电子商务安全 第4章 公钥基础设施PKI与数字证书

第4章公钥基础设施PKI与数字证书4.1公钥基础设施PKI概述4.1.1PKI的基本概念公钥基础设施（PKI）是利用公钥密码理论和技术建立的提供安全服务的基础设施，PKI的简单定义是指一系列基础服务，这些基础服务主要用来支持以公开密钥为基础的数字签名和加密技术的广泛应用。

PKI体系结构采用证书管理公钥，通过第三方的可信机构，把用户的公钥和用户的其他标识信息（如名称、Email、身份证号等）捆绑在一起，以便在Internet上验证用户的身份。4.1.2PKI的基本组成

一个完整的PKI应用系统至少应具有以下部分：认证中心CA（CertificateAuthority）、数字证书库（CertificateRepository，CR）、密钥备份及恢复系统、证书作废系统、应用接口等基本构成部分。其中，认证中心和数字证书库是PKI的核心。（1）认证中心CACA是数字证书的申请及签发机关，它是PKI的核心执行机构，也是PKI的核心组成部分，业界人士通常称它为认证中心。从广义上讲，认证中心还应该包括证书申请注册机构RA（RegistrationAuthority），它是数字证书的申请注册、证书签发和管理机构。CA的主要职责包括：

①验证并标识证书申请者的身份。②确保CA用于签名证书的非对称密钥的质量和安全性。③管理证书信息资料。（2）数字证书与证书库

数字证书认证技术采用了加密传输和数字签名，在技术上保证了交易过程中交易双方身份的认证以及交易信息的安全传输（不可否认性和数据完整性），因此在国内外的电子商务中得到了广泛的应用。

数字证书是一个经CA数字签名的、包含证书申请者个人信息及其公开密钥的文件。数字证书的作用类似于现实生活中的身份证，由权威机构颁发。

数字证书的格式一般采用由国际电信联盟（ITU-T）制定的数字证书国际标准X.509。

数字证书的格式一般采用由国际电信联盟（ITU-T）制定的数字证书国际标准X.509。（3）密钥备份及恢复系统

密钥备份及恢复是密钥管理的主要内容，密钥的备份与恢复必须由可信的机构来完成，CA可以充当这一角色。

密钥的备份和恢复必须保证密钥的机密性和完整性。（3）密钥备份及恢复系统

当用户提出恢复密钥的请求时，恢复中心首先从数据库中找到被条件交付机构加密的会话密钥送往条件交付机构进行解密，再利用解密得到的会话密钥解密用户的私钥。密钥恢复过程如图4.2所示。一次密钥恢复过程完成后，密钥恢复中心立即删除该密钥在系统中留下的痕迹，以密钥泄露。（4）证书更新与证书作废处理系统

证书更新一般由PKI系统自动完成，不需要用户干预。即在用户使用证书的过程中，PKI也会自动到目录服务器中检查证书的有效期，当有效期快结束时，PKI/CA会自动启动更新程序，生成一个新证书来代替旧证书。作废证书有如下三种策略：作废一个或多个主体的证书；作废由某一对密钥签发的所有证书；作废由某CA签发的所有证书。作废证书一般通过将证书列入作废证书表CRL来完成。

（5）证书应用管理系统

证书应用管理系统面向具体的应用，完成对某一确定证书的应用和管理任务，主要有应用该证书进行加密、签名、验证签名以及对证书的保存、证书的安全、证书的可信度验证等功能，达到PKI体系透明应用的目的。（6）PKI应用系统接口PKI应用接口系统需要实现以下功能：

完成证书的验证工作；为应用提供统一的密钥备份与恢复支持；确保用户的签名私钥始终只在用户本人的控制之下，阻止备份签名私钥的行为；

根据安全策略自动为用户更换密钥；向应用提供历史密钥的安全管理服务；为所有应用访问公用证书库提供支持；为所有应用提供统一的证书作废处理服务；

完成交叉证书的验证工作，为所有应用提供统一模式的交叉验证支持；

支持多种密钥存储介质，包括IC卡、PC卡、安全文件等；PKI应用系统接口应该是跨平台的。公钥加密标准PKCS是在RSA安全标准基础上发展起来的一组公钥密码学标准。PKCS已经公布了以下的标准：（1）定义RSA公钥算法加密和签名机制的PKCS#1。（2）定义Diffie-Hellman密钥交换协议的PKCS#3。（3）描述利用从口令派生出来的安全密钥加密字符串的方法的PKCS#4。（4）描述公钥证书（主要是X.409证书的扩展格式）标准语法的PKCS#6。（5）PKCS#7标准。（6）描述私钥信息格式的PKCS#8。4.1.3PKI的相关标准

（6）描述私钥信息格式的PKCS#8。（7）PKCS#9标准。（8）用于描述证书请求语法的PKCS#10。（9）PKCS#11标准。（10）描述个人信息交换语法标准的PKCS#12。（11）椭圆曲线密码体制标准PKCS#13。（12）伪随机数生成标准PKCS#14。（13）密码令牌信息格式标准PKCS#14。其中PKCS#2和PKCS#4已经被合并到PKCS#1中。4.1.3PKI的相关标准

由Internet工程任务组IETF和PKI工作组PKIWG所定义的一组具有互操作性的公钥基础设施协议，属于PKI的应用标准，主要有如下几种：

S/MIME标准：是用于发送安全报文的IETF标准。

SSL/TLS标准：利用PKI的数字证书来认证客户和服务器的身份，也可以应用于基于客户机/服务器模型的非WEB类型的应用系统，是Internet中访问WEB服务器最重要的安全协议。

IPSEC标准：是IETF制定的IP层加密协议，PKI技术为其提供了加密和认证过程的密钥管理功能，主要用于开发新一代的虚拟专用网络VPN。4.1.3PKI的相关标准（1）产生、验证和分发密钥（2）交叉认证（3）证书的获取和验证（4）证书的保存和废止（4）密钥的恢复和更新（6）CRL的获取4.1.4PKI的功能

互操作模型实际上是扩展信任模型。在互操作模型中需要解决用户信任的起点不变和信任的传递两个问题。保持信任起点不变和信任传递路径的简洁是建立互操作的基本原则。（1）域间交叉认证

实现域间互操作的一个方案是建立域间交叉认证。

直接在各PKI域之间建立域间交叉认证一般适用于PKI域数量不多的情况。（2）桥CA体系

桥CA是为克服直接交叉认证中的复杂性而设计的。为减少交叉认证的数量，一个特殊的桥CA被专门用来与各PKI域中的第一级CA建立交叉认证。

与直接建立交叉认证相比，桥CA结构可以将更多的PKI域连接起来，大大减少系统所需建立交叉认证的数量。4.2PKI的互操作信任模型（3）可信第三方认可模型

可信第三方认可模型是指通过可信任权威机构对CA进行检验评估，对于通过检验的予以认可。

在交叉认证模型中信任与否是由CA来决定的，而可信第三方认可模型由依托方进行信任裁决。

可信第三方认可模型需要解决由谁来充当可信任第三方的问题。4.2PKI的互操作信任模型

认证中心（CA）是认证系统的重要组成部分。认证中心的功能有：证书发放、证书更新、证书撤消和证书验证等，其中最核心的功能是发放和管理数字证书。认证中心的具体功能有：①接收并验证终端用户数字证书的申请；②确定是否接受终端用户数字证书的申请——证书的审批；③向申请者颁发数字证书/拒绝证书的发放；④接收、处理终端用户的数字证书更新请求及证书的更新；⑤接收终端用户数字证书的查询、撤消；⑥产生和发布证书废止列表（CRL）；⑦数字证书的归档；⑧密钥归档；⑨历史数据归档。4.3认证中心

认证中心主要由以下三部分组成：①注册服务器。通过Web服务器建立的站点，可为客户提供每日24小时的服务。因此，客户可在自己方便的时候在网上提出证书申请和填写相应的证书申请表，免去了排队等候等烦恼。②证书申请受理和审核机构。负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。③认证中心服务器。它是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书废止列表的生成和处理等服务。4.3认证中心

为了使用某个异地通信方的公钥，所面临的问题是证书用户必须找到一条有效的完整的认证路径，而且寻找该路径的范围应该是简单、方便和高效的。

要解决此问题，在很大程度上要依赖于构造认证机构CA间结构关系的规则或协定，因为借助CA间的结构关系，才能使得一些认证机构能够验证其他认证机构的身份。

这些结构关系的协定称为信任模型。

目前常用的信任模型有层次模型、网状模型、混合模型、桥接模型和多根模型，下面分别介绍这五个模型。4.3.1认证路径

在层次信任模型中，层次结构中的所有实体都信任惟一的根CA。这个层次结构按如下规则建立：①根CA认证直接连接在它下面的CA；②每个CA都认证零个或多个直接连接在它下面的CA；③倒数第二层的CA认证终端实体。4.3.2层次信任模型4.3.3网状信任模型

在网状信任模型中，每对相邻的CA之间通过互相签发对方的证书来实现“交叉认证”，这样就在CA间构成了一个双向的信任关系网。与层次信任模型中每个CA只有惟一的一个根CA不同，网状信任模型中每个CA都有多个根CA，从而使得在证书链的选取上存在着多种方式，这也在一定程度上增加了证书链的构造复杂度。

在这种模式下构造的证书链有可能是一个死循环。例如，实体a信任CAY,实体b信任CAU，则当a对b的证书进行验证时，证书链的起始点为CAY的证书，终点为b的证书，但中间的证书路径有多条，其中最短的一条路径是CAY,→CAV→CAU→b。4.3.4混合信任模型当多个企业（每个企业的内部的信任模型都为层次模型）需要建立相互信任关系时，可通过每两个企业的根CA互签证书来实现。从而使得企业的根CA之间构成网状模型，而企业内部则形成层次模型，这种模型被称为混合信任模型，如图4.5所示。在桥接信任模型中，有一个专门进行交叉认证的机构——桥CA。它的作用是为不同信任域签发交叉证书，从而在不同信任域之间架起一座相互沟通的桥梁。桥接信任模型如图4.6所示。4.3.5桥接信任模型

在多根信任模型中，每个终端实体都有多个“信任锚”可供选择，每个“信任锚”都是自签名的根证书。证书链的构造也非常简单，验证方只需从被验证证书开始向上追溯，直到一个自签名的根证书为止。若根证书在验证方的“信任锚”集合中，那么这个证书就能被认证。多根信任型如图4.7所示。4.3.6多根信任模型4.4.1数字证书的构成

数字证书又称公钥证书，它是标志网络用户身份信息的一系列数据，用来在网络通信中识别通信各方的身份。

数字证书是由权威公正的第三方机构即CA中心签发的，以数字证书为核心的加密技术可以对网络上传输的信息进行加密和解密、公钥签名和签名验证，信息的机密性、完整性，以及交易实体身份的真实性，签名信息的不可否认性，从而保障网络应用的安全性。

数字证书体系采用公钥密码体制，即利用一对互相匹配的密钥进行加密、解密。每个用户拥有一把仅为本人所掌握的私有密钥（私钥），用它进行解密和签名；同时拥有一把公开密钥（公钥），用于加密和验证签名。

当发送一份保密文件时，发送方使用接收方的公钥对数据加密，而接收方则使用自己的私钥解密，这样，信息就可以安全无误地到达目的地。即使被第三方截获，由于其没有相应的私钥，也无法解密。4.4数字证书4.4.1数字证书的构成

数字证书实现在网络环境下将公钥安全地分发给可信赖的实体。简单的数字证书如图4.8所示。

在使用数字证书的过程中，应用公钥加密技术建立起一套严密的身份认证系统，它可以保证：①信息除发送方和接受方外不被其他人窃取；②信息在传输过程中不被篡改；③接收方能够通过数字证书来确认发送方的身份；④发送方对于自己发送的信息不能抵赖。

以电子邮件为例，数字证书主要可以解决下列问题：①保密性。②完整性。③身份认证。④不可否认性。4.4.1数字证书的构成

使用数字证书的主要好处是，只要知道认证机构的公钥，就可以安全地获取各通信方的公钥。目前随着公钥密码技术在网络中的广泛应用，数字证书也广泛运用于发送安全电子邮件、访问安全站点、网上证券、网上招标采购、网上签约、网上办公、网上缴费、网上税务等安全电子事务处理和安全电子交易活动。X.509由国际电信联盟(ITU-T)提出，是目录业务X.500系列的一个组成部分。X.509定义了X.500目录向用户提供认证业务的一个框架，目录的作用是存放用户的数字证书。

用户的数字证书是X.509的核心问题，证书由某个可信赖的认证机构CA建立，并由CA或用户自己将其放入入目录中，以供其他用户方便使用。X.509证书的一般格式如图4.9所示。4.4.2X.509证书标准

（4）评估类型

PKI评估可以采用各种形式，如自我评估、内部审计、外部审计等，也可以采用三种不同形式的组合。其中，自我评估是典型的评估类型，它由操作人员或各级管理人员执行。内部审计形式指评估由符合资格的内部人员执行，并且这些人员没有直接参与日常的PKI操作。外部审计形式指评估由独立的第三方执行，第三方通常是组织外部的机构，也可以包含政府机构的检查员。4.6公钥基础设施的评估证书中的数据域有：①版本号。②证书序列号。③签名算法标识符。④发放者名称。⑤有效期。⑥主体名称。⑦主体的公钥信息。⑧发放者惟一标识符。⑨主体惟一标识符。⑩扩充域。SPKI证书

简单公开密钥基础设施SPKI的目标是发展支持IETF数字证书格式、签名和其它格式以及密钥获取协议的Internet标准，使密钥证书格式以及相关协议简单易懂，易于实现和使用。(2)PGP证书PGP证书对电子邮件和文件进行加密和数字签名，主要供私人使用。PGP定义了在两个实体间传递信息和文件的报文格式，同时定义了两个实体间传递密钥时的证书格式。(3)属性证书

数字证书不是传递权限信息的最佳工具，为此，ANSI提出了一种被称之为属性证书的解决方案。属性证书将一条或多条附加信息绑定给相应的证书持有者，证书内容可能包括成员资格信息、角色信息以及其他任何与证书持有者的权限或访问控制有关的信息。4.4.3其他证书格式(1)注册机构RA

注册机构的主要功能如下：①注册、注消以及批准或拒绝对用户证书属性的变更要求；②对证书申请人进行合法性确认；③批准生成密钥对或证书的请求以及恢复备份密钥的请求；④接受和批准撤消或暂停证书的请求（需要相应认证机构的支持）；⑤向有权拥有身份标记的人当面分发标记或恢复旧标记。4.4.4证书的发行（2）证书的注册

认证机构向完成了全部注册过程的实体发放证书。在电子商务环境中，证书可以发给多种不同类型的实体，包括个人、组织和设备。

注册手续在不同的环境中可能各不相同。

注册机构（有时是认证机构本身）必须对用户进行合法性验证，以确定公钥值以及其他用户信息确实是来自该用户，且在传输过程中未被篡改过。注册机构还可能需要了解有关该用户的更多信息，这些信息可以通过与用户间的在线对话来获得，也可以通过查询第三方的相关数据库获得。4.4.4证书的发行（3）证书的生成证书的生成主要包括如下步骤：①证书申请人将申请证书所需要的证书内容信息提供给认证机构。②认证机构确认申请人所提交信息的正确性，这些信息将包含在证书中（根据其公认的义务和可应用政策及标准）。③由持有认证机构私钥的签证设备给证书加上数字签名。④将证书的副本传送给用户，如果需要的话，用户在收到证书后返回一个确认信息。⑤将证书的副本传送给证书数据库（如目录服务）以便公布。⑥作为一种可供选择的服务，证书的副本可以由认证机构或其他实体存档，以加强档案服务、提供证据服务或者不可否认服务。⑦认证机构将证书生成过程中的相关细节以及其他在证书发放过程中的原始活动都记录在审计日志中。4.4.4证书的发行（4）密钥对和证书的有效期

数字签名密钥对是用于进行数字签名的密钥对。对于数字签名密钥对，需要考虑下面两种基本情况：①历史有效性。②实时有效性。4.4.4证书的发行（5）证书的更新

每份证书的生命周期都是有限的。在整个生命周期中，认证机构有义务完成证书的撤消过程。

一般而言，在证书期满后需要更换证书。

另外，密钥对需要周期性地更换，更换密钥对时,就需要新的证书。

证书期满和证书更新常常与密钥对的期满和更新结合在一起。

有时证书的更新完成过程对用户来说是透明的。4.4.4证书的发行（6）证书的分发

数字证书是由认证机构颁发的。

数字证书颁发过程如下：

用户首先产生自己的密钥对，并将公开密钥及部分个人身份信息传送给认证机构。

认证机构在核实身份后，将执行一些必要的步骤，以确信请求确实由用户发送而来，然后，认证机构将发给用户一个数字证书。4.4.4证书的发行证书分发方法：1）附于数字签名的证书分发利用数字签名可以方便地进行证书的分发。2）基于目录服务的证书分发4.4.4证书的发行（7）

证书的撤消

证书撤消是由认证机构根据某些被授权人的请求决定的。谁是否有权撤消证书由认证机构所制定的规则来决定。

在一般情况下，证书用户可以请求撤消自己的证书；在用户违反职责或用户死亡等特殊情况下，认证机构有权撤消用户的证书。

如何安全有效地撤消证书，这是证书撤消环节要解决的问题。

几种证书撤消的方法：1）证书撤消列表CRL2）在线查询机制3）前向安全证书撤消方案4.4.4证书的发行1）证书撤消列表CRL

证书撤消列表CRL是X.509证书系统中现行公布的关于证书撤消问题的标准方案。CRL是一个包含所有被撤消证书（未过有效期）的序列号并由认证机构CA签名的数据结构。4.4.4证书的发行2）在线查询机制

在线查询机制是基于在线证书状态协议OSPT的一种在线的证书撤消信息获得方式。OSPT是一种请求/响应协议，它提供了一种称为OSPT响应者的可信第三方获取在线撤消信息的手段。OSPT请求由协议版本号、服务请求类型以及证书标识符组成，其中，证书标识符包括证书颁发者可识别的签名Hash值、颁发者公钥Hash值、证书序列号以及扩展；OSPT响应包括证书标识符和证书状态（即“正常”、“撤消”和“未知”），若证书状态是“撤消”，则还包括撤消的具体时间和撤消原因。OSPT的可信性和在传输过程中的安全性是由OSPT响应者（可信第三方）的数字签名来保证的。4.4.4证书的发行3）前向安全证书撤消方案

前向安全数字签名方案是一种特殊的数字签名方案，其基本思想是将签名密钥的有效期（例如一年）分为3个时段（T=356天，或T=356×24小时），若签名密钥在j时段泄露，密钥获得者可以伪造j时段之后的数字签名，但不能伪造j时段之前的数字签名，这样就保证了j时