信息安全概论第六章_密码应用与密钥管理课件

1、第六章 密码应用与密钥管理 6.1 密码应用 6.2 密钥管理 6.3 公钥基础设施PKI7/24/202216.1 密码应用6.1.1 信息加密、认证和签名流程加密、认证和签名是保护信息的机密性、完整性和抗否认性的主要技术措施。1.加密是保障信息机密性的主要措施。加密机制主要考虑如下几个因素：选择一种密码体制（对称密码体制和公钥密码体制）选择一种算法（DES 、AES 、RSA)确定加密工作模式（ECB 、CBC、 CFB） 7/24/202226.1 密码应用2. 完整性检测也称消息认证，主要通过消息摘要实现。机制如下：消息认证码（MAC）、签名、加密、序列完整性等。3. 信息否认：包括起

2、源的否认和传递的否认起源的否认目的是否认产生特定的数据和产生数据的时间。传递的否认目的是否认传递特定的数据和传递数据的时间。7/24/202236.1 密码应用 抗起源否认采用如下机制： 发送者签名(接收者验证签名并保存签名)可信第三方签名(接收者验证签名并保存签名) 注意：可信第三方被看成了发送者的担保抗传递否认可采用如下机制： 接收者签名确认：接收者对接收到的信息或内容摘要及其他必要的信息进行签名，作为确认信息回复发送者。可信传递代理人确认信息在网络中传输时，发送方、接收方、可信第三方及敌方的关系如图：7/24/20224网络通信安全模型安全相关变换主要是加密、认证和签名7/24/2022

3、5消息摘要算法消息摘要签名算法消息签名链接消息消息签名会话密钥加密算法密文发送签名私钥时间戳加密、认证和签名流程7/24/20226在通信网络中加密，首先要知道哪些数据需要加密以及在网络的哪些环节进行加密。根据加密物理位置的不同，可分为端-端加密和链路加密。链路加密：将网络看作链路连接的结点集合，每一个链路被独立地加密。特点是包含报头和路由信息在内的所有信息均加密；消息以明文形式通过每一个结点。（最常用的加密机制之一，用于保护交换节点间的数据流安全，使用硬件在物理层上实现加密的，这种加密的数据流每当遇到交换节点都要进行解密和加密操作。）端端加密：要求从源端到目的端一直保持密文状态，任何通信链路

4、的错误不会影响整体数据的安全性。端端加密具有一定程度的认证作用。（适用于传输层以上的各层加密，加密过程一般是由软件实现的。）根据在网络中加密逻辑层次的不同，可分为链路层加密、网络层加密、会话层加密和应用层加密。6.1.2 加密位置7/24/20227在采用链路加密的网络中，每条通信链路上的加密是独立实现的。通常对每条链路使用不同的加密密钥 。当某条链路受到破坏不会导致其他链路上传送的信息被析出。加密算法常采用序列密码。由于报文是以明文形式在各结点内加密的，所以结点本身必须是安全的。一般认为网络的源结点和目的结点在物理上都是安全的，但所有的中间结点 (包括可能经过的路由器) 则未必都是安全的。因

5、此必须采取有效措施。链路加密的最大缺点是在中间结点都暴露了信息的内容。在网络互连的情况下，仅采用链路加密是不能实现通信安全的。 链路加密7/24/20228端到端加密是在源结点和目的结点中对传送的 数据协议单元 进行加密和解密，其过程如 图所示。可以看出，报文的安全性不会因中间结点的不可靠而受到影响。 端端加密在端到端加密的情况下，PDU(协议数据单元 )的控制信息部分 (如源结点地址、目的结点地址、路由信息等) 不能被加密，否则中间结点就不能正确选择路由。这就使得这种方法易于受到通信量分析的攻击。虽然也可以通过发送一些假的 PDU 来掩盖有意义的报文流动(这称为报文填充)，但这要以降低网络性

6、能为代价。由于各结点必须持有与其他结点相同的密钥，这就需要在全网范围内进行密钥管理和分配。 7/24/20229链路加密和端到端加密7/24/202210服务器A 应用层加密会话层加密（SSL)/网络层加密（Ipsec）服务器B应用层加密会话层加密（SSL)/网络层加密（Ipsec）客户终端A 应用层加密会话层加密（SSL)/网络层加密（Ipsec）客户终端B 应用层加密会话层加密（SSL)/网络层加密（Ipsec）交换机交换机加密机A 链路层加密（L2TP)网络层加密（Ipsec）加密机B链路层加密（L2TP)网络层加密（Ipsec）通信网链路加密端端加密7/24/202211密钥管理主要管

7、理密钥的产生到销毁的全过程，其中分配和存储是最大的难题。密钥管理不仅影响系统的安全性，而且涉及到系统的可靠性、有效性和经济性。现实世界里，密钥管理是密码学领域最困难的部分。设计安全的密钥算法和协议是不容易的，对密钥进行保密更加困难。密钥管理 所有的密码技术都依赖于密钥。 密钥的管理本身是一个很复杂的课题，而且是保证安全性的关键点。 密钥管理方法因所使用的密码体制（对称密码体制和公钥密码体制）而异。6.2 密钥管理7/24/202212密钥管理（key management)密钥管理：在一种安全策略指导下密钥的产生, 存储, 分配, 删除, 归档及应用。(GB/T 9387.21995ISO74

8、98-21989) 处理密钥自产生到最终销毁的整个过程中的有关问题，包括系统的初始化，密钥的产生、存储、备份/恢复、装入、分配、保护、更新、泄露、撤销和销毁等内容。密钥管理目的：维持系统中各实体之间的密钥关系，以抗击各种可能的威胁： （1）密钥的泄露 （2）秘密密钥或公开密钥的身份的真实性丧失 （3）经未授权使用7/24/202213为什么要进行密钥管理？原因有两个：所有的密钥都有生存期（1）密码分析：拥有大量的密文有助于密码分析；一个密钥使用得太久了，会给攻击者增大收集密文的机会；（2）密钥有可能被泄漏。假定一个密钥受到危及或用一个特定密钥的加密/解密过程被分析，则限定密钥的使用期限就相当于

9、限制危险的发生。7/24/202214密钥的生存期 一个密钥主要经历以下几个阶段：1）产生（可能需要登记）：通过密钥传输或密钥协议来完成；2）分配3）备份：3）使用4）更新/替换5）撤销6）销毁或归档：归档是出于对以前的数字签名进行验证，将公钥进行归档，可委托第三方进行。7/24/202215密钥管理 密钥产生 密钥的装入 密钥的保护 密钥类型 密钥存储 密钥分配密钥协定 密钥使用控制密钥备份/恢复 更新密钥密钥的撤销和销毁 公开密钥的管理7/24/2022166.2.1 密钥管理概述 密钥管理有很多因素，下面从理论、人为管理和技术3个层面加以说明。（1）理论因素 按照信息论的理论，密文在积累

10、到足够的量时，其破解是必然的。为了避免攻击者通过穷举攻击等方式获得密钥，必须经常更新或是改变密钥，对于更新的密钥要以合适的途径传输。更新密钥是指通信双方更改使用的对称密钥，改变是指通信单发方变更自己的私钥和对应的公钥对。6.2 密钥管理7/24/202217（2）人为因素这里主要涉及到专业的密码分析员和破译设备等（3）技术因素用户产生的密钥有可能是脆弱的；密钥是安全的，但是密钥的保护有可能是失败的。 7/24/2022186.2.2密钥的分类密钥类型 1）基本密钥（Base Key） 又称初始密钥（ Primary Key) ， 用户密钥(User key)，是由用户选定或由系统分配给用户的，

11、可在较长时间（相对于会话密钥）内由一对用户专门使用的密钥。基本密钥既要安全，又要便于更换。基本密钥与会话密钥一起用于启动和控制密钥生成器，从而生成用于加密数据的密钥流。基本密钥数据加密密钥混合器会话密钥KS密钥生成器7/24/2022192）会话密钥（Session Key） 即两个通信终端用户在一次通话或交换数据时使用的密钥。当它用于加密文件时，称为文件密钥(File key)，当它用于加密数据时，称为数据加密密钥(Data Encrypting Key)。会话密钥的作用是使人们不必太频繁地更换基本密钥，有利于密钥的安全和管理。 这类密钥可由用户双方预先约定，也可由系统通过密钥建立协议动态地

12、生成并赋予通信双方，为通信双方专用，故又称为专用密钥。7/24/202220 3）密钥加密密钥（Key Encrypting Key）用于对会话密钥或文件密钥进行加密时采用的密钥。又称辅助（二级）密钥(SecondaryKey)或密钥传送密钥(key Transport key)。通信网中的每个节点都分配有一个这类密钥。4）主机主密钥（Host Master Key）它是对密钥加密密钥进行加密的密钥，存于主机处理器中。 5）在公钥体制下，还有公开密钥、秘密密钥、签名密钥之分。7/24/202221密钥类型 将用于数据加密的密钥称三级密钥； 保护三级密钥的密钥称二级密钥，也称密加密密钥； 保护二

13、级密钥的密钥称一级密钥，也称密钥保护密钥。如用口令保护二级密钥，那么口令就是一级密钥。7/24/2022226.2.3密钥长度的选择原则密钥长度的选择与加密数据的重要性和保密期限有关。当加密算法除穷举外无其他破译捷径时，密钥长度和每秒可实现的搜索密钥数决定了密码体制的安全性。密钥长度的选择与破译的代价有关。目前，长度在128比特以上的密钥是安全的。7/24/202223 网络系统中加密需要大量的密钥，以分配给各主机、节点和用户。产生好的密钥是非常重要的。可以用手工的方法，也可以用密钥产生器产生密钥。用密钥产生器产生密钥不仅可以减轻繁琐的劳动，而且可以消除人为的差错。不同等级的密钥的产生方式不同

14、（1）主机主密钥安全性至关重要，故要保证其完全随机性、不可重复性和不可预测性。可用投硬币、骰子，噪声发生器等方法产生（2）密钥加密密钥数量大(N(N-1)/2),可由机器自动产生,安全算法、伪随机数发生器等产生（3）会话密钥可利用密钥加密密钥及某种算法(加密算法,单向函数等)产生。（4）初始密钥：类似于主密钥或密钥加密密钥的方法产生6.2.4 密钥的产生和装入通信中每个节点都分配有一个这类密钥7/24/202224密钥的产生方式 必须在安全环境中产生密钥以防止对密钥的非授权访问。 密钥生产形式现有两种，一种是由中心(或分中心)集中生产，也称有边界生产；另一种是由个人分散生产，也称无边界生产。密

15、钥的装入主机主密钥: 由可信赖的保密员在非常安全的条件下直接或间接装入主机，装入时须有电磁屏蔽,装入后不能再读出(但可间接验证)密钥加密密钥: 直接或间接装入,装入时须有电磁屏蔽,装入后不能再读出,可联机或者间接验证会话密钥:如主机与某终端通信，主机产生会话密钥，以相应的终端主密钥对其进行加密，并将加密结果送给相应的终端，终端收到后，解密得到会话密钥。初始密钥:直接或间接装入,装入后不能再读出,可联机验证7/24/202225 6.2.5 对称密码体制的密钥分配 利用安全信道实现对称密码的密钥分配的方法： 利用对称密码体制实现 利用公钥密码体制实现利用安全信道传递密钥成本高，占密码系统费用的三

16、分之一。可以将密钥拆分为几部分分别递送，这种方式适合于少量密钥的情况。如：主密钥和密钥加密密钥 基于对称密码体制的密钥分配 基于公开密码体制的秘密密钥分配7/24/202226一、主密钥的分配方式7/24/202227AB1231.A B: Request|N12.B A: EK(KS| Request | IDB|f(N1) |N2)3.A B: EKS(f(N2)说明：K为A与B共享的主密钥 每对用户共享一个密钥二、基于对称密码体制的密钥分配(适合于局域网）7/24/202228三、基于对称密码体制的密钥分配(适合于大型网络 ）在大型网络中，不可能每对用户共享一个密钥，可以采用密钥分发中心

17、负责密钥的管理ABKDC12345EKS(N2)EKS(f(N2)EKb(KS|IDA)IDA | IDB |N1EKa (KS| IDA | IDB | N1 | EKb(KS|IDA)Ka和Kb分别为A、B与KDC共享的对称密码7/24/202229公钥密码体制的一个重要用途就是分配对称密码体制使用的密钥,而不用于保密通信。涉及到两种密钥的分配：对话密钥（Ks）和公钥一、 对话密钥（Ks）的分配1. 简单的秘密密钥分配（Simple secret key distribution）2. 具有保密和鉴别能力的分配（Secret key distribution with confidenti

18、ality and auhtentication）6.2.6 基于公开密钥体制的密钥分配7/24/2022301. 简单的秘密密钥分配（Simple secret key distribution）A生成KUa,KRa, AB: (IDA,KUa)B生成会话密钥Ks, BA: EKUa(Ks)A解密EKUa(Ks)得到Ks: DKRa(EKUa(Ks)A丢弃KUa,KRa,B丢弃KUa通讯前不需存在密钥,通讯后也不存在密钥能抵抗偷听,不能抵抗主动攻击(中间人攻击)（1）KUa | IDA（2）EKUa(Ks)AB7/24/2022317/24/2022322. 具有保密和鉴别能力的分配假定A和

19、B已经获得了双方的公钥:A B: EKUb(IDA,N1)B A: EKUa(N1 ,N2)A B: EKUb(N2)A B: Y=EKUb(EKRa(Ks)B解密Y获得会话密钥Ks=DKUa(DKRb(Y)AB1.EKUb(IDA|N1)2.EKUa(N1 |N2)3.EKUb(N2)4.EKUb(EKRa(Ks)7/24/202233二、公开密钥的分配公钥密码体制的密钥分配要求与对称密码体制的密钥分配要求有着本质的差别：当分配一个公钥时，不需要机密性。然而，公钥的完整性是必需的。公钥分配的方式有：公开宣布（Public announcement）公开可以得到的目录（Publicly ava

20、ilable directory）公钥证书（Public key certificates）7/24/2022341.公开发布(Public announcement) 用户将自己的公钥发给所有其他用户或向某一团体广播。如将自己的公钥附加在消息上，发送到公开区域（例如，USENET新闻组和Internet邮件组）。优点：简单 缺点：任何人都可以伪造一个这样的公开告示。A方KUaKUaKUaKUaB方KUbKUbKUbKUb7/24/2022352. 公钥动态目录表（Publicly available directory） 公钥动态目录表：指建立一个公用的公钥动态目录表，表的建立和维护以及公钥

21、的分布由某个公钥管理机构承担，每个用户都可靠地知道管理机构的公钥。如下图：公钥目录ABKUaKUb7/24/202236需要可信任的中央授权机构授权机构维护着动态name,public key列表用户在授权机构注册其public key(安全通道)用户可以替换其public key授权机构定期发布或更新整个目录用户可在网络上直接访问公共目录(安全通道)7/24/202237公钥动态目录表分配公钥的步骤如下：需要可信任的中央授权机构每个用户知道授权机构的公钥A Auth: (Request(IDB)，T1)带时戳的请求，要求B的公钥Auth A: EKRauth(KUb, Request(IDB

22、) ,T1)A B: EKUb(IDA,N1)B Auth: (Request(ID A),T2)Auth B: EKRauth(KUa, Request(IDA), T2)B A: EKUa(N1,N2)A B: EKUb(N2)缺点：公钥管理机构可能会成为系统的瓶颈，而且公钥目录表也容易被窜扰。 7/24/2022383.公钥证书 分配公钥的一种安全有效的方法是采用公钥证书，用户通过公钥证书相互之间交换自己的公钥而无需与公钥管理机构联系。 公钥证书由证书管理机构CA为用户建立，其中的数据项有该用户的公钥、用户的身份和时戳等。 所有的数据经CA用自己的私钥签字后就形成证书。证书中可能还包括一

23、些辅助信息，如公钥使用期限、公钥序列或识别号、采用的公钥算法、使用者住址或网址等，下面详述。7/24/202239PKI之动机公钥技术 如何提供数字签名功能 如何实现不可否认服务 公钥和身份如何建立联系 为什么要相信这是某个人的公钥 公钥如何管理 解决方案：引入证书(certificate) 通过证书把公钥和身份关联起来6.3 公钥基础设施PKI7/24/202240问题的提出自从有了电子商务，安全问题就象幽灵一样如影随形而来。不久前，一名只有16岁的中学生黑客侵入某银行的网络系统，窃取了100万元人民币。更著名的案例则是美国花旗银行被黑客入侵，窃取了上千万美金，举世为之震惊。 上述种种，使得

24、人们对电子商务的安全程度忧心忡忡连财大气粗的花旗银行都不能确保自己网络系统的安全，更何况是普通的企业和个人？在电子商务安全程度还不能得到充分保障的情况下，怎么可以放心的把自己的银行账号放到网上？怎么知道网络那一端的交易对象不是一家骗子公司呢？7/24/202241电子商务改变了传统商务的运作模式，在极大提高商务效率、降低交易成本的同时，也遇到了严峻的挑战。一言以蔽之，电子商务面对的是交易信用和安全度全面降低的困局，“信用与安全”问题是电子商务大发展的严重瓶颈。对于电子商务中的安全问题，IT行业最初侧重于从提升网络运行品质、确保网络安全着手，更多关注的是怎样防范病毒和黑客的攻击。然而，随着对电子

25、商务的深入研究，人们逐渐认识到电子商务安全问题不仅仅是技术层面的问题，而且是一整套预防、检测和实际应对措施的完整结合，是制度层面的问题。7/24/202242怎样解决电子商务安全问题呢？国际通行的做法是采用CA安全认证系统。CA是Certificate Authority的缩写，是证书授权的意思。在电子商务系统中，所有实体的证书都是由证书授权中心即CA中心分发并签名的。一个完整、安全的电子商务系统必须建立起一个完整、合理的CA体系。CA机构应包括两大部门：一是审核授权部门，它负责对证书申请者进行资格审查，决定是否同意给该申请者发放证书，并承担因审核错误引起的一切后果，因此它应由能够承担这些责任

26、的机构担任；另一个是证书操作部门，负责为已授权的申请者制作、发放和管理证书，并承担因操作运营所产生的一切后果，包括失密和为没有获得授权者发放证书等，它可以由审核授权部门自己担任，也可委托给第三方担任。 7/24/202243CA体系主要解决几大问题：第一，解决网络身份证的认证以保证交易各方身份是真实的；第二，解决数据传输的安全性以保证在网络中流动的数据没有受到破坏或篡改；第三，解决交易的不可抵赖性以保证对方在网上说的话能够兑现。7/24/202244需要注意的是，CA认证中心并不是安全机构，而是一个发放“身份证”的机构，相当于身份的“公证处”。因此，企业开展电子商务不仅要依托于CA认证机构，还

27、需要一个专业机构作为外援来解决配置什么安全产品、怎样设置安全策略等问题。外援的最合适人选当然非那些提供信息安全软硬件产品的厂商莫属了。好的IT厂商，会让用户在部署安全策略时少走许多弯路。在选择外援时，用户为了节省成本，避免损失，应该把握几个基本原则：首先要知道自己究竟需要什么；其次，要了解厂商的信誉；第三，要了解厂商推荐的安全产品；最后，用户要有一双“火眼金睛”，对项目的实施效果能够正确加以评估。有了这些基本的安全思路，用户可以少走许多弯路。 7/24/202245PKI提供的基本服务1. 鉴别 采用数字签名技术，签名作用于相应的数据之上 被鉴别的数据 数据源鉴别服务 用户发送的远程请求 身份

28、鉴别服务 远程设备生成的challenge信息 身份鉴别2. 完整性 PKI采用了两种技术 数字签名：既可以是实体认证，也可以是数据完整性 MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD53. 保密性 用公钥分发随机密钥，然后用随机密钥对数据加密4. 不可否认 发送方的不可否认数字签名 接受方的不可否认收条+ 数字签名7/24/2022466.3 公钥基础设施PKI6.3.1 PKI简述公开密钥基础设施（PKI） ，按照X.509标准中定义，“是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。”公钥基础设施

29、PKI（Public Key Infrastructure）是一种标准的密钥管理平台，它能够为所有网络应用透明地提供采用加密和数据签名等密码服务所必须的密钥和证书管理。 PKI是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施。7/24/202247公钥基础设施 （PKI Public Key Infrastructure）是一种基于公开密钥理论和技术建立起来的安全体系，为网络用户、设备提供信息安全服务的具有普适性的信息安全基础设施。该体系在统一的安全认证标准和规范基础上提供在线身份认证，核心是要解决信息网络空间中的信任问题，确定信息网络空间中各种经济、军事和管理行为主体（包

30、括组织和个人）身份的唯一性、真实性和合法性，保护信息网络空间中各种主体的安全利益。PKI作为国家信息化的基础设施，涉及到电子政务、电子商务以及国家信息化的整体发展战略等多层面问题，是相关技术、应用、组织、规范和法律法规的总和，其本身是国家综合实力的体现 。7/24/202248PKI就是基于公开密钥理论并结合非对称加密技术建立起来的、为网络应用透明地提供信息安全服务的、具有通用性的安全基础设施。PKI作为一种安全基础设施，可以为不同用户按不同安全需求提供多种安全服务。 这些服务主要包括：认证、数据真实性、数据完整性、数据保密性、不可否认性、公正性以及时间戳服务等。它是信息安全技术的核心，也是保

31、证电子商务安全的关键和基础技术。 7/24/202249PKI的发展PKI产生于20世纪80年代，发展壮大于20世纪90年代。近年来，PKI已经从理论研究阶段过渡到产品开发阶段，市场上也陆续出现了比较成熟的产品或解决方案。目前，PKI的生产厂家及其产品很多，有代表性的包括BaltimoreTechnologies公司的UniCERT,Entrust公司的EntrustPKI5.0和VeriSign公司的OnSite。另外包括一些大的厂商，如Microsoft、Netscape和Novell等，也已开始在自己的网络基础设施产品中增加PKI功能。 7/24/202250PKI就在我们身边电子商务（

32、包括移动商务）电子支付，电子合同、数字签名国防在线访问军事资源、通信保密、文件保密、秘密分级管理、各部门通信协调。电子政务电子公章、资源访问控制、文件保密登录授权VPN7/24/202251各种实例（一）中国各大银行已大规模地推广基于个人数字证书的网上银行身份认证，防止银行账号被窃和网银欺诈25家银行采用数字证书，根据央行05年10月26日颁布的电子支付指引，凡使用数字证书等安全认证方式的网银用户，将不会存在每日、每笔网上支付金额的限制ICAO（国际民用航空组织International Civil Aviation Organization）制定了PKI数字证书的电子护照标准每个香港公民一人

33、一个智能身份证，每个智能身份证上配发一个全球通用的由香港邮政局颁发的个人数字证书 7/24/202252各种实例（二）中国电子口岸基于移动运营商无线网络（联通CDMA或移动GPRS），利用手机等移动终端，实现公众的，商务的，政务的应用。基于中国电子口岸CA系统，建立起电子口岸的WPKI，移动应用安全架构，最终满足企业的安全要求CERNET2网络中间件技术研究与试验：证书服务和PKI技术校园信息化基础平台：基于CA/PKI的信息安全技术美国军方采用基于PKI技术的网络身份证/工作证7/24/202253证书库证书颁发机构密钥服务器注册认证机构RA用户PKI的组成PKI基本组成7/24/20225

34、4PKI基本构成7/24/202255PKI基本组成 PKI由以下几个基本部分组成： 公钥证书 证书作废列表（CRL） 策略管理机构（PMA） 认证机构（CA） 注册机构（RA） 证书管理机构（CMA） 证书存档(Repository) 署名用户（Subscriber） 依赖方(Relying party) 最终用户（End User）证书库密钥备份及恢复系统PKI应用接口 7/24/2022567/24/202257PKI基本组成1.公钥证书 由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。 2.证书作废列表（CRL） 作废证书列单，

35、通常由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换姓名时，需要将原有证书作废。 3.策略管理机构（PMA） 监督证书策略的产生和更新，管理PKI证书策略。7/24/202258PKI基本组成4.证书管理机构（CMA） 将CA和RA合起来称CMA(certificate management authority)。 5.证书存档(Repository) 一个电子站点，存放证书和作废证书列表（CRL），CA在用证书和作废证书。 6.署名用户（Subscriber） 署名用户是作为主体署名证书并依据策略使用证书和相应密钥的实体。7/24/202259PKI基本组成7.依赖方(Relying

36、party) 一个接收包括证书和签名信息的人或机构，利用证书提供的公钥验证其有效性，与持证人建立保密通信，接收方处于依赖的地位。8.最终用户（End User） 署名用户和依赖方的统称，也称末端实体（End-entity）,可以是人，也可以是机器，如路由器，或计算机中运行的进程，如防火墙。7/24/2022609. 证书颁发机构CA CA是提供身份验证的第三方机构，也是公钥证书的颁发机构，由一个或多个用户信任的组织或实体组成。在PKI中，CA负责颁发、管理和吊销最终用户的证书，认证用户并在分发证书之前对证书信息签名。 公钥证书是公开密钥体制的一种密钥管理媒介，是一种权威性的电子文档，用于证明某

37、一主体的身份以及公开密钥的合法性。公钥证书结构如图：7/24/202261CA(Certificate Authority)职责接受用户的请求(由RA负责对用户的身份信息进行验证)用自己的私钥签发证书提供证书查询接受证书注销请求提供证书注销表各个组件和功能示意图健壮的数据库系统无缝的目录接口CA硬件管理和运 行平台 安全的审计密钥PKI7/24/202262注意： CA自己的一对密钥管理很重要。必须确保CA的私钥的机密性，防止它方伪造证书。CA 在提供服务的过程中，必须向所有由它认证的最终用户和可能使用这些认证信息的可信主体提供自己的公钥。但在CA自己的证书中，证书是自签的。证书中主体（用户）

38、的公钥的产生方式有：主体自己产生密钥对，并将公钥传送给CA，该过程必须保证主体公钥的可验证性和完整性。CA替主体生成密钥对，并将其安全地传送给主体，该过程必须保证主体密钥的机密性、可验证性和完整性。此种方式对CA 的信任要求更高。7/24/202263签名密钥对和加密/解密密钥对的管理方法：签名密钥对：保证私钥的唯一性，签名私钥不能备份和存档， 遗失后只需要重新生成新的签名密钥对，验证公钥需要备份存档，以便验证旧的数字签名。加密密钥对：解密私钥应该备份和存档。加密公钥无需备份和存档，当公钥丢失时，只需重新产生加密密钥对。公钥的用途:1)验证签名2）加密消息7/24/20226410. 注册机构

39、RA可以将RA看成是PKI的一个扩展部分，但他已逐渐成为PKI的一个必不可少的组成部分。RA充当了CA和最终用户之间的桥梁，分担了CA的部分任务，协助CA完成证书处理任务。RA 功能如下： 接收和验证新注册人的注册信息； 代表最终用户生成密钥对； 接收和授权密钥备份和恢复请求； 接收和授权证书吊销请求； 按需分发或恢复硬件设备，如令牌PKI基本组成7/24/20226511.证书库 证书库是一种网上公共信息库，用于证书的集中存放，用户可以从此处获得其他用户的证书和公钥。12.密钥备份及恢复系统 为了防止用户丢失密钥后，密文数据无法解密，PKI提供解密密钥的备份和恢复机制。解密密钥的备份和恢复机

40、制由可信机构来完成，如CA.7/24/202266密钥备份和恢复进一步授权(# 可定制)授权恢复密钥RA最终用户PKI加密密钥的历史新的签名密钥对和证书Password?Help!7/24/20226713. 证书作废处理系统证书在CA为其签署的有效期内也可能需要作废，为实现这一点，PKI应该提供证书作废机制。作废证书一般通过将证书列入作废证书表(CRL)来完成。CRL存放在目录系统中，由CA创建、更新和维护。当用户验证证书时负责检查核实该证书是否在CRL之列。7/24/20226814. PKI应用接口系统PKI应用接口系统也可称为客户端证书处理系统。为了使用户能够更加方便地使用加密、数字签

41、名等安全服务，PKI必须提供良好的应用接口系统，使各种应用能够以安全、一致、可信的方式与PKI交互，保证所建立起来的网络环境的可信性，降低维护和管理成本。PKI需要满足如下要求： 透明性：PKI必须可能地向应用屏蔽密码实现服务的实现细节，向用户屏蔽复杂的安全解决方案，使密码服务对用户而言简单易用，并且便于用户完全控制其信息资源；可扩展性：满足系统不断发展的需要，证书库和CRL应有良好的可扩展性；支持多用户：提供文件传送、文件存储、电子邮件、电子表单等安全服务互操作性：支持议购平台PKI 的操作 7/24/2022696.3.2 公钥证书 证书(certificate)，有时候简称为cert；

42、PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一； 证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性； 一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途； 签名证书和加密证书分开； 最常用的证书格式为X.509 v3（国际电信联盟提出）7/24/202270数字证书（一）：逻辑形式Name: TomSerial number: 484865Issued by: GACAIssue date: 1997 01 02Expiration date: 2003 01 02Public key: 38ighwejb证书是用户名称和用户公开

43、密钥的结合体；证书由认证中心在审核用户的身份后颁发。7/24/202271数字证书（二）：与身份证对照7/24/202272X.509证书示意图7/24/202273X.509证书格式版本1、2、3序列号在CA内部唯一签名算法标识符指该证书中的签名算法签发人名字CA的名字有效时间起始和终止时间个体名字7/24/202274X.509证书格式(续)个体的公钥信息算法参数密钥签发人唯一标识符个体唯一标识符扩展域签名7/24/202275PKI的运行X509标准PKIX1）署名用户向证明机构（CA）提出数字证书申请；2）CA验明署名用户身份，并签发数字证书；3）CA将证书公布到证书库中；4）署名用户

44、对电子信件数字签名作为发送认证，确保信件完整性，不可否认性，并发送给依赖方。5）依赖方接收信件，用署名用户的公钥验证数字签名，并到证书库查明署名用户证书的状态和有效性；6）证书库返回证书检查结果；7/24/202276PKI的运行证书机构 CA证书库署名用户依赖方3124657/24/202277PKI中密钥和证书的管理 密钥/证书生命周期管理的各个阶段：初始化阶段 颁发阶段 取消阶段 证书过期 证书撤销 7/24/202278密钥生命周期密钥产生证书签发Bob密钥使用Bob证书检验密钥过期密钥更新7/24/202279PKI: 初始化阶段在终端实体能够使用PKI支持的服务之前，它们必须初始化

45、以进入PKI。初始化由以下几步组成： 终端实体注册。 密钥对产生。 证书创建和密钥/证书分发。 证书分发。 密钥备份。7/24/202280终端实体的初始化8.证书响应7.证书请求4.注册建立请求5.注册建立结果6.注册结果3.注册表格提交2.注册表格应答终端实体RACA1.注册表格请求7/24/202281颁发阶段 一旦私钥和公钥证书已经产生并适当地分发，密钥/证书生命周期管理的颁发阶段即开始。这个阶段包括： 证书检索远程资料库的证书检索。 证书验证确定一个证书的有效性（包括证书路径的验证）。 密钥恢复当不能正常访问密钥资料时，从CA或信任第三方处恢复。 密钥更新当一个合法的密钥对将过期时，

46、进行新的公/私钥的自动产生和相应证书的颁发。7/24/202282撤消阶段 密钥/证书生命周期管理以取消阶段来结束。此阶段包括如下内容： 证书过期证书生命周期的自然结束。 证书撤销宣布一个合法证书（及其相关私有密钥）不再有效。 密钥历史维持一个有关密钥资料的记录（一般是关于终端实体的），以便被过期的密钥资料所加密的数据能够被解密。 密钥档案出于对密钥历史恢复、审计和解决争议的考虑所进行的密钥资料的安全第三方储存。7/24/202283PKI中证书的撤消2.证书撤销响应证书撤销请求2.证书撤销响应1.证书撤销请求RACA带外请求终端实体OR7/24/202284CA密钥更新保证透明性用于验证的C

47、A公钥用于签名的CA私钥 CA最终用户Sep1998Oct1998Nov1998Dec1998Jan1999Feb1999Mar1999Apr1999May1999Jun1999Jul1999Aug1999CA密钥历史保证对于最终用户和其他的PKI是透明的新的CA签名密钥对7/24/2022856.3.4 PKI的信任模型选择信任模型(Trust Model)是构筑和运作PKI所必需的一个环节。选择正确的信任模型以及与它相应的安全级别是非常重要的,同时也是部署PKI所要做的较早和基本的决策之一。信任模型主要阐述了以下几个问题: 一个PKI用户能够信任的证书是怎样被确定的? 这种信任是怎样被建立

48、的? 在一定的环境下,这种信任如何被控制?7/24/2022866.3.4 PKI的信任模型PKI的信任模型主要有： CA的严格层次结构； 分布式信任结构； Web模型； 以用户为中心的信任模型； 交叉认证模型7/24/202287当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？信任难以度量，总是与风险联系在一起可信CA如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA6.3.4 PKI的信任模型7/24/2022881. CA的严格层次结构对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成它可

49、以建立一个CA层次结构,每个子CA和用户都必须拥有根CA的公钥。根CA中间CA7/24/202289CA层次结构的建立根CA具有一个自签名的证书根CA依次对它下面的CA进行签名层次结构中叶子节点上的CA用于对安全个体进行签名对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的在CA的机构中，要维护这棵树在每个节点CA上，需要保存两种certForward Certificates: 其他CA发给它的certs(2) Reverse Certificates: 它发给其他CA的certs7/24/202290层次结构CA中证书的验证假设个体A看到B的

50、一个证书B的证书中含有签发该证书的CA的信息沿着层次树往上找，可以构成一条证书链，直到根证书验证过程：沿相反的方向，从根证书开始，依次往下验证每一个证书中的签名。其中，根证书是自签名的，用它自己的公钥进行验证一直到验证B的证书中的签名如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥问题：证书链如何获得？7/24/202291证书链的验证示例7/24/202292 CA 证明链CACA1CA2CA11CA12CA21CA22个人证书个人证书个人证书个人证书（PKI）CA11，（PKCA11）CA1，（PKCA1）CA（PKJ）CA21，（P

51、KCA21）CA2，（PKCA2）CAij7/24/202293CA认证模型 如果用户 i和j都属于CA11，那么i和j之间的密钥交换，只需要持有CA11开具的证明书就可以，即：对用户 i和j的公钥PKi 和PKj分别盖章，如(Pki)ca11, (Pkj)ca11,那么用户i和j就能证明密钥是对方的密钥。7/24/202294CA认证模型 如果用户j的证明书是CA21开具的，那么情况就复杂了，各自具有： i方：(Pki)ca11 , (CA11)CA1, (CA1)CA j方：(Pkj)ca21 , (CA21)CA2, (CA2)CA 这就形成了层层证明的证明链（ certificatio

52、n chain）。7/24/2022952. CA的分布式结构中心CA根CA子CA用户7/24/2022962. 分布式信任结构模型与在PKI系统中的所有实体都信任唯一一个CA的严格层次结构相反,分布式信任结构把信任分散在两个或多个CA上。在这个结构中，可能有许多个根CA，每个实体都信任自己的根CA，他们只拥有自己根A的公钥。严格层次结构的PKI系统往往在一个企业或部门实施。交叉认证是一种把以前无关的CA连接在一起的机制，从而使得它们各自终端用户之间的安全通信成为可能。X.509规范定义交叉认证如下：一个认证机构可以是另一个认证机构颁发的证书的主体，该证书称为交叉证书。每个根CA都与中心CA进

53、行交叉认证。7/24/202297分布式信任结构模型例如，假设A已被CA1认证并持有一份可信的CA1的公钥，B已被CA2认证并持有一份可信的CA2的公钥。最初，A只信任证书由CA1签发的实体，因为他能够验证这些证书。他不能验证B的证书(因为他没有可信的CA2的公钥)：类似地，B也不能检验A的证书。然而，在CA1和CA2交叉认证后，A的信任能够扩展到CA2的实体群包括B，因为他可用他信任的CA1的公钥验证CA2的证书，然后用他现在信任的CA2的公钥验证B的证书。 7/24/2022983. Web模型 Web模型是在环球网(World Wide Web)上诞生的,而且依赖于流行的浏览器,如Netscape 公司的Navigator和Microsoft公司的Internet Explorer。在这种模型中,许多CA的公钥被预装在