信息安全-第7讲密钥与pki知识分享

信息安全概

论柴亚辉华东交通大学(dàxué)信息工程学院

第一页，共95页。第7讲密钥管理(guǎnlǐ)与PKI§7.1密钥管理策略§7.2密钥分配协议(xiéyì)§7.3公钥基础设施PKI第二页，共95页。信息安全概论(gàilùn)32023/1/13所有的密码技术都依赖于密钥密钥的管理本身是一个很复杂的课题而且是保证安全性的关键点密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）而异，通常要借助于加密、认证、签名等技术，密钥管理系统中常常依靠可信赖第三方参与的公证(gōngzhèng)系统。公证(gōngzhèng)系统可以协助实现密钥的分配和证实，而且可以作为证书机构、时戳代理、密钥托管代理和公证(gōngzhèng)代理等。§7.1密钥管理策略第三页，共95页。信息安全概论(gàilùn)42023/1/13密钥类型(lèixíng)：1、基本密钥（BaseKey)2、会话密钥（SessionKey）3、密钥加密密钥（KeyEncryptingKey）4、主机主密钥（HostMasterKey）5、在公钥体制下的还有公开密钥、私有密钥、签名密钥之分。§7.1密钥管理策略第四页，共95页。信息安全概论(gàilùn)52023/1/13密钥类型：1、基本(jīběn)密钥（BaseKey)又称初始密钥（PrimaryKey)或用户密钥(Userkey)，是由用户选定或由系统分配给用户的，可在较长时间（相对于会话密钥）内由一对用户所专用的密钥。2、会话密钥（SessionKey）3、密钥加密密钥（KeyEncryptingKey）4、主机主密钥（HostMasterKey）5、在公钥体制下的还有公开密钥、私有密钥、签名密钥之分。§7.1密钥管理策略第五页，共95页。信息安全概论(gàilùn)62023/1/13密钥类型：1、基本密钥（BaseKey)2、会话密钥（SessionKey）即两个通信终端用户在一次通话或交换数据时使用的密钥，当它用于加密文件时，称为文件密钥(Filekey)，当它用于加密数据时，称为数据加密密钥(DataEncryptingKey)3、密钥加密密钥（KeyEncryptingKey）4、主机主密钥（HostMasterKey）5、在公钥体制下的还有公开密钥、私有(sīyǒu)密钥、签名密钥之分。§7.1密钥管理策略第六页，共95页。信息安全概论(gàilùn)72023/1/13密钥类型：1、基本密钥（BaseKey)2、会话密钥（SessionKey）3、密钥加密密钥（KeyEncryptingKey）用于对会话密钥或文件密钥进行(jìnxíng)加密时采用的密钥。又称辅助二级密钥或密钥传送密钥。通信网中的每个节点都分配有一个这类密钥。4、主机主密钥（HostMasterKey）5、在公钥体制下的还有公开密钥、私有密钥、签名密钥之分。§7.1密钥管理策略第七页，共95页。信息安全概论(gàilùn)82023/1/13密钥类型：1、基本密钥（BaseKey)2、会话密钥（SessionKey）3、密钥加密密钥（KeyEncryptingKey）4、主机主密钥（HostMasterKey）对密钥加密密钥进行加密的密钥，存于主机处理器中。5、在公钥体制(tǐzhì)下的还有公开密钥、私有密钥、签名密钥之分。§7.1密钥管理策略第八页，共95页。信息安全概论(gàilùn)92023/1/13密钥类型：将用于数据加密的密钥称三级密钥保护(bǎohù)三级密钥的密钥称二级密钥，也称密钥加密密钥保护(bǎohù)二级密钥的密钥称一级密钥，也称密钥保护(bǎohù)密钥如用口令保护(bǎohù)二级密钥，那么口令就是一级密钥§7.1密钥管理策略第九页，共95页。信息安全概论(gàilùn)102023/1/13密钥生存期：所有的密钥都有生存期（有效期）密钥的生存周期：授权使用该密钥的周期原因：使用时间越长，泄露机会越大，破译的诱惑越大。密钥泄露时间越长，损失越大。同一密钥加密(jiāmì)，密码分析更容易。主密钥生存期长；会话密钥生存期短；加密(jiāmì)保存数据文件的密钥不能经常变换（每个文件用一个密钥加密(jiāmì)，所有密钥用密钥加密(jiāmì)密钥加密(jiāmì)）；用作数字签名和身份鉴别的私有密钥生存期长。§7.1密钥管理策略第十页，共95页。信息安全概论(gàilùn)112023/1/13一个密钥主要经历以下几个阶段：产生（可能需要登记）分配使用更新(gēngxīn)/替换撤销销毁§7.1密钥管理策略第十一页，共95页。信息安全概论(gàilùn)122023/1/13密钥管理：在一种安全策略指导下密钥的产生，存储，分配，删除，归档及应用处理密钥自产生到最终销毁的整个过程中的有关问题，包括系统的初始化，密钥的产生、存储、备份/恢复、装入、分配、保护、更新、控制、丢失、吊销和销毁等内容。分配和存储是其中最棘手的问题。密钥管理的目的(mùdì)：维持系统中各实体之间的密钥关系以抗击各种可能的威胁，如密钥的泄露、秘密密钥或公开密钥的身份的真实性丧失、未经授权使用§7.1密钥管理策略第十二页，共95页。信息安全概论(gàilùn)132023/1/13密钥的产生：手工/自动化选择(xuǎnzé)密钥方式不当会影响安全性，如：1)使密钥空间减小§7.1密钥管理策略第十三页，共95页。信息安全概论(gàilùn)142023/1/132)差的选择方式易受字典式攻击。攻击者并不按照数字顺序去试所有可能的密钥，首先尝试可能的密钥，例如英文单词、名字等。(DanielKlein使用此法可破译40%的计算机口令)方法如下：用户的姓名(xìngmíng)、首字母、帐户名等个人信息从各种数据库得到的单词数据库单词的置换数据库单词的大写置换对外国人从外国文字试起尝试词组§7.1密钥管理策略第十四页，共95页。信息安全概论(gàilùn)152023/1/13好的密钥具有如下特点：真正随机、等概，如掷硬币。避免使用特定算法的弱密钥。双钥系统的密钥必须满足一定的数学关系。选择长度适中，易记且难猜中的密钥。适当采用(cǎiyòng)杂凑技术，将易记的长密钥经单向杂凑函数变换成伪随机数串。§7.1密钥管理策略第十五页，共95页。信息安全概论(gàilùn)162023/1/13不同等级的密钥的产生方式不同主机主密钥安全性至关重要，故要保证其完全随机性、不可重复性和不可预测性。可用投硬币、掷骰子、噪声发生器等方法产生密钥加密密钥数量大(N(N-1)/2)，可由机器自动产生，安全算法、伪随机数发生器等产生会话密钥可利用密钥加密密钥及某种算法(加密算法，单向函数(hánshù)等)产生初始密钥类似于主密钥或密钥加密密钥的方法产生§7.1密钥管理策略第十六页，共95页。信息安全概论(gàilùn)172023/1/13必须在安全环境中产生密钥以防止对密钥的非授权访问密钥产生形式有两种：由中心(或分中心)集中生产，如传统的密钥分发中心KDC和证书分发中心CDC等方案，其密钥的认证协议简洁，交易中的安全责任由中心承担由个人分散生产，密钥变量中的公钥必须公开需经第三方认证，交易中安全责任由个人承担密钥登记将产生的密钥与特定的使用捆绑在一起。例如用于数字签名的密钥必须与签名者的身份捆绑在一起，这个捆绑必须通过某一授权机构(jīgòu)来完成§7.1密钥管理策略第十七页，共95页。信息安全概论(gàilùn)182023/1/13密钥的装入：主机主密钥：直接或间接装入，装入时须有电磁屏蔽，装入后不能再读出(但可间接验证)密钥加密(jiāmì)密钥：直接或间接装入，装入时须有电磁屏蔽，装入后不能再读出，可联机或者间接验证会话密钥：如主机与某终端通信，主机产生会话密钥，以相应的终端主密钥对其进行加密(jiāmì)，将加密(jiāmì)结果送给相应的终端，终端收到后，解密得到会话密钥初始密钥：直接或间接装入，装入后不能再读出，可联机验证§7.1密钥管理策略第十八页，共95页。信息安全概论(gàilùn)192023/1/13密钥的保护：密钥的安全保密是密码系统安全的重要保证。除了公钥密码系统中的公钥外，所有的密钥需要保密所有密钥的完整性也需要保护，因为一个入侵者可能修改或替代密钥，从而危及机密性服务在实际中最安全的方法是将其放在物理上安全的地方当密钥无法用物理的办法安全保护时，必须用其它的方法将一个密钥分成两部分委托给两个不同的人通过机密性(如用另一个密钥加密)或完整性服务来保护极少数密钥(主机主密钥)以明文存储(cúnchǔ)于有严密物理保护的密码器中，其他密钥都被(主密钥或次主密钥)加密后存储(cúnchǔ)§7.1密钥管理策略第十九页，共95页。信息安全概论(gàilùn)202023/1/13密钥的存储：密钥存储时必须保证密钥的机密性、认证(rènzhèng)性和完整性，防止泄漏和修正。方法：将所有密钥或公钥存储在专用媒体(软盘、芯片等)一次性发放给各用户，用户在本机中就可获得对方的公钥，协议非常简单，又很安全。电脑黑客的入侵破坏，也只能破坏本机，而不影响其他终端。这种形式只有在KDC等集中式方式下才能实现。用对方的公钥建立密钥环各自分散保存，如PGP将各用户的公钥存放在公用媒体中。§7.1密钥管理策略第二十页，共95页。信息安全概论(gàilùn)212023/1/13密钥的备份：为防止(fángzhǐ)保管密钥的人出现意外，密钥必须有备份，以恢复用其加密的信息。密钥备份方法：使用秘密共享协议使用智能卡暂存§7.1密钥管理策略第二十一页，共95页。信息安全概论(gàilùn)222023/1/13密钥的销毁（吊销）：清除一个密钥的所有踪迹。在密钥的使用活动终结后，安全地销毁所有敏感密钥的拷贝是十分重要的。因为攻击者可用它来读取曾经用它加密的文件，且旧密钥有利于分析密码体制(tǐzhì)。密钥的安全是协议、算法和密码技术设备安全的基本。一旦密钥泄漏，安全保密性就无从谈起。唯一的办法就是更换密钥。若密钥由KDC管理，则用户需及时通知KDC将其销毁；若无KDC，则应及时告诉可能和他通信的人，且需加上时戳。在特定的环境中密钥的销毁是必须的。§7.1密钥管理策略第二十二页，共95页。信息安全概论(gàilùn)232023/1/13密钥的使用控制：对密钥的使用进行限制，保证密钥按预定的方式使用。控制信息：密钥的主权人密钥的合法使用期限密钥的识别符密钥的用途限定的算法预定使用的系统或环境或密钥的授权用户与密钥生成、注册、证书(zhèngshū)有关的实体名称密钥的完整性校验§7.1密钥管理策略第二十三页，共95页。信息安全概论(gàilùn)242023/1/13密钥分配是密码系统中密钥的传送和分发中的问题。密钥分配的基本方法：利用安全信道实现。如传统的方法或隐蔽方法。传统的方法是通过邮递或信使护送密钥，隐蔽的方法如将密钥分拆成几部分分别递送。利用数学上求逆的困难性建立(jiànlì)的安全信道来实现。如双钥密码体制采用的密钥分配协议。一、公开密钥分发二、秘密密钥分发三、Differ-Hellman密钥分发§7.2密钥分配(fēnpèi)协议第二十四页，共95页。信息安全概论(gàilùn)252023/1/13一、公开密钥分发公开密钥分发，就是公钥系统中的加密公开密钥是公开的，它通过各种公开的手段和方式，或由公开权威机构实现公开密钥分发和传送。公开密钥分发不需要机密性然而完整性是必需的。公开密钥分发方式：广播式公开密钥分发、公开可用的目录、公开密钥机构分发、公开密钥证书分发。（1）广播式公开密钥分发一种自由公布方式，通过BBS、USENET或Email等。说明(shuōmíng)：易受假冒用户攻击。§7.2密钥分配(fēnpèi)协议第二十五页，共95页。信息安全概论(gàilùn)262023/1/13（2）公开可用的目录需要可信任的中央授权机构。授权机构维护着动态｛用户名，公开密钥｝目录。用户在授权机构注册其公钥。注册可以人工或以某种安全认证的通信方式。用户可以替换其公钥。授权机构定期发布或更新整个目录。用户可在网络上直接访问(fǎngwèn)公共目录。这时需要在用户和中央授权机构之间强制使用安全、认证的通信方式。说明：若成功修改了公共目录，则攻击者可假冒用户。§7.2密钥分配(fēnpèi)协议第二十六页，共95页。信息安全概论(gàilùn)第二十七页，共95页。信息安全概论(gàilùn)282023/1/13（3）公开密钥机构分发需要(xūyào)可信任的中央授权机构，每个用户知道授权机构的公钥。说明：若成功修改了公共目录，则攻击者可假冒用户。授权中心易成为性能及安全瓶颈。§7.2密钥分配(fēnpèi)协议第二十八页，共95页。信息安全概论(gàilùn)292023/1/13公开密钥权威机构发起者A响应者B①Request||Time1②EKRauth[KUb||Request||Time1]③EKUb[IDA||N1]④Request||Time2⑤EKRauth[KUa||Request||Time2]⑥EKUa[N1||N2]⑦EKUb[N2]§7.2密钥分配(fēnpèi)协议第二十九页，共95页。信息安全概论(gàilùn)302023/1/13（4）公开密钥证书分发任何参与者可以通过读取证书来确定被证实的主人的名字和公钥；任何参与者可以验证证书是来源于CA且非伪造的。只有该CA才能生成(shēnɡchénɡ)和更新证书；任何参与者可以验证证书的有效流通时间说明：泄漏私钥等价于丢失证书。证书的时间作为有效期。§7.2密钥分配(fēnpèi)协议第三十页，共95页。信息安全概论(gàilùn)312023/1/13CAKUaCA=EKRauth[Time1,IDA,KUa](1)CAKUb(2)CBCB=EKRauth[Time2,IDB,KUb]验证(yànzhèng)：DKUauth[CA]=DKUauth[EKRauth[T,IDA,KUa]]=(T,IDA,KUa)发起者A响应者B§7.2密钥分配(fēnpèi)协议第三十一页，共95页。信息安全概论(gàilùn)322023/1/13二、秘密密钥分发基于公开密钥体制的秘密密钥分配方案简单(jiǎndān)的秘密密钥分配Simplesecretkeydistribution具有保密和鉴别能力的秘密密钥分配Secretkeydistributionwithconfidentialityandauthentication混合方案Hybridscheme§7.2密钥分配(fēnpèi)协议第三十二页，共95页。信息安全概论(gàilùn)332023/1/13简单的秘密密钥分配：(1)A生成{KUa,KRa}，AB：(IDA，KUa)(2)B生成随机密钥Ks，BA：EKUa(Ks)(3)A解密EKUa(Ks)得到Ks：DKRa(EKUa(Ks))(4)A丢弃{KUa,KRa}，B丢弃KUa说明：通讯前不需存在密钥，通讯后也不存在密钥能抵抗(dǐkàng)偷听，不能抵抗(dǐkàng)主动攻击(中间人攻击)AB(1)(IDA，KUa)(2)EKUa(Ks)§7.2密钥分配(fēnpèi)协议第三十三页，共95页。信息安全概论(gàilùn)342023/1/13具有(jùyǒu)保密和鉴别能力的分配：假定A和B已经获得了双方的公钥AB(2)EKUa(N1，N2)(3)EKUb(N2)(1)EKUb(IDA,N1)(4)Y＝EKUb(EKRa(Ks))B解密(jiěmì)Y获得会话密钥Ks=DKUa(DKRb(Y))§7.2密钥分配协议第三十四页，共95页。2012-11-20信息安全概论(gàilùn)第三十五页，共95页。信息安全概论(gàilùn)362023/1/13三、Diffie-Hellman密钥交换：典型的密钥协商协议，于1976年提出，用于网络环境下用户双方(shuāngfāng)安全的交换密钥。其安全性主要基于有限域上离散对数问题的难解性协议描述：设p是大素数，g是Zp的生成元，p和g公开。1)用户A选择大随机数rA，0<rA<p-12)用户A计算，将结果传送给用户B3)用户B选择大随机数rB，0<rB<p-14)用户B计算，将结果传送给用户A5)用户A计算，用户B计算§7.2密钥分配(fēnpèi)协议第三十六页，共95页。信息安全概论(gàilùn)372023/1/13因为于是(yúshì)A和B共享会话密钥K，使用对称密码体制进行保密通信。安全缺陷：易受中间人攻击。于是(yúshì)A和U共享密钥，B和U共享密钥ABU§7.2密钥分配(fēnpèi)协议第三十七页，共95页。信息安全概论(gàilùn)382023/1/13改进方案：可信第三方TA，每个用户A持有TA签发的证书C(A)=(ID(A)，VerA，SigA(ID(A)，VerA))协议描述：设p是大素数，g是Zp的生成元，p和g公开。1)用户A选择大随机数rA，0<rA<p-12)用户A计算，将SA传送(chuánsònɡ)给用户B3)用户B选择大随机数rB，0<rB<p-14)用户B计算，然后计算

5)用户B将(C(B)，SB，yB)传送(chuánsònɡ)给用户A§7.2密钥分配(fēnpèi)协议第三十八页，共95页。信息安全概论(gàilùn)392023/1/136)用户A计算，并使用VerB验证yB，使用VerTA验证C(B)7)用户A计算，将(C(A)，yA)传送给B8)用户B使用VerA验证yA，使用VerTA验证C(A)改进(gǎijìn)方案可有效抵制中间人攻击。因为攻击者以替换SA后无法冒充B进行签名§7.2密钥分配(fēnpèi)协议第三十九页，共95页。信息安全概论(gàilùn)402023/1/13公钥密码的服务：陌生人之间的安全加密数字签名数据完整性密钥的建立PKI是经过多年研究形成的一套完整的Internet安全解决方案。它用公钥技术和规范提供用于安全服务的具有普适性的基础设施。用户可利用PKI平台(píngtái)提供的服务进行安全通信。§7.3公钥基础设施(jīchǔshèshī)PKI第四十页，共95页。信息安全概论(gàilùn)412023/1/13PKI系统的组成：认证中心CA注册机构RA证书库CR证书申请者证书信任方前三部分是PKI的核心(héxīn)，证书申请者和证书信任方则是利用PKI进行网上交易的参与者。§7.3公钥基础设施(jīchǔshèshī)PKI第四十一页，共95页。信息安全概论(gàilùn)422023/1/13PKI的功能：证书产生与发放；证书撤销；密钥备份及恢复；证书密钥对的自动更新；密钥历史档案；支持不可否认；时间戳；交叉认证；用户管理(如登录、增删等)；客户端服务(fúwù)：理解安全策略，恢复密钥，检验证书，请求时间戳等。其他功能：支持用于认证的智能卡。此外PKI的特性融入各种应用（防火墙、浏览器、电子邮件、网络OS）也正在成为趋势。§7.3公钥基础设施(jīchǔshèshī)PKI第四十二页，共95页。信息安全概论(gàilùn)432023/1/13数字证书和PKI解决哪些问题：数字证书能够解决信息传输的保密性、完整性、不可否认性、交易者身份的确定性问题。数字证书和PKI结合解决电子商务中的安全问题。在传统的安全解决方案中，密码服务与应用紧密地结合在一起，每一种网络应用都有自己的一套密钥管理，功能大量冗余，管理维护工作复杂，费用高，而且这种分散式的方案存在安全隐患，互操作性也得不到保证；而PKI以统一的、通用(tōngyòng)的方式来解决所有应用的共同安全问题。利用PKI可以方便地建立和维护一个可信的网络计算环境，从而使得人们在这个无法直接相互面对的环境里，能够确认彼此身份和所交换的信息，能够安全地从事商务活动。§7.3公钥基础设施(jīchǔshèshī)PKI第四十三页，共95页。信息安全概论(gàilùn)442023/1/13典型的PKI体系结构策略(cèlüè)批准机构（PAA）策略(cèlüè)控制机构（PCA）认证机构（CA）在线证书申请（ORA）PAAPCA1CA1CAnORA1ORAnPCA2CA1CAnORA1ORAn在整个PKI体系中处于核心位置。创建整个PKI系统的方针、策略，批准本PAA下属的PCA的策略，为下属PCA签发公钥证书。§7.3公钥基础设施(jīchǔshèshī)PKI第四十四页，共95页。信息安全概论(gàilùn)452023/1/13典型(diǎnxíng)的PKI体系结构策略批准机构（PAA）策略控制机构（PCA）认证机构（CA）在线证书申请（ORA）PAAPCA1CA1CAnORA1ORAnPCA2CA1CAnORA1ORAn制定下属CA的具体策略，可以是上级PAA策略的扩充或细化。§7.3公钥基础设施(jīchǔshèshī)PKI第四十五页，共95页。信息安全概论(gàilùn)462023/1/13典型的PKI体系结构策略批准机构（PAA）策略控制机构（PCA）认证(rènzhèng)机构（CA）在线证书申请（ORA）PAAPCA1CA1CAnORA1ORAnPCA2CA1CAnORA1ORAn具备有限的策略制定功能，按照上级PCA制定的策略，担任具体的用户公钥证书的签发、生成和发布及CRL生成及发布职能。§7.3公钥基础设施(jīchǔshèshī)PKI第四十六页，共95页。信息安全概论(gàilùn)472023/1/13典型的PKI体系结构策略批准机构(jīgòu)（PAA）策略控制机构(jīgòu)（PCA）认证机构(jīgòu)（CA）在线证书申请（ORA）PAAPCA1CA1CAnORA1ORAnPCA2CA1CAnORA1ORAn鉴别个人身份，向CA提交证书申请，验证接收CA签发的证书，并将证书发放给申请者。§7.3公钥基础设施(jīchǔshèshī)PKI第四十七页，共95页。信息安全概论(gàilùn)482023/1/13PKI由一系列组件和服务构成：1、认证机构CA、注册机构RA2、证书库3、证书撤销4、密钥备份和恢复5、自动密钥更新6、密钥文档管理7、交叉(jiāochā)认证8、支持不可否认9、时间戳10、客户端软件§7.3公钥基础设施(jīchǔshèshī)PKI第四十八页，共95页。信息安全概论(gàilùn)492023/1/131、认证机构CA(CertificationAuthority)为信息安全提供有效的、可靠的保护机制，包括机密性、身份验证特性、不可否认性(交易的各方不可否认它们的参与)。这就需要依靠一个可靠的第三方机构验证，而认证机构CA专门提供这种服务。CA是PKI的关键组成部分。CA通过对一个包含身份信息和相应(xiāngyīng)公钥的数据结构进行数字签名来捆绑用户的公钥和身份，这个数据结构被称为公钥证书（简称证书）。§7.3公钥基础设施(jīchǔshèshī)PKI第四十九页，共95页。信息安全概论(gàilùn)502023/1/13CA的职能：接收验证最终用户数字证书的申请。确定是否接受最终用户数字证书的申请-证书的审批。向申请者颁发、拒绝颁发数字证书-证书的发放(fāfàng)。接收、处理最终用户的数字证书更新请求-证书的更新。接收最终用户数字证书的查询、撤销。产生和发布证书废止列表CRL。数字证书的归档。密钥归档。历史数据归档§7.3公钥基础设施(jīchǔshèshī)PKI第五十页，共95页。信息安全概论(gàilùn)512023/1/13认证中心为了实现其功能，主要由以下三部分组成：注册服务器：通过WebServer建立的站点，可为客户提供每日24小时的服务。因此客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表，免去了排队等候等烦恼。证书申请受理和审核机构：负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。认证中心服务器：是数字证书生成、发放的运行实体，同时提供发放证书的管理(guǎnlǐ)、证书废止列表（CRL）的生成和处理等服务。§7.3公钥基础设施(jīchǔshèshī)PKI第五十一页，共95页。信息安全概论(gàilùn)522023/1/13注册机构RA(RegistrationAuthority)由于一个PKI区域的最终实体数量的增加，RA可以充当CA和它的最终用户之间的中间实体，辅助CA来完成日复一日的证书处理功能。RA是CA的证书发放、管理的延伸，是整个CA中心得以正常运营(yùnyíng)不可缺少的一部分。RA通常提供下列功能：接收和验证新注册人的注册信息；代表最终用户生成密钥；接收和授权密钥备份和恢复请求；接收和授权证书撤销请求；按需分发或恢复硬件设备。§7.3公钥基础设施(jīchǔshèshī)PKI第五十二页，共95页。信息安全概论(gàilùn)532023/1/13数字证书：网络通讯中标志通讯各方身份信息的一系列数据，提供了一种在Internet上验证身份的方式(fāngshì)，其作用类似于司机的驾驶执照或日常生活中的身份证。由权威机构CA机构发行的，人们可以在交往中用它来识别对方的身份。最简单的证书包含一个公开密钥、名称以及证书授权中心的数字签名。证书原理：数字证书采用公钥体制。用户设定一把特定的仅为本人所有的私有密钥（私钥），用它进行解密和签名；同时设定一把公共密钥（公钥）并由本人公开，为一组用户所共享，用于加密和验证签名。§7.3公钥基础设施(jīchǔshèshī)PKI第五十三页，共95页。信息安全概论(gàilùn)542023/1/13数字证书的作用：使用数字证书，通过运用(yùnyòng)对称和非对称密码体制等密码技术建立起一套严密的身份认证系统，从而保证信息除发方和接方外不被其它人窃取或篡改。数字证书可用于：安全地发送电子邮件；访问安全站点、网上招投标、网上签约、网上订购、安全网上公文传送、网上办公、网上缴费、网上购物等网上的安全电子事务处理和交易。§7.3公钥基础设施(jīchǔshèshī)PKI第五十四页，共95页。信息安全概论(gàilùn)552023/1/13产生、验证和分发密钥方式：（1）用户自己产生密钥对：用户自己生成密钥对，然后将公钥以安全的方式传送给CA，该过程必须保证用户公钥的可验证性和完整性。（2）CA为用户产生密钥对：CA替用户生成密钥对，然后将其安全地传给用户，该过程必须确保(quèbǎo)密钥对的机密性、完整性和可验证性。该方式下由于用户的私钥为CA所知，故对CA的可信性要求更高。（3）CA(包括PAA、PCA、CA)自己产生自己的密钥对。§7.3公钥基础设施(jīchǔshèshī)PKI第五十五页，共95页。信息安全概论(gàilùn)562023/1/13签名和验证：在PKI体系中，对信息和文件的签名，以及对签名的验证是很普遍的操作。PKI成员对数字签名和认证是采用多种算法(suànfǎ)的，如RSA、DES等，这些算法(suànfǎ)可以由硬件、软件或硬软结合的加密模块(固件)来完成。密钥和证书存放的介质可以是内存、IC卡或软盘等。§7.3公钥基础设施(jīchǔshèshī)PKI第五十六页，共95页。信息安全概论(gàilùn)572023/1/13证书的获取：发送者发送签名信息时，附加发送自己的证书；单独发送证书信息的通道；可从访问发布证书的目录服务器获得；或者从证书的相关实体(如RA)处获得；在PKI体系中，可以采取某种或某几种的上述方式获得证书。发送数字签名证书的同时，可以发布证书链。这时，接收拥有(yōngyǒu)证书链上的每一个证书，从而可以验证发送者的证书。§7.3公钥基础设施(jīchǔshèshī)PKI第五十七页，共95页。信息安全概论(gàilùn)582023/1/13证书的主要内容：证书的格式与证书发放数字证书格式的通用标准是X.509。根据该标准，数字证书应有下列信息：版本号；序列号；签字算法；发出该证书的认证机构；有效期限；主体信息（包括持有人姓名、服务处所等信息）；公共密钥信息；认证机构的数字签字。在X.509标准的扩展部分，认证机构可以说明该证书的附加(fùjiā)信息，如密钥用途等。§7.3公钥基础设施(jīchǔshèshī)PKI第五十八页，共95页。信息安全概论(gàilùn)592023/1/13证书的管理：用户能方便地查找各种证书及已经撤销的证书。根据用户请求或其它相关信息撤销用户的证书。能根据证书的有效期限自动地撤销证书。能完成证书数据库的备份工作。证书的管理通过目录(mùlù)服务来实现。§7.3公钥基础设施(jīchǔshèshī)PKI第五十九页，共95页。信息安全概论(gàilùn)602023/1/13（1）证书(zhèngshū)的生命周期公钥/私钥生成申请证书审核证书签发证书证书撤销安装证书废止申请证书使用过期更新§7.3公钥基础设施(jīchǔshèshī)PKI第六十页，共95页。信息安全概论(gàilùn)612023/1/13（2）注册和颁发证书用户产生一对私钥/公钥用户填写证书申请表发证机构验证核实后，用自己的私钥签发电子证书发放证书的过程包括四个基本的步骤：CA接受证书请求(qǐngqiú)。CA按照CA身份证明条件确认该请求(qǐngqiú)者的信息。CA利用它的私用密钥将它的数字签署应用于该证书。CA发放该证书，将它用做PKI内的安全性凭证。§7.3公钥基础设施(jīchǔshèshī)PKI第六十一页，共95页。信息安全概论(gàilùn)622023/1/13（3）证书的使用当用户向某一服务器提出访问请求(qǐngqiú)时，服务器要求用户提交数字证书。收到用户的证书后，服务器利用CA的公开密钥对CA的签名进行解密，获得信息的散列码。然后服务器使用与CA相同的散列算法对证书的信息部分进行处理，得到一个散列码，将此散列码与对签名解密所得到的散列码进行比较，若相等则表明此证书确实是CA签发的，而且是完整性未被篡改的证书。这样，用户便通过了身份认证。服务器从证书的信息部分取出用户的公钥，以后向用户传送数据时，便以此公钥加密，对该信息只有用户可以进行解密。§7.3公钥基础设施(jīchǔshèshī)PKI第六十二页，共95页。信息安全概论(gàilùn)632023/1/13（4）挂起证书有时，CA需要临时限制证书的使用，但又不需要撤销证书。例如，一个企业最终用户可能正在出差。在这种情况下，可以挂起（suspend）证书；这样就可以禁止使用那些带有PKI功能的应用程序，这些(zhèxiē)应用程序在该雇员不在的情况下是不能访问的。当该雇员返回时，CA清除该挂起。由于这种方法不需要先请求吊销证书然后再重新颁发证书，从而节省了CA的时间。为了挂起一个证书，CA在CRL原因代码扩展项中使用证书冻结值。§7.3公钥基础设施(jīchǔshèshī)PKI第六十三页，共95页。信息安全概论(gàilùn)642023/1/13（5）证书(zhèngshū)撤销（6）密钥备份与恢复（7）自动密钥更新（8）密钥文档管理§7.3公钥基础设施(jīchǔshèshī)PKI第六十四页，共95页。信息安全概论(gàilùn)652023/1/13验证证书：验证证书的过程是迭代寻找证书链中下一个证书和它相应(xiāngyīng)的上级CA证书。在使用每个证书前，必须检查相应(xiāngyīng)的CRL(对用户来说这种在线的检查是透明的)。用户检查证书的路径是从最后一个证书(即用户已确认可以信任的CA证书)所签发的证书有效性开始，检验每一个证书，一旦验证后，就提取该证书中的公钥，用于检验下一个证书，直到验证完发送者的签名证书，并将该证书中包括的公钥用于验证签名。§7.3公钥基础设施(jīchǔshèshī)PKI第六十五页，共95页。信息安全概论(gàilùn)662023/1/13保存证书：指PKI实体在本地储存(chǔcún)证书，以减少在PKI体系中获得证书的时间，并提高证书签名的效率。在存储每个证书之前，应该验证该证书的有效性。PKI实体可以选择存储其证书链上其他实体所接收到的所有证书，也可以只存储数字签名发送者的证书。证书存储单元应对证书进行定时管理维护，清除已作废的或过期的证书及在一定时间内未使用的证书。证书存储数据库还要与最新发布的CRL文件相比较，从数据库中删除CRL文件中已发布的作废证书。§7.3公钥基础设施(jīchǔshèshī)PKI第六十六页，共95页。信息安全概论(gàilùn)672023/1/13本地保存(bǎocún)证书的获取：CA证书可以集中存放或分布式存放，即可从本地保存(bǎocún)的证书中获取证书。用户收到签名数据后，将去检查证书存储区中是否已有发送者签发的证书，用签发者的公钥验证签名。用户可以选择在每次使用前来检查最新发布的CRL，以确保发送者的证书未被作废；用户也可选择定期证实本地证书在存储区中的有效性。如果用户的本地存储区中未保存(bǎocún)发送者的证书，用户则应按照上述证书获取的过程取得所需的证书。§7.3公钥基础设施(jīchǔshèshī)PKI第六十七页，共95页。信息安全概论(gàilùn)682023/1/13证书废止的申请：当PKI中某实体的私钥被泄漏时，被泄密的私钥所对应的公钥证书应被作废。对CA而言，私钥的泄密不大可能，除非有意破坏或恶意(èyì)攻击所造成；对一般用户而言，私钥的泄密可能是因为存放介质的遗失或被盗。另外一种情况是证书中所包含的证书持有者已终止或与某组织的关系已经中止，则相应的公钥证书也应该作废。§7.3公钥基础设施(jīchǔshèshī)PKI第六十八页，共95页。信息安全概论(gàilùn)692023/1/13终止的方式(fāngshì)：(1)如果是密钥泄露，证书的持有者以电话或书面的方式(fāngshì)，通知相应的CA；(2)如果是因关系中止，由原关系中组织方面出面通知相应的ORA或CA。处理过程：如果ORA得到通知，ORA应通知相应的CA，作废请求得到确认后，CA在数据库中将该证书记上作废标志，并在下次发布CRL时加入证书作废列表，并标明作废时间。在CRL中的证书作废列表时间有规定，过期后即可删除。§7.3公钥基础设施(jīchǔshèshī)PKI第六十九页，共95页。信息安全概论(gàilùn)702023/1/13密钥的恢复：在密钥泄密、证书作废后，泄密实体将获得一对新的密钥，并要求(yāoqiú)CA产生新的证书。泄漏密钥的实体是CA的情况下，它需要重新签发以前那些用泄密密钥所签发的证书。每一个下属实体将产生新的密钥时，获得CA用新私钥签发新的证书，而原来用泄密密钥签发的旧证书将作废，并被放入CRL。可采取双CA的方式来进行泄密后的恢复，即每一个PKI实体的公钥都由两个CA签发证书，当一个CA泄密钥后，得到通知的用户可转向另一个CA的证书链，可以通过另一个CA签发的证书来验证签名。这样可以减少重新产生密钥时和重新签发证书的巨大工作量，也可以使泄密CA的恢复和它对下属实体证书的重新发放工作稍慢进行，系统的功能不受影响。§7.3公钥基础设施(jīchǔshèshī)PKI第七十页，共95页。信息安全概论(gàilùn)712023/1/13CRL的获取：每一个CA均可以产生CRL，CRL可以定期产生也可以在每次有证书作废(zuòfèi)请求后，实时产生，CA应将其产生的CRL及时发布到目录服务器上去。CRL的获取就可以有多种方式，CA产生CRL后，自动发送到下属各实体。大多数情况是由使用证书的各PKI实体从目录服务器获得相应的CRL。§7.3公钥基础设施(jīchǔshèshī)PKI第七十一页，共95页。信息安全概论(gàilùn)722023/1/13交叉认证方式：需要互通的PKI体系(tǐxì)中的PAA在经过协商和政策制定之后，可以互相认证对方系统中的PAA(即根CA)。认证方式是根CA用自己的私钥为其他的需要交叉认证的根CA的公钥签发证书。这种认证方式减少了操作中的政策因素，对用户而言，也只在原有的证书链上增加一个证书而已。但对于每一个根CA而言，需要保存所有其它需要与之进行交叉认证的根CA的证书。§7.3公钥基础设施(jīchǔshèshī)PKI第七十二页，共95页。信息安全概论(gàilùn)732023/1/13签名密钥对和加密密钥对：（1）签名密钥对签名密钥对由签名私钥和验证公钥组成。签名私钥具有日常生活中公章、私章的效力，为保证其唯一性，签名私钥绝对不能够作备份和存档(cúndàng)，丢失后只需重新生成新的密钥对，原来的签名可以使用旧公钥的备份来验证。验证公钥需要存档(cúndàng)，用于验证旧的数字签名。用作数字签名的这一对密钥一般可以有较长的生命期。§7.3公钥基础设施(jīchǔshèshī)PKI第七十三页，共95页。信息安全概论(gàilùn)742023/1/13（2）加密密钥对加密密钥对由加密公钥和解密私钥组成。为防止密钥丢失时丢失数据，解密私钥应该进行备份，同时还可能需要进行存档，以便能在任何时候解密历史密文数据。加密公钥无须备份和存档，加密公钥丢失时，只须重新产生密钥对。加密密钥对通常用于分发(fēnfā)会话密钥，这种密钥应该频繁更换，故加密密钥对的生命周期较短。§7.3公钥基础设施(jīchǔshèshī)PKI第七十四页，共95页。信息安全概论(gàilùn)752023/1/13（3）签名密钥对和加密密钥对的比较这两对密钥的密钥管理要求存在互相冲突的地方，因此(yīncǐ)系统必须针对不同的用途使用不同的密钥对，尽管有的公钥体制算法，如目前使用广泛的RSA，既可以用于加密、又可以用于签名，在使用中仍然必须为用户配置两对密钥、两张证书，分别用于数字签名和加密。§7.3公钥基础设施(jīchǔshèshī)PKI第七十五页，共95页。信息安全概论(gàilùn)762023/1/132、证书库证书库是证书的集中存放地，是网上的一种公共信息库，用户可以从此处获得其他用户的证书和公钥。作为PKI的一个重要的组成部分，证书库提供证书管理和分发的单一点。证书库必须使用某种稳定可靠、规模可扩充的在线(zàixiàn)资料库，以便用户能找到安全通信需要的证书信息或证书撤销信息。实现证书库的方式有多种，包括X.500、轻量级目录访问协议LDAP、Web服务器、FTP服务器、域名解析服务器DNS、数据库服务器等。真正大型的企业级PKI一般使用X.500目录服务和轻量级目录访问协议LDAP。系统必须确保证书库的完整性，防止伪造、篡改证书。§7.3公钥基础设施(jīchǔshèshī)PKI第七十六页，共95页。信息安全概论(gàilùn)772023/1/133、证书撤销CA签发的证书捆绑了用户的身份和公钥，在生命周期里都是有效的。但在现实环境中，由于这些原因包括：用户身份的改变、对密钥的怀疑（丢失或泄露）、用户工作的变动等。必须存在一种机制撤销这种认可，在PKI中这种机制被称为证书撤销。证书撤销最常用的方式是使用证书废除列表CRL(CertificateRevocationList)，CRL是一种包含了撤销的证书列表的签名数据结构。它含有(hányǒu)带时间戳的已撤销证书的列表。CRL的完整性和可靠性由它本身的数字签名来保证，通常CRL的签名者就是证书的签发者。当CRL创建并且被签名以后，就可以通过网络自由地分发，或以处理证书的同样方式存储在一个目录中。§7.3公钥基础设施(jīchǔshèshī)PKI第七十七页，共95页。信息安全概论(gàilùn)782023/1/134、密钥备份和恢复在任何可操作的PKI环境中，在密钥或证书在生命周期内都会有部分(bùfen)用户可能会丢失他们的私钥。可能原因有：遗失加密私钥的保护口令；存放私钥的媒体被损坏，如硬盘、软盘或IC卡遭到破坏等。CA必须撤销相应的公钥证书，或生成新的密钥对产生相应的公钥证书。结果，在此事件之前的所有加密数据都将是不可恢复的。在很多环境下，由于丢失密钥造成被保护数据的丢失或不可访问所造成的损失非常巨大。解决办法是提供一个密钥备份和恢复服务器。其目的是为CA提供在创建私钥时备份私钥，以及在以后恢复私钥的一种简单方式（但不备份签名私钥）。§7.3公钥基础设施(jīchǔshèshī)PKI第七十八页，共95页。信息安全概论(gàilùn)792023/1/135、自动密钥更新(gēngxīn)一个证书的有效期是有限的，这既可能是理论上的原因，也可能是基于安全策略上的考虑。用手工操作定期更新(gēngxīn)自己的证书是件麻烦的工作，用户常忘记自己证书的过期时间。如果忘了定期更新(gēngxīn)，他们就无法获得PKI的相关服务。解决方法是由PKI本身自动完成密钥或证书的更新(gēngxīn)，无需用户的干预。无论用户的证书用于何种目的，都会检查有效期，当失效日期到来时，启动更新(gēngxīn)过程，生成一个新的证书来代替旧证书，但用户请求的事务处理继续进行。§7.3公钥基础设施(jīchǔshèshī)PKI第七十九页，共95页。信息安全概论(gàilùn)802023/1/136、密钥文档管理密钥的更新将意味着经过一段时间，每个用户都会拥有多个“旧”证书，和至少一个“当前”证书。这一系列证书和相应的私钥组成用户的密钥文档。管理密钥文档也应当由PKI自动完成。PKI必须保存所有密钥，以便正确地备份和恢复(huīfù)密钥，查找正确的密钥以便解密数据。§7.3公钥基础设施(jīchǔshèshī)PKI第八十页，共95页。信息安全概论(gàilùn)812023/1/137、交叉认证交叉认证即在PKI之间建立信任关系，能够保证一个PKI团体的用户验证另一个PKI团体(tuántǐ)的用户证书。两个CA交换用于建立一个交叉证书的信息。一个交叉证书是一个CA颁发给另一个CA的证书，该证书中含有用于颁发证书的CA签名密钥。§7.3公钥基础设施(jīchǔshèshī)PKI第八十一页，共95页。信息安全概论(gàilùn)822023/1/138、支持不可否认不可否认用于从技术上保证实体对他们的行为的诚实。通常(tōngcháng)讨论的是对数据来源的不可否认和接收后的不可否认。PKI必须能支持避免或阻止否认。不可否认必须是PKI支撑的服务，不能是基于对称密钥的。PKI本身无法提供真正完全的不可否认服务，需要人为因素来分析、判断证据，并作出最后抉择。但是PKI必须提供所需要的技术上的证据，支持决策，提供数据来源认证和可信的时间数据签名。§7.3公钥基础设施(jīchǔshèshī)PKI第八十二页，共95页。信息安全概论(gàilùn)832023/1/139、时间戳PKI中必须使用用户信任的统一的权威时间源。在很多情况下，在一份文件(wénjiàn)上盖上权威时间戳是非常有用的，它支持不可否认服务。安全时间戳在认证电子商务交易的时间上也非常有用，而且可以有效地识别重放攻击。§7.3公钥基础设施(jīchǔshèshī)PKI第八十三页，共95页。信息安全概论(gàilùn)842023/1/1310、客户端软件客户端软件是一个全功能的、可操作PKI的重要组成部分。独立于所有应用(yìngyòng)程序之外，完成PKI服务的客户端功能。应用(yìngyòng)程序通过标准接入点与客户端软件连接，但应用(yìngyòng)程序本身并不与任何PKI服务器连接。完整的PKI应由以下服务器和客户端软件构成：CA服务器：提供产生、分发、发布、撤销、认证等服务；证书库服务器：保存证书和撤销消息；备份和恢复服务器：管理密钥历史档案；时间戳服务器：为文档提供权威时间信息。§7.3公钥基础设施(jīchǔshèshī)PKI第八十四页，共95页。信息安全概论(gàilùn)852023/1/13PKI系统的信任模型选择适当的信任模型是构筑和运作PKI所必需的一个环节。选择正确的信任模型以及与它相应的安全级别是非常重要的，同时也是部署PKI所要做的较早和基本的决策之一。信任模型主要阐述了以下几个问题：一个PKI用户能够信任的证书是怎样被确定的？这种信任是怎样被建立的？在一定的环境(huánjìng)下，这种信任如何被控制？§7.3公钥基础设施(jīchǔshèshī)PKI第八十五页，共95页。信息安全概论(gàilùn)862023/1/13常用的四种信任模型：（1）认证机构的严格层次结构(jiégòu)模型（2）分布式信任结构(jiégòu)模型（3）Web模型（4）以用户为中心的信任模型§7.3公钥基础设施(jīchǔshèshī)PKI第八十六页，共95页。信息安全概论(gàilùn)872023/1/13（1）认证机构的严格层次结构模型认证机构的严格层次结构为一棵倒转的树，根在顶上，树枝向下伸展，树叶在下面。在这棵倒转的树上，根代表一个对整个PKI系统的所有实体都有特别意义的CA——通常叫做(jiàozuò)根CA，它充当信任的根或“信任锚（trustanchor）”也就是认证的起点或终点。在根CA的下面是零层或多层中介CA，也被称作子CA，因为它们从属于根CA。子CA用中间节点表示，从中间节点再伸出分支。与非CA的PKI实体相对应的树叶通常被称作终端实体或终端用户。在这个模型中，层次结构中的所有实体都信任唯一的根CA。§7.3公钥基础设施(jīchǔshèshī)PKI第八十七页，共95页。信息安全概论(gàilùn)882023/1/13这个层次结构按如下规则建立：根CA认证(创立和签署证书)直接连接在它下面的CA。每个CA都认证零个或多个直接连接在它下面的CA。（在一些认证机构(jīgòu)的严格层次结构中，上层的CA既可以认证其他CA也可以认证终端实体。但现有PKI中层次结构往往都是假设一个给定的CA要么认证终端实体要么认证其他CA，但不能两