Web PKI现行应用、标准

于 2025-03-23 22:05:57 发布
阅读量865 收藏 8
点赞数 11
文章标签: web pki
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jiongxv/article/details/146443446
版权

中国现行 Web PKI 标准

中国在 Web PKI(公钥基础设施)领域制定了多项国家标准,以确保网络安全和数字证书管理的规范性。以下是一些现行的重要标准:

1. GB/T 21053-2023《信息安全技术 公钥基础设施 PKI系统安全技术要求》

该标准将 PKI 系统的安全级别划分为基本级和增强级,规定了相应安全级别的安全功能要求和安全保障要求,可用于 PKI 系统的研发、产品测评和采购。

🔗 来源
🔗信息安全技术 公钥基础设施 PKI系统安全技术要求

2. GB/T 21054-2023《信息安全技术 公钥基础设施 PKI系统安全测评方法》

该标准规定了 PKI 系统的安全测评方法,包括安全功能测评方法和安全保障要求测评方法。

🔗 来源
🔗信息安全技术 公钥基础设施 PKI系统安全测评方法

3. GB/T 20520-2006《信息安全技术 公钥基础设施 证书管理协议》

该标准描述了 PKI 中的证书管理协议,定义了与证书产生和管理相关的各类协议消息,包括证书申请、撤销、密钥更新等。

🔗 来源
🔗信息安全技术 公钥基础设施 证书管理协议

4. GB/T 20518-2006《信息安全技术 公钥基础设施 证书策略与认证业务声明框架》

该标准规定了证书策略和认证实践声明的框架,指导 CA(证书颁发机构)制定和发布其证书策略和认证实践声明。
🔗信息安全技术 公钥基础设施 证书策略与认证业务声明框架

这些标准由 全国信息安全标准化技术委员会(TC260) 归口管理,旨在规范和指导中国 PKI 系统的建设、运维和评估,确保网络空间的安全与可信。

国际 Web PKI 标准

在国际上,Web PKI(公钥基础设施)领域有多项重要标准和规范,主要由以下组织制定:

1. IETF(互联网工程任务组)

  • PKIX(公钥基础设施 X.509 工作组)
    • 该工作组制定了一系列基于 X.509 标准的 PKI 模型框架,包括用户、认证中心(CA)、注册中心(RA)和证书存取库等。
    • 了解更多

2. ISO/IEC(国际标准化组织/国际电工委员会)

  • ISO/IEC 9594-8 / ITU-T X.509
    • 该标准定义了公钥证书和证书吊销列表(CRL)的格式,是全球 PKI 实现的基础。

3. PKCS(公钥密码学标准)

  • PKCS 系列
    • 由 RSA 实验室制定,包括:
      • PKCS#1(RSA 加密标准)
      • PKCS#7(加密消息语法标准)
      • PKCS#10(证书请求标准)
    • 这些标准在全球范围内被广泛应用。

4. CA/Browser Forum(证书颁发机构/浏览器论坛)

  • 基线要求
    • 该论坛制定了公开受信任的证书颁发机构必须遵循的基线要求,确保数字证书的安全性和一致性。

5. NIST(美国国家标准与技术研究院)

  • FIPS 201
    • 该标准规定了联邦个人身份验证(PIV)卡的要求,用于美国联邦政府的 PKI 实施。

这些国际标准和规范为全球 Web PKI 的实施提供了指导,确保了不同系统之间的互操作性和安全性。

证书颁发流程

证书类型

根据 CA 颁发证书时的身份验证程度,Web PKI 证书主要分为以下三类:

证书类型验证内容安全级别适用场景
DV 证书(Domain Validation)仅验证域名所有权个人网站、小型博客
OV 证书(Organization Validation)验证域名所有权+企业身份企业网站、政府网站
EV 证书(Extended Validation)严格验证企业身份,需人工审核银行、电商、金融机构

证书颁发流程

  1. 申请证书(Certificate Request)

    • 申请者生成一对密钥(公钥+私钥),并创建**证书签名请求(CSR, Certificate Signing Request)**提交给 CA。
    • CSR 包含申请者的公钥、域名或组织信息等。

  2. 身份验证(Validation)

    • DV 证书:申请者需证明对域名的控制权,例如:
      • 通过 DNS TXT 记录验证。
      • 通过 HTTP 文件验证(CA 提供特定文件,放置到网站目录中)。
    • OV/EV 证书:CA 需要进行企业信息审核,包括公司注册信息、地址、电话等。

  3. 证书颁发(Certificate Issuance)

    • CA 通过私钥对证书进行签名,并返回给申请者。

  4. 证书安装与部署(Installation & Deployment)

    • 申请者将证书安装到服务器,并配置 HTTPS。

  5. 证书吊销(Revocation)

    • 若证书泄露或过期,可使用 CRL 或 OCSP 进行吊销。

自动化证书管理(如 ACME 协议和 Let’s Encrypt)

ACME 协议

ACME(Automated Certificate Management Environment) 是一个自动化管理证书的协议,主要特点:

  • 自动申请、颁发和续期证书。
  • 自动进行域名所有权验证。

Let’s Encrypt

Let’s Encrypt 是一个提供免费 DV 证书的 CA,支持 ACME 自动化证书管理。

典型使用方式:

  1. 使用 certbot 等 ACME 客户端工具。
  2. 自动验证域名并获取证书。
  3. 证书到期前自动续期。

Let’s Encrypt 使 HTTPS 部署变得更加便捷和普及。

密钥管理(密钥生成、存储、安全性要求)

密钥生成

服务器或用户需要生成公私钥对,常见算法:

  • RSA(2048 位或以上)。
  • ECC(椭圆曲线加密)(如 ECDSA, 256 位)。
  • 后量子密码学(实验阶段)。

私钥存储

  • 软件存储

    • 本地存储(需加密保护)。
    • 使用 TPM(可信平台模块)或 HSM(硬件安全模块)。

  • 硬件存储

    • HSM 设备(如 AWS CloudHSM)。
    • 智能卡、USB 令牌等。

安全性要求

  • 私钥不应存储在不安全的设备上。
  • 采用强密码保护私钥。
  • 定期轮换密钥以降低攻击风险。
yixvxi
关注
HCIE-Security Day34:PKI证书
小梁的博客
04-01 1484
PKI基本架构 公共基础设施,public key infrastructure。通过使用公钥技术和数字证书来提供系统信息安全服务,并负责验证数字证书持有者身份的一种体系。 PKI的核心围绕数字证书的申请、颁发、使用等整个生命周期展开,使用到:对称密钥加密、公钥加密、数字信封、数字签名等技术。 解决问题 1、公钥合法性 A与B进行通信,C作为攻击者存在于网络中,它有A和B的公钥,C拦击了B发送给A的B的公钥,并将自己的公钥发送给A,A获得的是C的公钥,C再拦截了B发送给A的信息,用自己的私钥对..
技术、法制、社群——区块链生态的信任三维
u010708922的博客
08-22 1657
作者简介:李俊,Onchain首席架构师,前中金所技术规划/架构专家,工信部区块链技术参考架构撰稿人,拥有15年金融IT经验,在区块链架构、应用方面有丰富的技术研究与实践积累。 区块链的核心价值区块链的发展如火如荼,也产生了大量的区块链体系文章介绍从区块链的底层技术、网络结构、共识算法等等,但在在实际常常被问到的问题是:区块链技术体系的核心价值是什么?是更好的性能、更方便的连接、更可靠的技术...
公钥基础设施 PKI 技术与应用发展
mystudyblog0507的专栏
03-27 6335
公钥基础设施 PKI 技术与应用发展 一、概述PKI是“Public Key Infrastructure”的缩写,意为“公钥基础设施”。简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用接收者的公钥发送加密信息,接收者再利用...
17万字 | 2021密码应用技术白皮书(附下载)
Chaincomp的博客
01-26 5260
460页呕心编辑,业务视角讲密码、20种密码应用模式、密评改造方案,速来下载!
22.1 信息系统安全-PKI公钥基础设施.PMI权限基础设施
助力开发者进阶为高效技术管理者,记录沉淀打造可复用的工程方法论体系
05-30 4342
公钥基础设施PKI (Public Key Infrastructure,公开密钥基础设施)是以不对称密钥加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵赖性为安全目的,来实施和提供安全服务的具有普适性的安全基础设施。其内容包括数字证书、不对称密钥密码技术、认证中心、证书和密钥的管理、安全代理软件、不可否认性服务、时间邮戳服务、相关信息标准、操作规范等。
PKI体系(公钥基础设施)
weixin_33714884的博客
09-20 2858
转载出处http://blog.sina.com.cn/s/blog_afd4c4ef0102w20n.html 定义公钥基础设施PKI(Public Key Infrastructure),是一种遵循既定标准的密钥管理平台,它能够为所有网络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理体系,简单来说,PKI就是利用公钥理论和技术建立的提供安全服务的基础设施。PKI...
动态口令身份认证技术的应用与发展
UnrealEngine4 、Delta3D、OSG
12-14 4880
内容提要:本文概要地论述了动态口令(动态口令)的基本概念、工作原理和基本技术。详细地介绍了动态口令在银行、证券、办公自动化等系统中的应用。重点说明了动态口令地几中新的应用方式和技术。本文对从事信息安全建设的领导和工程师有指导作用。 主题词:信息安全、身份认证、动态口令 动态口令的概念与起源   身份认证是信息安全体系的重要组成部分,它是保护信息系统安全的第一道大门。它的任务是检验信息系统用户
公钥基础设施PKI技术与应用发展
11-13 1315
公钥基础设施PKI技术与应用发展                                          一、概述 PKI是"Public Key Infrastructure"的缩写,意为"公钥基础设施"。简单地说,PKI技术就是利用公钥理论和技术建立的提供信息安全服务的基础设施。公钥体制是目前应用最广泛的一种加密体制,在这一体制中,加密密钥与解密密钥各不相同,发送信息的人利用
[PKI]SSL基础
anmi5580的博客
05-17 290
很多概念搞不清了,备忘一下。 一.协议的起源随着计算机网络技术向整个经济社会各层次延伸,整个社会表现对Internet、Intranet、Extranet等使用的更大的依赖性。随着企业间信息交互的不断增加,任何一种网络应用和增值服务的使用程度将取决于所使用网络的信息安全有无保障,网络安全已成为现代计算机网络应用的最大障碍,也是急需解决的难题之一。由于Web上有时要传输重要或敏感的数据,...
SSL协议安全系列:PKI体系中的证书吊销
weixin_34319640的博客
03-08 727
GoSSIP_SJTU · 2016/03/03 10:060x00 前言在前面的章节我们讨论了部分SSL/TLS握手协议、记录协议中存在的安全问题,针对它们的攻击以及相应的加固方案。在SSL/TLS所依赖的PKI体系中,证书吊销过程同样对SSL通信的安全性有着重要的影响,近几年很多重要安全事件(比如2008年Debian伪随机数发生器问题导致证书公钥易被破解、2014年Heartbleed漏洞导...
2018年上半年信息安全工程师上午选择题及解析
qq_68147327的博客
09-18 5002
2018年软考信息安全工程师上午题
【渝粤题库】陕西师范大学164107 电子商务信息安全 作业(高起专)
渝粤题库
11-27 1682
《电子商务信息安全(高起专)》作业 一、单选题 以下那个不是杀毒软件的正确使用方法( )。 A. 定期对病毒库进行升级 B. 经常针对电脑进行全盘扫描 C. 设置开机自动运行杀毒软件 D. 中毒之后再下载杀毒软件来安装 电子商务实践表明,大多数安全问题是由于( )造成的。 A. 安全技术落后 B. 黑客攻击 C. 系统软件漏洞 D. 管理不善 下列攻击形式,不属于主动攻击的是( )。 A. 篡改 B. 中
计算机网络整理:HTTP协议、HTTPS协议、Websocket协议
weixin_45486448的博客
08-26 3836
系列文章目录 一:http协议和https协议的区别 1、Https通信需要证书,而证书一般需要向认证机构(一般是ca)购买,因而需要一定费用 2、http是超文本传输协议,信息是明文传输,https则是具有安全性的ssl加密传输协议。因此,与HTTP通信相比,Https通信会由于加减密处理消耗更多的CPU和内存资源; 3、http的连接很简单,是无状态的,https协议是由ssl+http协议构建的可进行加密串苏,身份验证的网络协议,比http协议安全。 4、http用的端口是80,https用的端口是4
陕西省2025年初中学业水平考试实验操作考试试题及评分细则.zip
最新发布
04-25
陕西省2025年初中学业水平考试实验操作考试试题及评分细则.zip
Halcon与C#结合的机器视觉开发:经典案例解析与最佳实践
04-25
内容概要:本文详细介绍了如何将Halcon与C#相结合进行机器视觉开发。首先解释了选择Halcon联合C#的原因,强调了两者的互补优势。接着通过多个具体案例展示了如何将Halcon的经典例子转化为C#代码,包括图像读取与显示、阈值分割、形状匹配、图像采集等方面的内容。文中还特别提到了一些常见问题及其解决方案,如内存管理、坐标系转换、线程安全等。此外,作者提供了许多实用技巧,如使用扩展方法处理Halcon的数据类型、封装相机操作类、优化异常处理等。最后,作者分享了一些实战经验,包括环境配置、性能优化、交互设计等方面的建议。 适合人群:具有一定C#编程基础,对机器视觉感兴趣的开发人员。 使用场景及目标:帮助C#开发人员更好地理解和掌握Halcon的使用方法,提高视觉开发效率,减少开发过程中的常见错误和技术难题。 其他说明:文中提供的所有案例代码均已整理在GitHub的HalconSharpToolkit项目中,按功能模块划分,便于学习和参考。
西门子S7-1200 PLC污水处理系统:博途V17版KTp1200屏程序设计与优化
04-25
内容概要:本文详细介绍了西门子S7-1200 PLC在污水处理项目中的应用,涵盖模拟量处理、设备轮换、Modbus通讯以及事件记录等多个方面。文中展示了如何利用博途V17进行程序设计,包括具体的SCL代码实例,如液位检测的滑动窗口滤波法、提升泵的轮换逻辑、Modbus TCP对变频器的控制以及报警信息管理等。此外,还分享了一些实用技巧,如防止信号跳变、避免设备过度磨损、确保通讯稳定性和提高报警记录效率的方法。 适合人群:从事工业自动化领域的工程师和技术人员,尤其是熟悉西门子PLC和博途软件的从业者。 使用场景及目标:适用于污水处理项目的PLC编程和系统集成,旨在提高系统的稳定性和可靠性,减少维护成本并优化设备性能。 其他说明:文中不仅提供了详细的代码示例,还分享了许多来自实际项目的经验教训,帮助读者更好地理解和应用相关技术。
MATLAB实现改进带约束粒子群优化算法(IPSO)及其工程应用
04-25
内容概要:本文详细介绍了改进的带约束粒子群算法(IPSO)在MATLAB环境下的实现细节。首先探讨了IPSO算法中接口设计的独特之处,即通过定义目标函数和约束条件的接口,使算法能够灵活应对不同类型的优化问题。接着阐述了非线性惯性权重和学习因子的设计理念,解释了它们如何帮助算法在搜索过程中更好地平衡全局探索和局部开发。最后讨论了基于MATLAB类编程的优势,强调了此类编程方式带来的代码复用性和维护便捷性。此外,文中还提供了丰富的代码片段作为示例,展示了IPSO算法的具体实现步骤。 适合人群:对优化算法感兴趣的科研人员、工程师以及希望深入了解粒子群算法并应用于实际项目的开发者。 使用场景及目标:适用于需要高效解决带有复杂约束条件的优化问题的场合,如工程设计、物流规划等领域。目标是利用IPSO算法更快地找到全局最优解,同时确保满足所有约束条件。 其他说明:文中不仅分享了理论知识,还包括了许多实用的编码技巧,有助于读者快速掌握IPSO算法的应用方法。
基于分布式ADMM算法与碳排放交易的MATLAB代码:电力系统优化调度
04-25
内容概要:本文介绍了一段基于分布式ADMM算法的MATLAB代码,用于电力系统优化调度,尤其关注碳排放交易的影响。代码首先对电力系统进行分区,接着构建DC-DOPF最优潮流问题,考虑碳排放交易的成本,并利用ADMM算法求解。文中详细解释了各个关键步骤,如系统分区、目标函数设计、碳排放交易成本计算以及ADMM算法的具体实现。此外,代码还包括了多种优化技术和实用技巧,如自适应惩罚因子调整、边界条件处理等,确保算法的有效性和实用性。 适用人群:适用于对电力系统优化调度感兴趣的科研人员、工程师和技术爱好者,尤其是希望深入了解分布式算法和碳排放交易机制的人群。 使用场景及目标:①研究电力系统优化调度的新方法和技术;②探讨碳排放交易对电力系统调度策略的影响;③提高电力系统运行效率和环保性能。 其他说明:代码不仅提供了详细的注释和模块化设计,还展示了丰富的可视化结果,便于理解和进一步研究。同时,文中提到了一些实际应用案例,证明了该方法的有效性和优越性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值