CA数字证书认证系统培训资料.doc

CA 数字证书认证系统培训资料数字证书认证系统培训资料 目 录 第第 1 章章前言前言5 1.1物理安全5 1.1.1主要功能 .6 1.1.2组成部分 .6 1.1.3技术标准 .6 1.2网络及系统安全7 1.2.1主要功能 .7 1.2.2组成部分 .7 1.2.3遵循的标准 .8 1.3应用系统安全8 1.3.1主要功能 .8 1.3.2组成部分 .9 1.4安全管理和审计9 1.4.1安全管理的主要内容 .10 1.4.2安全审计的主要内容 .10 第第 2 章章PKI 的概念的概念11 2.1什么是 PKI.11 2.1.1数据机密性 .11 2.1.2可认证性 .11 2.1.3数据完整性 .12 2.1.4不可抵赖性 .12 2.2PKI 中涉及到的密码算法12 2.2.1对称算法 .13 2.2.2非对称算法 .14 2.2.3数字签名算法 .18 2.2.4摘要算法 .19 第第 3 章章PKI 的组成的组成21 3.1典型 PKI 结构21 3.2X.509 证书21 3.2.1X.509 V322 3.2.2X.509C V3.24 3.2.3标准扩展项 .25 3.2.4证书结构 .26 3.3PKI 的功能27 3.3.1一个简单的 PKI 系统.27 3.3.2PKI 提供的核心服务28 第第 4 章章PKI/CA 系统的结构系统的结构.30 4.1PKI/CA 体系结构.30 4.2PKI/CA 主要功能.31 4.2.1认证功能 .31 4.2.2数字证书管理功能 .31 4.2.3密钥管理功能 .32 4.2.4数据加密安全通信功能 .32 4.2.5数据完整性服务功能 .32 4.2.6访问控制功能 .32 4.2.7双密钥支持 .33 4.2.8支持数字签名的不可否认 .33 4.2.9支持 CA 间交叉认证33 4.2.10支持历史密钥的管理和恢复.33 4.2.11支持时间戳服务.33 4.2.12支持用户端应用软件.34 4.2.13支持标准化密码算法应用.34 第第 5 章章CA 证书认证系统的结构证书认证系统的结构 .35 5.1证书认证系统的总体结构35 5.1.1RCA.35 5.1.2CA35 5.1.3SCA35 5.1.4RA35 5.1.5LA36 5.2证书认证系统的基本功能36 5.3证书认证系统的逻辑结构36 5.4证书认证系统的分层结构37 第第 6 章章CA 证书认证系统的功能证书认证系统的功能 .39 6.1证书签发服务器39 6.2密钥管理服务器40 6.3证书管理服务器40 6.4CA 中心审计系统 41 6.5CA 中心计费系统 41 6.6CA 中心管理系统 41 6.7网络监控预警系统42 6.8注册服务器 RS 42 6.9WWW 服务器.42 6.10LDAP 证书和查询与发布服务器.42 6.11证书状态实时查询服务器43 第第 7 章章CA 证书认证系统的实施证书认证系统的实施 .44 7.1系统的设计原则44 7.1.1规范化原则 .44 7.1.2安全性原则 .44 7.1.3先进性原则 .44 7.1.4标准化原则 .44 7.1.5可扩展性原则 .44 7.1.6实用性原则 .44 7.1.7模块化原则 .45 7.2系统的技术要求45 7.3系统的安全防护46 7.3.1防火墙 .46 7.3.2入侵检测 .47 7.3.3漏洞扫描 .48 7.3.4病毒防治 .48 7.3.5安全审计 .49 7.3.6Web 信息防篡改.49 7.3.7物理安全与容灾备份 .50 7.4工作协议和流程50 7.4.1CA 系统工作流程.51 7.4.2系统初始化流程 .52 7.4.3身份认证流程 .52 7.4.4业务工作流程 .53 7.5一个 CA 系统实例.53 7.5.1总体结构 .53 7.5.2CA 的设计.54 7.5.3KM 的设计56 7.5.4RA 的设计.57 7.5.5LA 的设计.57 7.5.6LDAP 的设计58 7.5.7OCSP 的设计 59 7.5.8用户载休 .60 7.5.9备份系统 .60 7.5.10网络安全设计.61 第第 8 章章相关技术标准相关技术标准64 8.1正在制订的标准或规范64 8.2已发布的标准或规范64 8.3主要应用标准67 8.4密码函数67 8.5数据格式和协议：68 8.6PKCS 标准协议68 前言 随着计算机技术、通信技术以及互联网技术的飞速发展，社会信息化进程 逐渐加快，信息资源在整个社会的各个领域中的地位和作用变得越来越突出， 各项社会活动(包括国家政治、经济、军事、科技、文化等方面)都将依赖于信 息资源和信息系统的支撑。信息资源及其应用环境信息基础设施将是整个 信息化社会中最关键性的资源，是信息化社会运作的基础。而且其作用和地位 将随着国民经济和社会信息化程度的提高而不断提升。但是信息化进程是一把 “双刃剑”，它推动社会进步的同时，也带来了不可忽视的信息安全问题。 信息安全是涉及到我们国家的经济发展、社会发展和国家安全的重大问题。 近年来，随着国际政治形势的发展，以及经济全球化进程的加快，现在看得越 来越清楚，信息时代到来所引发的信息安全问题，不仅仅涉及到国家的经济安 全，金融安全，同时也涉及到国家的国防安全、政治安全和文化安全。所以说， 在信息化社会里，没有信息安全的保障，国家就没有安全的屏障。我们要唤起 全社会对信息安全问题重要性的高度重视，保证信息安全是我国国家利益的根 本要求。随着我国将加入 WTO，国内信息安全技术及产业的发展水平将最终决 定我国国民经济和社会信息化工作的成败。信息安全对整个国家发展的特殊性 质，决定了信息化建设最终必须依靠国内自主的信息安全产业。尽快建立有自 主知识产权的信息安全保障体系，将是我国国民经济和社会信息化建设的一项 十分重要的内容。因而实施国家信息安全应用示范工程，对加强和引导我国信 息安全保障体系的建设，促进我国信息安全产业的发展，有着极为迫切而重要 的现实意义。 从总体上来看，一个网络系统的信息安全体系主要由以下几部分构成，即 物理安全、网络及系统安全、应用安全及安全审计和安全管理构成。通过以上 几个组成部分的构建，可为网络系统提供了较为完善、全面的安全防护功能。 1.1 物理安全物理安全 物理安全基于物理环境，从 IC 门禁、警卫、电视监控、环境报警、辐射减 弱、网管监控等几个方面进行建设，对系统的各类设备实施安全保护，对系统 环境（计算机环境、网络环境）加强安全防护，防止人为威胁或者自然灾害的 危害，并且对数据媒体本身进行保护。 1.1.1主要功能主要功能 对机房出入进行有效控制； 对涉密网通过加强警卫，预防人为威胁； 对重要服务器系统和中心系统机房进行电视监控，确保设备安全； 对涉密网的环境因素进行监控，提供环境监控服务； 降低辐射，防止电磁泄漏； 集中建设网管监控中心，进行统一监控。 1.1.2组成部分组成部分 物理安全系统主要包括 IC 卡门禁子系统、警卫子系统、电视监控子系统、 环境报警子系统、辐射减弱子系统、网管监控中心等。 IC 卡门禁子系统对中心系统机房采用门禁，采取 IC 卡的形式，实现对 管理人员发放 IC 卡的制度，非授权人员无法越过 IC 卡门禁进入机房。 警卫子系统主要是指在中心系统机房涉及存储绝密信息时须设置警卫 人员。 电视监控子系统实现重要服务器系统和中心系统机房实施电视监控系 统，通过实时监控，提供对该系统的实时保护。 环境报警子系统对中心机房、办公设备使用大楼已有烟雾、水、温度 等进行检测报警。 辐射减弱子系统可通过逐步采用液晶显示器、设置屏蔽室等手段达到 降低辐射要求。 网管监控中心用来对网络系统进行安全监控和管理。 1.1.3技术标准技术标准 GB50174-1993电子计算机机房设计规范 GB2887-1989计算机场地技术条件 GB9361-1988计算机场地安全要求 GB9254-1998信息技术设备的无线电骚扰限值 1.2 网络及系统安全网络及系统安全 网络及系统安全基于边界防御、入侵检测、漏洞扫描、病毒防治、IP 地址 规划、网络信任域、数据备份、系统备份等几个方面进行建设，从网络层提供 较完善的安全防护功能。 1.2.1主要功能主要功能 提供有效的网络 IP 地址管理； 提供有效的涉密网边界防御； 提供入侵检测服务； 提供漏洞扫描服务； 提供网络信任域服务； 对数据和系统进行有效备份。 1.2.2组成部分组成部分 网络及系统安全由网络信任域、防火墙、入侵检测、漏洞扫描、病毒防治、 Web 信息防篡改、故障恢复及灾备份等内容。 网络信任域用来对关键设备、重要终端及用户，采用基于“一实体一证”方 式来构建网络信任域，为信息系统提供统一的可信网络基础环境，提供可信网 络接入及可信管理等服务。同时将防火墙、入侵检测、漏洞扫描、病毒防治等 信息安全防御系统纳入网络信任域的统一管理。 防火墙主要进行网络边界防御功能。 入侵检测实现基于网络和系统的实时安全监控，对来自内部和外部的非法 入侵行为做到及时响应、告警和记录日志。 漏洞扫描的作用是定期或不定期的使用安全性分析软件对整个内部系统进 行安全扫描，及时发现系统的安全漏洞，报警，提出补救建议。 病毒防治要支持对网络、服务器和工作站的实时病毒监控；能够在中心控 制台上向多个目标系统分发新版杀毒软件；能够在中心控制台上对多个目标系 统监视病毒防治情况；支持多种平台的病毒防范；提供对病毒特征信息和检测 引擎的定期在线更新服务。 Web 信息防篡改是信息安全防御系统的重要组成部分，它监控 Web 服务器 和应用服务器上的文件目录,并通过可信部署进行合法更新。 故障恢复和容灾备份：主要包括本地系统关键设备的双机备份和重要数据 的冷备份，异地建设容灾备份中心。 1.2.3遵循的标准遵循的标准 简单网络管理协议 SNMPV1.1 TCP/IP 协议 IEEE 802.1x - Port Based Network Access Control，2001 1.3 应用系统安全应用系统安全 应用系统安全是网络信息安全的一个重要组成部分，它基于公钥基础设施 （PKI），为网络层、业务支撑层和应用层提供统一的信息安全服务。包括： 证书业务服务系统、证书认证服务系统、密钥管理系统、密码服务系统、授权 服务系统和可信时间戳服务系统，由这些服务系统构成安全支撑平台。 由于安全支撑平台的基础是密码技术，安全支撑平台在网络层、业务支撑 层以及应用层为涉密网提供信息安全保障服务，地位十分重要。因此，安全支 撑平台的建设必须选用具有我国自主知识产权、通过国家密码主管部门安全审 查的、具有完整体系结构的信息安全平台。 1.3.1主要功能主要功能 安全支撑平台的主要功能是为应用系统提供可靠的安全服务，包括： 提供基于数字证书的信任服务，进行证书管理； 提供基于统一安全管理的密钥服务，进行对称密钥和非对称密钥以及 相关的服务管理； 提供基于统一安全管理的密码服务； 以信任服务为基础，为应用系统提供资源访问控制和授权管理服务， 支持权限管理； 基于公钥基础设施技术，为应用系统提供可信的时间戳服务； 提供数字证书/证书撤消表的目录查询服务，进行证书/证书撤消表的目 录管理，以及证书状态在线查询服务。 1.3.2组成部分组成部分 证书业务服务系统是安全支撑平台信任服务体系的核心部件之一，在密码 服务系统和密钥管理系统的基础上，通过构建证书认证中心 CA（Certificate Authority）、证书审核注册中心 RA（Registry Authority）等提供数字证书的 生产服务。 证书认证服务系统是安全支撑平台的重要组成部分之一，为应用支撑 平台及应用系统提供证书认证服务，包括目录查询服务和证书在线状 态查询服务。证书认证服务系统主要包括 LDAP 服务器和 OCSP 服务 器，提供包括各类证书发布、CRL 发布和证书状态在线查询服务。 密钥管理系统是整个安全支撑平台的基础，是数字证书认证系统中的 一个重要组成，为密码技术和产品的大规模应用提供支持。密钥管理 系统提供加密密钥的产生、登记、认证、分发、查询、注销、归档及 恢复等管理服务。 密码服务系统是安全支撑平台的基础，主要提供包括加解密、签名及 签名验证、数字信封等安全服务，以支持信息的机密性、完整性、真 实性和不可抵赖性，本系统中，密码服务在客户端由实体鉴别密码器 或客户端加密器提供，在服务器端则由加密服务器提供。所有密码算 法都必须在经国家密码主管部门审批的密码设备上运行。 授权服务系统在信任服务系统基础上，为应用提供资源的授权管理及 访问控制服务。授权服务系统根据资源的具体特点和应用的实际需要， 有两种工作模式：集中式授权服务与分布式授权服务。 可信时间戳服务基于公钥基础设施 PKI 技术，为电子政务系统提供精 确可信的时间戳，保证处理数据在某一时间（之前）的存在性及相关 操作的相对时间顺序，为业务处理的抗抵赖性和可审计性提供有效支 持。 1.4 安全管理和审计安全管理和审计 安全管理基于“三分技术、七分管理”的思想，从管理上面提供了安全服 务；安全审计从网络层次和应用层次提供全方位的审计服务。 1.4.1安全管理的主要内容安全管理的主要内容 专门的安全防范组织：建立专门的安全组织，对涉密网安全系统进行 专门管理。 完善的规章制度：机房安全管理制度、计算机运行系统管理制度、人 员管理制度、系统软件应用软件管理制度、数据管理制度、密码口令 管理制度、网络通信管理制度。 安全培训制度：通过对培训对象的定义、培训内容的核定提供全方位 的安全培训。 定期进行风险分析、制订灾难恢复计划：主要包括关键技术人员的多 种联络方法、备份数据取得、系统重建组织等内容。 1.4.2安全审计安全审计的主要内容的主要内容 网络层：针对 IP 包，进行安全分析，通过安全审计，定期自动扫描配 置信息，分析各个方面的大量信息，如情况变化导致的潜在风险的增 减和不断出现的新漏洞和攻击技术。快速反应包括重新进行风险分析、 策略调整等。 应用层：考虑到外交部人员流动性较大，对应用授权、关键业务活动 提供可信日志服务，并进行事后审计。提供详细的日志，记录每个用 户的每次活动（访问时间、地址、数据、程序、设备等）。 第第 2 章章PKI 的概念的概念 2.1 什么是什么是 PKI 在分析 PKI 的结构和组成之前，首先要知道什么是 PKI（Public Key Infrastructure）？从字面理解 PKI 代表“公开密钥基础设施”，或简称为“公钥 基础设施”。其中“公开密钥”或“公钥”是非对称密钥密码算法的另一种更 加通俗的叫法。 “非对称密钥密码算法”是有别于传统“对称密钥密码算法”的一种特殊 类型的加密算法。在 PKI 体系中还涉及到其它一些密码算法，比如：摘要算法、 密钥生成算法、随机数生成算法等。这些算法的有机结合就实现了 PKI 体系所 能提供的安全服务，这些服务包括：数据机密性、可认证性、数据完整性、不 可抵赖性。 传统的 PKI 服务中还有一项安全服务即“访问控制”，在目前安全体系设 计过程中，“访问控制”服务以溶入 PMI 权限管理基础设施当中。 所谓“基础设施”应理解为一个框架或架构，在同一个架构下实现不同设 备、不同系统之间的相互沟通和交流。PKI 就是定义了实现上述安全性服务的 一个体系架构。 2.1.1数据机密性数据机密性 机密性是指防止对未授权数据的访问和数据泄露。通过对数据存贮的访问 控制和静态加密，和对数据传输的动态加密实现这种服务。 把机密性比喻为一个不透明的信封，里面的消息对外部是不可见的。只有 被授权的人才能打开信封阅读取内容，而其它人是打不开信封的，当然也阅读 不到里面的内容。 数据加密为这个信封提供了强大的保密功能。 2.1.2可认证性可认证性 可认证性是指对实体身份的认证和确认（俗称“身份认证”）。这里的实 体可以是一个人、一台计算机、一台通信设备等。 认证的意义在于，一个人（或计算机）需要确认与之正在交流的实体是否 真的是他或她希望交流的对象，或者是否是对方实体声称的身份。 在生活中我们随时都在确认他人。电话响了，我们可以通过声音识别对方。 有人敲门，我们可以先看看他是谁。航空代理处会向你要一张照片，用以身份 确认。计算机和网络需要口令，当你插入 ATM 卡后，ATM 需要你输入你的 PIN 码。 认证可以通过一种或多种方式实现： 你知道的东西，如 PIN 或口令； 你拥有的东西，如门的钥匙或一个 ATM 卡； 你身体的东西，叫生物技术，如拇印，声音模型，或眼膜。 PKI 体系提供的以非对称加密算法为核心的数据签名和验证算法可以实现 高强度的身份认证。 2.1.3数据完整性数据完整性 完整性是指对数据的保护，防止信息被未授权的人修改和替换。通过消息 校验码（MAC）或数字签名的加密机制提供这种服务。 想象完整性作为一个透明的信封，里面的消息可以从外部读出，所以这里 没有机密性。但是，信封本身就是防篡改的证据。接收者可以查看这个信封， 检查这封信是否被打开过、被破坏、或被替换。 2.1.4不可抵赖性不可抵赖性 不可抵赖性是可认证性和完整性共同完成的服务。非对称加密提供了一种 数字签名的机制，只能是原始的发送者才能有这个数字签名。所以，其他任何 人，包括签名消息的接收者都可以检查这个数字签名，消息的签名者不能否认 曾经发送过消息。 而且，数字签名和前面提到的透明信封有相同的属性。消息可以被读，但 是除了认证这个签名者，读者还可以检查消息是否被修改或替换。 2.2 PKI 中涉及到的密码算法中涉及到的密码算法 在 PKI 中我们用到两种最基本的密码算法：对称密钥密码算法和非对称密 钥密码算法有，通常简称为对称加密算法和非对称加密算法，或直接称为对称 算法和非对称算法。严格说对称算法不包括在 PKI 中，但它是信息安全的重要 内容。PKI 中还涉及到密钥生成算法、随机数生成算法、摘要算法等。非对称 算法与摘要算法结合派生出数字签名算法，数字签名算法（包括签名验证）实 现了安全性服务中的“可认证性”和“不可抵赖性”。 2.2.1对称算法对称算法 什么是对称算法？什么是对称算法？ 最通俗的理解就是加密密钥与解密钥相同，如图 1 所示的一个加密流程。 锁图标代表了密码运算，左、右两侧的内容“This is the document in plaintext” 为输入和输出，钥匙图标代表密钥，中间的乱码为密文，红色箭头表示数据流 向。 从左边开始，利用对称密钥对明文进行加密运算，输出是密文。利用相同 的对称密钥对密文进行解密运算，输出是明文。 This is the document in plain- text This is the document in plain- text “BxWv;5df TmWe#4 ,sdgfMwir 3:dkJeTsY s!q3” “BxWv;5df TmWe#4 ,sdgfMwir 3:dkJeTsY s!q3” 密密钥钥相相同同 加加密密运运算算加加密密运运算算加加密密运运算算 解解密密运运算算解解密密运运算算解解密密运运算算 This is the document in plain- text 图 1、对称密码算法示意图 用相同的密钥进行加密和解密，这是对称算法的含义。加解密双方必须共 享同一对称密钥。 密文的传输提供了数据的机密性，但它不能提供数据的完整性，而且它自 身不能够验证，因此也就不提供不可抵赖性。 对称算法的特点对称算法的特点 对称算法的主要特点： 加解密速度快 密钥管理复杂 对称算法最大的优点就是运行速度快，适用于大规模和大流量数据加密。 对称算法最大的缺点就是对称密钥的分发和管理是安全性最薄弱且最具风 险的环节。当相互需要安全通信的人员增加时，密钥数量急速增长。2 个人相 互通信需要 1 个密钥，3 个人相互通信需要 3 个密钥，当有 100 个人相互通 信时就需要 4950 个密钥，其密钥数量为 Cn2(n 为人数)。 有哪些对称算法有哪些对称算法 对称算法主要包括分组密码算法和序列密码算法。分组密码以一个数据分 组为单位与密钥进行混合和扩散，这种算法适用于现代信源环境，便于实现快 速运算；序列密码建立在现代信息论和统计学基础之上，以比特流的方式进行 加密，主要适用于需要自同步、强纠错的移动通信、卫星通信等安全通信环境 中。 目前较著名的对称算法有：DES、Triple- DES、RC4、RC5、IDEA、SAFER、FEAL、AES 等，除 AES（Advanced Encryption Standard）是美国政府公开征求的新一代密码算法外，这些算法的方 法都是公开的，很容易取得，甚至源程序也可以网络上找到。 DES 和 Triple-DES 是常见的对称算法，DES（Data Encryption Standard）算 法是由 IBM 公司在 1970 年研究出的一个加密算法，1977 年被美国国家标准局 采用为联邦标准。DES 的密钥长度为 56 位，带上 8 位校验是 64 位（在加解密 时校验位不起作用）。DES 算法本身没有什么漏洞可以攻击，但由于 DES 的密 钥长度较短，通过“暴力”攻击方法已有成功破解 DES 的先例，因此，Triple- DES 把密钥长度提高到 128 位，“暴力”攻击方法已不再凑效。 根据我国相关部门的规定，我国电子商务和电子政务信息安全产品不能采 用国外公开的对称算法，且密钥长度不能小于 128 位。目前在电子商务信息安 全产品中使用的对称算法大都是 SSF33，这个算法由国家商业密码办公室提供。 2.2.2非对称算法非对称算法 什么是非对称算法什么是非对称算法 从字面理解，非对称算法与对称算法的主要区别，就是非对称算法的加密 密钥和解密密钥不是同一个，其中一个称为公钥（Public Key），另一个称为私 钥（Private Key）。图 2 展示了一个非对称算法的加密和解密流程，其中锁图 标代表非对称密码运算，两侧的明文代表输入和输出，篮色钥匙图标代表公钥， 红色钥匙图标代表私钥，中间的乱码代表密文，红色箭头表示数据流向。 明文数据送入非对称算法，通过公钥运算产生密文。密文送入非对称算法， 通过私钥运算产生明文。 在这里公钥和私钥是两个不同的密钥，这是与对称算法的最明显的区别。 公钥和私钥是通过一定的算法取得的，具有很强的相关性，但取值不同。利用 公钥加密得到的密文，只有通过相对应的私钥才能解密。因此，任何人都能够 使用某个人的公钥加密明文，但是只有相应的私钥持有者才能解开密文，所以， 公钥加密可以对数据进行保护。反过来，如果明文是使用私钥加密的，任何拥 有相应公钥的人能够解开密文，很明显，私钥加密不能满足数据机密性的要求 （因为公钥可以公开）。 This is the document in plain- text This is the document in plain- text “BxWv;5df TmWe#4 ,sdgfMwir 3:dkJeTsY s!q3” “BxWv;5df TmWe#4 ,sdgfMwir 3:dkJeTsY s!q3” 不同的密钥 加加密密运运算算加加密密运运算算加加密密运运算算解解密密运运算算解解密密运运算算解解密密运运算算 This is the document in plain- text This is the document in plain- text 公公钥钥（Public Key）私私钥钥（Private Key) 图 2、非对称密码算法示意图 非对称算法的特点非对称算法的特点 非对称算法也叫“公开密钥密码算法”或“公钥算法”，这个算法有效地 解决了对称算法通信双方密钥分发和共享困难的缺点。 非对称算法的加密密钥与解密密钥是一组相对的密钥，称为“非对称密钥 对”或“密钥对（Key Pair）”，其中一个为可以公开的加密密钥（简称“公钥” ），另一个是必须秘密保存的解密密钥（简称“私钥”），而且由公钥很难求 出私钥。注：非对称算法都是建立在一些目前很难解的数学理论基础之上的，如大数因注：非对称算法都是建立在一些目前很难解的数学理论基础之上的，如大数因 子分解、离散对数求解等。当密钥长度达到一定程度后，密钥的求取几乎是不可能的子分解、离散对数求解等。当密钥长度达到一定程度后，密钥的求取几乎是不可能的。 非对称算法的主要特点： 加解密速度慢 密钥管理简单 非对称算法的优点就是密钥管理很简单。私钥持有者可把他的公钥发送给 任何想与之通信的人，对方用公钥加密信息，只私钥持有者才能解密信息，这 样就保证了信息的安全。另一方面，使用私钥加密（签名），可以通过公钥进 行解密认证，这样就可以进行身份认证，或用在抗抵赖应用中。 非对称算法的缺点就是加解密速度比较慢，不适应大数据量加解密作业。 根据其密钥管理简单的特点，非对称算法通常只用于对称加解密时保护对称密 钥。下图所示是一个完整的数据加密流程： 发送方产生对称密钥，使用对称算法加密明文产生密文； 然后取接收方的公钥，用非对称算法加密对称密钥产生加密密钥； 把密文及加密密钥一起发送给接收者； 接收者利用非对称算法和自己的私钥解开加密密钥得到原始对称密钥； 利用对称算法和对称密钥解开密文得到明文。 This is a document This is a document 公公钥钥私私钥钥公公钥钥私私钥钥公公钥钥私私钥钥 BxWTmWe#4, sdgfdkJeTss BxWTmWe#4, sdgfdkJeTss 对 称 加 密 对称密钥 。 非对称加密非对称解密 对 称 解 密 BxWTmWe#4, sdgfdkJeTss BxWTmWe#4, sdgfdkJeTss This is a document This is a document 对称密钥 图 3、非对称算法保护对称密钥 有哪些非对称算法有哪些非对称算法 著名的非对称算法有 Diffie-Hellman 密钥交换算法、RSA 加密及签名算法、 DSA 数字签名算法、ElGamal 加密及签名算法、Schnorr 数字签名算法等。目前， ECC 椭圆曲线算法也得到了长足的发展，在相同的密钥强度下，ECC 的密钥长 度要小于其它非对称算法的密钥，特别适用于移动通信领域。 当前最著名、应用最广泛的公钥系统 RSA 是在 1978 年，由美国麻省理工 学院(MIT)的 Rivest、Shamir 和 Adleman 在题为获得数字签名和公开钥密码 系统的方法的论文中提出的。它的安全性是基于大整数素因子分解的困难性， 而大整数因子分解问题是数学上的著名难题，至今没有有效的方法予以解决， 因此可以确保 RSA 算法的安全性。RSA 算法是第一个既能用于数据加密也能 用于数字签名的算法，因此它为公用网络上信息的加密和鉴别提供了一种基本 的方法。 第六届国际密码学会议对应用于非对称加密算法推荐了两种：基于大整数 因子分解问题的 RSA 算法和基于椭圆曲线上离散对数计算问题的 ECC 算法。 RSA 算法的特点之一是数学原理简单、在工程应用中比较易于实现，但它的单 位安全强度相对较低。目前用国际上公认的对于 RSA 算法最有效的攻击方 法一般数域筛方法去破译和攻击 RSA 算法，它的破译或求解难度是亚指数 级的。ECC 算法的数学理论非常深奥和复杂，在工程应用中比较难于实现，但 它的单位安全强度相对较高。用国际上公认的对于 ECC 算法最有效的攻击方 法Pollard rho 方法去破译和攻击 ECC 算法，它的破译或求解难度基本上是 指数级的。正是由于 RSA 算法和 ECC 算法这一明显不同，使得 ECC 算法的单 位安全强度高于 RSA 算法，也就是说，要达到同样的安全强度，ECC 算法所 需的密钥长度远比 RSA 算法低（见表 1）。有效地解决了为了提高安全强度必 须增加密钥长度所带来的工程实现难度的问题。 表 1、RSA 和 ECC 安全模长对比 攻破时间攻破时间 （MIPSMIPS 年）年） RSA/DSARSA/DSA 密钥长度密钥长度 ECCECC 密钥长度密钥长度 RSA/ECCRSA/ECC 密钥长度比密钥长度比 104512106 5：1 108768132 6：1 10111024160 7：1 10202048210 10：1 107821000600 35：1 根据我国相关部门的规定，我国电子商务和电子政务信息安全产品的 RSA 算法的密钥长度最小为 1024 位，ECC 算法的密钥长度最小为 192 位。 2.2.3数字签名算法数字签名算法 图 4 描述了数字签名算法的机制。从左边开始，对明文首先进行摘要 （Hash）算法，其输出为明文的 Hash 值。注：注：HashHash 算法是一个数学函数，它把任意算法是一个数学函数，它把任意 长度的数据（文件）映射到固定长度的字节串，典型的输出长度是长度的数据（文件）映射到固定长度的字节串，典型的输出长度是 128128 位或者位或者 160160 位。位。 HashHash 值对输入的数据而言是一个唯一值，输入数据的任何改变，这个值将改变（具体参见值对输入的数据而言是一个唯一值，输入数据的任何改变，这个值将改变（具体参见 .4）。）。Hash 值和非对称私钥一起输入到非对称算法，其输出称作数字签名。 数字签名作为原文档的一个附件附在原文档上面一起发送给文档接收者。 接收者通过如图 5 所示的签名验证算法流程，对接收到的数字签名进行验 证。首先对文档进行相同的摘要算法得到 Hash 值；然后利用签名者公钥对数字 签名进行非对称运算（脱签），得到签名时的 Hash 值；最后对两个 Hash 值进 行比较，若相等则验证通过，否则表示文档已被修改或不是预期的签名者。 对非对称算法而言，数字签名通过使用私钥加密 Hash 值而产生（参看图 4）。数字签名通过使用公钥解密数字签名重新获得原始 Hash 值来验证。然后 把新产生的 Hash 值和原始的 Hash 值进行比较，如果它们匹配，那么数字签名 就被验证（参看图 5）。 This is a document Everybody can modify this document 摘摘要要摘摘要要 摘要算法 智智能能IC卡卡 数字签名 This is a document Everybody can modify this document This is a document Everybody can modify this document 网网络络环环境境网网络络环环境境 RSA算算法法 私私钥钥 图 4、数字签名算法流程 从另外一个角度来看，非对称算法解密数字签名可得到原始 Hash 值。因此， 数字签名提供了数据的完整性。因为遵照密钥的机密性，数字签名仅能由私钥 的持有者产生。因此，如果接收者知道签名者的相应公钥，接收者就能验证签 名。而且，既然签名者能够产生数字签名，它就可以为第三方提供完整性和认 证；因此，数字签名也提供不可抵赖性。签名者不能否认产生了数字签名，因 为仅有他自己能够完成这个工作。 数字签名 This is a document Everybody can modify this document This is a document Everybody can modify this document 摘摘要要 摘摘要要 比比较较 非非对对称称算算法法（RSA） 摘要算法 发发送送者者公公钥钥 图 5、签名验证算法流程 2.2.4摘要算法摘要算法 摘要算法（也叫杂凑算法或散列算法）是可以将任意长度的信息加以浓缩、 转换，生成一长度比较短且固定的输出信息的运算，一般称此输出信息为摘要 值（杂凑值或散列值），通常记作 Hash。 摘要算法主要用在数字签名系统中，由于非对称算法速度慢，直接对整份 文件进行签名效率很低。因此，在实际流程中使用摘要算法对文件进行摘要运 算，获得长度较短，但足以区别该文件的摘要值，再用非对称算法对摘要值进 行签名，取代对原文件进行签名。 摘要算法必须具备以下特性： 给定一文件的摘要值，要想还原原始文件在算法上是不可行的； 给定一文件的摘要值，要想找出另一文件与该文件的摘要值相同在计 算上是不可行的。 目前常用的摘要算法主要有 MD5、SHA-1。前者生成摘要值的长度固定为 16 字节（128 位），后者生成摘要值的长度固定为 20 字节（160 位）。注：具注：具 可靠消息，可靠消息，MD5MD5、SHA-1SHA-1 等摘要算法发现安全漏洞，尽管这只是初步研究结果，但这些漏洞等摘要算法发现安全漏洞，尽管这只是初步研究结果，但这些漏洞 足以让黑客在计算机系统留下后门，或者伪造数字签名。专家建议，程序开发人员尽早放足以让黑客在计算机系统留下后门，或者伪造数字签名。专家建议，程序开发人员尽早放 弃使用弃使用 MD5MD5。 第第 3 章章PKI 的组成的组成 3.1 典型典型 PKI 结构结构 RFC2459 定义了在 Internet 网上 X.509 公钥体系结构标准规范，该规范定 义了网上 PKI 证书和证书撤消列表的格式和语义、处理证书路径的过程和描述、 以及流行加密算法的编码规则等内容。一个典型的 PKI 结构如下图所示。 证证书书/ /证证书书撤撤消消列列表表数数据据库库 终终端端实实体体 R RA A C CA A C CA A 操操作作和和管管理理 管管理理 PKI用用户户 PKI管管理理 发发布布证证书书 发发布布证证书书 发发布布C CR RL L 管管理理 图 6、典型 PKI 体系结构 其中： 终端实体PKI 证书用户或证书持有者终端用户系统； CA证书认证机构； RA证书注册机构； 证书数据库面向为终端实体服务的分布式证书和证书撤消列表数据 库。 3.2 X.509 证书证书 RFC2459 标准规范中定义了 X.509 第 3 版证书标准，这也是目前最通用的 证书标准。根据我国的实际情况，国家相关标准部门在标准 X.509 V3 基础上， 增加部分证书扩展项，制定了符合我国国情的 X.509C V3 标准。 3.2.1X.509 V3 本标准采用抽象语法表示法（Abstract Syntax Notation 1, ASN.1）的特定编 码规则（Distinguished Encoding Rules, DER）对证书域中的各项信息进行编码， 组成特定的证书数据结构。 证书总体结构证书总体结构 数字证书包含 3 个基本部分：待签名证书、签名算法、数字签名。它的基 本数据结构如下： Certificate=SEQUENCE tbsCertificateTBSCertificate, signatureAlgorithmAlgorithmIdentifier, signatureValueBIT STRING 其中： tbsCertificate：待签名证书，它也是一个数据结构，包含了证书的基本 信息； signatureAlgorithm：签名算法标识符，代表下面的数字签名采用算法； signatureValue：数字签名值，一般由 CA 的签名密钥通过上述签名算 法产生。 数字证书正是利用其中的数字签名由 CA（第三方）保证了证书内容的真 实性和可靠性。 证书主体结构证书主体结构 待签名证书是证书的主体，其中包含了证书的基本内容，主要有：证书版 本号、证书序列号、签名算法、证书签发者、证书持有者、证书有效期限、持 有者公钥信息、证书扩展项等内容，基本数据结构如下所示： TBSCertificate := SEQUENCE Version0 EXPLICIT Version, serialNumberCertificateSerialNumber, signatureAlgorithmIdentifier, issuerName, validityValidity, subjectName, subjectPublicKeyInfoSubjectPublicKeyInfo, issuerUniqueID1 IMPLICIT UniqueIdentifier OPTIONAL, subjectUniqueID2 IMPLICIT UniqueIdentifier OPTIONAL, extensions3 EXPLICIT Extensions OPTIONAL 其中： Version：证书版本号。0v1、1v2、2v3。当证书中包含了扩展域 时版本必须是 v3，如果没有扩展域但是使用了 UniqueIdentifier，版本 应该是 v2，如果证书中只有一些基本的域，版本应该是 v1，但也可以 把版本表示为 v2 或 v3。在系统实现过程中，应该能够识别各种版本的 证书，至少必须能够识别 v3 证书。 serialNumber：证书序列号。序列号是 CA 分配给每个证书的一个正整 数，一个 CA 签发的每张证书的序列号必须是唯一的（这样，通过签 发者的名字和序列号就可以唯一地确定一张证书），CA 必须保证序 列号是非负整数。序列号可以是长整数，证书用户必须能够处理长达 20 个 8 位字节的序列号值。CA 必须确保不使用长于 20 个 8 位字节的 序列号。 signature：签名算法。这个域包含 CA 签发该证书所使用的密码算法的 标识符，这个算法标识符必须与证书中 signatureAlgorithm 域的算法标 识符相同。 issuer：证书签发者。这个域标识了签发证书的实体，它必须包含一个 非空的甄别名称（DN-distinguished name）。这个域被定义成 X.501 的 Name 类型，通常 DN 的格式如下：C国家，S省（市），L区 （县、市），O组织机构，OU组织单位，CN通用名称。 validity：证书有效期限。证书有效期是一个时间区间，包括证书有效 期的起始时间(notBefore)和证书有效期的终止时间(notAfter)。这两个时 间都被表示成 UTCTime 或者 GeneralizedTime 类型。UTCTime 类型的 时间表示到 2049 年之前，而 GeneralizedTime 类型可以表示到 2050 年 之后。 subject：证书持有者（主体）。该域描述了与主体公钥域中的公钥相对 应的实体。主体名称必须包含一个 X.500 的甄别名称（DN），一个 CA 认证的每个主体实体的甄别名称必须是唯一的，一个 CA 可以为同 一个主体实体以相同的甄别名称签发多个证书，主体 DN 的格式与证 书签发者 DN 相同。 subjectPublicKeyInfo：公钥信息。这个域用来标识证书持有者公钥和相 应的公钥算法，公钥算法使用算法标识符结构来表示。 issuerUniqueID：签发者唯一标识。这个域只能在 V3 和 V2 版证书中， 该域主要用来处理签发者名称的重用问题，V3 标准不建议使用此域， 但是在应用过程中应该能够解析这个域。 subjectUniqueID：持有者唯一标识。这个域只能在 V3 和 V2 版证书中， 该域主要用来处理持有者名称的重用问题，V3 标准不建议使用此域， 但是在应用过程中应该能够解析这个域。 extensions：证书扩展项。这个域只能出现的 V3 证书中。在 V3 版证书 中，定义了若干标准扩展项，每个扩展项由类型、关键度、值三项组 成。一般情况下，应用系统必须至少能够识别下列扩展域：密钥用法、 证书策略、主体替换名称、基本限制、扩展的密钥用法以及禁止任何 策略扩展域。另外还应该能够识别权威和主体密钥标识符以及策略映 射扩展域。 3.2.2X.509C V3 X.509C V3 标准是在原 X.509 V3 标准基础上，增加了符合我国国情的证书 扩展项而形成的，基本结构与原标准一致，具体由我国“全国信息安全标准化 技术委员会”定义和维护的标准 OID 定义如下： 表 2、全国信息安全标准化技术委员会维护的 OID OIDOID 含义含义 1.2 国际标准化组织成员标志 1.2.86 中国 国家密码管理委员会办公室 1 全国信息安全标准化技术委员会 1.5 全国信息安全标准化技术委员密码算法 1.5.10 分组密码算法 1.5.20 序列密码算法 1.5.30 非对称密钥密码算法 1.5.40 ECC 密码算法 1.5.50 hash 算法 基于 sch 算法和 RSA 算法的签名算法 基于 sch 算法和 ECC 算法的签名算法 1.7 中国 X.509 数字证书扩展域 1.7.1 身份证号扩展项 1.7.2 社会保险号扩展项 1.7.3 组织机构代码扩展项 1.7.4 工商注册号扩展项 1.7.5 税号扩展项 3.2.3标准扩展项标准扩展项 下面给出 X.509C V3 版证书所使用的标准扩展项。 表 3、标准扩展项 名称名称描述描述关键度关键度 authorityKeyIdentifier 机构密钥标识符非关键 subjectKeyIdentifier 主体密钥标识符非关键 keyUsage 密钥用法双证书标记为关键，单证书标记 为非关键 extKeyUsage 扩展密钥用途如果密钥的用法只限于所指示的 用途时标记为关键，否则标记为 非关键 privateKeyUsagePeriod 私有密钥使用期非关键 certificatePolicies 证书策略非关键 policyMappings 策略映射如果证书用户需要正确解释发布 的 CA 设定的规则时标识为关键， 否则标识为非关键 subjectAltName 主体可选替换名称非关键 issuerAltName 颁发者可选替换名称非关键 subjectDirectoryAttributes 主体目录属性非关键 basicConstraints 基本限制CA 证书标记为关键，终端实体证 书标记为非关键。 nameConstraints 名称限制如果证书用户系统应检验所处理 的认证路径与此扩展中的值是否 一致时标记为关键，否则标记为 非关键。 policyConstraint