大连理工大学网络安全与密码学 chap7-密钥管理

1、第六章 现代密码学与应用 密钥管理技术2022-3-15 网络通信安全模型网络通信安全模型 四个基本任务四个基本任务（1）设计一个算法，执行安全相关的转换（2）生成该算法的秘密信息（3）研制秘密信息的分布与共享的方法（4）设定两个责任者使用的协议，利用算法和秘密信息取得安全服务。2022-3-15大纲大纲一、密钥管理的概念二、机密密钥分发技术三、公钥分发技术四、控制密钥使用的技术五、多个域的密钥管理六、密钥生命周期问题6.1 密钥管理密钥管理q所有的密码技术都依赖于密钥。q密钥的管理本身是一个很复杂的课题，而且是保证安全性的关键点。q密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）

2、而异。密钥类型（密钥类型（1）q1）基本密钥（Base Key） 又称初始密钥（Primary Key)，用户密钥(User key)，是由用户选定或由系统分配给用户的，可在较长时间（相对于会话密钥）内由一对用户所专用的密钥。q2）会话密钥（Session Key） 即两个通信终端用户在一次通话或交换数据时使用的密钥。当它用于加密文件时，称为文件密钥(File key)，当它用于加密数据时，称为数据加密密钥(Data Encrypting Key)。密钥类型（密钥类型（2）q3）密钥加密密钥（Key Encrypting Key） 用于对会话密钥或文件密钥进行加密时采用的密钥。又称辅助（二级）

3、密钥(Secondary Key)或密钥传送密钥(key Transport key)。通信网中的每个节点都分配有一个这类密钥。q4）主机主密钥（Host Master Key） 它是对密钥加密密钥进行加密的密钥，存于主机处理器中。q5）在公钥体制下，还有公开密钥、秘密密钥、签名密钥之分。密钥类型（密钥类型（3）q 将用于数据加密的密钥称三级密钥；q 保护三级密钥的密钥称二级密钥，也称密钥加密密钥；q 保护二级密钥的密钥称一级密钥，也称密钥保护密钥。 如用口令保护二级密钥，那么口令就是一级密钥。 所有的密钥都有生存期所有的密钥都有生存期q密钥的生存周期：授权使用该密钥的周期。q原因： 1）拥有

4、大量的密文有助于密码分析；一个密钥使用得太多了，会给攻击者增大收集密文的机会； 2）假定一个密钥受到危及或用一个特定密钥的加密/解密过程被分析，则限定密钥的使用期限就相当于限制危险的发生。密钥的生存期密钥的生存期q一个密钥主要经历以下几个阶段： 1）产生（可能需要登记） 2）分配 3）使用 4）更新/替换 5）撤销 6）销毁密钥管理密钥管理q密钥管理（key management) 在一种安全策略指导下密钥的产生, 存储, 分配, 删除, 归档及应用。(GB/T 9387.21995ISO 7498-21989)q处理密钥自产生到最终销毁的整个过程中的有关问题，包括系统的初始化，密钥的产生、存

5、储、备份/恢复、装入、分配、保护、更新、泄露、撤销和销毁等内容。2022-3-15密钥管理密钥管理q 是一组技术和过程，它能够在授权方间提供密钥关系的建立和维护q 包括 域中系统用户的初始化 密钥材料的生成、分发和安装 控制密钥材料的使用 密钥材料的更新、撤销和销毁 密钥材料的存储、备份/恢复和存档指通信实体共享密钥指通信实体共享密钥材料材料(包括公钥、私包括公钥、私钥、初始值以及额外钥、初始值以及额外的非秘密参数的非秘密参数)的状的状态态密钥管理的目的密钥管理的目的q目的：维持系统中各实体之间的密钥关系，以抗击各种可能的威胁：（1）密钥的泄露（2）秘密密钥或公开密钥的身份的真实性丧失（3）经

6、未授权使用密钥管理密钥管理q密钥产生q密钥的装入q密钥的保护q密钥类型q密钥存储q密钥分配密钥协定密钥协定密钥使用控制密钥使用控制密钥备份密钥备份/恢复恢复更新密钥更新密钥密钥的撤销和销毁密钥的撤销和销毁公开密钥的管理公开密钥的管理密钥产生密钥产生q 手工/自动化q 选择密钥方式不当会影响安全性 1）使密钥空间减小4字节字节5字节字节6字节字节7字节字节8字节字节小写字母（小写字母（26）4.6*1051.2 *1073.1 *1088.0 *1092.1 *1011小写字母小写字母+数字（数字（36）1.7 *1066.0 *1072.2 *1097.8 *10102.8 *1012字母数字

7、字符（字母数字字符（62）1.5 *1079.2 *1085.7 *10103.5 *10122.2 *1012印刷字符（印刷字符（95）8.1 *1077.7 *1097.4 *10117.0 *10136.6 *1015ASCII字符（字符（128）2.7 *1083.4 *10104.4 *10125.6 *10147.2 *10168位位ASCII字符（字符（256）4.3 *1091.1 *10122.8 *10147.2 *10161.8 *1019 2）差的选择方式易受字典式攻击 攻击者并不按照数字顺序去试所有可能的密钥，首先尝试可能的密钥，例如英文单词、名字等。（Daniel

8、Klein使用此法可破译40%的计算机口令），方法如下：（1）用户的姓名、首字母、帐户名等个人信息（2）从各种数据库得到的单词（3）数据库单词的置换（4）数据库单词的大写置换（5）对外国人从外国文字试起（6）尝试词组好的密钥的特点好的密钥的特点2.好密钥特征好密钥特征q 真正随机、等概；真正随机、等概；q 避免使用特定算法的弱密钥；避免使用特定算法的弱密钥；q 双钥系统的密钥更难产生，因为必须满足一定的数学关系；双钥系统的密钥更难产生，因为必须满足一定的数学关系；q 为了便于记忆，密钥不能选得过长，而且不可能选完全随机的数字为了便于记忆，密钥不能选得过长，而且不可能选完全随机的数字串，要选用易

9、记而难猜中的密钥；串，要选用易记而难猜中的密钥；q 采用散列函数。采用散列函数。 密钥的生成与算法有关，如果生成的密钥强度不一致，则称该密钥的生成与算法有关，如果生成的密钥强度不一致，则称该算法构成的是非线性密钥空间；否则称为线性密钥空间。算法构成的是非线性密钥空间；否则称为线性密钥空间。不同等级的密钥的产生方式不不同等级的密钥的产生方式不同同（1）主机主密钥安全性至关重要，故要保证其完全随机性、不可重复性和不可预测性。可用投硬币、骰子，噪声发生器等方法产生（2）密钥加密密钥数量大(N(N-1)/2),可由机器自动产生,安全算法、伪随机数发生器等产生（3）会话密钥可利用密钥加密密钥及某种算法(

10、加密算法,单向函数等)产生。（4）初始密钥类似于主密钥或密钥加密密钥的方法产生密钥的产生方式密钥的产生方式q 必须在安全环境中产生密钥以防止对密钥的非授权访问。 q 密钥生产形式现有两种， 一种是由中心(或分中心)集中生产，也称有边界生产； 另一种是由个人分散生产，也称无边界生产。 3.生成密钥的方式生成密钥的方式 方式方式代代 表表生产者生产者用户数量用户数量特特 点点安全性安全性适用范围适用范围集中式集中式传统的密钥传统的密钥分发中心分发中心KDC 和证书和证书分发中心分发中心CDC 等方案等方案在中心统在中心统一进行一进行生产有边界生产有边界，边界以所，边界以所能配置的密能配置的密钥总量

11、定义钥总量定义，其用户数，其用户数量受限量受限密钥的认证密钥的认证协议简洁协议简洁交易中的安交易中的安全责任由中全责任由中心承担心承担网络边界确网络边界确定的有中心定的有中心系统系统 分散式分散式由个人产生由个人产生 密钥生产无密钥生产无边界，其用边界，其用户数量不受户数量不受限制限制密钥变量中密钥变量中的公钥必须的公钥必须公开，需经公开，需经第三方认证第三方认证。交易中安全交易中安全责任由个人责任由个人承担承担无边界的和无边界的和无中心系统无中心系统两种密钥产生方式对比两种密钥产生方式对比密钥登记密钥登记q密钥登记：将产生的密钥与特定的使用捆绑在一起，例如，用于数字签名的密钥，必须与签名者的

12、身份捆绑在一起。这个捆绑必须通过某一授权机构来完成。 密钥的装入密钥的装入主机主密钥主机主密钥: 直接或间接装入直接或间接装入,装入时须有电磁屏蔽装入时须有电磁屏蔽,装入后不能再读出装入后不能再读出(但可间接验证但可间接验证)密钥加密密钥密钥加密密钥: 直接或间接装入直接或间接装入,装入时须有电磁屏装入时须有电磁屏蔽蔽,装入后不能再读出装入后不能再读出,可联机或者间接验证可联机或者间接验证会话密钥会话密钥: 初始初始密钥密钥:直接或间接装入直接或间接装入,装入后不能再读出装入后不能再读出,可联可联机验证机验证 密钥的存储密钥的存储q 一种是将所有密钥或公钥存储在专用媒体（U盘、芯片等）一次性发

13、放给各用户，用户在本机中就可以获得对方的公钥，协议非常简单，又很安全。电脑黑客的入侵破坏，也只能破坏本机而不影响其他终端。这种形式只有在KDC等集中式方式下才能实现。q 第二种是用对方的公钥建立密钥环各自分散保存（如PGP）。q 第三种是将各用户的公钥存放在公用媒体中。q 2+3这两种都需要解决密钥传递技术，以获取对方的公钥。第三种还要解决公用媒体的安全技术，即数据库的安全问题。 2022-3-15 对称密钥：对称密码系统中使用的相同的秘密密钥 公钥和私钥：非对称密码系统中使用的成对密钥统称为秘密密钥统称为秘密密钥密钥的保护密钥的保护最安全的方法是将其放在物理上安全的地方。否则，密钥必须用其它

14、的方法来保护(1)将一个密钥分成两部分，委托给两个不同的人；(2)通过机密性（例如，用另一个密钥加密）和/或完整性服务来保护。极少数密钥(主机主密钥)以明文存储于有严密物理保护的密码器中,其他密钥都被(主密钥或次主密钥)加密后存储2022-3-15密钥管理：对称密钥密钥管理：对称密钥 vs.公钥加密公钥加密密钥分配与密钥协定密钥分配与密钥协定。由于任何密钥都有使用期限，因此密钥的定期。由于任何密钥都有使用期限，因此密钥的定期（或不定期）更换是密钥管理的一个基本任务。（或不定期）更换是密钥管理的一个基本任务。为了尽可能地减少人的参与，密钥的分配需要尽为了尽可能地减少人的参与，密钥的分配需要尽可能

15、地自动进行。可能地自动进行。密钥协定密钥协定协议协议: :系统两个或者多个成员在公开的系统两个或者多个成员在公开的信道上联合建立秘密密钥信道上联合建立秘密密钥. .两个成员的密钥协定两个成员的密钥协定也称为密钥交换也称为密钥交换. .有些协议既是有些协议既是密钥分配密钥分配协议协议, ,也是也是密钥协定密钥协定协议协议. .密钥分配密钥分配q基于对称密码体制的密钥分配q基于公开密码体制的秘密密钥分配q几个密钥分配方案密钥分配密钥分配1：基于对称密码体制的密钥分配：基于对称密码体制的密钥分配q对称密码体制的主要商业应用起始于八十年代早期，特别是在银行系统中，采纳了DES标准和银行工业标准ANSI

16、数据加密算法(DEA)。实际上，这两个标准所采用的算法是一致的。q随着DES的广泛应用带来了一些研究话题，比如如何管理DES密钥。从而导致了ANSI X9.17标准的发展，该标准于1985年完成，是有关金融机构密钥管理的一个标准。 q金融机构密钥管理需要通过一个多级层次密钥机构来实现。q ANSI X9.17三层密钥层次结构： 1）主密钥（KKMs），通过手工分配； 2）密钥加密密钥（KKs），通过在线分配； 3）数据密钥（KDs）。qKKMs保护KKs的传输，用KKs保护KDs的传输。q主密钥是通信双方长期建立密钥关系的基础。主密钥的分配方式主密钥的分配方式q 利用安全信道实现 （1）直接面

17、议或通过可靠信使递送 （2）将密钥分拆成几部分分别传送 k1 k2 k3 k4 k5 k1 k2 k3 k4 k5 发送方 分解密钥 接收方 组合密钥 K1 K2 K3 K4 K5 信使 挂号信 特快专递 电话 信鸽 两种密钥分配技术两种密钥分配技术 名名称称特点特点优点优点缺点缺点适用范围适用范围静静态态分分配配 是一种由中心以是一种由中心以脱脱线线方式预分配的技方式预分配的技术，是术，是“面对面面对面”的分发，的分发，安全性好，是长安全性好，是长期沿用的传统密期沿用的传统密钥管理技术钥管理技术必须解决密钥的必须解决密钥的存储技术存储技术 静态分发只静态分发只能以集中式能以集中式机制存在机制

18、存在 动动态态分分配配 是是“请求请求分发分发”的的在线在线分发技术分发技术 需要有专门的协需要有专门的协议的支持议的支持 有中心和无有中心和无中心的机制中心的机制都可以采用都可以采用 两种密钥分配体制两种密钥分配体制 名称名称特点特点缺点缺点代表代表集中集中式式 集中式分配是引入一个中心服务器（通集中式分配是引入一个中心服务器（通常称作密钥分配中心或常称作密钥分配中心或KDC），在这个），在这个体系中，团体中的任何一个实体与中心体系中，团体中的任何一个实体与中心服务器共享一个密钥。在这样的系统中，服务器共享一个密钥。在这样的系统中，需要存储的密钥数量和团体的人数量差需要存储的密钥数量和团体的

19、人数量差不多，不多，KDC接受用户的请求，为用户提接受用户的请求，为用户提供安全的密钥分配服务供安全的密钥分配服务 动态分发动态分发时，中心时，中心服务器必服务器必须随时都须随时都是在线的是在线的 Kerboros协协议议 分布分布式式 网络中的主机具有相同的地位，他们之网络中的主机具有相同的地位，他们之间的密钥分配取决于他们之间的协商间的密钥分配取决于他们之间的协商 但但Diffie-Hellman密密钥交换协钥交换协议没有提议没有提供鉴别机供鉴别机制，不能制，不能抵抗中间抵抗中间人攻击人攻击 比较著名的比较著名的有有Diffie-Hellman密钥密钥交换协议交换协议 静态分配静态分配q

20、一个有n个用户的系统，需实现两两之间通信qn个用户，需要n(n-1)/2个共享密钥对称密钥配置对称密钥配置 非对称密钥配置非对称密钥配置用户用户1 K1-2,K1-3,K1-nn个用户公钥，用户个用户公钥，用户1自己私钥自己私钥用户用户2 K2-1, K2-3,K2-n n个用户公钥，用户个用户公钥，用户2自己私钥自己私钥。用户用户n Kn-1, Kn-2,Kn-n-1 n个用户公钥，用户个用户公钥，用户n自己私钥自己私钥动态分配动态分配q 中心化的密钥管理方式，由一个可信赖的联机服务器作为密钥分配中心（KDC）或密钥转递中心（KTC）（a） A B KTC K K K A B KTC K K

21、 A B KDC K K A B KTC K K （b）Yahalom协议协议2022-3-15q 这个协议中Alice和Bob两人各与KDC共享一个秘密密钥。(A, RA)EB(A, RA, RB)EA(B, k, RA, RB), EB(A, k)解密得解密得k和和RA并并确认确认RA的有效性的有效性EB(A, k), Ek(RB)解密得解密得k,再解密得再解密得RB，确认确认RA的有效性的有效性A、B分别为分别为Alice和和Bob的名字；的名字；RA, RB为随机数为随机数通过该协议，通过该协议，Alice、Bob互相确信是正在同对方谈话，而不是跟互相确信是正在同对方谈话，而不是跟第三

22、方第三方AliceKDCBob 带鉴别与抗重放机制的密钥分配方案带鉴别与抗重放机制的密钥分配方案2022-3-15Needham-Schroeder改进协议（改进协议（1）2. 4. )|(|TIDKETIDKEAsKBsKBAKDCAB1. IDA| IDB3. |TIDKEAsKB1NESK5. )(1NfESK以时戳替代随机以时戳替代随机数，用以向数，用以向A，B保证保证Ks的新鲜性的新鲜性|ClockT|t1+t2 Clock:本地时钟本地时钟t1：本地时钟与：本地时钟与KDC时钟误差估计值时钟误差估计值t2 ：网络延迟时间：网络延迟时间要求各方时钟同步要求各方时钟同步如果发方时钟超前

23、如果发方时钟超前B方时钟，可能方时钟，可能导致等待重放攻击导致等待重放攻击Transparent Key Control Decentralized Key Distribution用户必须信任用户必须信任KDCKDC能解密用户间通信的内容能解密用户间通信的内容Decentralized key distribution适合于小型网络环境适合于小型网络环境简单的秘密密钥分配简单的秘密密钥分配Simple secret key distribution 具有保密和鉴别能力的分配具有保密和鉴别能力的分配Secret key distribution with confidentiality and

24、 auhtentication 混合方案混合方案Hybrid scheme密钥分配密钥分配2：基于公开密钥体制的秘密密钥分配：基于公开密钥体制的秘密密钥分配Simple secret key distributionMerkle的建议的建议:Merkle 79A生成生成KUa,KRa, AB: (IDA,KUa)B生成随机密钥生成随机密钥Ks, BA: EKUa(Ks)A解密解密EKUa(Ks)得到得到Ks: DKRa(EKUa(Ks)A丢弃丢弃KUa,KRa,B丢弃丢弃KUa通讯前不需存在密钥通讯前不需存在密钥,通讯后也不存在密钥通讯后也不存在密钥能抵抗偷听能抵抗偷听,不能抵抗主动攻击不能抵

25、抗主动攻击(中间人攻击中间人攻击)Merkle协议的中间人攻击协议的中间人攻击A生成生成KUa,KRa, AB: (IDA,KUa)E截获截获,生成生成KUe,KRe冒充冒充AB: (IDA,KUe)B生成随机密钥生成随机密钥Ks, BA: EKUe(Ks)E截获截获,解密后再用解密后再用EKUa加密加密KsA: EKUa(Ks)A丢弃丢弃KUa,KRa,B丢弃丢弃KUaE获得了获得了Ks,故以后只需进行窃听故以后只需进行窃听.A,B并不知晓它们被攻击了并不知晓它们被攻击了Secret key distribution with confidentiality and authenticati

26、on假定假定A和和B已经获得了双方的公钥已经获得了双方的公钥:AB: EKUb(IDA,N1)BA: EKUa(N1 ,N2)AB: EKUb(N2)AB: Y=EKUb(EKRa(Ks)B解密解密Y获得会话密钥获得会话密钥Ks=DKUa(DKRb(Y)Hybrid Scheme在在IBM大型主机上使用大型主机上使用仍然使用仍然使用KDCKDC与每个用户都拥有与每个用户都拥有公钥公钥,私钥私钥对对KDC与每个用户共享主密钥与每个用户共享主密钥(对称密钥密码对称密钥密码)会话密钥的分发由主密钥完成会话密钥的分发由主密钥完成主密钥更新由公钥完成主密钥更新由公钥完成2022-3-15Needham-

27、Schroeder公钥协议公钥协议AliceBob),(. 11AkEBp),(. 221kkEAp)(. 32kEBp会话密钥会话密钥W=f(k1,k2)PA,PB分别为分别为Alice 和和Bob的公钥的公钥可实现相互的实体认证、密钥认证和密钥传输可实现相互的实体认证、密钥认证和密钥传输密钥分配密钥分配人工手动分配密钥: 问题效率低成本高每个用户要存储与所有用户通信的密钥安全性差机器自动分配密钥: 要求任何两个用户能独立计算他们之间的秘密密钥传输量小存储量小任何一个(或多个)用户不能计算出其他用户之间的秘密密钥三、三、公钥分发技术公钥分发技术2022-3-152022-3-15选择方案选择

28、方案q 可信信道上的点对点传输q 直接访问一个可信的公开文件（公钥注册q 在线可信服务器的使用q 离线服务器和证书的使用q 隐式确保公开参数真实性的系统的使用2022-3-156.3.1 可信信道上的点对点传输可信信道上的点对点传输q具体方式：通过亲自交换通过连接相关用户的直接信道从其他用户处直接获取某用户的可信公钥，并提供（程序上的）完整性和真实性保证。q适用于：不常用的情况或是小且封闭的系统中q其他相关方法：通过不可信的信道交换公钥和相关信息并通过一个独立的低宽带可信信道传送这些信息的杂凑值以便进行完整性认证2022-3-156.3.2 直接访问可信的公开文件（公钥注册）直接访问可信的公开

29、文件（公钥注册）q 建立一个具有可信完整性的公开数据库，其中包括各用户的名称和可信公钥q 即，通过一个可信方来注册公钥后，用户直接从注册文件中获取公钥2022-3-156.3.3 在线可信服务器的使用在线可信服务器的使用q 通过在线可信服务器获取指定用户的公钥q 在线可信服务器对公钥进行签名后再传送q 参与方可验证接收到的签名的真实性q 缺点： 可信服务器必须在线 可信服务器可能会成为瓶颈 必须建立预定的通信方与可信服务器的通信链接2022-3-15利用公钥管理机构的公钥分发利用公钥管理机构的公钥分发建立、维护动态的公钥目录表建立、维护动态的公钥目录表每个用户都可靠地知道公钥管理机构的公钥每个

30、用户都可靠地知道公钥管理机构的公钥.SKAU ：公钥管理机构自己的秘钥，仅公钥管理机构自己知道；：公钥管理机构自己的秘钥，仅公钥管理机构自己知道；2022-3-156.3.4 离线服务器和证书的使用离线服务器和证书的使用q 公钥证书 X.509证书q PKI 一种安全体系和框架2022-3-15公钥证书公钥证书q目的：使一个实体的公钥可用于其他实体，并能验证公钥的真实性和有效性.q是一个由数据部分和签名部分组成的数据结构数据部分：包括明文数据，最少包括一个公钥和一个参与方的标识符签名部分：证书颁发机构CA (Certification Authority)对数据部分的数字签名，以保证公钥的真实

31、性q用户通过公钥证书来互相交换自己的公钥，而无须与公钥管理机构联系q公钥证书能以明文的形式进行存储和分配2022-3-15X.509证书证书q 目前应用最广泛的证书格式是国际电信联盟ITU(International telecommunication Union)提出的X.509版本3格式。q X.509标准最早于1988年颁发，此后又于1993年和1995年进行了两次修改q Internet工程任务组(IETF)针对X.509在Internet环境的应用，颁发了一个作为X.509子集的RFC2459。从而使得X.509在Internet环境中得到广泛应用。2022-3-15X.509证书格

32、式证书格式2022-3-152022-3-15 为管理公开密钥（生成、认证、存储、安装），须建立一套（PKIPKI- Public Key Infrastructure）。PKI的基本组成元素是（CACA-Certificate Authority），：为用户生成一对密钥（公开密钥，私有密钥），并通过一定的途径分发给用户；CA为用户签发数字证书，形成用户的公开密钥信息，并通过一定的途径分发给用户；对用户证书的有效性进行验证；对用户的数字证书进行管理。这些管理包括有效证书的公布、撤销证书的公布（有时也称证书黑名单表的维护）、证书归档等。2022-3-15PKI/CAq PKI概论q PKI/CA

33、的理论基础q PKI/CA体系架构q PKI/CA标准与协议q 国内外发展现状和前景q PKI/CA的应用2022-3-15PKI概述概述 什么是PKI 为什么需要PKI PKI的发展历程 PKI的功能2022-3-15什么是什么是PKI PKI是public key infrastracture缩写 即公钥基础设施,是一种运用公钥的概念与技术来实施并提供安全服务的具体普遍适用性的网络安全基础设施。 PKI(公钥基础设施)技术采用证书管理公钥,通过第三方的可信任机构认证中心CA(Certificate Authority),把用户的公钥和用户的其它标识信息(如名称、e-mail、身份证号等)捆

34、绑在一起,在Internet网上验证用户的身份。 通过把要传输的数字信息进行加密和签名,保证信息传输的机密性、真实性、完整性和不可否认性,从而保证信息的安全传输。 2022-3-15q 一个典型、完整、有效的PKI应用系统至少应具有以下部分:(1)公钥密码证书管理；(2)黑名单的发布和管理;(3)密钥的备份和恢复;(4)自动更新密钥;(5)自动管理历史密钥; (6)支持交叉认证。2022-3-15PKI概述概述 什么是PKI PKI的功能 为什么需要PKI PKI的发展历程2022-3-15PKIPKI实现的安全功能实现的安全功能1.1你是谁?RickMaryInternet/Intranet

35、应应用用系系统统1.2怎么确认你就是你?q 认证认证1.1我是Rick.1.2 口令是1234.l授权授权l保密性保密性l完整性完整性l防抵赖防抵赖2. 我能干什么?2.你能干这个,不能干那个.3.如何让别人无法偷听?3. 我有密钥?5.我偷了机密文件,我不承认.5.我有你的罪证.4.如何保证不能被篡改?4.别怕,我有数字签名.2022-3-15l认证认证我不认识你我不认识你! - ! - 你是谁？你是谁？我怎么相信你就是你我怎么相信你就是你? - ? - 要是别人冒充你怎么办要是别人冒充你怎么办? ?l授权授权我能干什么我能干什么? - ? - 我有什么权利我有什么权利? ?你能干这个你能干

36、这个, ,不能干那个不能干那个. .l保密性保密性我与你说话时我与你说话时, ,别人能不能偷听别人能不能偷听? ?l完整性完整性收到的传真不太清楚收到的传真不太清楚? ?传送过程过程中别人篡改过没有传送过程过程中别人篡改过没有? ?l防抵赖防抵赖我收到货后我收到货后, ,不想付款不想付款, ,想抵赖想抵赖, ,怎么样怎么样? ?我将钱寄给你后我将钱寄给你后, ,你不给发货你不给发货, ,想抵赖想抵赖, ,如何如何? ?PKI实现的安全功能实现的安全功能2022-3-15PKI概述概述 什么是PKI PKI的功能 为什么需要PKI PKI的发展历程2022-3-15为什么需要为什么需要PKI假冒

37、假冒AliceBob（非法用户）非法用户）假冒：指非法用户假冒合法用户身份获取敏感信息假冒：指非法用户假冒合法用户身份获取敏感信息2022-3-15为什么需要为什么需要PKI截取截取AliceBob截取：指非法用户截获通信网络的数据截取：指非法用户截获通信网络的数据2022-3-15为什么需要为什么需要PKI篡改篡改AliceBob篡改：指非法用户改动所截获的信息和数据篡改：指非法用户改动所截获的信息和数据2022-3-15为什么需要为什么需要PKI否认否认?Alice否认：通信的单方或多方事后否认曾经参与某次活动否认：通信的单方或多方事后否认曾经参与某次活动2022-3-15PKI概述概述

38、什么是PKI PKI的功能 为什么需要PKI PKI的发展历程2022-3-15PKI/CAPKI/CA发展历程发展历程q 1976年，提出RSA算法q 20世纪80年代，美国学者提出了PKI的概念q 1996年，以Visa、MastCard、IBM、Netscape、MS、数家银行推出SET协议，推出CA和证书概念q 1999年，PKI论坛成立q 2000年4月，美国国防部宣布要采用PKI安全倡议方案。q 2001年6月13日，在亚洲和大洋洲推动PKI进程的国际组织宣告成立，该国际组织的名称为“亚洲PKI论坛”，其宗旨是在亚洲地区推动PKI标准化，为实现全球范围的电子商务奠定基础 q 200

39、7年11月7日，“亚洲PKI联盟”（APKIC，Asia PKI Consortium）成立大会在中国西安召开世界各国的世界各国的PKI建设建设q 美国联邦桥计划q 加拿大加拿大PKI计划q 澳大利亚、英国、法国、德国、意大利、奥地利、比利时、希腊、荷兰、芬兰、日本、俄罗斯等几十个国家都在发展、使用PKIq 欧洲欧洲桥CA，促进欧洲各种的CA互联互操作美国美国联邦桥联邦桥联邦桥CA邮政服务部门CA社会安全部门CA美国国防部CA能源部CANASA CA.国防部能源部.中国的中国的PKI建设建设(1)q 区域型 上海CA中心（SHECA）；北京CA（BJCA）；天津CA中心；福建CA中心，湖北CA

40、（简称HBECA）；海南电子商务认证中心（HNECA）；广东省电子商务认证中心 q 行业型 金融、电信和外经贸等行业建立的相关证书机构 国内十三家商业银行联合建设中国金融认证中心(CFCA) 中国电信组建的CTCA 由国家外经贸部建立的中国国际电子商务中心（CIECC）q 国家根CA 国家密码管理局中国的中国的PKI建设建设(2)q 获证机构和发证数量，逐年增加 至2005年底，15家CA，发证总量236万 至2006年底，21家CA，累计发证546万 至2007年底，26家CA，初步统计发证约740多万s 上海CA累计发证突破90万（2007年7月）s CFCA累计发证突破100万（2006

41、年7月）s 山东CA已发放证书40多万张（2006年1月）s 2022-3-15PKI/CAq PKI概论q PKI/CA的理论基础q PKI/CA体系架构q PKI/CA标准与协议q 国内外发展现状和前景q PKI/CA的应用2022-3-15PKI理论基础理论基础q 密码学(略)q 目录服务q 数字证书2022-3-15目录服务目录服务q 目的是建立全局/局部统一的命令方案，它从技术的角度定义了人的身份和网络对象的关系；q 目录服务是规范网络行为和管理网络的一种重要手段；q X.500一套已经被国际标准化组织（ISO）接受的目录服务系统标准；q LDAP（轻量级目录访问协议）最早被看作是X

42、.500目录访问协议中的那些易描述、易执行的功能子集2022-3-15为何需要证书？为何需要证书？q 使用公钥加密法认证 数据 key：“数据”已经使用密码加密或解密。（1）乙首先提供公钥 甲乙：你好 乙甲：嗨，我是乙，乙的公钥 甲乙：prove it 乙甲：甲，我是乙 信息段甲，我是乙 乙的私钥 （2）某时刻，甲想证明乙的身份： 甲乙：random-message 乙甲：random-message乙的私钥 解密后的消息与原先发给乙的消息，如果一致，就会知道在与乙说话。缺点：如果一个侵袭者冒充乙，甲也不知道。2022-3-15数字证书数字证书q 什么是数字证书q 证书验证q 数字证书的使用q

43、 数字证书的存储q X.509数字证书q 数字证书生命周期2022-3-15什么是数字证书什么是数字证书q 数字证书(Digital ID)又叫“网络身份证”、“数字身份证”；q 由认证中心发放并经认证中心数字签名的；q 包含公开密钥拥有者以及公开密钥相关信息的一种电子文件；q 可以用来证明数字证书持有者的真实身份。q 是PKI体系中最基本的元素；q 证书是一个颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性数字证书的格式一般采用X.509国际标准。各种实例（各种实例（1）q中国各大银行已大规模地推广基于个人数字证书的网上银行身份认证，防止银行账号被窃和网银欺诈q25家银行采用数

44、字证书，根据央行05年10月26日颁布的电子支付指引，凡使用数字证书等安全认证方式的网银用户，将不会存在每日、每笔网上支付金额的限制q每个香港公民一人一个智能身份证，每个智能身份证上配发一个全球通用的由香港邮政局颁发的个人数字证书 q 美国军方采用基于PKI技术的网络身份证/工作证Exchange of public-key certificates泄漏私钥等价于丢失证书泄漏私钥等价于丢失证书证书的时间作为有效期证书的时间作为有效期2022-3-15证书验证证书验证单向验证t A产生一个随机数Ra；t A构造一条消息，M=(Ta,Ra,Ib,d),基中Ta是A的时间标记，Ib是B的身份证明，d

45、为任意的一条数据信息；为安全起见，数据可用B的公开密钥Eb加密。 t A将(Ca,Da(M)发送给B，其中Ca为A的证书，Da为A的私钥;t B确认Ca并得到A的公钥；t B用Ea去解密Da(M)，既证明了A的签名又证明了所签发信息的完整性；t B检查M中的Ib；t B检查M中Ta以证实消息是刚发来的；t B对照旧数据库检查M中的Ra以确保不是消息重放。(可选项)2022-3-15证书验证证书验证双向验证：q B产生另一个随机数，Rb;q B 构造一条消息，Mm=(Tb,Rb,Ia,Ra,d),基中Ta是B的时间标记，Ia是A的身份证明，d为任意的一条数据信息；为确 保安全，可用A的公开密钥对

46、数据加密。 Ra是A在第一步产生的随机数；t B将(Cb,Db(M)发送给A，其中Cb为B的证书，Db为B的私钥;t A确认Cb并得到B的公钥；t B将Db(Mm)发送给A； Db为B的私钥q A用Eb解密Db(Mm),以确认B的签名和消息的完整性；q A检查Mm中的Ia;t A检查Mm中Tb以证实消息是刚发来的；t A检查M中的Rb以确保不是消息重放。(可选项)2022-3-15q 在大型网络中，这样的有多个。如果这些CA之间存在信赖关系，则用户就可通过一个签名链去设法认证其中任一CA所签发的证书。q 概括地说，。 2022-3-15X.509X.509数字证书分类数字证书分类从证书的应用来

47、看，数字证书可分为： 个人证书 服务器证书 网关证书 WAP证书 。2022-3-15PKI/CAq PKI概论q PKI/CA的理论基础q PKI/CA体系架构q PKI/CA标准与协议q 国内外发展现状和前景q PKI/CA的应用2022-3-151 1，PKIPKI的体系构成的体系构成PKIPKI的应用的应用PKIPKI策略策略软硬件系统软硬件系统2022-3-15q 策略批准机构（PAA） q 策略控制机构（PCA） q 认证机构（CA） q 在线证书申请（ORA）PKIPKI的构成的构成 PAAPCA1CA1CAnORA1ORAnPCA2CA1CAnORA1ORAn 典型的典型的PK

48、I体系结构体系结构2022-3-15q 策略批准机构（PAA）：在整个PKI体系中处于核心位置。创建整个PKI系统的方针、策略，批准本PAA下属的PCA的策略，为下属PCA签发公钥证书。q 策略控制机构（PCA）：制定下属CA的具体策略，可以是上级PAA策略的扩充或细化。q 认证机构（CA）：具备有限的策略制定功能，按照上级PCA制定的策略，担任具体的用户公钥证书的签发、生成和发布及CRL生成及发布职能。 q 在线证书申请（ORA）进行证书申请者的身份认证，向CA提交证书申请，验证接收CA签发的证书，并将证书发放给申请者。2022-3-15证书机构主要负责对用户的密钥或证书发放、更新、证书机构

49、主要负责对用户的密钥或证书发放、更新、废止、认证等管理工作废止、认证等管理工作PKIPKI的构成的构成 2022-3-15（RA） 由于一个PKI区域的最终实体数量的增加，RA可以充当CA和它的最终用户之间的中间实体，辅助CA来完成日复一日的证书处理功能。RA通常提供下列功能：（1）接收和验证新注册人的注册信息；（2）代表最终用户生成密钥；（3）接收和授权密钥备份和恢复请求；（4）接收和授权证书撤销请求；（5）按需分发或恢复硬件设备。2022-3-15证书的生成与分发证书的生成与分发2022-3-15q 证书生成后必须存储。CA通常使用一个证书目录，或者中央存储点。作为PKI的一个重要的组成部

50、分，证书目录q 证书库必须使用某种稳定可靠的、规模可扩充的在线资料库，以便用户能找到安全通信需要的证书信息或证书撤销信息。实现证书库的方式有多种，包括X.500、轻量级目录访问协议LDAP、 Web服务器、FTP服务器、域名解析服务器DNS、数据库服务器等。具体使用哪种根据实际需要而定，但真正大型的企业级PKI一般使用X.500目录服务和轻量级目录访问协议LDAP。 2022-3-15q 在任何可操作的PKI环境中，在密钥或证书在生命周期内都会有部分用户可能会丢失他们的私钥。CA必须撤销相应的公钥证书。或生成新的密钥对产生相应的公钥证书。结果，在此事件之前的所有加密数据都将是不可恢复的。都会对

51、PKI的实体造成沉重的负担。 q 解决办法是提供一个密钥备份和恢复服务器。其目的是为CA提供在创建私钥时备份私钥和在以后恢复私钥的一种简单方式。2022-3-15一个PKI内的最终用户之间的在线通信和管理。管理协议应该支持下列功能：q 注册：用户首次将自己告知CA的过程。q 初始化：在最终用户系统安全运转前，安装那些与存储在基础设施的其他地方的密钥有适当关系的密钥信息。q 认证：CA为用户的公钥颁发证书的过程，将证书返回给最终用户系统或将证书公布在证书库中。q 密钥恢复：最终用户客户端的密钥信息可以通过CA或者密钥备份系统来备份。PKIPKI的构成的构成 2022-3-15q 密钥更新：所有的

52、密钥对必须定期更新。在这个过程中，将替换密钥对同时并颁发新的证书。q 撤销：当一个授权用户通知CA出现了一个需要撤销证书的异常情形时才激活该过程。q 交叉认证：两个CA交换用于建立一个交叉证书的信息。一个交叉证书是一个CA颁发给另一个CA的证书，该证书中含有用于颁发证书的CA签名密钥。在线协议并不是惟一实现这些功能的方式，也可以使用脱机方式。2022-3-15(Operational Protocol) 操作协议是允许在目录、最终用户和可信主体之间传输证书和撤销的状态信息的协议。X.509标准规定了如何构建传输的数据。下面的协议是常用的协议：HTTP、FTP、e-mail和LDAP。各种PKI

53、构成部分之间交互作用的方式如图 所示。2022-3-15最终用户最终用户密钥恢复密钥恢复服务器服务器证书颁发证书颁发机构（机构（CA）注册机构注册机构（RA）X.500目录目录PKIPKI构成部分之间交互作用构成部分之间交互作用 2022-3-15PKI中必须使用用户信任的统一的权威时间源。在很多情况下，在一份文件上盖上权威时间戳是非常有用的，它支持不可否认服务。安全时间戳在认证电子商务交易的时间上也非常有用，而且可以有效地识别重放攻击。 2022-3-15q 客户端软件是一个全功能的、可操作PKI的重要组成部分。独立于所有应用程序，若完成PKI服务的客户端功能，应用程序通过标准接入点与客户端

54、软件连接。 q 完整的PKI应由以下服务器和客户端软件构成：CA服务器：提供产生、分发、发布、撤销、认证等服务；证书库服务器：保存证书和撤销消息；备份和恢复服务器：管理密钥历史档案；时间戳服务器：为文档提供权威时间信息。2022-3-15证书的管理证书的管理 证书从产生到销毁具有一定的生命周期，在证书的生命周期里PKI对证书具有如下功能： 2022-3-152 2，证书的管理，证书的管理 公钥公钥/私钥私钥生成生成申请申请证书证书审核审核证书证书签发签发证书证书证书证书撤销撤销安装安装证书证书废止废止申请申请 证书证书 使用使用过期过期更新更新2022-3-15 用 户 产 生一对私钥/公钥

55、用户填写证书申请表 发 证 机 构（CA）验证核实后，用自己的私钥签发电子证书用户签名 发证机关签名发证机关用户信息公钥私钥私钥私钥秘密保存CA的私钥公钥1 12 23 32022-3-15 发放证书的过程包括四个基本的步骤：（1）CA接受证书请求。（2）CA按照CA身份证明条件确认该请求者的信息。（3）CA利用它的私用密钥将它的数字签署应用于该证书。（4）CA发放该证书，将它用做PKI内的安全性凭证2022-3-15当用户向某一服务器提出访问请求时，服务器要求用户提交数字证书。收到用户的证书后，服务器利用CA的公开密钥对CA的签名进行解密，获得信息的散列码。然后服务器用与CA相同的散列算法对

56、证书的信息部分进行处理，得到一个散列码，将此散列码与对签名解密所得到的散列码进行比较，若相等则表明此证书确实是CA签发的，而且是完整性未被篡改的证书。这样，用户便通过了身份认证。服务器从证书的信息部分取出用户的公钥，以后向用户传送数据时，便以此公钥加密，对该信息只有用户可以进行解密。2022-3-15X.509强双向协议（两步）强双向协议（两步）AliceBob)(,(),(,( ,. 111kEBrtEkEBrtcertBABpAASpAAA)(,(),(,( ,. 222kErArtEkErArtcertABApABBSpABBBPA,SA分别为分别为Alice 的公钥和私钥；的公钥和私钥

57、；PB,SB分别为分别为Bob的公钥和私钥；的公钥和私钥；certA和和certB分别为分别为Alice和和Bob的公钥证书的公钥证书共享密钥共享密钥为为k1和和k2使用时戳和随机使用时戳和随机数的挑战数的挑战-响应响应技术技术2022-3-15X.509强双向协议（三步）强双向协议（三步）AliceBob),(),(. 3BrEBrBSBA)(,(),(,( ,. 222kErArEkErArcertABApABSpABB)(,(),(,( ,. 111kEBrEkEBrcertBABpASpAAPA,SA分别为分别为Alice 的公钥和私钥；的公钥和私钥；PB,SB分别为分别为Bob的公钥

58、和私钥；的公钥和私钥；certA和和certB分别为分别为Alice和和Bob的公钥证书的公钥证书共享密钥共享密钥为为k1和和k2基于随机数的基于随机数的挑战挑战-响应技术响应技术2022-3-15有时，CA需要临时限制证书的使用，但又不需要撤销证书。 例如，一个企业最终用户可能正在出差。在这种情况下，可以挂起（suspend）证书；这样就可以禁止使用那些带有PKI功能的应用程序，这些应用程序在该雇员不在的情况下是不能访问的。当该雇员返回时，CA清除该挂起。由于这种方法不需要先请求吊销证书然后再重新颁发证书，从而节省了CA的时间。为了挂起一个证书，CA在CRL原因代码扩展项中使用证书冻结值。2

59、022-3-15 CA签发的证书捆绑了用户的身份和公钥，在生命周期里都是有效的。 但在现实环境中，由于这些原因包括：用户身份的改变、对密钥的怀疑（丢失或泄露）、用户工作的变动、认为CA证书已泄露等。必须存在一种机制撤销这种认可，典型做法是在老证书过期前颁发一个新证书。2022-3-15证书撤销最常用的方式是使用 证书废除列表证书废除列表（CRL-Certificate Revocation List），CRL是一种包含了撤销的证书列表的签名数据结构。它含有带时间戳的已撤销证书的列表。CRL的完整性和可靠性由它本身的数字签名来保证，通常CRL的签名者一般就是证书的签发者。当CRL创建并且被签名以

60、后，就可以通过网络自由地分发，或者以处理证书的同样方式存储在一个目录中。 CA会定期地发布CRL，从几个小时到几个星期不等。不管CRL中是否含有新的撤销信息，都会发布一个新的CRL。2022-3-15在任何可操作的PKI环境中，在密钥或证书的生命周期内都会有部分用户丢失他们的私钥，可能有如下的原因：（1）遗失加密私钥的保护口令；（2）存放私钥的媒体被损坏，如硬盘、软盘或IC卡遭到破坏。 在很多环境下，由于丢失密钥造成被保护数据的丢失或不可访问所造成的损失非常巨大，因此通行的办法是备份并能恢复私钥（在加密证书和签字证书双证书模型中，只能备份加密私钥而不能备份签字私钥）。 2022-3-15一个证