网安笔记 09 PKI PMI

PKI PMI

PKI

公钥基础设施 public key infrastructure
遵循标准的,利用公钥理论和技术建立的提供安全服务的基础设施

**目的:**身份认证,点滴信息不完整,不可抵赖,提供可靠安全服务

**任务:**可信任数字身份

PKI概念

组成

  • 证书机构
  • 注册机构
  • 证书发布库
  • 密钥备份恢复
  • 证书撤销
  • PKI接口

应用: 认证,数据完整性/保密性,不可否认,公证

CA系统功能

  1. 正数 生成/颁发/撤销/更新/归档
  2. CA自身管理
  3. 日志审计
  4. 密钥恢复

数字认证中心

  1. 发放管理数字证书
  2. 身份认证服务、证书签发,签发后生命周期的管理
    1. 证书状态
    2. 证书需要撤销的时候发布证书撤销通知
  3. 维护证书档案、证书相关审计

注册机构(RA)

  • 数字证书注册审批机构、认证中心的延申
  • RA按照特定政策和管理规范,对用户审查,操作发放证书,撤销证书的操作

RA功能

  • 填写/提交用户注册信息
  • 审核
  • 发送生成证书申请
  • 发放证书
  • 登记黑名单
  • 证书撤销列表管理
  • 日志审计
  • 安全保证

证书发布库:

  1. CA存放/撤销证书的列表
  2. 分布式存放
  3. LDAP目录服务器支持分布式存放

PKI基本概念

  1. 备份和恢复针对加解密钥无法对签名密钥备份 —— 数字签名,为了不可否认,有事件性要求,不可备份恢复
  2. 公私钥用于数据加密,则CA可对用户私钥备份:用户丢失密钥可以恢复

如何撤销?

  1. 周期性发布机制 CRL 证书撤销列表 Certificate Revocation List
  2. 在线查询机制 OCSP Online C二体覅擦特Status Protocol

数字证书

用户身份+公钥(被打包好),权威机构CA正式他的身份 —— 机构对身份和公钥打包好的证书进行数字签名 —— 证书有效性

细节

information

  1. Subject name 主体名
  2. Public Key 公钥
  3. Serial Number
  4. Valid From/To 有效期
  5. Isuer Name 签发名

最终用户联系注册机构(RA),注册机构(RA)联系证书机构(CA)

RA —— 接受、验证用户的注册信息,生成user密钥,接受授权证书撤销请求
CA —— 签发证书

步骤

  1. 密钥生成
  2. 注册
  3. 验证
  4. 证书生成

密钥生成

  1. 主体生成密钥对,公私钥
    1. 公钥 to RA
    2. 私钥给自己
  2. RA给主体用户生成密钥对
    1. 用户的私钥
    2. 用户的公钥

注册

主体写好内容

  1. 版本
  2. 主题名
  3. 公钥
  4. 属性
  5. 签名算法、前面

私钥加密后发给RA(可能附带其他注册信息和证明)

验证

RA看材料
检查私钥拥有证明 proof of possession

  • RA要求用户用私钥对证书的请求签名 —— 进行数字签名。
  • RA生成随机数挑战 : 用户公钥加密 —— 加密后挑战值给用户,用户需要私钥解密。 —— 通过验证
  • RA将数字证书用公钥加密,发给user,user用私钥解密得到证书

生成

  • RA把细节给CA
  • CA验证后生成数字证书
  • CA发给user
  • CA的证书目录保留记录

CA签名证书: 详见chapter 9 23

消息摘要字段,除了数字证书的最后一个字段外,其他都经过消息摘要算法变成消息摘要。 然后CA私钥经过数字签名算法得到数字签名 —— 数字签名作为数字证书最后一个字段,保存CA的私钥

数字证书验证:
全部的消息摘要,通过摘要算法变成MD1 —— 这里为啥多了一个signature呢。感觉是不是写错了。。

拿出数字签名(最后一段),CA公钥解密(签名验证算法)得到MD2

对比MD1和MD2,有效接受

如果用户A,B需要验证证书链,则A需要一致验证B的上一层CA,直到验证到他们公共信任的CA//有些根CA不一样,可能还得交叉验证(如美国和日本的根CA)

信任模型

基于X.509的信任模型

  1. 通用层次结构 子CA给最终实体——用户,服务器,代码发证书,双向信任
  2. 下属层次信任模型 通用层次模型自己,所有用户的公共信任
  3. 网状模式 —— 所有根CA之前对等关系课进行交叉任职,任何两个根CA之间安全通信也要交叉认证,可能需要C(2,n)个交叉认证协议
  4. 混合信任模型 —— 层次+网状
  5. 桥CA —— 交叉认证中心:提供交叉证书,而非证书路径的根(都是同级)
  6. 信任链 —— 可信任的根

数字证书的撤销状态检查机制

  1. 脱机撤销:
    1. CRL 证书撤销列表
  2. 链接撤销状态检查
    1. OCPS 联机证书验证协议
    2. SCVP 简单证书验证协议

OCSP过程

  1. 客户机发送Digital certificate,产生OCSP请求询问OCSP服务器,证书是否有效。
  2. OCSP相应其查询X.500目录
  3. OCSP响应器进行响应

漫游证书

  • 原理:用户证书,私钥放于中央服务器
  • 用户登录本地系统,从server检索公钥私钥对,放于本地内存
  • 内存完成工作后,软件删除本地系统的用户证书、私钥
  1. 用户登录 安全服务器
  2. 安全服务器通过目录查询 user,pswd,certificate,key file
  3. 安全服务器给客户机数字证书,私钥文件

PKI体系 PKIX模型

注册 初始化 认证 密钥对恢复 密钥生成 密钥更新 交叉证书 撤销

包含

  1. 操作协议 —— 基础协议
  2. 管理协议 —— 支持不同PKI实体
  3. 策略大纲 —— 证书策略的文档
  4. 时间标注、数据证书服务 —— 前者用于签名消息,后者用于验证数据正确性

拓扑结构 —— 详见page 42
密钥管理(KMC) —— 签发系统 —— 注册系统——证书发布——在线证书状态查询

在这里插入图片描述

PKI实例

详见44
在这里插入图片描述

核心服务

  1. 认证 —— 身份识别和鉴别。 鉴别包括数据来源鉴别,数据来源鉴别
  2. 完整性——数据未修改,可以用消息认证码 MAC
  3. 保密性

让实体证明他们为所申明的身份

重要数据没有被修改

发送数据只能由接收方读懂

支撑服务

  1. 不可否认性
  2. 安全时间戳
  3. 公证

PMI 授权管理设施

定义:属性证书、属性权威、属性证书框架的集合体。

主题诠释
属性权威生成,签发属性证书AC的机构
属性证书对实体权限绑定。被数字签名的数据结构
属性证书框架构建权限管理基础设施PMI的基础。支持访问控制等

PMI于PKI关系

PKIPMI
证书PKC公钥AC属性
颁发者证书机构属性机构
接收者证书主体证书持有者
绑定主题名字+公钥持有者+n个特权属性
撤销证书撤销列表CRL属性证书撤销列表ACRL
根CA or 信任锚权威源SOA
子机构子CAAA
验证者可信方特权验证

总结:PKI证明user是谁并存于公钥证书,PMI证明user能干啥,PMI建立在PKI的可信身份认证服务上,提供交互。以属性证书形式授权

PMI机制

基于Kerberos

  1. 软硬件实现,快于非对称密码
  2. 不便于密钥管理,单点失败
  3. 适用试试事务处理环境的授权管理

策略服务器

  1. 高度集中,单点管理
  2. 通信瓶颈
  3. 适于地理位置集中

属性证书

  1. 失败拒绝(优点
  2. 性能低
  3. 支持不可否认服务

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/18404.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

使用@Autowired、@Qualifier、@Primary注解自动装配组件

1.Autowired、Qualifier、Primary注解 1.1.Autowired注解 Autowired注解可以对类成员变量、方法和构造函数进行标注,完成自动装配的工作。 package org.springframework.beans.factory.annotation;import java.lang.annotation.Documented; import java.lang.ann…

数据结构学习记录——哈夫曼树(什么是哈夫曼树、哈夫曼树的定义、哈夫曼树的构造、哈夫曼树的特点、哈夫曼编码)

目录 什么是哈夫曼树 哈夫曼树的定义 哈夫曼树的构造 图解操作 代码实现 代码解析 哈夫曼树的特点 哈夫曼编码 不等长编码 二叉树用于编码 哈夫曼编码实例 什么是哈夫曼树 我们先举个例子&#xff1a; 要将百分制的考试成绩转化成五分制的成绩 if(score < …

固态继电器的优点

固态继电器的优点包括紧凑性、抗冲击性和长寿命。以下是这些 SSR 优势中最重要的优势&#xff0c;让您了解为什么这项技术最适合您的应用&#xff1a; 开关速度快 固态继电器器件的主要优点之一是其开关速度。由于无需移动机械部件&#xff0c;SSR 可以在几微秒内切换。这是对…

【Java笔试强训 35】

&#x1f389;&#x1f389;&#x1f389;点进来你就是我的人了博主主页&#xff1a;&#x1f648;&#x1f648;&#x1f648;戳一戳,欢迎大佬指点! 欢迎志同道合的朋友一起加油喔&#x1f93a;&#x1f93a;&#x1f93a; 目录 一、选择题 二、编程题 &#x1f525;年会抽奖…

小红书达人等级有哪些,达人种草力度判断

小红书对于产品及品牌的传播作用&#xff0c;来自于达人自身的分享。以笔记为媒介&#xff0c;对产品进行情景化展示&#xff0c;从而吸引消费&#xff0c;就被称作是种草。而种草力度的强弱&#xff0c;则与达人等级息息相关。下面&#xff0c;就来跟详细为大家解读。 一、小红…

设计模式——适配器模式(类适配器、对象适配器)

是什么&#xff1f; 我们平时的有线耳机接口分为USB的和Type-C的接口&#xff0c;但是手机的耳机插口却只有一个&#xff0c;像华为的耳机插口现在基本都是Type-c的&#xff0c;那如果我们现在只有USB接口的耳机怎么办呢&#xff0c;这个时候就需要使用到一个转换器&#xff0c…

公路交通气象站——提供及时的交通气象信息服务

我国幅员辽阔&#xff0c;跨经纬度广&#xff0c;气候多样。从气候类型划分&#xff1a;可以分为季风气候、温带大陆性气候和高寒气候。 气象的变化也在直接影响着我国各个地区的道路建设及通行&#xff0c;由于部分路段地势险峻伴随恶劣的气象变化&#xff0c;会直接影响驾驶人…

Java 10 字符串

1.API 1.1API 概述 什么是API ​ API (Application Programming Interface) &#xff1a;应用程序编程接口 java 中的 API ​ 指的就是 JDK 中提供的各种功能的 Java 类&#xff0c;这些类将底层的实现封装了起来&#xff0c;我们不需要关心这些类是如何实现的&#xff0c;只…

LeetCoed 2, 23, 25, 112, 113

文章目录 1. 两数相加2. K 个一组翻转链表3. 合并 K 个升序链表4. 路径总和I5. 路径总和II 1. 两数相加 题目详情见: LeetCode2. 两数相加 题目描述相对来说比较绕, 我们可以直接理解为两个多位的整数相加, 只不过整数的每一位都是通过链表进行存储; 比如, 整数 342, 通过链表…

三分钟教你Mac下安装VmWare虚拟机

大数据课程课前环境准备&#xff1a;mac中安装三台linux服务器 一、课前准备 准备一台内存最少8G&#xff08;建议16G&#xff09;、cpu i7 4核的电脑 二、课堂主题 安装虚拟化软件VMware准备3台linux虚拟机 三、课堂目标 完成mac下3个虚拟机的安装 四、知识要点 文档说…

浅析智慧充电桩云平台的技术设计方案

自从我国提出“新基建”以来&#xff0c;充电基础设施产业也成为行业的话题与关注焦点。据数据统计&#xff0c;2021年&#xff0c;中国新能源汽车保有量达到784万辆&#xff0c;预计2025年&#xff0c;中国新能源汽车保有量达到2672万辆&#xff0c;2025年充电桩数量将达到654…

【沐风老师】一步一步教你在3dMax中进行UVW贴图和展开UVW的方法

将简单或程序材质应用于对象并不难。但是当表面需要在其上显示某种纹理时&#xff0c;它会变得更加复杂。任何纹理贴图都放在材质的 Diffuse 插槽中&#xff0c;但渲染的结果可能无法预测。这就是为什么我们需要了解 3DMAX 如何将纹理应用于 3D 对象&#xff0c;什么是 UVW 贴图…

weblogic ssrf 漏洞复现

一.前言 Weblogic中存在一个SSRF漏洞&#xff0c;利用该漏洞可以发送任意HTTP请求&#xff0c;进而攻击内网中redis、fastcgi等脆弱组件。 二.环境搭建 在docker中开启环境 sudo docker-compose up -d sudo docker-compose ps #查看状态访问http://your-ip:7001/uddiexpl…

【数码】收音机,德生PL380使用教程与注意事项

文章目录 1、主界面功能介绍&#xff08;注意闹钟和自动关机&#xff09;2、电池和电池模式的匹配3、收音机天线与信号&#xff0c;耳机与噪音F、参考资料 1、主界面功能介绍&#xff08;注意闹钟和自动关机&#xff09; 红色的按钮&#xff1a;power 按一下开机&#xff0c;按…

25个著名的WordPress网站案例

想创建免费网站吗&#xff1f;从易服客建站平台开始 500M免费空间&#xff0c;可升级为20GB电子商务网站 创建免费网站 WordPress 内容管理系统为全球35%的网站提供支持。鉴于目前有 17 亿个站点&#xff0c;并且还在增加&#xff0c;您可以算出每秒向网站访问者提供内容的W…

牛客网剑指offer|中等题day2|JZ22链表中倒数最后k个结点(简单)、JZ35复杂链表的复制(复杂)、JZ77按之字形顺序打印二叉树(中等)

JZ22链表中倒数最后k个结点(简单) 链接&#xff1a;链表中倒数最后k个结点_牛客题霸_牛客网 /*** struct ListNode {* int val;* struct ListNode *next;* ListNode(int x) : val(x), next(nullptr) {}* };*/ class Solution { public:/*** 代码中的类名、方法名、参数名已经指…

一、PEMFC基础之热力学

一、PEMFC基础之热力学 1.内能U、焓H、熵S、吉布斯自由能G、赫姆霍兹自由能F关系图2.可逆电压与温度和压力的关系3.能斯特方程4.燃料电池效率 1.内能U、焓H、熵S、吉布斯自由能G、赫姆霍兹自由能F关系图 2.可逆电压与温度和压力的关系 标准状态可逆电压Er计算&#xff1a; E …

基于springboot的4S店车辆管理系统(源码等)

摘 要 随着信息技术和网络技术的飞速发展&#xff0c;人类已进入全新信息化时代&#xff0c;传统管理技术已无法高效&#xff0c;便捷地管理信息。为了迎合时代需求&#xff0c;优化管理效率&#xff0c;各种各样的管理系统应运而生&#xff0c;各行各业相继进入信息管理时代&…

Linux进程状态及优先级

本文已收录至《Linux知识与编程》专栏&#xff01; 作者&#xff1a;ARMCSKGT 演示环境&#xff1a;CentOS 7 进程状态及优先级 前言正文进程状态就绪运行状态R阻塞睡眠状态 S休眠状态D挂起 暂停状态T前台与后台进程待追踪暂停状态t 死亡状态 X僵尸状态 Z 孤儿进程进程优先级查…

美颜SDK的隐私保护与安全性分析

随着智能手机和移动应用的普及&#xff0c;美颜SDK已经成为了很多应用的标配。美颜SDK的使用可以让用户在拍照或者视频聊天时&#xff0c;实现自拍美颜、滤镜、磨皮、瘦脸等效果。但是&#xff0c;在享受美颜SDK带来的便利的同时&#xff0c;我们也需要关注美颜SDK的隐私保护与…