽象,通过抽象,设计者可以定义系统的一部分,而不需要关心这部分实际上如何实现或者如何表示。
密码学的基础:X.690和对应的BER CER DER编码
程序那些事
08-01 354
之前我们讲到了优秀的数据描述语言ASN.1,很多协议标准都是使用ASN.1来进行描述的。对于ASN.1来说,只定义了数据的描述是不够的,它还规定了消息是如何被编码的,从而可以在不同的机器中进行通讯。ASN.1支持一系列的编码规则,比如BERDER,CER等。而X.690就是一个ITU-T的标准,它里面包含了一些对ASN.1进行编码规则。有人要问了,那么什么是ITU-T呢?以上就是X.690和对应的BERCERDER编码详解,看完本篇文章,你又多会了一门语言,ohyeah!更多内容请参考。...
ASN.1 DER BER CER PEM X509都是什么
查理的博客
08-07 882
ASN.1 ASN.1(Abstract Syntax Notation dotone),抽象语法标记1。是定义抽象数据类型形式的标准,是用于描述数据表示、传输、编码的记法。 ASN.1只包含信息结构,不处理具体业务数据,它不是一个编程语言。 ASN.1包含数据类型定义、数据描述的语法、编码规则BERDER就是其中的一种编码规则,而DERBER编码的一个...
ASN.1探索 - 3编码规则与传输语法(CERDER
dolphin98629的专栏
04-17 1019
3.2  CERDER CERDER(Canonical and Distinguished Encoding Rules) 3.2.1  更多限制规则的需求 在X.400 和X.500中应用接力传递消息,会使用到X.509数字签名(Digital Signature),其过程如下图所示: Figure 3-25 接力传递消息 发送方发送v的编码结果c1(v),同
ASN.1编码规则详解(最全最经典).pdf
09-25
ASN.1编码规则详解(最全最经典).pdf,共108页
ASN.1编码规则详解(最全最经典).doc
07-23
ASN.1编码规则详解(最全最经典)
asn1bean:ASN1bean(以前称为jASN1)是Java ASN.1 BERDER编码解码库
05-04
ASN1豆 ASN1bean(以前称为jASN1)是Java ASN.1 BERDER编码/解码库 有关ASN1bean的详细信息,请访问 。
ASN.1 BER DER编码
07-07
ASN.1标准文档,用来学习标准的语法知识!!!!!!!!!!!!!!
ISOIEC 8825-2-2015 信息技术-ASN.1编码规则:压缩编码规则(PER)_高清.pdf
12-08
标准的ASN.1编码规则有基本编码规则BER,Basic Encoding Rules)、规范编码规则CER,Canonical Encoding Rules)、唯一编码规则DER,Distinguished Encoding Rules)、压缩编码规则(PER,Packed Encoding ...
asn1.rar_asn1_asn1 ber_ber编码
09-24
ASN1+BER+DER+编码子集入门指南
fast_ber:C ++ 11 ASN.1 BER编码和解码库
02-05
fast_ber 用C ++ 11编写的高性能ASN.1 BER编码和解码库介绍fast_ber是用于BER编码和解码的小型轻量级库。 Fast ber放弃了一些严格的ASN.1规范一致性,可以在常见用例中提供快速的编码和解码性能设计决策简单,现代的...
PHPASN1:一个PHP库,用于使用ITU-T X.690编码规则对任意ASN.1结构进行编码和解码
03-08
该API允许您对ASN.1结构进行编码以创建二进制数据,例如证书签名请求(CSR),X.509证书或证书吊销列表(CRL)。 PHPASN1还可以将二进制数据读取到单独PHP对象中,然后用户可以对其进行操作并对其进行重新编码。 ...
asn.1抽象标记语言总结(per和oer编码规则
09-22
ASN.1:抽象标记语言 PER:压缩编码规则(Packed Encoding Rules),ASN.1编码规则之一 OER: 八位字节编码规则(Specification of Octet Encoding Rules),ASN.1编码规则之一
写一个ber编码程序
05-31
以下是一个Python 3的BER编码程序示例,可以对简单类型进行编码: ```python def encode_ber_integer(value): if value == 0: return b"\x01\x00" # 0用\x01\x00表示 elif value > 0: length = (value.bit_length() + 7) // 8 return bytes([2, length]) + value.to_bytes(length, byteorder="big") else: value = abs(value) length = (value.bit_length() + 7) // 8 value_bytes = value.to_bytes(length, byteorder="big") value_bytes_complemented = bytes([~b & 0xff for b in value_bytes]) return bytes([2, length + 1, 0x00]) + value_bytes_complemented # 测试 print(encode_ber_integer(1234)) # b'\x02\x02\x04\xd2' print(encode_ber_integer(-1234)) # b'\x02\x03\x00\xfb\x2d' ``` 以上代码实现了对整数类型的编码,其中正整数的编码格式为Tag为2,Length为数据字节长度,Value为整数值的字节表示;负整数的编码格式为Tag为2,Length为数据字节长度+1,Value为整数值按位取反后的字节表示,最高位为符号位。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值