PKI数字证书信息安全与电子政务问题ppt课件.pptx

公钥基础设施PKI 1 一 PKI技术的密码学基础1 1密码学基本概念1 2对称密码体制 深度学习DES算法1 3非对称密码体制 深度学习RSA密码算法 DH算法和DSA算法1 4散列函数 数字信封 HMAC和时间戳 目录 2 二 PKI技术2 1数字证书2 2PKI2 3PKI提供的管理2 4证书颁发机构CA2 5证书的撤销2 6PKI的信任模型2 7PKI提供的安全服务2 8PKI支持的网络安全协议 3 PKI是一种遵循标准的利用公钥加密技术为电子商务的开展提供一套安全基础平台的技术和规范 用户可利用PKI平台提供的服务进行安全通信 PKI的密码学基础包括加密算法 数字签名 数据完整性机制 数字信封 时间戳等 一 PKI技术的密码学基础 4 密码学是实现信息安全的理论基础 密码学是研究如何实现秘密通信的科学 即对所要传送的信息采取一种秘密保护 以防止第三者窃取信息学科 密码学包括两个分支 密码编码学和密码分析学 密码编码学研究如何保密信息 密码分析学研究如何破译信息 密码学还包括安全管理 安全协议设计 签名 遗忘传递等新技术和概念 1 1密码学基本概念 5 密码体制一般是指密钥空间以及与之相应的加解密运算结构 同时还包括明文和密文的结构特征 其分类如下 根据实现的方式分为古典密码技术 近代密码技术和现代密码技术 根据明文和密文的关系分为 单表代换和多表代换 根据一次代换的字母的个数分为 单字母代换和多字母代换 根据加密时对明文的处理方式分为 分组密码算法和序列密码算法 流密码算法 根据采用的算法可分为对称密码算法和非对称密码算法 6 1 2对称密码体制1 2 1对称密码体制的原理 加密算法 信道 解密算法 明文 密文 密钥k 加密密钥 解密密钥 相同或者可以互相推出 对称密码体制 加密密钥和解密密钥等价 且加密和解密采取的算法类似 优点 加密或解密运算速度快 加密强度高 并且算法公开缺点 密钥分发困难 更新周期长 不便于管理常见算法 DES IDEA AES等 密文 7 对称密码体制根据加密时候明文的处理方式分为分组密码和流密码 a 分组密码 工作方式是将明文分成固定长度的组 如64比特一组 用同一密钥和算法对每一块加密 输出也是固定长度的密文 加密算法 信道 解密算法 密文组块 明文组块 密钥k 明文组块 1 2 2对称密码体制的分类 8 b 流密码 利用密钥k产生密钥流 在密钥流的控制下加密明文 解密时候用同样的密钥流执行相反操作 密钥流 10101110010101010101011010101101010 明文串 10101110010101010101011010101101010 异或 密文串 00000000000000000000000000000000000 异或 密钥K 9 Feistel网络结构和SP网络结构 a Feistel结构Feistel结构 Li 1 Ri 1 Li Ri F 轮密钥Ki 1 2 3分组密码的结构 10 b SP结构 Xi 1 S 子密钥控制下的替换 P 置换或者可逆的线性变换 Xi SP结构 11 1 电码本模式 ECB 每次用同样的密钥对各个明文分组进行加密 每组的密文与其它组的密文独立 相同的明文组将产生相同的密文组 这样就会泄露明文的数据模式 2 密码分组链接模式 CBC 与ECB的结构类似 只是明文需要与前一轮输出的密文异或操作后 再被加密 解密时候每一轮输出需要与前一轮明文进行异或 1 2 4分组密码的工作模式 12 3 密码反馈模式 CFB 使用DES产生密钥流对明文进行加密 并且将加密后的密文返回到输入端输入 密钥序列是起始向量V和反馈的密文的函数 采用的是流加密的方式 可以作用于1 64位二进制位 如果不足64位 则输出密文的多余位可以被扔掉 4 输出反馈模式 OFB 将一个分组密码转化成一个序列密码 它具有普通序列密码的优缺点 如没有错误传播 利于加密冗余较大的数据 13 DES DataEncryptionStandard 是迄今为止使用最广泛的加密算法 1977年1月 1998年12月 DES作为美国联邦的信息处理标准 DES是分组长度为64比特的分组密码算法 密钥长度也是64比特 其中每8比特中有一位就校验位 因此有效密钥长度为56比特 DES的算法是公开的 其安全性依赖于密钥的保密程度 DES的结构框图下 深度学习DES算法DES算法介绍 14 DES结构框图 输入64比特明文数据 初始置换IP 在密钥控制下的16轮Feistel网络结构迭代 交换左右32比特 初始逆置换IP 1 输出64比特密文数据 15 在DES中 每一轮Feistel迭代主要流程如下 Ri 1 选择扩展运算E 48比特寄存器 48比特寄存器 选择压缩运算S 子密钥生成运算K 生成Ki 32比特寄存器 置换运算P 密钥k 16 1 安全问题的影响因素 1 密钥长度2 分组长度3 密钥编排函数4 轮数5 对密码分析的抵抗力 DES问题讨论 2 实现和性能的影响因素 1 基本运算2 和内存使用量以上影响DES安全 实现和性能的因素也是影响其他对称密码体制的因素 17 非对称密钥密码体制 公开密钥密码体制或双密钥密码体制 是现代密码学最重要的发明和进展 研究信息传递的机密性是密码学研究的一方面 对信息发送与接收人的真实身份的验证 对所发出 接收信息在事后的不可抵赖以及保障数据的完整性也是现代密码学研究的另一个重要方面 公开密钥密码体制对这两方面的问题都给出了出色的解答 并正在继续产生许多新的思想和方案 1 3非对称密码体制1 3 1非对称密码体制 18 原理 每个用户都有一对预先选定的密钥 一个是可以公开的 以Kl表示 另一个则是秘密的 以K2表示 公开的密钥K1可以像电话号码一样进行注册公布 因此不对称加密系统又称作公钥系统 两种表现形式 公钥加密后用私钥解密 私钥加密后公钥解密 常见非对称密码制 RSA Elgamal Ecc Paillier Schnorr 19 加密算法 信道 解密算法 明文 密文 明文 加密密钥 解密密钥 公钥和私钥满足K2是K1的逆 即K2 E X K1 K2和K1都容易计算 由K1出发去求解K2十分困难 A的私钥K2 A的公钥K1 发送端A 接收端B 发送端B 接收端A 非对称密码体制流程 20 1 3 2非对称密码体制与对称密码体制的比较 21 深度学习RSA公钥密码体制 RSA的名字来源于它们的创建者 1978年Ronald LRivest AdiShamir和LenoardM Adleman提出的一种用数论构造的 也是迄今为止理论上最为成熟完善的公钥密码技术 RSA 该技术已得到广泛的应用 RSA密码算法的安全性是基于大数分解困难问题 22 RSA算法描述 p q为不相等的大素数 1 选择不相等的大素数p和q 计算n pq n p 1 q 1 2 随机选择加密密钥e 1 e n gcd e n 1 计算解密密钥d 满足ed 1 mod n 私钥 e n 公钥 d n 加密算法 c m e modn 解密算法 m c d modn 23 DH算法用来实现对称密钥的协商 其安全性是基于离散对数问题 算法描述 p为大素数 g为zp本原元 xi yi 为i的私钥和公钥 DH算法一般用来协商会话密钥 以上两方协商出会发密钥为y y一般作为对称密码算法的密钥 DH算法 A计算 yA g xA modp A计算 y yB xA modp B计算 y yA xB modp B计算 yB g xB modp 发送给B 发送给A y g xAxB modp 24 算法描述 p q g由一组用户共享 签名及验证协议如下 1 随机数k k q 计算r g kmodp modqs k 1 H m xr modq签名结果是 m r s 2 验证 计算w s 1 modqu1 H m w modqu2 rw modqv g u1 y u2 modp modq若v r 则认为签名有效 DSA算法 25 散列函数将不定长的消息转换到定长的输出 这个定长的输出被称作为散列值 哈希值 消息摘要 数字指纹或者杂凑值 散列函数一般记为H x 其与数字签名的结合运用能实现认证 数字信封能实现数据的保密通信 HMAC能对消息的完整性进行验证 时间戳能对时间的何时发生产生记录 1 4散列函数 数字信封 HMAC 时间戳 26 我们一般讲运用在密码学上的散列函数称为安全散列函数 密码学上的散列函数需要要满足一下一些条件 1 单向性 由散列值推出输入难 2 计算可行性 由输入计算散列值是快速的 3 抗碰撞性 已知一个消息的散列值 找到另外一个消息使得与已知消息的散列值相等不可行 任意找两个不同输入使得其散列值相等也不可行 4 雪崩性 输入的微小改变也能明显影响散列值的输出 1 4 1安全散列函数 27 1 4 2数字签名 消息M 链接 H M E MH M H M D 比较 签名者私钥 签名者公钥 签名者 验证者 相等则说明数据是从确定的签名者发过送过来 且没被修改 否则不能说明 28 安全散列函数在数字签名的应用上起到了什么作用 1 将明文空间映射到数字签名算法的定义域空间 2 打乱明文空间的结构 安全散列函数的抗碰撞性在哪些应用场景下不适合 为了适合这些场合应该做些什么改变 1 被签名信息不适合完全公开2 代理情形 29 1 4 3数字信封 A采用对称密码算法和密钥k计算 c1 E m k A采用非对称密码算法 利用对方公钥pkB加密k c2 E k pkB 信息的发送者A 信息的接收者B 发送 B利用非对称密码算法和私钥skB解密 k D c2 skB B采用对称密码算法和密钥k计 m D c1 k B接收数据信封 c1 c2 A发送数据信封 c1 c2 k 适合大量数据传输 k c1 c2 c2 c1 30 HMAC是消息验证的一种机制 而 所用散列函数算法是公开的 k为共享密钥 其流程如下 1 4 4散列消息验证码HMAC 消息m 链接 Hk m mHk m Hk m 比较 共享密钥k 发送者 接收者 相等则说明数据是完整没被修改的 否则说明数据被修改 31 时间戳是指文件属性里的创建 修改 访问的时间 时间戳解答了有关数字记录事件 何时 发生的问题 数字时间戳技术是数字签名技术一种变种的应用 在电子商务交易文件中 时间是十分重要的信息 在书面合同中 文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容 数字时间戳服务 DTS digitaltimestampservice 是网上电子商务安全服务项目之一 能提供电子文件的日期和时间信息的安全保护 1 4 5时间戳 32 时间戳 time stamp 是一个经加密后形成的凭证文档 它包括三个部分 1 需加时间戳的文件的摘要 digest 2 DTS收到文件的日期和时间 3 DTS的数字签名 消息m 摘要 数字时间戳 摘要 摘要可信时间 加上可信时间 数字时间戳 数字签名 数字时间戳服务器 应用端 33 数字签名以及数字信封等技术能提供的是 谁 以及 什么 的事件记录 而时间戳提供 何时 的时间记录 时间戳存在的意义 文件签署的日期和签名一样均是十分重要的防止文件被伪造和篡改的关键性内容 数字时间戳服务 DTS digitaltimestampservice 是网上电子商务安全服务项目之一 能提供电子文件的日期和时间信息的安全保护 34 使用公钥密码体制时 我们无法直接信任一个公钥和其申明的主体的绑定关系 引入一个可信第三方为公钥以及对应的主体颁发数字证书 公钥证书 能很好地解决了这个问题 数字证书是经过证书认证中心数字签名的包含公开密钥拥有者信息及其公钥的文件 数字证书解决了主体间的信任问题 同时又引入证书签发 管理 撤销 检验 信任等问题 二PKI公钥基础设施2 1数字证书 35 数字证书 DigitalCertificate 又称为数字标识 DigitalID 是一个经证书认证中心CA数字签名的包含公开密钥拥有者信息以及公开密钥的文件 在系统中以证书文件或目录项的形式存在 数字证书是公钥体制的一种密钥管理媒介 它是一种机构性的电子文档 用于证明某一主体 如用户 服务器 软件代码等 的身份以及其公钥的合法性 证书能够被不同的系统识别 符合一定的格式 并实现标准化 X 509为证书及其CRL格式提供了一个标准 36 X 509v3版本的证书格式 37 PKI就是利用公开密钥理论和技术建立的提供安全服务的基础设施 用来解决证书签发 管理 撤销 检验 信任等问题 PKI在实际应用上是一套软硬件系统和安全策略的集合 它提供了一整套安全机制 使用户在不知道对方身份或分布地很广的情况下 以证书为基础 通过一系列的信任关系进行通讯和电子商务交易 2 2PKI 38 PKI组成框图 PKI策略 PKI应用 证书颁发系统 注册机构RA 证书机构CA 软硬件系统 39 PKI安全策略建立和定义组织信息安全方面的指导方针以及密码系统使用的处理方法和原则 证书机构CA是PKI的信任基础 它管理公钥的整个生命周期 注册机构RA提供用户和CA之间的一个接口 它获取并认证用户的身份 向CA提出证书请求 证书发布系统负责证书的发放 如可以通过用户自己 或是通过目录服务 40 1 密钥管理 2 3PKI提供的管理 初始化 颁发 取消 注册 密钥对产生 证书注册 密钥备份等 证书检索 证书验证 密钥恢复 密钥更新等 证书过期 证书吊销 密钥历史 密钥档案等 41 2 证书管理 证书创建 证书恢复 证书申请 证书吊销 证书过期 证书验证 证书检索 证书分发 42 证书机构CA是PKI的信任基础 它管理公钥的整个生命周期 其作用包括 发放证书 规定证书的有效期和通过发布证书废止列表 CRL 确保必要时可以废除证书 一般情形下 CA为一个称为域的有限可信群体颁发证书 2 4证书颁发机构CA 43 证书状态信息分发的实现机制主要分为两类 一类是周期性发布证书状态信息机制 如证书撤销列表CRL 另一类是在线查询机制 如在线证书状态协议OCSP CRL CertificatcRevocationList 证书撤销列表 也称为证书黑名单 是一种包含撤销的证书列表的签名数据结构 CRL的完整性和可靠性有它本身的数字签名来保证 2 5证书的撤销 44 X 509v2CRL结构 45 完全CRL以便将某个CA域内的所有撤销信息都包括在一个CRL中 完全CRL的发布对某些CA域是很适合的 特别是那些终端实体数目相对很少的域 目前主要有两种意见反对完全CRL的使用 颁发的规模性以及撤销信息的及时性 1 完全CRL 46 CRL分布点 有时也称为分段CRL 允许一个CA的撤销信息通过多个CRL发布出来 CRL分布点和完全CRL相比有两个明显的好处 撤销信息可以被分成很多可控的片段以避免庞大CRL的增长 证书可以指出CRL分布点的分布位置 这样用户就不需要提前知道关于特定证书的撒消信息的存放位置 2 CRL分布点 47 增量CRL是以已经颁发的撤销信息为基础的 已经颁发的撤销信息被称为基本CRL 增量CRL中含有的是基本CRL中不含有的撤销信息 这就使得相对很小的增量CRL可以比基本CRL的颁发频率高的多 这就改善了性能和合时性 3 增量CLR 48 RL实际上是仅包括有关CA撤销信息的CRL 因此 根据这一定义 ARL不包括终端用户的证书撤销信息 4 权限撤销列表ARL 49 间接CRL使得在一个CRL中发布来自多个CA的撤销信息 间接CRL的使用可以减小用户在进行证书验证过程中需要检索的总的CRL的数目 5 间接CRL 50 CRT是基于Merkle杂凑树的 即该树代表某个PKI团体的所有撤销信息 例如 一个域内的证书有n个被撤销了 则证书列表分为n 1段 6 证书撤销树 CRT N10N20N30N40N50 Nn0 哈希变换 n 1段撤销信息 撤销信息颁发者对最终结点进行签名 51 在线证书状态协议 OnlineCertificateStatusProtocol OCSP RFC2560 该协议定义了一种标准的请求和响应信息格式以确认证书是否被撤销了 OCSP响应者可以是发放证书的认证机构 也可以是其他的一些经认证机构授权的 代表认证机构发出OCSP响应的实体 7 在线证书状态协议 OCSP 52 信任 如果实体A认为实体B严格地按A所期望的那样行动 则A信任B PKI中信任模型主要考虑一下几个问题 1 一个实体能够信任的证书是怎样被确定的 2 这种信任是怎样被建立的 3 在一定环境下 这种信任在什么情形下能够被限制或者控制 定义 如果一个终端实体假设CA能够建立并维持一个准确的对公钥属性的绑定 则该实体信任该CA 2 6PKI的信任模型 53 1 严格层次信任模型2 分布式信任模型3 web信任模型4 以用户为中心的信任模型5 交叉认证信任模型 54 1 严格层次信任模型 根CA 子CA 子CA 子CA 子CA 用户 用户 用户 用户 55 2 分布式信任模型分布式信任结构把信任分散到两个或更多个 或许是很多个 CA上 1 中心辐射模型2 网状配置 中心CA 根CA 根CA 子CA 子CA 用户 用户 用户 用户 中心辐射模型 56 3 web信任模型 浏览器厂商 根CA 根CA 用户 用户 用户 用户 57 4 以用户为中心的信任模型 用户A A的父亲 A的同事 A的哥哥 A的朋友 A的父亲的朋友 A的哥哥的朋友 58 5 交叉认证信任模型交叉认证是一种把以前无关的CA连接在一起的有用机制 从而使得在它们各自主体群之间的安全通信成为可能 CA2 CA1 用户A1 用户B1 用户B2 用户A2 交叉验证 59 一般认为PKI提供以下主要服务 认证 向一个实体确认另一个实体确实是他自己 包括实体鉴别以及数据来源鉴别 认证方法 基于公钥技术 采用高级的挑战 响应协议和信息签名方式进行认证 2 7PKI提供的安全服务 60 机密性 向一个实体确保除了接收者 无人能读懂数据的关键部分 PKI技术在几乎所有的层上都能够参与消息的机密性实现 1 PKI技术对于网络层的机密性的支持体现在网络传输主机之间的身份认证和加密密钥的管理和交换 2 PKI技术对于传输层的机密性的支持体现在网络传输主机之间的身份认证和加密密钥的管理和交换 3 应用层的信息机密性实现是最完整和最安全的手段 直接对要保密的数据本身进行加密保护 常用的手段是基于PKI技术的数字信封技术 61 完整性 向一