信息安全-PKI体系

已于 2022-11-10 17:43:30 修改
阅读量300 收藏
点赞数
分类专栏: 信息安全 文章标签: http https openssl
于 2021-04-28 22:34:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_42873640/article/details/116245041
版权

文章目录

1. http/https

httphttps(http+ssl)
安全性明文传输,不安全加密传输,使用会话密钥进行对称加密,减少加密耗费时间
状态无状态无状态

img

2. ssl四次握手

客户端服务端
1.支持的协议版本,比如TLS 1.0版
2.一个客户端生成的随机数,稍后用于生成"对话密钥"
3.支持的加密方法,比如RSA公钥加密
4.支持的压缩方法
1.确认使用的加密通信协议版本,比如TLS 1.0版本。如果浏览器与服务器支持的版本不一致,服务器关闭加密通信。
2.一个服务器生成的随机数,稍后用于生成"对话密钥"
3.确认使用的加密方法,比如RSA公钥加密
4.服务器证书
验证服务器证书
1.一个随机数pre-master key。该随机数用服务器公钥加密,防止被窃听
2.编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥(客户端+服务端+pre-master key)发送
3.客户端握手结束通知,表示客户端的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供服务器校验
4.发送证书及相关信息(非必须,如果服务器要求的话,会发送客户端证书)
1.编码改变通知,表示随后的信息都将用双方商定的加密方法和密钥(客户端+服务端+pre-master key)发送
2.服务器握手结束通知,表示服务器的握手阶段已经结束。这一项同时也是前面发送的所有内容的hash值,用来供客户端校验

  • 为什么要有第三个随机数pre-master key的存在?

    答:SSL协议不信任每个主机都能产生完全随机的随机数,如果随机数不随机,那么pre master secret就有可能被猜出来,因此必须引入新的随机因素,那么客户端+服务器+pre-master key三个随机数一同生成的密钥就不容易被猜出了

img

3. tcp/udp

tcp三次握手、四次挥手

tcpudp
共同点同属于tcp/ip协议簇
是否连接通信之前要建立安全连接,三次握手连接无需连接
传输可靠性可靠不可靠
速度
数据量大量少量

4. 常见密钥算法

对称加密算法非对称加密算法
算法举例DES:密钥长度64位,有效长度56位,每第8位为奇偶校验位
AES:密钥长度有128、192和256位
SM1、SM4、SM7:密钥长度均为 128 位		RSA:密钥长度1024、2048位
SM2:密钥长度256位
优点加密速度快,适合加密大量数据1.密钥安全
2.可以用来签名
缺点1.需要保障密钥安全
2.无法用于签名和抗抵赖		加密速度慢
算法密钥长度密文长度
SM416字节16字节
SM232字节
分组模式

在这里插入图片描述

5. 常见hash算法

特点:输出长度为定值,单项不可逆,有一定碰撞几率

算法及摘要值长度:

  • md5:16/32字节(128/256位)
  • sha1:20字节(160位)
  • sha224、sha256、sha384、sha512
  • SM3:32字节(256位)

6. 常见密码标准体系

7. openssl API

8. adobe pdf数字签名

9. 数字签名

私钥签名,公钥认证

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-oxjXPGzs-1619620383516)(C:\Users\Sharm\AppData\Roaming\Typora\typora-user-images\image-20210424170059871.png)]

10. 数字信封

数字信封包括:

​ 被加密的内容

​ 被加密的对称密钥

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-I1N1PSgT-1619620383517)(C:\Users\Sharm\AppData\Roaming\Typora\typora-user-images\image-20210424173517229.png)]

11. 数字证书

x509 v3格式

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-5oSggGuJ-1619620383519)(C:\Users\Sharm\AppData\Roaming\Typora\typora-user-images\image-20210424173600974.png)]

证书格式
Certificate ::= SEQUENCE { 
	tbsCertificate TBSCertificate,         ---签名原文
	signatureAlgorithm AlgorithmIdentifier,---签名算法
	signature BIT STRING                   ---签名值
}
证书请求格式

[外链图片转存失败,源站可能有防盗链机制,建议将图片保存下来直接上传(img-Ew432ffE-1619620383522)(C:\Users\Sharm\AppData\Roaming\Typora\typora-user-images\image-20210424174155965.png)]

CertificationRequest ::= SEQUENCE {
	certificationRequestInfo CertificationRequestInfo, 	---请求原文
	signatureAlgorithm AlgorithmIdentifier, 			---签名算法
	signature BIT STRING								---签名值
}
CertificationRequestInfo ::= SEQUENCE {
    version INTEGER { v1(0) } ,
    subject Name, 
    subjectPKInfo SubjectPublicKeyInfo, 
    attributes [0] Attributes
} 

SubjectPublicKeyInfo ::= SEQUENCE { 
    algorithm AlgorithmIdentifier {{IOSet}}, 
    subjectPublicKey BIT STRING 
}
爱吃鱼的简大Boss
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
web安全day12:PKI
小梁的博客
12-13 2893
1、概述 PKI:公钥基础设施。public key instruction。作用是通过加密技术和数字签名保证信息的安全。PKI是一套安全架构的总称,并非特指某一个软件或者某一台设备,其组成包括公钥加密技术、数字证书、CA(证书颁发机构)、RA(注册机构) 那么PKI保证了哪些信息的安全性呢?在此之前,我们需要简单了解一下信息安全这个概念。我们讨论信息安全的时候,一般使用三个主要要素来定义我们的信息或者信息系统是否安全。 2、信息安全三要素 机密性:防止信息被不该知道的人知道 完整性:防止信息被不
《网络安全工程师笔记》 第十三章:PKI
小陈的博客
02-05 477
注:本笔记来自温晓飞老师的网络安全课程 第十三章:PKI 第一章:虚拟化架构与系统部署 第二章:IP地址详解 第三章:进制转换 第四章:DOS基本命令与批处理 第五章:用户与组管理 第六章:服务器远程管理 第七章:NTFS安全权限 第八章:文件共享服务器 第九章:DNS部署与安全 第十章:DHCP部署与安全 第十一章:WEB服务器和FTP服务器 未完待续 文章目录第十三章:PKI一、 PKI概述1、名称2、作用3、组成二、信息安全三要素三、哪些IT领域用到PKI:1、SSL/HTTPS2、IPsecV.
信息安全pki
rcxqc2002的专栏
05-27 633
<br /><br />2.密码学的基本概念<br />密码学(cryptology)作为数学的一个分支,是研究信息系统安全保密的科学,是密码编码学和密码分析学的统称。<br />密码编码学(cryptography)是使消息保密的技术和科学。密码编码学是密码体制的设计学,即怎样编码,采用什么样的密码体制保证信息被安全地加密。<br />密码分析学(cryptanalysis)是与密码编码学相对应的技术和科学,即研究如何破译密文的科学和技术。密码分析学是在未知密钥的情况下从密文推演出明文或密钥的技术。在密码
【网络信息安全PKI 技术
萌宅鹿的技术小屋
06-05 2919
PKI 技术主要内容9.1 理论基础9.1.1 CA认证与数字证书数字证书的创建和使用数字证书的作用和特点X.509 数字证书各部分的含义X.509 数字证书的格式9.1.2 信任关系与信任模型(1)认证机构的严格层次结构模型(2)分布式信任结构模型(3)Web 模型(4)以用户为中心的信任模型(5)交叉认证9.2 PKI的组成9.2.1 认证机构CA 密钥对的生成和管理发布并维护作废证书列表 CRL9.2.2 证书库9.2.3 PKI 应用接口系统9.3 PKI 的功能和要求9.3.1
网络安全--PKI
IT之一小佬的博客
05-23 924
python的flask框架下不同路由之间传递变量的一种办法 - 青女素娥 - 博客园
论文研究-PKI安全认证体系的研究.pdf
07-22
而安全认证服务融合了上述服务中所采用的主要技术,逐渐成为保证网络信息安全的主要手段。在对现有的PKI认证体系分析的基础上,着重研究了PKI安全认证体系模型,最后提出了适合于国家级的PKI安全认证体系
PKI-CA体系介绍.zip
01-19
**PKI-CA体系介绍** **一、PKI(Public Key Infrastructure)公钥基础设施** 公钥基础设施(PKI)是一种用于安全数据交换的技术系统,它基于非对称加密算法,...理解并正确实施PKI-CA系统对于保障信息安全至关重要。
网络安全技术6-PKI密钥管理体制1
08-03
网络安全技术中的PKI(Public Key Infrastructure)密钥管理体制是一种基于公钥加密技术的身份验证体系,它为互联网上的安全通信提供了基础。...了解并正确使用PKI技术对于保护网络资产和信息安全至关重要。
信息安全学习总结15-PKI技术(初稿).pdf
11-08
PKI(Public Key Infrastructure)是公开密钥基础设施,其主要目标是通过一套标准化的体系来管理和使用公钥,提供包括加密、数字签名在内的密码服务,确保网络通信的安全。PKI不仅是一个技术解决方案,还包含了一...
基于PKI的矿山企业网络信息安全研究
07-12
随着矿山企业信息化建设的需要,以密码技术为核心的PKI技术是目前公认的保障网络社会安全的...通过分析矿山企业的信息安全需求,提出了基于PKI的矿山企业网络安全服务体系结构,并对其核心部分密码服务器进行了详细设计。
安全加密 - 证书和PKI
迟来大师的博客
12-01 372
证书 CA(Certificate Authority)是数字证书认证中心,常称为证书颁发机构。 申请者提交自己的公钥和一些个人信息(如申请者国家,姓名,单位等)给CA, CA对申请者的这些信息单向加密生成摘要信息,然后使用自己的私钥加密整个摘要信息, 这样就得到了CA对申请者的数字签名, 在数字签名上再加上CA自己的一些信息(如CA的机构名称,CA层次路径等)以及该证书的信息(如证书有效期限), 就得到了所谓的数字证书。 KPI 根CA和子CA组成了PKI。 ...
HTTPS加密协议详解(三):PKI 体系
nb1253587023的博客
06-26 417
pki
密码学科普
AlanKSorata的博客
05-27 1328
密码知识科普(精简版) 没有密码安全,就没有网络安全;没有网络安全,就没有国家安全。 一、我国商用密码发展历程 商用密码——专有名词,特指用于保护不涉及国家秘密信息的密码。 密码是网络安全的核心技术与基础支撑。 我国自主知识产权密码算法——ZUC算法(用于实现新一代宽带无线移动通信系统——‘3GPP’的无线信道加密和完整性保护)、SM2、SM3、SM4、SM9。其中SM由”商“、”密“二字拼音开头构成。 二、密码是什么 ”密码“——日常所说的账户密码..
基于国密算法SM2非证书标识公钥密码技术(IPK)
m0_56838112的博客
04-18 5340
物联网场景特点是多节点、低功耗、低时延、大量的弱终端,以及海量数据,对数据安全的高效防护提出新的挑战。 传统证书体系不适应物联网环境,本文提出基于国密SM2非证书标识公钥(IPK)技术,克服传统算法中密钥分发安全性弱、效率低、成本高等问题,解决物联网中身份认证、数据安全、传输安全、访问控制等安全问题。 文中IPK与PKI、TF-CPK、SM9进行了对比分析,并提出IPK的应用特性。 IPK轻量级密钥技术实现点对点轻量级主动安全防御,是工业互联网、能源物联网、车联网、智能家居、票证防伪等场景的最佳安全解决方案
PKI加密体系加密过程及原理
weixin_48816383的博客
12-14 9571
文章目录前言一、基本相关概念1.信息安全CIA三要素2.密码学基本相关概念密钥加/解密算法3.数字签名/数字证书4.CA/RA机构二、PKI体系1.第一层级:数据加密与密钥保密(加密传输,保证数据的保密性)2.第二层级:单向加密数据,保证数据的完整性(消息认证码)3.数字签名:消息认证与身份认证4.数字证书:身份认证——不可抵赖性 前言 本文依据自己的工作经验,参考相关文献文档简述PKI加密体系加密过程及原理。 一、基本相关概念 注:PKI全称公钥基础设施,主要用于保障数据传输交换过程诸如完整性、保密.
国密算法sm2.sm3.sm4
06-10 1719
小组成员:刘霄,任逸飞,曹贻森 国密即国家密码局认定的国产密码算法。主要有SM1,SM2,SM3,SM4。密钥长度和分组长度均为128位。 SM1 为对称加密。其加密强度与AES相当。该算法不公开,调用该算法时,需要通过加密芯片的接口进行调用。 SM2为非对称加密,基于ECC。该算法已公开。由于该算法基于ECC,故其签名速度与秘钥生成速度都快于RSA。ECC 256位(S...
信息安全知识分享—PKI技术
雨云21的博客
05-04 3594
直接上脑图:
PKI那些不为人知的秘密(吐血总结)
qq_30456929的博客
02-24 729
前言 一、概念 二、主要功能特点 1.引入库 2.PKI组件 2、PKI体系核心-CA 3、PKI提供的基础服务 4、数字证书的概念 5、对称秘钥 6、非对称密钥算法 三、总结 前言 公钥基础设施(Public Key Infrastructure,简称PKI)是目前网络安全建设的基础与核心,是电子商务安全实施的基本保障,因 此,对PKI技术的研究和开发成为目前信息安全领域的热点。 PKI是以不对称加密技术为基础,以数据机密性、完整性、身份认证和行为不可抵抗性为安全目的,来实施和提
SSL/TLS协议四次握手
weixin_44488927的博客
10-04 156
(3)双方采用"对话密钥"进行加密通信。(1)客户端向服务器端索要并验证公钥。(2)双方协商生成"对话密钥"。
计算机安全PKI(“证书”文档)共68张.pptx
最新发布
11-16
计算机安全PKI(Public Key Infrastructure,公开密钥基础设施...计算机安全PKI是一个全面且重要的安全基础设施,通过公钥技术和证书机制,实现了高效、可靠的身份验证和数据保护,对于现代信息系统的安全性至关重要。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值