（计算机科学与技术专业论文）cpki中ca认证系统的设计与实现.pdf

国防科学技术大学研究生院学位论文 摘要 f ii n t e r n e t 技术和电子商务的迅速发展，极大的改变r 人们的生活和工作方式，同时也带 来了、许多安全隐患。因此，安全服务正在成为i n t e r n e t 和电子商务应用中的一种基本服务。 能提供这种服务的基础设施就是公开密钥安全基础设施( p k i ) 。p k i 的目的就是使不同的 实体可以方便的使用公钥技术。 y p k i 是由一些相互关联的组件提供的服务的集合，这些组件共同为上层应用和用户提 供基于公钥技术的安全服务。p k i 为i n t e m e t 和电子商务技术提供了三种主要的核心服务， 首先，它可以提供数据的机密性，第二，它可以实现实体的身份认证，最后，p k i 还可以 保证数据的完整性。本文首先介绍了基本的p k i 概念，包括与p k i 相关的密码学知识，p k i 的组成和提供的核心服务。p k l 的结构框架和相关的各种技术标准。接下来对p k i 中c a 信任模型做了深入的研究，讨论了当前流行的四种信任模型，并且给出了各种模型的优缺 点，以及在每种信任模型中证书路径处理的问题。 c a 认证系统是p k i 的核心组成部件，它负责为p k i 中的实体颁发公钥证书。公钥证 书是将实体的身份和公开密钥绑定在一起的一种数据结构。本文详细讨论了c a 系统的设 计和实现过程。在对当前各个c a 认证系统进行分析的基础之上，我4 r n 用c r y p t l i b 工具 包自行设计和实现了一个c a 认证系统，它具有完整的密钥和证书管理功能。c a 系统的 实现遵循了国际上通用的证书标准和规范，并且具有良好的可扩展性，能够随着规模的扩 大通过增加下级c a 来扩展整个系统的规模。在文章的最后，还讨论了c a 认证系统的运 行要求。在实际运行过程中，c a 认证系统，证书用户和依托方都必须承担相应的责任和 义务。 天键词：公钥基础设施，蹦络安全，认证系统，公钥证书，密钥管理 。 。， v “y 蒴i 顶 国防科学技术大学研究生院学位论文 a b s t r a c t t h er a p i dd e v e l o p m e n to ft h eh a t e m e ta n de l e c t r o n i cc o m m e r c eh a s g r e a t l yc h a n g e d p e o p l e sl i f es t y l ea n dw o r k i n g m e a n w h i l e ，i tb r i n g sm a n ys e c u r i t yp r o b l e m st h e r e f o r es e c u r i t y s e r v i c ei sb e c o m i n gab a s i cs e r v i c ei nt h ei n t e r n e ta n de l e c t r o n i cc o m m e r c et h e i n f r a s t r u c t u r e w h i c hc a n p r o v i d es e c u r i t ys e r v i c e si sc a l l e dp u b l i ck e yi n f r a s t r u c t u r e ( p r d ) t h ep u r p o s eo f p k l i st om a k ei te a s yf o re n t i t i e st ou s e p u b l i c k e yc r y p t o g r a p h y p k ii sas e to fu s e f u ls e r v i c e sp r o v i d e d b y ac o l l e c t i o no fi n t e r c o r m e c t e dc o m p o n e n t st h e s e c o m p o n e n t sw o r kt o g e t h e rt op r o v i d ep u b l i c - k e y - b a s e ds e c u r i t ys e r v i c e st oa p p l i c a t i o n sa n d u s e r sp k i p r o v i d e st h r e ek i n d so f s e r v i c e st h a ta r ev a l u a b l et oi n t e m e ta n d e - c o m m e r c e ，f i r s t l y , i tp r o v i d e sp r i v a c yf o rd a t a s e c o n d l y ，i tp r o v i d e sa u t h e n t i c a t i o no f e n t i t i e s f i n a l l y , i tp r o v i d e s i n t e g r i t yf o rd a t a t h i sp a p e rf i r s td e s c r i b e st h ef u n d a m e n t so fp k i ，i n c l u d i n gt h ek n o w l e d g eo f c r y p t o g r a p h y , t h ec o m p o n e n t s o f p k i ，t h es e r v i c e sp r o v i d e db ) rp k i ，t h es t r u c t u r ea n ds t a n d a r d s a b o u tp k it h e nt h ep a p e rd i s c u s s e st h ec at r u s tm o d e l w ew i l lm a i n l yd e s c r i b ef o u rp o p u l a r t r u s tm o d e l s ，t h e i ra d v a n t a g ea n d d i s a d v a n t a g e s ，a n dt h ec e r t i f i c a t ep a t hi nt h e t r u s tm o d e l c e r t i f i c a t ea u t h o r i t yi st h ek e y c o m p o n e n t o f p k i ，w h i c hi sr e s p o n s i b l ef o ri s s u i n gp u b l i c k e yc e r t i f i c a t e st ou s e r s p k i i st h ed a t as t r u c t u r ew h i c hb i n dt h ei d e n t i t yo fe n t i t yw i t hi t s p u b l i c k e y s on e x t ，t h i sp a p e rd i s c u s s e dt h ed e s i g na n di m p l e m e n t a t i o no f c e r t i f i c a t ea u t h o r i t y b a s e do nt h ea n a l y s i so fm a n yc a s y s t e m s ，w eh a v ed e s i g n e da n di m p l e m e n t e dac e r t i f i c a t e a u t h o r i t y ，w h i c hh a st h ef u l lc a p a b i l i t yo f c e r t i f i c a t ea n d k e ym a n a g e m e n t t h ed e s i m ao f t h ec a s y s t e mf o l l o w st h ec o m m o ni n t e r n a t i o n a lc e r t i f i c a t es t a n d a r d s a n dh a sg o o ds c a l a b i l i t y i nt h e e n do ft h i s p a p e r ，w e a l s od i s c u s s e dt h e o p e r a t i o nr e q u i r e m e n t s o fc e r t if i c a t e a u t h o r i t x _ c e r t i f i c a t e a u t h o r i t y , c e r t i f i c a t e h o l d e r sa n du s e r st h a t r e l y o nt h ec e r t i f i c a t ea l lh a v e c o r r e s p o n d i n gr e s p o n s i b i l i t i e sa n do b l i g a t i o n si nt h e r e a ll i f e k e y w o r d ：p k i n e t w o r ks e c u r i t y ，c e r t i f i g a t ea u t h o r i t y ，p u b i i ck e yc e r t i f i c a r e k e ym a n a g e m e n t 第1 j 页 国防科学技术大学研究生院学位论文 第一章绪论 1 1 课题研究背景 t n t e r n e t 的出现和飞速发展大大加速了人类社会信息化的进程，为人类交换信息，促 进科学技术的发展，提高人类生活质量提供了极大的方便，但同时对国家、单位和个人的 信息安全也带来了极大的安全威胁。由于i n t e r n e t 本身所具有的全球性、共享性和开放 性的特点，使得任何人都可以自由地接入i n t e r n e l ，有些人就会采用各种攻击手段进行破 坏活动。目前，网络上主要面临的安全威胁有：( 1 ) 、中断：对网络的可用性进行攻击， 破坏系统中的硬件、线路、文件系统等，使系统不能正常工作；( 2 ) 、窃听：通过搭线和 电磁泄漏等对机密性进行攻击，造成泄密，或者对业务流量进行分析，获取有用情报；( 3 ) 、 篡改：对完整性进行攻击，篡改系统中的数据内容，修正消息次序、时问( 延时和重放) ； ( 4 ) 、伪造：破坏真实性，将伪造消息注入系统，假冒合法用户接入系统，重放截获的合 法消息实现非法目的，否认消息的接收或发送等。 随着i n t e r n e t 技术的发展，电子商务、网络银行等成为了近年来的几大热点，与此同 时，在网络上进行的电子商务活动面临着各种各样的威胁，对重要信息的传送和控制非常 困难，很难辨别菜条信息是否是由某个确定的实体发出的，以及在信息的传送过程中是否 曾经被非法篡改过。概括起来，电子商务活动对网络安全提出了如下最基本的安全需求： ( 1 ) 、身份鉴别( a u t h e n t i c a t i o n ) ：在交易前首先要确定对方的身份，要求交易双方的 身份不能被假冒或伪装；( 2 ) 、数据的机密性( c o n f i d e n t i a l i t y ) ：对敏感的信息进行加 密，即使入侵者截获了数据，也无法得到数据的真实内容；( 3 ) 、数据的完整性( i n t e g r i t y ) ： 要求双方都能够验证收到的信息是否完整，是否被人篡改过，保证交易的严肃和公正；( 4 ) 、 不可抵赖性( , n o n r e p u d i a t i o n ) ：交易一旦达成，发送方不能否认他所发送的信息，接受 方也不能否认他所收到过某条信息。 为了满足i n t e r n e t 上电子商务的安全需求，世界各国都纷纷开展了以公开密钥加密技 术为基础的公钥基础设旌( p u b l i ck e yi n f r a s t r u c t u r e ，p k i ) 的研究和应用。目前，国 内外已经提出和实现了许多基于p k i 技术构造安全i n t e r n e t 应用系统的算法和协议，其 中比较重要的就是各种基于公钥体制的安全协议如s s l ( s e c u r es o c k e t , a y e r ) ，s m i 娅( 安 全邮件扩展协议) 等。此类协议都基于这样一个假设：系统中每对实体通信前都已经利用 公钥管理服务安全地获得了自已的私钥和对方的公钥。为此，通常需要在 n t e r n e t 上运 行一个c a 认证中心( c e r t i f i c a t ea u t h o r i t y ) 为各种应用提供公钥管理服务。 国外的p k i 工具和产品对中国用户屏蔽了一些关键功能，同时削弱了一些功能的安全 强度，例如将使用的密钥限定在极易被攻破的长度上。并且我们也很难检测国外直接引进 的加密管理产品是否故意夹带了安全漏洞。为了保障我国的网络安全，我们课题组确定开 发自主版权的加密管理工具。中国作为一个网络发展大国，发展自己的p k i 技术是很有必 第! ! 趸 国防科学技术大学研究生院学位论文 要而且是非常迫切的a 由于我们目前没有成熟的p k i 解决方案，使得某些关键应用领域不 得不采用国外的p k i 产品。因此，研究和开发我国自主的、完整的p k i 系统，以支持政府、 银行和企业安全地使用信息资源和国家信息基础设施已是刻不容缓，这对于我国电子商 务、电子政务、电子事务的发展将是非常关键和重要的 1 2p k i 技术的发展现状和应用 p k i 在国外已经开始实际应用。在美国，随着电子商务的日益兴旺，电子签名、数字证 书已经在实际中得到了一定程度的应用，就连某些法院都已经开始接受电子签名的档案。 国外开发p k i 产品的公司也有很多，比较有影响力的有v e r i s i g n 、b a l t i m o r e 和e n t r u s t ，他 们都推出了可以应用的产品。e n t r u s t 公司的e n t r u s t p k i5 0 可提供多种功能，能较好地满足 商业企业的实际需求。v e r i s i g n 公司也已经开始提供p k i 服务，i n t e m e t 上很多软件的签名 认证都来自v e r i s i g n 公司。著名的市场调查公司i d c 在1 9 9 9 年1 2 月发表的报告“p k i ： n o t h i n gb u tp i l o t s ”中认为：目前p i g 技术还处在幼年期，2 0 0 3 年的世界p i g 市场将由 1 9 9 8 年的1 2 2 7 亿飞涨到1 3 亿美元。另外一家以英国为主的市场调查公司d a t a m o n i t o r 在 2 0 0 0 年3 月的报告“p u b l i ck e yi n f r a s t r u c t u r e ，1 9 9 9 2 0 0 3 ”中认为，p i g 市场在2 0 0 3 年 将达到3 5 亿美元。p i g 技术正在不断发展中，目前的p k 系统仅仅还处于示范工程阶段， 许多新技术正在不断涌现，c a 之间的信任模型、使用的加解密算法、密钥管理的方案等也 在不断变化之中。 除去上述的几大厂商以外，还有很多组织也各自推出了自己的p k i 实现，它们大都采 朋了一些免费的安全工具进行开发。目前主要的p k i 工程实现有： ，o p e n c a 工程： l ，o s c a rp k i 工程： j o n a h p k i 工程； p y c a 工程： m o z i l l an s s p s i ； i d i s p c 参考实现。 近几年来，国内的p k i 开发和建设工作进展非常迅速。大的行业和政府部门、金融机 构以及公司和地方政府都纷纷建立了自己的p k i 和c a 。目前国内开发和运行p k t 的厂商和 组织主要有： 上海协卡认证中心； c t c a ，中国电信c a 安全认证系统； c f c a ，中国金融认证中心： c p c a ，中国邮政c a 安全认证系统： 信安眭上纪； 诺方信业； 德达创新； 第2 页 国防科学技术大学研究生院学位论文 一- _ _ - _ _ _ _ _ _ - _ _ _ _ - - - _ _ - _ _ _ _ _ _ - - _ _ _ - - - _ 一 吉大正元。 国内p k i 行业的发展虽然整体比较迅速，但是还存在羞许多不足之处，发展具有一 定的盲目性。c a 中心繁多，但是有许多并不是真正的权威第三方，c a 之间的协调和交叉 认证困难，自身管理也有些混乱。 作为一种基础设施，p k i 的应用范围及其广泛，并且在不断的发展之中。目前p k i 技 术主要应用于网络的安全通信中，主要的应用有：虚拟专用网( v p n ) ，安全电子邮件 ( s m i m e ) 和w e b 安全等。 s s 。( s e c u r es o c k e tl a y e r ，安全套接层) 是由n e t s e a p e 最初推出的一种 w e b 安全通信 协议，已经由开始的1 0 版本发展到最新的3 0 版本。s s l v 3 的开发工作已经结束，s s l 协议也从n e t s c a p e 标准转变为一种开放标准。由 e t f 制定的t l s i 0 ( t r a n s f e rl a y e r s e e u r i t y ，传输层安全) 与s s l v 3 的差别非常微小，一般认为它们两者是等价的。s s l 协议 为通信取方建立安全通道，从而提高浏览器和w e b 服务器之间数据交换的安全性。它采用 了公开密钥和数字证书技术来实现通信双方的密钥协商和身份认证。 s s l 协议提供的安全功能主要包括： 认证用户和服务器，确信数据能够发往正确的客户端和服务器； 对传输的数据进行加密，保证数据的机密性； 对传输数据进行完整性校验，保证数据在传输过程中不会被篡改。 在t c p i p 协议族中，s s l 位于t c p 层之上，应用层之下。这使它可以独立予应用层， 从而使应用层协议可以直接建立在s s l 上。s s l 协议包括两个子协议：s s l 记录协议和s s l 握手协议。s s l 记录协议建立在可靠的传输协议( 例如：f c p ) 上，用来封装高层的协议。 s s l 握手协议准许服务器端与客户端在开始传输数据前，能够通过特定的加密算法相互鉴 别。 1 3 课题研究主要开展的工作 p k i 技术是网络安全的核心和基础，因此对p k i 系统的安全性和可靠性提出了特别高 的要求。通过对当前国内外p k i 发展现状和网络安全的需求进行分析后，我们确定了课题 研究的重点有以下几个方面： ( 1 ) 、遵循国际上通用的标准和规范进行设计和实现。各个p k i 的实现公司和标准组 织纷纷制定了许多与p k i 相关的标准和规范，为了使我们的p k i 系统尽可能的与目前使用 的p k i 系统进行互操作，应该遵循应用范围比较广泛的标准和协议。p f f l x 系列标准( p u b l j c k e yi n f r a s t r u c t u r eo nx 5 0 9 ) 是由i e t fp k i x 工作小组制定的，定义了在因特网上如 何进行密钥和证书管理、以及怎样实现这些标准的轮廓结构等。本文的分析和设计都是基 于p k i x 系列标准和规范。 ( 2 ) 、对p k 【体系的底层技术进行深入研究，其中包括公钥加密技术、数字签名技术， 数字证书管理等。通过对安全加密工具包c r y p t l i b 进行分析和使用，对与p k i 相关的各 项关键技术有深层次的理解。 箱3 页 国防科学技术大学研究生院学位论文 ( 3 ) 、选择合适的p k i 信任模型( t r u s tm o d e l ) ，选择信任模型是构筑和运作p k i 所 必需的一个环节，也是部署p k i 所要做的较早和最基本的决策之一。目前主要的信任模型 有层次式信任模型和分布式信任模型两种，此外还有w e b 信任模型，以用户为中心的信任 模型等。 ( 4 ) 、在全面分析各个c a 产品的基础之上，自行设计和实现一个功能完备的c a 认证 管理系统。c a 认证管理系统是p k i 的核心组成，它负责为用户颁发数字证书，绑定用户的 身份和公钥信息。c a 系统的功能主要包括产生密钥对和数字证书、证书分发、证书和密钥 更新、证书注销等。此外，c a 系统还应该可以方便的扩展其功能，以适应更大规模的环境 的要求。 1 4 论文结构： 本文共分为5 章，各章内容如下： 第一章：绪论，首先介绍了课题的研究背景和当前的发展现状，提出了课题研究的重 点，是对整个课题研究的整体介绍。 第二章 第三章 第四章 第五章 p f - j 基础，详细介绍了与p i e d 相关的密码学概念，以及p k i 的定义。 介绍了p k i 体系的信任结构模型和证书路径处理。 c a 认证系统的详细设计和实现过程。 介绍了c a 认证系统具体的运行和管理要求。 第4 页 一里堕型兰鏊查奎兰竺壅生堕兰垡笙苎 第二章p k i 基础和服务 2 1f k i 相关的密码学概念 公开密钥基础设施( p k i ) 是以公开密钥密码学为基础的，因此，它用到了大量的密 码学知识，本节仅介绍与p i g 技术相关的公钥密码学基本概念。 2 1 1 对称密钥加密 密码算法也叫密码，是用于加密和解密的数学函数，简单地说，密码就是一组含有参 数k 的变换e 。通常情况下，有两个相关的函数：个用作加密，另个用作解密。 例如，明文用m 表示，密文用c 表示，加密函数e 作用于m 得到密文c ，可用数学 公式表示为：( 参数k 称为密钥) e k ( m ) = c 相反地，解密函数d 作用于c 产生m ，可用数学公式表示为： d k ( c ) = m 先加密再解密，原始的明文将恢复，故下面的等式成立： d k ( e k ( m ) ) = m 如图2 1 所示： 安全信道 图2 1 对称密钥加密 对称密钥技术的最大优势是加解密速度快，适合于对大量数据进行加密，但密钥管理 较为困难。对称密钥技术要求通信双方事先交换密钥。当系统用户多时，例如，在网上购 物的环境中，商家需要与成千上万的购物者进行交易，若采用简单的对称密钥加密技术， 商家需要成千上万与不同对象通信的密钥，不仅存储开销非常巨大，而且也难以进行管理。 随着密码技术的不断发展，以及网络安全威胁性的不断高涨，安全系统要求的密码长 度也在不断增加。比如，当前大多数系统中所采用的对称密钥长度一般是4 0 位，从目前 的技术水平来看，4 0 位的密钥长度已经4 i 能满足安全需求，所加密的数据可以在短时问内 第5 页 国防科学技术大学研究生院学位论文 被破解。国际上所公认的对称密钥长度应该是1 2 8 位。但是由于美国出口法规的限制，出 口到我国的安全产品中加密系统所采用的密码长度一般不超过5 6 位，如w e b 浏览器和服 务器等，远远不能满足安全需求。常用的对称密钥算法有d e s ，i d e a ，三重d e s 和a e s 等。 2 1 2 公开密钥加密 公开密钥加密技术是密码学方面的一个巨大进步，它需要使用一对密钥分别来完成加 密和解密操作。这两个密钥相互关联，却又截然不同，知道其中的一个密钥并不能推导或 计算出另一个密钥( 在运算上是不可能的) 。因此，可以将一个密钥完全公开，而将另一 个密钥由用户自己秘密保存。信息发送者使用公开的密钥进行加密，而信息接受者则使用 自己保存的私有密钥解密。 公开密钥加密技术解决了密钥的管理和发布问题，每个用户都可以把自己的公开密钥 进行公开，如发布到一个公钥数据库中。采用公开密钥加密技术进行数据加密的过程如图 2 2 所示： 图2 2 公开密钥加密 例如ja l i c e 要发送机密消息给b o b ，首先她从公钥数据库中查询到b o b 的公开密钥， 然后利用b o b 的公开密钥和算法对数据进行加密操作，把得到的密文信息传送给b o b ：b o b 在收到密文以后，用自己保存的私钥对信息进行解密运算，得到原始数据。常用的公开密 钥算法有r s a 、e l g a m a l 等。 2 1 3h a s h 函数 h a s h 酾数也称为消息摘要! 竺! ! ! ! 壁里堡! 竺! ：茎堕全塑二里壅堡壁兰：望型二墅塞堕 一一：一? 茹6m 国防科学技术大学研究生院学位论文 一_ - _ - - _ _ - _ - - _ - - _ _ - - - _ _ - - _ - - _ _ _ - _ _ _ - - _ _ _ _ - - 一 度串，该串被称为输入x 的h a s h 值( 消息摘要) 。h a s h 函数般满足以下几个基本需求： 输入x 可以为任意长度； 输出数据长度固定： 容易计算，给定任何x ，容易计算出x 的h a s h 值h ( x 1 ； 单向函数：即给出一个h a s h 值，很难反向计算出原始输入； 惟一性：即难以找到两个不同的输入会得到相同的h a s h 输出值( 在计算上是不可 行的) 。 h a s h 值的长度由算法的类型决定，与被h a s h 的消息大小无关，一般为1 2 8 或者1 6 0 位。即使两个消息的差别很小，如仅差别一两位，其h a s h 运算的结果也会截然不同，用 同一个算法对某一消息进行h a s h 运算只能获得惟一确定的h a s h 值。常用的单向h a s h 算 法有m d 5 、s h a 一1 等。 2 1 4 数字签名 数字签名是在公钥密码体制下很容易获得的一种服务，它的机制与手写签名类似：单 个实体在数据上签名，而其他的实体能够读取这个签名并能验证其正确性。数字签名从根 本上说是依赖于公私密钥对的概念，可以把数字签名看作是在数据上进行的私钥加密操 作。如果a l i c e 是惟一知道这个私钥的实体，很明显她就是惟一能签署该数据的实体，另 一方面，任何实体( 只要能够获得a l i c e 相应的公钥) 都能在数据签名上用公开密钥作一 次解密操作，验证这个签名的结果是否有效。 要签名的数据大小是任意的，而一个私钥操作却有着固定大小的输入和输出，要解决 这个问题，可以使用单国h a s h 函数。这时，数字签名就不是对原始数据进行签名，而只 是对数据的h a s h 运算结果进行签名，数字签名的过程如图2 3 所示： a 1 i c e 产生文件的单向h a s h 值； a l i c e 用她的私钥对h a s h 加密，凭此表示对文件签名： l ，a 1 i c e 将文件和h a s h 签名送给b o b ； b o b 用a 1 i c e 发送的文件产生文件的单向h a s h 值，然后用数字签名算法对h a s h 值 运算，同时用i c e 的公钥对签名的h a s h 解密。如果签名的h a s h 值与自己产生的 h a s h 值匹配，签名就是有效的。 有几种公钥算法能用作数字签名。在一些算法中，例如r s a ，公钥或者私钥都可用作 加密。用你的私钥加密文件，你就拥有安全的数字签名。在其它情况下，如d s a ，算法只 能用于数字签名而不能用于加密。 第7 页 一一一 里堕墼堂楚鸯丕兰塑塞生堕登堡笙塞 2 1 。密镑鬻壤 翻2 3 数字签名 瘩耀实世界里，密钥嚣蠼是密码学领域中最筮难豹部分。设计安全的密钢箕法和协议 是不容易的，对密钥递行保密就更加豳难，而且通常被大多数人所忽略。密钢管理包括密 钥产生、密钥分发、密钥使用、密钥存储、密钥更新、密钥备份和密钥销毁等一系列问题。 密钢管理的一个核心问题就是如何进行密铜的分发，鄯把真实的密钥安全地分发给合法酌 用户。 鳓桨授拜t 对称密镝进行数攥遥倍，每一对逶倍实彳本蓠必矮攥象凝聚程；秘密酌粱遭秘蕊 个共溺瀚密铺。这榉，在溺络中弼象有n 个实， 搴菠互楱遂镑，舔个实体缣存静密秘数磊 是n i ，熬令系统掇蠢钓密锈羧嚣为埔麓1 谶，蕊麓溺体靛不疑增趣，锗稃鞫管溪这么多 魏密钢缀抉就念交褥难戳玲璎。 公努密锈密码使 ! 孽密锾分发比较褰爨，露盛会大大减少系缝中密铜豹数量，但它也存 在瓣题。无论嬲终上鸯多少个蔡互梗通信憋实体，每个实体只拥有一对密钥。系统中的每 个实体都磁以搬自已的公开密钥发蠢到个公钥数据艨中供对方实体裔询使用。如果一个 入侵者用翅己的公开密钥替换掉某个实体的密钥，那么所商发往该实体的信息都会被该入 侵潜截获并解密，因此，必须要有一种机制确保公钥数据库中的公开密钥不会被祷换，或 者在某个实体的公汗密钥被替换稀，其它器与之通信的实体径使掰该公开密钢时熊够璃菜 种方式检验密涞。 2 1 6 袋锈f i 难蕊 公锭证书是姆某人豹公开辍钥与它的魁份信息绑定在一起的电子文档，由一个值得嵇 赖的第三方权威机构c a ( c e r t i f i c a t ea u t h o r 时) 签发。公钥证书中除了包含用户的公开密钥 信息外，还包括了用，。的身份信息( 比如，用户的d n 标识名，电子嘲件地址等) 和发藏 第8 页 国防科学技术大学研究生院学位论文 该证书的机构的信息，最后由值得信赖的权威机构c a 用私有密钥对公钥证书中的所有信 息进行数字签名，并将签名附在证书的后面，形成完整的数字证书。此时，公钥证书就代 表了该用户的公开密钥信息，如果b o b 获得了a l i c e 的公钥证书，他首先会验证该公钥证 书中c a 的数字签名是否有效，如果数字签名是有效地，表明该证书是由可信的权威机构 认可的，因此可以保证证书中包含的公钥信息确实是属于a l i c e 的，如图2 4 所示。 公钥证书可用来防范用一个公开密钥替换另一个密钥的攻击，因为如果入侵者用自己 的证书替代公钥库中a l i c e 的证书时，由于c a 不会为该假冒证书签名，因此b o b 可以很 容易的得知这个情况，不会利用证书中包含的公钥信息进行数据发送。 图2 4 c a 颁发公钥证书 2 2p k i 的定义 基础设施就是一个大环境的基本框架，一个基础设施可以视作一个普适性基础。因此， 作为个公开密钥基础设施，同样要与其它类型的基础设旌( 如电力通信基础设旖，即网 络) 样提供安全的基本框架和基本服务。安全基础设施应该能够让应用程序增强自己的 数据和资源的安全，并且使得增加安全功能简单和易于实现。 公开密钥基础设施( p k i ) 可以定义为：p i e d 是一个用公钥概念与技术来实施和提供具 有安全性服务的安全基础设施。作为一个安全基础设施的全功能的p k i 由下列组件和服务 构成：， 2 2 1 认证机构 公开密钥技术的前提是两个陌生的人之间能够安全的通信。例如，当a l i c e 想发送消 息给b o b 时，( a l i c e 与b o b 之前从来见过面) ，她将设法得到b o b 的一个公钥，然后用b o b 的公钥对信息进行加密后再传输给b o b 。由于用户的数目可能很多，因此获得b o b 公钥的 方法最好是指定少量的权威实体( 即可信的第j 方机构) ，这种权威对于通信的实体来说 第9 页 一里堕型兰堡查奎兰里塾生堕兰垒堡兰 是可信任的a 权威实体将公钥和身份绑定起来，任何一个用户都可以从这个权威实体处得 到这种身份和公钥的绑定信息，因为这个权威的机构是可以信任的，因此用户可以确信获 得的确实是对方真正的公钥。这个权威机构在p k i 中称为“认证机构( c a ) ”，它们通过 对一个包含用户身份信息和相应公钥的数据结构进行数字签名来绑定用户的身份信息和 公开密钥。这个数据结构被称为公钥证书( 简称为证书) 。 2 2 2 证书库 认证机构将用户的身份和公钥信息绑定之后。除非用户能够很容易她得到证书，否则 也不能进行安全地通信。因此，必须要采用某种稳定可靠、规模可扩充的在线资料库系统， 以便用户可以找到安全通信需要的证书。所以，证书库也是p k i 系统的一个组成部分。可 以用于证书信息分发的机制有多种，如数据库，w e b 服务器，f t p 服务器，l d a p 目录服 务器等。 2 2 3 证书撤销 c a 通过签发证书来绑定用户的身份和公钥，可是在实际情况中，由于某些原因，用 户的公钥可能不能够再继续使用，比如用户的身份发生了改变，私钥泄漏等等。在这种情 况下，必须要有一种机制来撤销先前c a 所做的这种认可。在p i g 中，这种机镑称为证书 的撤销。 证书在撤销后，撤销信息必须要能够迅速被其它证书依托方获得，用户在使用证书中 的公钥进行通信前，除开要检查证书中的签名信息是否有效外，还要查看该证书是否已经 撤销过，如果证书已经被c a 撤销，也不能够再用其中包含的公钥进行安全通信。 2 2 4 密钥的备份和恢复 在实际生活中，经常有用户因遗失密钥而造成保护数据的丢失( 由于无法对受保护的 数据进行解密) ，这种损失有时是非常严重的。遗失密钥的原因有很多，如用户忘记了密 钥的口令，或者存储密钥的物理介质发生了损坏等等。因此，在p i g 系统中要求有一种机 制能够为用户备份并恢复密钥，以避免由于丢失密钥丽带来的不可挽回的损失。 2 2 5 密钥和证书更新 个证书的有效期总是有限的。髓着技术的发展，可能当时强度很高的密钥在经过一 段时间之后变得容易破解，因此，一个已颁发的证书需要有“过期”，以便更新证书。这 个过程称为“密钥和证书更新”。 大多数的用户可能并不熟悉与p k i 有关的协议，他们常常会忘记自己证书“过期”的 时间，只是在出现了问题后才会意识到这一问题，这时已经迟了。因此，需要p k i 系统能 第1 0 页 国防科学技术大学研究生院学位论文 够自动地为用户完成密钥和证书的更新过程。在某些情况下，这个过程的实现可能会有较 大的难度。 2 2 6 交叉认证 建立一个管理全世界所有用户的单一的p i g 是不太可能的，目前已经存在有多个p k i 独立地在运行和操作，为不同的环境和用户团体提供服务。要使不同的p k i 之间的用户进 行安全通信，就必须在这些不同的p k i 之间建立信任关系。“交叉认证”就是在不同的p k i 系统间建立信任关系的基础。通过交叉认证，可以保证一个团体的用户能够验证另一个团 体的用户证书，从而满足我们的业务需求。 2 3p k i 的结构模型 根据p k i x 标准的规定( 即r f c 2 4 5 9 协议) ，p k i 从功能上主要由五个部分组成，如 图2 5 所示。 公钥证书 c r l 存储服务器 2 3 1c a 认证机构 图2 5p k i 结构模型 如前所述，c a 是证书的签发机构，它是整个p k i 系统的核心。通常一个c a 只为某个 有限的用户群体发放证书，一般称为一个安全域。例如，c a 必须接受主体的证书申请请 求，然后创建证书，并用其私钥对证书签名。人、应用程序和其他证书端用户可用c a 的 公开密钥对证书上的数字签名进行验证，从而确定证书的有效性。这样，就可证实是否是 一个可信的c a 签署了该证书。如果该c a 可信，则用户就可相信此公钥确实属于它所相 关的证书主体。 第1 1 页 国防科学技术大学研究生院学位论文 c a 同时还要维护和发布证书撤销列表( c e r t i f i c a t er e v o c a t i o nl i s t ) ，即c r l 。c r l 是 通知用户和应用程序证书失效( 它所包括的公钥也就随之失效) 的主要方式。c a 在广泛 公开的分发点公布c r l ，例如公开目录或w 曲页的u r l 上。 提供c a 服务的机构或个人监控这些操作，设置c a 操作策略。例如，c a 将需要证实 证书申请人的身份，并需为此设置策略。c a 可通过“带外”方式完成该任务：例如，要 求申请人亲自前往申请并提供可接受的身份证明。在任何情况下，策略都是c a 日常运行 的必要部分。 2 3 2r a 注册机构 注册机构( r a ) 是c a 安全认证系统中的可选部分。通常，r a 是c a 可委托管理部 分功能的辅助服务器。例如，r a 可执行一些身份审核任务，报告已撤销证书，产生密钥 或归档密钥对。通常，r a 是可选的，许多c a 自己执行这些任务。某些c a 产品不使用分 离的c a 和r a 服务器，而另外些c a 则选择使用r a 服务器。不管r a 实现的功能如何 不同，但是有一点是必须要记住的，那就是r a 不能颁发证书和作废证书，这些功能只能 由c a 来完成。尽管r a 功能可以直接由c a 来完成，但是专门有一个单独的注册机构来 完成注册功能还是有意义的。在一个终端实体在地理上分布很广的团体内，集中注册所有 终端实体的想法可能是不现实的，而且也会大大加重c a 机构的负载。 如果在一个分布式的环境中采用了r a 服务器来辅助c a 完成部分功能，c a 必须首先 认证该r a 服务器，即c a 为r a 产生一对密钥对，并且为它颁发一个数字证书。端用户 可以通过验证r a 的证书，来信任该r a 。 2 3 3 证书库 c a 系统一般使用证书库来作为分发证书和证书撤销信息的媒介。所谓证书库是指证书 的集中存放地，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。适 当的采用一个或多个证书库可以有很多好处，比如，现在大多数企业已经建立了企业级的 数据库系统，在其中加入p k 相关的信息是一件比较简单的工作；另外，引入证书库机制， 还可以减少存储在本地的证书和证书撤销信息；由于证书和证书撤销列表是可以“自我保 护”的( 数字签名保证了它们的完整性) ，因此，从完整性的角度考虑，存储机制是不需 要进行保护的。 构造证书库的最佳方法是采用支持l d a p 协议( l i g h t w e i g h td i r e c t o r y a c c e s s p r o t o c 0 1 ) 的目录系统，用户或相关的应用通过l d a p 来访问证书库。使用目录系统来存放 证书有很多好处： 能透明地检索用户的证书； 能支持大量用户； 能快速、高效地响应检索证书要求： 第1 2 页 一一一 里堕型主垫查奎兰坚窒生堕兰丝堡奎 可满足企业分布式需要，实现证书分布式分发 具有良好的扩展性。 2 4p k i 技术标准 p k i 的标准化是其发展的前提和基础，只有符合一定的标准，才能保证不同p k i 产品之间 进行交互。与p k i 相关的标准主要分为两类：第类是专门用于定义和描述p k i 的标准，另 一类标准是依赖于p k i 的应用级标准。图2 6 描述了各种建立在p k i 基础之上的应用和相关 协议标准之间的关系。 2 4 1x 5 0 9 规范 e - m a i l g r o u p - e d i s m i m e v p n i p s e c p p t p 图2 6 p k i 拚议标准 依赖于 p k 的标准 定义p k i 的 标准 x 5 0 9 规范是i s o 和c c i t t i t u t 的x 5 0 0 标准系列的一部分，在p k i 概念由小的、 封闭式的网络环境中变到大的、开放式的分布环境的过程中，在很多方面x 5 0 9 标准起了 无可比拟的作用。x 5 0 9 定义并标准化了一个通用的、灵活的证书格式，它被众多的生产 商实现产品时采用了它。目前各个p k i 产品大都采用了x 5 0 9 v 3 标准的证书和c r l 格式， 在后面的章节会详细介绍x 5 0 9 v 3 证书和c r l 格式。 2 4 2 p l d i e t f 公开密钥基础设施工作小组致力于制定基于x 5 0 9 的可交互p k i 标准，公布了一 系列i n t e r n e tp k i 的建议，统称为p k i x 规范。这些规范包括c a 应用指导、证书撤销、证 书和c r l 的分发与管理协议等，旨在使x 5 0 9 标准所规定的证书和c r l 格式适用于在 i n t e m e t 环境中建立p k i 的需要。p k i x 工作小组制定的规范主要包括如下四项专门领域： 证书和证书撤销列表概貌； 证书管理协议： 第1 3 页 国防科学技术大学研究生院学位论文 证书操作协议； 证书策略( c p ) 和认证实施陈述( c p s ) 结构。 证书和证书撤销列表概貌是在r f c 2 4 5 9 中定义的，它包括了对证书和c r l 的格式以 及各项扩展域的详细说明；证书管理协议对管理操作需求所用到的协议进行了详细的说 明，这些操作主要包括对实体及密钥对的初始化，认证、证书撤销、密钥备份和恢复以及 c a 密钥更换、交叉认证等等。证书操作协议描述了日常的p k i 操作中需要用到的协议， 比如证书的在线状态验证。证书策略和认证实施陈述为c a 运行机构书写c p 和c p s 文档 的作者提供了指导，对特殊环境中所应该包括的主题和格式做了建议。 2 4 3p k c s p k c s 是由r s a 实验室与全世界的安全系统开发者们共同制订的公开密钥标准，目的 是为了加速公开密钥技术的实施。自从公开密钥技术出现以来，p k c s 系列标准已经被广 泛实现在各个标准中，包括p k i x ，s e t ，