第7章 PKI技术

1、7.1 PKI概述概述 7.2 证书权威（证书权威（CA） 7.3 数字证书和数字证书和CRL 7.4 信任模型信任模型 主要内容 第第7章章 PKI技术技术 1 导论导论 在网络通信中，需要确定通信双方的身份，这就需在网络通信中，需要确定通信双方的身份，这就需 要身份认证技术要身份认证技术。 在在信息安全的众多解决方案中，一般都要用到信息安全的众多解决方案中，一般都要用到非对 非对 称密码技术称密码技术，也就是说要用到，也就是说要用到公公/私钥对私钥对。在双方甚。在双方甚 至多方的通信过程中，通信的一方要使用其他通信至多方的通信过程中，通信的一方要使用其他通信 方的公钥方的公钥。 关键关键的

2、问题是如何确定通信方公钥的真实性的问题是如何确定通信方公钥的真实性， ， 也就是说，如何将公钥与一个实体绑定在一起也就是说，如何将公钥与一个实体绑定在一起？ 这这就需要公钥基础设施就需要公钥基础设施PKI。 。PKI通过一个可信的第通过一个可信的第 三方对实体进行身份认证，并向其签发证书，将该三方对实体进行身份认证，并向其签发证书，将该 实体与一个公钥绑定在一起。实体与一个公钥绑定在一起。 电子商务是电子商务是21世纪的主要经济增长方式，互联网上的世纪的主要经济增长方式，互联网上的 交易或者信息传输，存在安全问题：交易或者信息传输，存在安全问题： 3 4 思考：思考：在李四用张三的公钥验证张三

3、的数字签名的时在李四用张三的公钥验证张三的数字签名的时 候，有一个关键问题必须要解决。李四怎样得到张候，有一个关键问题必须要解决。李四怎样得到张 三的公钥？李四又怎样才能确定这个公钥的确是张三的公钥？李四又怎样才能确定这个公钥的确是张 三的，而不是王五冒充的呢？三的，而不是王五冒充的呢？ 当面告诉当面告诉 直接用直接用U盘复制盘复制 打电话打电话 如果张三和李四不认识，从未联系过，并且相隔万如果张三和李四不认识，从未联系过，并且相隔万 里，怎么办？里，怎么办？ 最简单的办法是是张三在发送文件和签名的同时，最简单的办法是是张三在发送文件和签名的同时， 将自己的公钥传给李四。但却存在被将自己的公钥

4、传给李四。但却存在被掉包的风险掉包的风险。 5 7.1 PKI概述概述 公开密钥调包风险公开密钥调包风险 6 解决方法：解决方法： 我们我们需要一个可信任的第三方，它负责验证需要一个可信任的第三方，它负责验证 所有人的身份，包括某些计算机设备的身份。它所有人的身份，包括某些计算机设备的身份。它 一定要信誉良好，它验证过的人和设备，我们就一定要信誉良好，它验证过的人和设备，我们就 可以相信可以相信。 这个这个第三方现在称为第三方现在称为CACA（CertificateCertificate AuthorityAuthority证书权威证书权威），），CACA首先认真检查所有人首先认真检查所有人

5、的身份，然后给他们颁发证书，当然这是数字证的身份，然后给他们颁发证书，当然这是数字证 书。证书包括持有人的信息和他的公钥，还可以书。证书包括持有人的信息和他的公钥，还可以 有其他更复杂的信息。有其他更复杂的信息。关键的一点是证书不可被关键的一点是证书不可被 篡改，这由数字签名技术来保证。篡改，这由数字签名技术来保证。 基于数字证书进行身份认证的过程基于数字证书进行身份认证的过程 使用使用CA私钥签名，私钥签名， 其他人无法伪造其他人无法伪造 CA以及其他相关的软件、硬件、协议、安全策略、设备等构成了一以及其他相关的软件、硬件、协议、安全策略、设备等构成了一 个安全平台，在此之上，我们可以进行安

6、全的通信，这个平台就被称个安全平台，在此之上，我们可以进行安全的通信，这个平台就被称 为为PKI。 8 7.1.2 7.1.2 PKIPKI的概念、目的、实体构成和服务的概念、目的、实体构成和服务 9 10 PKI的理论基础 p公钥密码学公钥密码学解决的核心问题是密钥分发。解决的核心问题是密钥分发。 p以以CA认证机构为核心认证机构为核心 p以以数字证书数字证书为工具来提供安全服务功能。为工具来提供安全服务功能。 11 12 一个简化的PKI实体构成图 证 书 certificate 发 布 并 管 理 申 请 证 书 证 书 权 威 Certificate Authority 用 户 安 全

7、 策 略 安 全 策 略 使 用 建立和定义建立和定义 了信息安全了信息安全 方面的指导方面的指导 方针方针 13 举例说明举例说明PKI的运作过程：的运作过程： 李四需要证书，他要先选择一个合适的李四需要证书，他要先选择一个合适的CA,CA是是 营利机构，而且影响力和信誉度也是不太一样的营利机构，而且影响力和信誉度也是不太一样的 。李四可以先去他选定的。李四可以先去他选定的CA的网址，输入有关的网址，输入有关 信息。公信息。公/私钥对可以委托私钥对可以委托CA生成，也可以在李生成，也可以在李 四的计算机上生成。四的计算机上生成。 李四到李四到CA的办公地点或代理机构提交他的相关的办公地点或代

8、理机构提交他的相关 证件验证身份，信誉好的证件验证身份，信誉好的CA的验证过程很严格的验证过程很严格 。缴纳有关费用后，李四就可以得到证书了。缴纳有关费用后，李四就可以得到证书了。 有了证书，李四就可以和张三安全地通信了。有了证书，李四就可以和张三安全地通信了。 在证书使用过程中，如果不小心私钥泄密了，李在证书使用过程中，如果不小心私钥泄密了，李 四可以请四可以请CA将证书撤销。将证书撤销。 证书有一个有效期，过期后要申请新的证书。证书有一个有效期，过期后要申请新的证书。 实际的过程是非常复杂的。实际的过程是非常复杂的。 14 PKI技术额标准化是技术额标准化是PKI技术推广的关键。目前，制定

9、技术推广的关键。目前，制定 PKI相关标准（也包括有关的密码标准）的主要有相关标准（也包括有关的密码标准）的主要有3个个 组织：组织： （1）美国美国RSA公司公司：RSA公司的研究机构是公司的研究机构是RSA实验实验 室，室，RSA实验室制订了很多规范，以成为事实上的国实验室制订了很多规范，以成为事实上的国 际标准。这些规范成为际标准。这些规范成为PKCS。 （2）因特网工程任务组因特网工程任务组：是互联网标准化的主要力量：是互联网标准化的主要力量 ，它制定的标准都以，它制定的标准都以RFC（Request For Comments请请 求评议，包含了关于求评议，包含了关于Internet的

10、几乎所有重要的文字的几乎所有重要的文字 资料）的形式出现。资料）的形式出现。 （3）国际电信联盟国际电信联盟（International Telecommunication Union，ITU）是电信界最权威的标准制订机构。）是电信界最权威的标准制订机构。 15 7.2 证书权威证书权威(CA) 第第7章章 PKIPKI技术技术 Network and Information Security 16 nCA是是PKI的核心，的核心，CA负责产生、分配并管负责产生、分配并管 理理PKI结构下的所有用户（包括各种计算机结构下的所有用户（包括各种计算机 设备甚至是某个应用程序）的证书，设备甚至是某个

11、应用程序）的证书，把用户把用户 的公钥和用户的身份信息捆绑在一起，在网的公钥和用户的身份信息捆绑在一起，在网 上验证用户的身份上验证用户的身份。CA还要负责用户证书还要负责用户证书 的撤销列表登记和证书撤销列表的发布。的撤销列表登记和证书撤销列表的发布。 n概括地说，概括地说，CA的基本功能有的基本功能有证书发放、证证书发放、证 书更新和撤销书更新和撤销。CA的核心功能就是发放和的核心功能就是发放和 管理数字证书。管理数字证书。 17 功能具体描述如下：功能具体描述如下： (1) (1) 接收最终用户数字证书的申请。接收最终用户数字证书的申请。 (2) (2) 确定是否接受最终用户数字证书的申

12、请确定是否接受最终用户数字证书的申请 证书的审批。证书的审批。 (3) (3) 向申请者颁发或者拒绝颁发数字证书向申请者颁发或者拒绝颁发数字证书证证 书的发放。书的发放。 (4) (4) 接收、处理最终用户的数字证书更新请求接收、处理最终用户的数字证书更新请求 证书的更新。证书的更新。 (5) (5) 接收最终用户数字证书的查询、撤销。接收最终用户数字证书的查询、撤销。 (6) (6) 产生和发布证书撤销列表产生和发布证书撤销列表( (CRL)CRL)。 (7) (7) 数字证书的归档。数字证书的归档。 (8) (8) 密钥归档。密钥归档。 (9) (9) 历史数据归档。历史数据归档。 第第7

13、章章 PKIPKI技术技术 Network and Information Security 18 简化的简化的CA构成图构成图 目录服务器 CA服务器 管理控制台 加密机 Web服务器 Internet 第第7章章 PKIPKI技术技术 Network and Information Security 以网页形式提供证书的以网页形式提供证书的 申请、更新、撤销、证申请、更新、撤销、证 书书/CRL的查询的查询/下载等下载等 功能，各种查询功能，各种查询/下载从下载从 目录服务器中读取数据目录服务器中读取数据 对系统进行对系统进行 日常的配置日常的配置 和管理。和管理。 实际上就是数据库实际上

14、就是数据库 服务器，存储了用服务器，存储了用 户的证书和户的证书和CRL等等 公开信息，供所有公开信息，供所有 用户下载使用。用户下载使用。 CA的核心，由管的核心，由管 理控制台调用。理控制台调用。 对各种证书请求对各种证书请求 进行处理。进行处理。 由由CA服务器调用，服务器调用， 执行产生用户公私钥执行产生用户公私钥 对、对证书及对、对证书及CRL 签名及验证签名、对签名及验证签名、对 称密钥加密解密等密称密钥加密解密等密 码操作。码操作。 19 7.2.2 CA对用户证书的管理对用户证书的管理 1.1.用户公用户公/ /私钥对的分类和产生私钥对的分类和产生 一般地，用户公一般地，用户公

15、/ /私钥对有两大类用途：私钥对有两大类用途： ( (1 1) )用于数字签名用于数字签名 ( (2 2) )用于加密信息用于加密信息 相应地，系统中需要配置两对密钥：相应地，系统中需要配置两对密钥：签名密钥对和加密签名密钥对和加密 密钥对。密钥对。这两对密钥有不同的管理要求。这两对密钥有不同的管理要求。 (1)(1)签名密钥对签名密钥对: :由签名私钥和验证公钥组成。为保证由签名私钥和验证公钥组成。为保证 唯一性，签名私钥不能在唯一性，签名私钥不能在CACA做备份和存档。丢失则重做备份和存档。丢失则重 新生成新的密钥对。新生成新的密钥对。 (2)(2)加密密钥对：加密密钥对：由加密密钥和解密

16、密钥组成，为了防由加密密钥和解密密钥组成，为了防 止私钥丢失无法解密数据，解密私钥应该在止私钥丢失无法解密数据，解密私钥应该在CACA进行存进行存 档和备份。档和备份。 第第7章章 PKIPKI技术技术 Network and Information Security 20 用户的密钥有两种产生方式：用户的密钥有两种产生方式： (1) CA替用户生成密钥对：替用户生成密钥对：将公钥制作进证书，然后把私钥以秘密将公钥制作进证书，然后把私钥以秘密 方式传送给用户。方式传送给用户。 对对CA的可信性要求很高的可信性要求很高 且且CA必须在时候销毁用户的私钥必须在时候销毁用户的私钥 适用于加密密钥对适

17、用于加密密钥对 (2) 用户自己生成密钥对：用户自己生成密钥对：自己保管私钥，将公钥以安全的方式传自己保管私钥，将公钥以安全的方式传 给给CA，CA将这个公钥制作进证书中。将这个公钥制作进证书中。 适用于签名密钥对适用于签名密钥对 问题：问题：CA如何确定公钥与用户私钥是对应的？如何确定公钥与用户私钥是对应的？ 解决：美国解决：美国RSA公司制定的规范公司制定的规范PKCS#10解决办法是这样的：用解决办法是这样的：用 户生成密钥对后，将公钥和自己身份的相关信息打包，然后用私户生成密钥对后，将公钥和自己身份的相关信息打包，然后用私 钥签名，再发给钥签名，再发给CA。CA从信息中取出公钥，验证这

18、个签名，验从信息中取出公钥，验证这个签名，验 证通过才开始制作证书。这时，恶意的攻击者再想替换公钥就办证通过才开始制作证书。这时，恶意的攻击者再想替换公钥就办 不到了。不到了。 21 2. 证书的签发证书的签发 （1）完全手工过程）完全手工过程 申请者向注册管理员提供所有关于他们身份的物理证据申请者向注册管理员提供所有关于他们身份的物理证据 注册管理员检查申请者提供的证据注册管理员检查申请者提供的证据 当满意时便会初始化一个注册请求来输入数据，并有注册当满意时便会初始化一个注册请求来输入数据，并有注册 管理员进行数字签名后发给管理员进行数字签名后发给CACA CACA使用最小限度的附加检查就可

19、以发行证书。使用最小限度的附加检查就可以发行证书。 这种方式适用于安全性要求比较高的注册系统这种方式适用于安全性要求比较高的注册系统 身份验证后，证书的发放分为两种方式：身份验证后，证书的发放分为两种方式： （1 1）离线发放：离线发放：面对面发放（特别是面对面发放（特别是CACA代为生成密钥对时，代为生成密钥对时， 最好用此方式发放证书与私钥）最好用此方式发放证书与私钥） （2 2）在线发放：在线发放：通过通过InternetInternet使用目录服务器下载证书。使用目录服务器下载证书。 22 （2 2）利用浏览器申请证书）利用浏览器申请证书 访问访问CACA的网站，打开一个的网站，打开一

20、个WebWeb页面。页面。 填写信息时重要的一项是选择密钥生成方式。用填写信息时重要的一项是选择密钥生成方式。用 户可以选择密钥托管或不托管。户可以选择密钥托管或不托管。 RARA（注册中心注册中心，是，是CACA的延伸，负责证书申请者的的延伸，负责证书申请者的 信息录入、审核等工作）检查申请信息并且开始信息录入、审核等工作）检查申请信息并且开始 验证用户提供的身份信息。验证用户提供的身份信息。 当当CACA接收到接收到RARA的申请时，它根据证书操作管理规的申请时，它根据证书操作管理规 范定义的颁发规则制作证书。范定义的颁发规则制作证书。 生成的证书返还给用户。生成的证书返还给用户。 如果用

21、户自己生成密钥对，他还需将返回的证书如果用户自己生成密钥对，他还需将返回的证书 和先前生成的私钥对应起来。这需要运行一个程和先前生成的私钥对应起来。这需要运行一个程 序将证书和私钥建立起关联。序将证书和私钥建立起关联。 第第7章章 PKIPKI技术技术 Network and Information Security 23 3.3.证书撤销证书撤销 用户提出证书撤销的一般原因如下：用户提出证书撤销的一般原因如下： 1.1.密钥泄密：证书对应的私钥泄密。密钥泄密：证书对应的私钥泄密。 2.2.从属变更：某些关于证书的信息变更，如机构从属变更：某些关于证书的信息变更，如机构 从属变更等。从属变更等

22、。 3.3.终止使用：该密钥对已不再用于原用途。终止使用：该密钥对已不再用于原用途。 CACA根据与证书持有人的协议，可由于以下原因主根据与证书持有人的协议，可由于以下原因主 动撤销证书：动撤销证书： 1.1.知道或者有理由怀疑证书持有人私钥已经被破知道或者有理由怀疑证书持有人私钥已经被破 坏，或者证书细节不真实、不可信。坏，或者证书细节不真实、不可信。 2.2.证书持有者没有履行其职责。证书持有者没有履行其职责。 3.3.证书持有者死亡、违反电子交易规则或者已经证书持有者死亡、违反电子交易规则或者已经 被判定犯罪。被判定犯罪。 4.CA本身原因：由于本身原因：由于CA系统私钥泄密。系统私钥泄

23、密。 第第7章章 PKIPKI技术技术 Network and Information Security 24 4. 证书更新证书更新 发放新的证书情况：发放新的证书情况： 与证书相关的密钥到达它有效生命终点与证书相关的密钥到达它有效生命终点 证书可能已经过期证书可能已经过期 证书中已经证明一些属性可能已经改变，且新证书中已经证明一些属性可能已经改变，且新 属性必须重新证明属性必须重新证明 证书更新时，证书更新时，CACA签发新的证书，过程与证书签发签发新的证书，过程与证书签发 类似，只不过简化了身份审核过程。类似，只不过简化了身份审核过程。 25 密钥产生密钥产生 证书签发证书签发 Bob

24、密钥使用密钥使用 Bob 证书检验证书检验 密钥过期密钥过期 密钥更新密钥更新 密钥密钥/证书生命周期证书生命周期 26 7.2.3 密码硬件简介密码硬件简介 仅仅使用软件可以完成全部的密码操作，包仅仅使用软件可以完成全部的密码操作，包 括密钥生成、加括密钥生成、加/解密、签名、验证签名、解密、签名、验证签名、 单向散列函数处理。单向散列函数处理。 u问题：密钥存于何处？问题：密钥存于何处？ u解决：解决：CA甚至是某些人必须要用甚至是某些人必须要用密码硬密码硬 件设备，件设备，主要目的就是安全。主要目的就是安全。 u密码硬件密码硬件3类：类：一是智能卡、一是智能卡、USB Key等等 小型设

25、备；二是加密卡等中型设备；三是小型设备；二是加密卡等中型设备；三是 加密机等大型设备加密机等大型设备。 27 28 USB Key USB Key也是一种智能卡，也是一种智能卡， 只不过它使用只不过它使用USB接口，从接口，从 外形上看像外形上看像U盘，可以直接盘，可以直接 插入计算机的插入计算机的USB口，比智口，比智 能卡更具优势。很多网上银能卡更具优势。很多网上银 行使用行使用USB Key来保护用户来保护用户 的私钥，安全性比在硬盘上的私钥，安全性比在硬盘上 保存私钥高的多。保存私钥高的多。 中国农业银行中国农业银行K宝宝 中国建设银行网银盾中国建设银行网银盾 29 加密卡加密卡类似于

26、网卡，直接插在用户计算机的扩类似于网卡，直接插在用户计算机的扩 展槽中。展槽中。加密卡有与其配套的密钥管理软件或加密卡有与其配套的密钥管理软件或 密钥管理开发接口。密钥管理开发接口。用户可直接使用密钥用户可直接使用密钥 管理管理 软件来管理加密卡，也可使用密钥管理开发接软件来管理加密卡，也可使用密钥管理开发接 口，在自己的应用系统中对密钥进行管理。口，在自己的应用系统中对密钥进行管理。 加密机加密机是一种昂贵的高端密码设备，从外形看是一种昂贵的高端密码设备，从外形看 像一台路由器。像一台路由器。加密机通过加密机通过TCP/IP协议和主机协议和主机 连接。连接。应用系统通过调用主机上的软件接口库

27、应用系统通过调用主机上的软件接口库 来使用加密机，通过加密机的密钥管理软件来来使用加密机，通过加密机的密钥管理软件来 管理加密机的密钥。管理加密机的密钥。 30 31 7.3 7.3 数字证书和数字证书和CRLCRL 32 33 34 35 36 37 38 39 40 41 42 43 7.3.1 ASN.1概述概述 数字证书所使用的语言数字证书所使用的语言 ASN.1(Abstract Syntax Notation One)意为抽象意为抽象 语法符号语法符号1 1号，由号，由ITU（国际电信联盟）（国际电信联盟）的的X.208 标准定义。标准定义。 讨论：讨论：如何将高层协议安排好的数据

28、以二进制形如何将高层协议安排好的数据以二进制形 式写到磁盘上，或者送到网络上。式写到磁盘上，或者送到网络上。 目的：目的：是描述一种数据结构，而这种数据结构是是描述一种数据结构，而这种数据结构是 高度抽象的，与任何软件、硬件都没有关系；然高度抽象的，与任何软件、硬件都没有关系；然 后再用某种编码方法将其编为二进制串后再用某种编码方法将其编为二进制串。 第第7章章 PKIPKI技术技术 44 1. 简单类型简单类型 BIT STRING:BIT STRING:任意的由任意的由0 0、1 1组成的位串。组成的位串。 IA5String:IA5String:任意的由任意的由ASCIIASCII码组成

29、的字符串。码组成的字符串。 INTEGER:INTEGER:任意的整数。任意的整数。 NULL:NULL:一个空的值。一个空的值。 OBJECT IDENTIFIER:OBJECT IDENTIFIER:对象标识符，由一串整数对象标识符，由一串整数 来标识一个对象。来标识一个对象。 OCTET STRING:OCTET STRING:一串任意的一串任意的8 8元组（实际上就是元组（实际上就是 一个字节）。一个字节）。 PrintableStringPrintableString: :一串任意的可打印字符。一串任意的可打印字符。 UTCTimeUTCTime: :用来标识时间的值。用来标识时间的

30、值。 45 2. 具有结构的类型具有结构的类型 SEQUENCE:SEQUENCE:一系列有序的类型的组合一系列有序的类型的组合 SEQUENCE OFSEQUENCE OF：一系列由：一系列由0 0个或多个相同类型组个或多个相同类型组 成的有序组合。成的有序组合。 SET:SET:一系列类型的组合。一系列类型的组合。 SET OF:0SET OF:0个或多个相同类型的组合个或多个相同类型的组合 46 PFX:=SEQUENCE version INTEGER, authsafe ContentInfo, macData MacData MacData:=SEQUENCE mac Digest

31、Info, macSalt OCTET STRING, Iterations INTEGER 例：例： 用户自定用户自定 义的类型义的类型 47 7.3.2 X.509证书证书 X.509是国际电信联盟是国际电信联盟-电信（电信（ITU-T）部分标准）部分标准 和国际标准化组织（和国际标准化组织（ISO）的证书格式标准。）的证书格式标准。 X.509证书是由可信的证书权威机构（证书是由可信的证书权威机构（CA）签发）签发 的一个关于实体及其公开密钥关联的数字声明。的一个关于实体及其公开密钥关联的数字声明。 X.509证书的核心是证书的核心是公开密钥、公开密钥持有者公开密钥、公开密钥持有者 （主

32、体）和（主体）和CA的签名的签名，证书完成了公开密钥与公，证书完成了公开密钥与公 开密钥持有者的权威性绑定。开密钥持有者的权威性绑定。 48 证证 书书 基基 本本 结结 构构 49 X.509证书各个字段的含义如下：证书各个字段的含义如下： （1）版本（）版本（Version） Version := INTEGER v1(0), v2(1), v3(2) Version := INTEGER v1(0), v2(1), v3(2) （2 2）证书序列号（）证书序列号（ serialNumberserialNumber ） 序列号类型为：序列号类型为：CertificateSerialNumb

33、erCertificateSerialNumber := INTEGER := INTEGER 由由CACA给定的每一个证书中具有唯一性的整数值。给定的每一个证书中具有唯一性的整数值。 (3)(3)签名（签名（ signature signature） 签名的类型为签名算法标识符签名的类型为签名算法标识符AlgorithmIdentifierAlgorithmIdentifier，由，由 ASN.1ASN.1表示如下：表示如下： AlgorithmIdentifierAlgorithmIdentifier：SEQUENCESEQUENCE algorithm OBJECT IDENTIFIER

34、, algorithm OBJECT IDENTIFIER, parameters ANY DEFINED BY algorithm OPTIONAL parameters ANY DEFINED BY algorithm OPTIONAL 50 (4)(4)发行者名称（发行者名称（ issuer issuer ） 用来标识发行证书的用来标识发行证书的CACA。 （5 5）证书有效期（）证书有效期（ validity validity ） Validity := SEQUENCE Validity := SEQUENCE notBeforenotBefore TimeTime， notAfte

35、rnotAfter Time Time Time := CHOICE Time := CHOICE utcTimeutcTime UTCTimeUTCTime， generalTimegeneralTime GeneralizedTimeGeneralizedTime （6）主体名（）主体名（ subject subject） 标识该证书的持有者的名字，一个主体可以有多个证书。标识该证书的持有者的名字，一个主体可以有多个证书。 （7 7）主体的公开密钥信息（）主体的公开密钥信息（ subjectPublicKeyInfosubjectPublicKeyInfo ） SubjectPublicK

36、eyInfoSubjectPublicKeyInfo := SEQUENCE := SEQUENCE algorithm algorithm AlgorithmIdentifierAlgorithmIdentifier， subjectPublicKeysubjectPublicKey BIT STRING BIT STRING 51 （8 8）发行者唯一标识符（）发行者唯一标识符（ issuerUniqueIDissuerUniqueID ） 发行者唯一标识符具有发行者唯一标识符具有UniqueIdentifierUniqueIdentifier 类型类型 UniqueIdentifierU

37、niqueIdentifier := BIT STRING := BIT STRING 用来唯一地标识用来唯一地标识CACA，该字段是版本，该字段是版本2 2增加的可选字段。增加的可选字段。 （9 9）主体唯一标识符（）主体唯一标识符（ subjectUniqueIDsubjectUniqueID ） 用来唯一地标识证书的持有者。该字段是版本用来唯一地标识证书的持有者。该字段是版本2 2增加的可选字段。增加的可选字段。 （1010）扩展（）扩展（ extensions extensions ） 仅出现在仅出现在V3V3中，包含一个或多个扩展字段的集合。扩展字段提供中，包含一个或多个扩展字段的集

38、合。扩展字段提供 了将用户及其密钥与其附加属性关联起来地方法。这些附加属性了将用户及其密钥与其附加属性关联起来地方法。这些附加属性 可以是密钥用途、私钥使用期限、基本限制等。可以是密钥用途、私钥使用期限、基本限制等。 （11）签名算法标识）签名算法标识 由签名算法和算法的相关参数构成。由签名算法和算法的相关参数构成。 （12）签名信息（签名值）签名信息（签名值） 签名值是签名值是CA利用它的私有密钥对证书信息的散列码加密的结果利用它的私有密钥对证书信息的散列码加密的结果。 52 证书持有人证书持有人 证书颁发人证书颁发人 证书序列号证书序列号 证书有限期证书有限期 公钥消息公钥消息 摘要摘要

39、签名算法签名算法 散列散列 证书持有人证书持有人 证书颁发人证书颁发人 证书序列号证书序列号 证书有限期证书有限期 公钥消息公钥消息 数字签名数字签名 CA的私钥的私钥 待签名消息待签名消息 用户证书用户证书 CA生成用户证书流程生成用户证书流程 53 申请支付宝数字证书申请支付宝数字证书 http:/ 54 55 56 57 58 证书的详细信息 59 60 7.3.3 7.3.3 证书撤销列表与在线证书状态协议证书撤销列表与在线证书状态协议 1.1.证书撤销列表证书撤销列表CRLCRL CRLCRL是是Certificate Revocation ListCertificate Revoc

40、ation List的缩写，这的缩写，这 是所有已被撤销证书的名单。是所有已被撤销证书的名单。 CRLCRL由发布由发布CRLCRL的的CACA进行签名，以保证列表不能被进行签名，以保证列表不能被 修改。修改。 CRLCRL通常与证书同时公布在一个目录中。证书用户通常与证书同时公布在一个目录中。证书用户 在验证证书时从目录中下载在验证证书时从目录中下载CRLCRL，并查询列表寻找并查询列表寻找 被验证的证书序列号。被验证的证书序列号。 CRLCRL中只包含未出有效期而被撤销的证书，那些已中只包含未出有效期而被撤销的证书，那些已 超出有效期而自动失效的证书不会出现在超出有效期而自动失效的证书不会

41、出现在CRLCRL中。中。 CRLCRL更新的频率非常重要。太低，用户觉得证书以更新的频率非常重要。太低，用户觉得证书以 至于至于CACA不可信，太高，也不合适。不可信，太高，也不合适。 第第7章章 PKIPKI技术技术 Network and Information Security 61 2.2.在线证书状态协议在线证书状态协议( (OCSP)OCSP) 在线证书状态协议是在线证书状态协议是Online Certificate Status Online Certificate Status ProtocolProtocol的缩写。的缩写。 通过通过OCSP,OCSP,我们能通过互联网实时

42、地向我们能通过互联网实时地向CACA查询某个查询某个 证书的状态证书的状态。 适合涉及大量金钱的场合，如股票交易、签订大金适合涉及大量金钱的场合，如股票交易、签订大金 额合同等。额合同等。 19991999年发布的年发布的RFC 2560RFC 2560定义了定义了OCSPOCSP。用户向用户向CACA的的 OCSPOCSP服务器发送一个服务器发送一个OCSPOCSP请求，指明要验证的证书，请求，指明要验证的证书， OCSPOCSP服务器则回复一个服务器则回复一个OCSPOCSP响应，指出该证书的状响应，指出该证书的状 态。态。 第第7章章 PKIPKI技术技术 Network and Inf

43、ormation Security 62 7.4 7.4 信任模型信任模型 X.509规范在规范在2000年版对年版对信任定义信任定义：一般来说，如果：一般来说，如果 一个实体假定另一个实体会严格地像它期望地那样一个实体假定另一个实体会严格地像它期望地那样 行动，那么就称它信任那个实体。行动，那么就称它信任那个实体。 实体是指在网络或分布式环境中具有独立决策和行实体是指在网络或分布式环境中具有独立决策和行 动能力的终端、服务器或智能代理等。动能力的终端、服务器或智能代理等。 信任涉及假设、期望和行为，意味着信任是不可能信任涉及假设、期望和行为，意味着信任是不可能 被定量测量地。被定量测量地。

44、PKI中，定义可以具体化：如果一个用户假定中，定义可以具体化：如果一个用户假定CA可可 以把任一公钥绑定到某个实体上，则他信任该以把任一公钥绑定到某个实体上，则他信任该CA。 PKI体系中的体系中的信任模式信任模式是指各类是指各类CA，包括根，包括根CA及子及子 CA的组织方式。的组织方式。 63 7.4.1 7.4.1 证书验证方法证书验证方法 证书验证是确定证书在某一时刻是否有效以及确认它证书验证是确定证书在某一时刻是否有效以及确认它 能否符合用户意图的过程。它包括以下内容：能否符合用户意图的过程。它包括以下内容： 1. 1.证书是否包含一个有效的数字签名，以此确定证书证书是否包含一个有效

45、的数字签名，以此确定证书 内容没有被修改过。可利用颁发者（内容没有被修改过。可利用颁发者（CACA）公钥来）公钥来 验证。验证。 2. 2.颁发者颁发者( (CA)CA)的公开密钥是否有效，是否可以用来验的公开密钥是否有效，是否可以用来验 证证书上的数字签名。证证书上的数字签名。 3. 3.当前使用证书的时间是否在证书的有效期内。当前使用证书的时间是否在证书的有效期内。 4. 4.证书证书( (或其对应的密钥或其对应的密钥) )是否用于最初签发它的目的。是否用于最初签发它的目的。 5. 5.检查证书撤销列表检查证书撤销列表CRLCRL或利用或利用OCSPOCSP协议，验证证书协议，验证证书 是

46、否被撤销是否被撤销。 第第7章章 PKIPKI技术技术 Network and Information Security 思考：注意第二条，如何验证思考：注意第二条，如何验证CA的公开密钥是否有效？的公开密钥是否有效？ 64 65 66 什么是证书链？根证书？什么是证书链？根证书？ 如果用户如果用户x希望验证用户希望验证用户a的证书，需要获得给的证书，需要获得给a签发签发 证书的机构证书的机构D的公钥，因此的公钥，因此x需要查看需要查看D的证书，由于的证书，由于 D的证书是由的证书是由C签发的，因此签发的，因此x必须获得必须获得C的公钥验证的公钥验证D 的证书，继而的证书，继而x又需要查看又需

47、要查看C的证书，这样一来就构成的证书，这样一来就构成 了一条了一条证书链证书链的关系，这条链的终点就是的关系，这条链的终点就是根证书根证书。假。假 设设A是此认证机构的根，是此认证机构的根，A的证书就是根证书，是用的证书就是根证书，是用A 自己的私钥自签名产生的，它的证书称为自颁发或自自己的私钥自签名产生的，它的证书称为自颁发或自 签名证书。签名证书。 在实际应用中，证书链中的证书一般有在实际应用中，证书链中的证书一般有25个。个。 67 68 69 根根CA的证书已经预装在很多软件（特别是操的证书已经预装在很多软件（特别是操 作系统）中，安装了这个软件的同时也就拥作系统）中，安装了这个软件的

48、同时也就拥 有了根有了根CA的证书。的证书。 70 X.509的的CA目录的层次结构目录的层次结构 A BHP CMFJQT DEGHKLONSRVU abcde.x. 认证机构 用户 用户用户a的证书链可以使用下面的形式表达：的证书链可以使用下面的形式表达： KRACABKRBCACKRCCADKRDCAa 其中，其中， KRX表示使用表示使用X的私钥签名；的私钥签名； CAx表示表示x的证书的证书 71 树型层次结构树型层次结构CA中证书的验证中证书的验证 假设个体假设个体A看到看到B的一个证书的一个证书 B的证书中含有签发该证书的的证书中含有签发该证书的CA的信息的信息 沿着层次树往上找

49、，可以构成一条证书链，直沿着层次树往上找，可以构成一条证书链，直 到根证书到根证书 验证过程：验证过程： 沿相反的方向，从根证书开始，依次往下验证每一沿相反的方向，从根证书开始，依次往下验证每一 个证书中的签名。其中，根证书是自签名的，用它个证书中的签名。其中，根证书是自签名的，用它 自己的公钥进行验证；自己的公钥进行验证； 一直到验证一直到验证B的证书中的签名；的证书中的签名； 如果所有的签名验证都通过，则如果所有的签名验证都通过，则A可以确定所有的可以确定所有的 证书都是正确的，如果他信任根证书都是正确的，如果他信任根CA，则他可以相，则他可以相 信信B的证书和公钥。的证书和公钥。 72

50、例：例：证书链的验证示例证书链的验证示例 73 7.4.2 7.4.2 信任模型信任模型 1. 层次模型层次模型 u描述为描述为一棵倒置的树一棵倒置的树，这样的一棵树称为一个信任域，这样的一棵树称为一个信任域 u根代表一个对整个信任域所有实体都有特别意义的根代表一个对整个信任域所有实体都有特别意义的 CA,称为称为根根CA。 u在根在根CA的下面是零层或多层中间的下面是零层或多层中间CA,称为称为子子CA。 u与非子与非子CA的的PKI实体相对应的树叶通常称为实体相对应的树叶通常称为终端实终端实 体体或或终端用户终端用户。 74 层次信任模型 75 这个层次结构按如下规则建立：这个层次结构按如

51、下规则建立： （1）根）根CA认证直接为其下面的认证直接为其下面的CA签发证书，根签发证书，根CA给自给自 己颁发一个自签名证书。己颁发一个自签名证书。 （2）每个）每个CA都认证零个或多个直接连接在它下面的都认证零个或多个直接连接在它下面的CA （3）倒数第二层的）倒数第二层的CA认证终端实体认证终端实体 简单、不适合大规模简单、不适合大规模 76 2. 对等模型和网状模型对等模型和网状模型 对等信任模型假设建立信任的两个认证机构不能认为其对等信任模型假设建立信任的两个认证机构不能认为其 中一个从属于另一个中一个从属于另一个它们是对等的。它们是对等的。 如：两个如：两个CA是不同的信任域，域

52、内的用户只能验证本是不同的信任域，域内的用户只能验证本 域内的用户。域内的用户。 问题：如何建立两个信任域的联系？问题：如何建立两个信任域的联系？ 解决：使用交叉认证。解决：使用交叉认证。 交叉认证交叉认证是把以前的无关的是把以前的无关的CA连接在一起的机制，使连接在一起的机制，使 得在它们各自主体群之间的安全通信成为可能。得在它们各自主体群之间的安全通信成为可能。 域内交叉认证域内交叉认证：两个：两个CACA同属于相同的域。同属于相同的域。 域间交叉认证域间交叉认证：两个：两个CACA属于不同的域。属于不同的域。 77 78 交叉认证可以是单向的，也可以是双向的。交叉认证可以是单向的，也可以

53、是双向的。 单向单向：CA1可以认证可以认证CA2，而，而CA2没有认证没有认证CA1。 单向交叉认证导致了单个交叉证书。单向交叉认证导致了单个交叉证书。 双向双向： CA1和和CA2可以互相交叉认证，这种认证导可以互相交叉认证，这种认证导 致了两个不同的交叉证书。致了两个不同的交叉证书。 CA1CA1CA2CA2 李四李四张三张三 79 网状模型（只能在某些网状模型（只能在某些CA间进行交叉认证）间进行交叉认证） CA1CA1 CA4CA4 CA2CA2 CA5CA5 CA3CA3 CA6CA6 张三张三 李四李四 第第7章章 PKIPKI技术技术 Network and Informati

54、on Security 李四李四(他只信任他只信任CA4)如何验证张三的证书？可以如何验证张三的证书？可以 构造一条验证路径：构造一条验证路径：CA4-CA1-CA2-CA3- 张三。张三张三。张三(他只信任他只信任CA3)可利用如下路径来验可利用如下路径来验 证李四的证书：证李四的证书：CA3-CA6-CA5-CA4-李四。李四。 80 3. 混合模型混合模型 根根CA1CA1 子子CACA子子CACA 终端用户终端用户终端用户终端用户终端用户终端用户终端用户终端用户 根根CA2CA2 第第7章章 PKIPKI技术技术 Network and Information Security 根根C

55、A1及其子及其子CA构成一个构成一个信任域信任域，根，根CA2及其子及其子CA构成构成另一个信任另一个信任 域域，它们都是，它们都是层次信任模型层次信任模型。然后，根。然后，根CA1和根和根CA2进行进行交叉认证交叉认证， 两者构成两者构成对等模型对等模型。 81 7.6 国内典型的国内典型的CA 从我国的从我国的CA的建设情况来看，我国内地的的建设情况来看，我国内地的 CA大致可以分为三类：大致可以分为三类： 行业性行业性CA，如中国金融认证中心（，如中国金融认证中心（CFCA）；）； 区域性区域性CA，如上海，如上海CA（SHECA）；）； 商业性商业性CA，如天威诚信，如天威诚信CA等。

56、等。 82 中国金融认证中心（中国金融认证中心（CFCA） CFCACFCA是是19981998年由中国人民银行牵头，联合年由中国人民银行牵头，联合 国内国内1414家商业银行参加建设，由银行卡信息家商业银行参加建设，由银行卡信息 交换总中心承建的。交换总中心承建的。20002000年年6 6月月2929日，正式日，正式 挂牌成立。挂牌成立。 CFCACFCA的功能：证书的申请、证书的审批、的功能：证书的申请、证书的审批、 证书的发放、证书归档、证书撤销、证书证书的发放、证书归档、证书撤销、证书 更新、证书撤销表的管理、管理功能、自更新、证书撤销表的管理、管理功能、自 身密钥管理功能。身密钥管

57、理功能。 83 中国金融认证中心（中国金融认证中心（CFCA）（3/3） http:/ 84 上海上海CA（SHECA） SHECASHECA是由上海市信息投资股份有限公司、上是由上海市信息投资股份有限公司、上 海邮电、上海市银行卡网络服务中心、上海联海邮电、上海市银行卡网络服务中心、上海联 合投资公司联合出资组建，经上海市政府批准合投资公司联合出资组建，经上海市政府批准 ，上海市唯一从事数字证书的签发和管理业务，上海市唯一从事数字证书的签发和管理业务 的权威认证中心。的权威认证中心。 19981998年年1212月月3131日在市政府揭牌成立，日在市政府揭牌成立，19991999年年 SHE

58、CASHECA被列为信息产业部全国电子商务综合性被列为信息产业部全国电子商务综合性 示范工程的试点项目。示范工程的试点项目。20052005年年9 9月月2727日，日， SHECASHECA成为第一批获得电子认证服务许可证的成为第一批获得电子认证服务许可证的 服务机构。服务机构。 85 上海上海CA（SHECA）（2/2） 86 天威诚信天威诚信CA 天威诚信数字认证中心是由北京天威诚信电子天威诚信数字认证中心是由北京天威诚信电子 商务服务有限公司（商务服务有限公司（iTruschinaiTruschina）运营管理的）运营管理的 PKI/CAPKI/CA数字认证中心，是经信息产业部批准数字

59、认证中心，是经信息产业部批准 的全国性的全国性PKI/CAPKI/CA企业，是专门从事电子认证企业，是专门从事电子认证 服务、服务、PKI/CAPKI/CA建设服务、建设服务、PKI/CAPKI/CA应用服务应用服务 PKI/CAPKI/CA运营管理咨询服务和运营管理咨询服务和PKI/CAPKI/CA体系整体体系整体 规划服务的专业化信息安全技术与服务公司。规划服务的专业化信息安全技术与服务公司。 天威诚信是首批获得信息产业部电子认证服务天威诚信是首批获得信息产业部电子认证服务 许可证的运营商。认证中心位于北京，在全国许可证的运营商。认证中心位于北京，在全国 重点城市设有业务机构。重点城市设有业务机构。 87 天威诚信天威诚信CA （2/2） 88 7.7 数字签名案例分析数字签名案例分析 应用背景：在实际工作中，财务工作人员制作好一应用背景：在实际工作中，财务工作人员制作好一 份份Excel工作薄（工作薄（sheet）文件后，常常需要将这份工作薄）文件后，常常需要将这份工作薄 文件通过各种方式上报给上级领导审查，在这个上报过文件通过各种方式上报给上级领导审查，在这个上报过 程中，希望保持工作表数据的完整性和原始性，这种情