信息安全学第3章 密钥分配与管理技术

海军工程大学主要内容3.1.1密钥分配中心方式

密钥分配中心方式是当前的主流方式。每个节点或用户只需保管与密钥分配中心(KDC)之间使用的密钥加密密钥，而KDC为每个用户保管一个不相同的密钥加密密钥。当两个用户需要通信时，需向KDC申请。KDC将工作密钥(或称会话密钥)用这两个用户的密钥加密密钥分别加密后送给这两个用户(通常是通过其中一个转送)。这种方式的特点是，用户不必保存大量的工作密钥，可实现一报一密；缺点是通信量大，而且需要有较好的鉴别功能，以识别KDC和用户。KDC可变形成为号码本方式，适用于非对称密码体制。通过建立用户的公开密钥表，在密钥的连通范围内散发，也可采用目录方式动态去查询，后面介绍的公开密钥管理体制采用的就是这种思想。3.1.2离散对数方法设P是一个质数，a是P的一个本原元，要求a和P是公开的，网络中的每个用户I选一个小于p的整数作为秘密密钥。设甲和乙是两个用户，各自的密钥分别是和，那么他们可基于离散对数方法用如下过程建立彼此间的会话密钥。双方各自计算(2)交换和；(3)求出会话密钥为这种方法不能防止从信道进行窃听，因此还需要某种加密机制的保护，并且同时需要使用密钥协商机制来防止桥接攻击。针对这些问题，Hughes提出了一种改进方式，使得双方密钥的生成呈异步形式。要做到这一点，必须：(1)甲事先计算密钥；(2)乙在需要与甲通信时计算并送给甲；(3)甲计算并送给乙；(4)乙计算而，从而表现甲和乙使用的密钥相同。3.1.3智能卡方法智能卡方法的根本思想是将RSA与Diffie-Hellman协议相结合，通过KDC分配可进行密钥管理的智能卡，而平时使用密钥时不需要KDC。整个系统有一个通信各方均使用的公开密钥，而对应的秘密密钥保存在发卡方，用户持有的是该秘密密钥的一个变形。需要通信时，使用智能卡产生一个工作密钥。具体做法如下：

(1)磁卡分发时：在对应的RSA体制下，找一个为p或q的本原元的整数g。对于用户I，设定他的身份标志为整数，计算。将整数组(r，g，，)存储在磁卡中发给用户，其中需要保密(因为它包含发卡中心的秘密密钥的信息)，而其他数据是可公开的。

(2)需要通信时：基于Diffie-Hellman协议。用户I和用户J要建立一共同的工作密钥时，用户I产生一个随机数并计算并连同自己的发给用户J。J也产生一个随机数并计算，并连同自己的发给用户I。然后双方分别计算出共享的工作密钥：因为所以

(3)需要验证身份时：利用RSA体制确认通信的对方拥有正确的。用户I产生一个随机数，并计算将和发给用户J。

用户J也类似地产生一个随机数并计算

并将和发给用户I。因为在模r的情况下有所以用户I和J均可用此方法验证对方的身份。注意：在智能卡方法中，RSA的秘密密钥只在磁卡发行时使用，在磁卡使用过程中并不需要，因此智能卡系统在使用时不需要KDC。整个系统的平安性依赖于RSA的可靠性。3.1.4加密的密钥交换EKE

加密的密钥交换(EncryptedKeyExchange-EKE)方法由SteveBellovin和MichaelMerritt设计；用共享的对称密钥P(如口令)来保护随机产生的公开密钥K，进而提高对会话密钥的保护程度。具体的做法如下：(1)Ａ随机产生一个公开／秘密密钥对，使用对称密钥算法将公开密钥加密，然后标识符Ａ和送给Ｂ。(2)Ｂ收到后，再产生一个随机的会话密钥Ｋ，然后向Ａ发送。(3)Ａ收到后，解出Ｋ，然后产生一个随机串，并向Ｂ发送。Ｂ收到后，产生一个，向Ａ发送。Ａ收到后，向Ｂ发送。(6)Ｂ收到后，假设确认正确，那么双方密钥交换与鉴别成功。这是一个密钥交换(前三步)加双向身份认证(后三步)的方法，这种方法的优点是即使口令被攻击者猜出，他只能获得，而这个公开密钥只能用于加密，不能用于解密，因此他仍然无法获得实际使用的会话密钥Ｋ的内容。这种方法的缺点是交互次数较多，比较繁琐。3.1.5Internet密钥交换IKE

IKE(TheInternetKeyExchange)是IETF制定的Internet环境下的密钥交换协议。IKE是由RFC2409文件描述的一种混合密钥交换协议，IKE协商分两个阶段：阶段一定义了主模式和野蛮模式，阶段二定义了快速模式；另外还有两个额外的交换，即信息交换和新组交换

IKE协议针对可能的攻击设计了相应的平安机制，并制定了五种交换模式，下面针对IKE协议的平安机制和交换模式，进行分析。1.IKE的平安隐患(1)洪泛攻击(FloodingAttack)FloodingAttack也叫DoS(DenialofService)攻击，在Diffie-Hellman交换中，攻击者可以制造大量的伪造IP的请求包，发给被攻击者。每一个请求包让被攻击者响应，考虑到这些包来自“不同的IP〞，响应者对每一个包进行计算开销很大的幂运算处理，一旦伪造包到达率到达一定程度，响应者将无法响应真正的合法用户。针对“FloodingAttack〞IKE设计了“cookie〞交换，cookie生成方式为：联系双方的IP地址/端口/协议散列运算的结果，或者是时间戳。这样每个cookie可以和一个远程通信方对应起来。一旦发起者和响应者cookie交换完以后，余下的密钥交换消息都必须包含cookie对，相应的cookie与发起者和响应者的IP地址联系起来。

如果攻击者与被攻击者交换cookie后，攻击者想发送多个不同的伪造IP地址和同一对cookie进行Diffie-Hellman交换消息，被攻击者会将这类信息轻易丢弃，因为cookie不与这些伪IP地址对应。攻击者必须为每一个伪IP进行一次cookie交换，而且必须接收被攻击者发出的响应者cookie消息，由于IP地址是伪造的，这将是开销很大的被动窃听。Cookie消息机制不能从根本上保证防御DoS攻击，但它能让攻击者增大发起DoS的代价，是一种被动防御方式。(2)中间人攻击(ManInTheMiddleAttack)Diffie-Hellman交换最大的缺乏是它易遭受中间人攻击。在这种攻击中，攻击者在发起者面前模仿响应者，而在响应者面前模仿发起者。那么攻击者共享发起者和响应者的秘密。

但在IKE提供对共享秘密的认证后，便能有效的防范此类攻击，攻击者无法提供让通信双方认可的认证消息。IKE提供了三种认证方式：预共享密钥、数字签名、公钥加密

在预共享密钥认证中，通常通过发起者身份Idi和响应者身份Idr来对应共享密钥表，但在IKE的主模式PSKEY只能通过发起者和响应者的IP地址确定，所以主模式下的预共享密钥认证必须在发起者和响应者的IP地址固定才能实施。但是在野蛮模式下，可以通过Idi和Idr来确定PSKEY。野蛮模式没有提供身份保密。

签名认证是最具推广性的认证方式，但是如何对方的公钥一直是个难题。基于证书的数字签名认证，可以与PKI对应起来，组建PKI的VPN，通过可信的第三方签发的证书来获取对方的公钥。IKE将基于证书的数字签名认证作为可选项。数字签名认证提供了不可抵赖性，因为数字签名可以作为证实特定实体的证据，这也是其它两种认证方式不能提供的能力。公钥加密认证采用对方的公钥对身份信息Idi/r和随机数Ni/r进行加密，因为Ni/r也为种子密钥奉献过力量，所以公钥加密认证比前两种方式Ni/r均采用明文传递要平安。缺乏的是它需要代价高昂的两次公共密钥加密运算。同时它有一局部容易抵赖的特性，也就是说每一方都可以否认它曾是一次交换的参与者，因为双方完全可以重建双方交换的信息。2.IKE协商模式的平安IKE的主模式的平安主要基于Diffie-Hellman交换的平安，增加了局部抗DoS攻击能力和身份认证能力。此外它还额外提供了身份保护——IDi/r都是加密后传输，和ISAKMP协商能力——保护套件经过双方协商。IKE的野蛮模式以降低平安强度的代价来提高IKE的协商速度。野蛮模式不提供身份保护，也没有利用ISAKMP协商能力——保护套件由发起者直接确定。第二阶段的快速模式，用第一阶段生成的加密密钥SKEYIDd衍生出用于IPSecSA的加密密钥：NEWKEY=hashfunc(SKEYIDd，protocol|SPI|Ni|Nr)每个IPSecSA通过平安参数索引SPI和随机数Ni、Nr使自己的密钥独一无二。但是所有的密钥都与SKEYIDd有关联，如果攻击者能够在第一阶段判断出SKEYIDd，那么由SKEYIDd衍生的密钥将变的不再平安。IKE因此提供了PFS(PerfectForwardSecrecy)，完美向前保护的选项。就是再一次进行Diffie-Hellman交换，生成新的共享秘密K。而新的IPSecSA加密密钥将与新的共享秘密K有关：NEWKEY=hashfunc(SKEYIDd，K|protocol|SPI|Ni|Nr)IKE密钥交换协议被认为较难理解，它是IETF推崇的标准的密钥交换协议。IKE的平安机制，主要依赖第一阶段的认证方式，而认证方式中目前有两个方向：平安DNS、IKE与PKI结合。平安DNS将加密系统运用到DNS中，当两个通信系统在DNS中寻找域名时，就提供认证信息，以便实现时机加密(OpportunitisticEncryption)。而IKE与PKI的结合是最具有伸缩性的平安系统，而且PKI的建设，已日益受到重视。3.2公钥根底设施3.2公钥根底设施3.2.1公钥根底设施的根本组件为了确保信息的平安传输，一个有效的PKI系统必须是平安的和透明的，用户在获得加密和数字签名效劳时，不需要详细地了解PKI是怎样管理证书和密钥的。一个典型、完整、有效的PKI系统一般应包含认证机构、注册机构﹑证书效劳器、证书库、证书验证、密钥备份恢复效劳器、时间效劳器、签名效劳器等八个局部，下面分别介绍这几局部功能。3.2公钥根底设施1.认证机构在PKI中，认证机构CA是负责创立或者证明身份的可信赖的权威机构。认证机构CA是可信的权威机构，其权威性首先表达在它的所有用户都知道其验证签名公钥及加密公钥。因此，CA负责确认身份和创立数字证书以建立一个身份和一对公/私钥之间的联系。3.2公钥根底设施CA是PKI的核心局部，核心功能就是发放和管理数字证书。所以，CA的主要功能具体描述为：·接收验证最终用户数字证书的申请。·确定是否接受最终用户数字证书的申请――证书的审批。·向申请者颁发、拒绝颁发数字证书――证书的发放。

3.2公钥根底设施·接收、处理最终用户的数字证书更新请求――证书的更新。·接收最终用户数字证书的查询、撤销。·产生和发布证书撤消列表〔CertificateRevocationList,CRL〕。·数字证书的归档。·密钥归档。·历史数据归档。3.2公钥根底设施在信息网络中，认证中心认证机构CA为了实现其功能，主要由以下三局部组成：注册效劳器：通过WebServer建立的站点，可为客户提供每日24小时的效劳。证书申请受理和审核机构：负责证书的申请和审核。它的主要功能是接受客户证书申请并进行审核。认证中心认证机构效劳器：是数字证书生成、发放的运行实体，同时提供发放证书的管理、证书撤消列表〔CRL〕的生成和处理等效劳。3.2公钥根底设施2.注册机构

注册机构(RegistryAuthority，RA)作为CA和最终用户之间的中间实体，负责控制注册过程中、证书传递过程中及密钥和证书生命周期过程中最终实体和PKI间的交换。3.2公钥根底设施

其主要的功能有：主体注册证书时个人身份认证、确认主体所提供的信息的有效性、根据被请求证书的属性确定主体的权利、确认主体确实拥有注册证书的私钥——这一般称为拥有证据、在需要撤消证书时向CA报告密钥泄露或终止事件、产生公/私钥对、代表主体开始注册过程、私钥归档、开始密钥恢复处理、包含私钥的物理令牌的分发等。

3.2公钥根底设施然而，任何情况下RA都不能代表CA发起关于主体的可信声明，既不能代表CA验证主体的身份，也不能颁发证书或者颁发证书撤消状态信息。3.2公钥根底设施3.证书效劳器证书效劳器是负责根据注册过程中提供的信息生成证书的机器或者效劳。3.2公钥根底设施4.证书库证书库是CA或者RA代替CA发布证书的地方。它必须使用某种稳定可靠的、规模可扩充的在线资料库系统，以便用户能够找到平安通信所需要的证书。证书库的实现方式有很多种，包括X.500协议、轻量级目录访问协议(LDAP)、Web效劳器、ftp效劳器等，其中以LDAP最为常用。3.2公钥根底设施5.证书验证证书用户需要验证收到的证书。验证一个证书需要：·验证该证书的签名者的签名；·检查证书的有效期，以确定该证书仍然有效；·检查该证书的预期用途是否符合CA在该证书中指定的所有策略限制；·确认该证书没有被CA撤销。3.2公钥根底设施6.密钥备份恢复效劳器密钥备份恢复效劳器为CA提供了在创立私钥时备份和在以后恢复私钥的一种简单方式。当CA创立私钥后，CA一方面通过RA将私钥和证书分发给最终用户，另一方面将私钥传送给密钥备份恢复效劳器进行备份。当用户私钥丧失后，用户通过RA向CA报告私钥泄露终止事件，并要求恢复原私钥以解密未读信息。当CA恢复出私钥后，通过RA交给用户。3.2公钥根底设施7.时间效劳器时间效劳器是一个单调增加的精确的时间源，用来发布可验证的时间戳，并对时间戳签名以便验证这个可信时间值的发布者。3.2公钥根底设施8.签名效劳器签名效劳器是用来专门为用户事务执行集中的签名和验证效劳。3.2公钥根底设施3.2.2公钥证书PKI根底设施通过证书来管理公钥，通过第三方的可信任机构――认证机构，把用户的公钥同用户的其他标识信息捆绑在一起，在Internet网上验证用户的身份。因此，公钥证书作为PKI的根底，是PKI的重要组成局部。3.2公钥根底设施1.证书结构目前国际上认定的标准化的证书结构形式主要为由国际电信联盟ITU〔InternationalTelecommunicationUnion，前身即CCITT〕和国际标准化组织ISO共同推荐的一个标准的认证框架，称为ITU-TX.509或ISO9594-8。该国际标准定义了一种证书格式，称为X.509公钥证书。该标准先后推出了V1、V2和V3三个版本的证书格式。其中X.509V3的证书格式得到了广泛的应用。3.2公钥根底设施目前，最常使用的是X.509v3版本的证书，其根本格式和内容如下：·版本号：用于区分各连续版本的证书。·证书序列号：与证书一一对应的整数值，由证书颁发机构产生。3.2公钥根底设施·签名算法标识符：说明签发证书所使用的算法以及相关参数。·颁发者名称：用于标识生成和签发该证书的证书颁发机构的名称。·有效期：该项含有两个日期/时间值：指定在某时间前无效和某时间后无效。3.2公钥根底设施·主体名称：持有该证书的最终实体。·主体公钥信息：包括主体的公钥、算法标识符以及算法所使用的任何相关参数。·颁发者唯一标识符：该项是可选项，用于区分在不同时间内不同的实体重用相同的颁发者名称，使得证书颁发机构的名字没有二义性。3.2公钥根底设施·主体唯一标识符：该项是可选项，用于区分在不同时间内不同的实体重用相同的证书拥有者名称，使得证书拥有者的名字没有二义性。·扩展项：一组扩展字段。·签名：用CA的私钥对证书中其它所有字段的签名。3.2公钥根底设施2.证书生成与发放3.2公钥根底设施同时，用户也可通过RA向CA申请证书。RA只负责验证用户提交的材料，然后把经过验证的材料给CA，由证书效劳器生成证书。3.2公钥根底设施对于生成的证书，既可以在线方式也可以离线方式返回给用户。这取决于具体的用户要求，证书平安等级，密钥对生成方式等，PCA将对此做出明确规定。另外，所有CA生成的公钥证书都必须在该CA所维护的目录效劳器上公布，以供用户查询。3.2公钥根底设施3.证书验证证书验证是决定证书自在某一时刻可以被有效使用以及确认它能符合用户意图的过程。为到达这一目的，需要验证证书所涉及的多个方面:·证书必须包含一个有效数字签名，以此确定证书内容没有被修改。·颁发者的公开密钥必须可以用来验证证书上的数字签名。3.2公钥根底设施·证书起止日期必须在证书的有效日期内。·证书可以包含一些字段，它们可被标记为关键的或者非关键的。如果证书是有效的，那么所有被标记为关键的字段必须能够被证书验证者的证书所理解。·证书只能用于最初创立它的目的。例如，被标记为仅仅在签名程序中使用的密钥和证书不能被加密操作使用。·检查指定使用条件并必须满足其策略约束。·最后，证书必须没有被撤销。3.2公钥根底设施一般情况下，验证者取得被验证者的证书，使用CA的公钥(假定此时CA公钥的真实性和完整性已经得到验证)对签名字段的内容SigCA(H(M))进行加密运算，得到H(M)，记为h1。然后对证书中除签名字段以外的所有字段数据(记为M)，计算M的杂凑值H(M)，记为h2。比较h1和h2是否相等，如果相等，那么该证书得到验证。在PKI的一个体系结构－－PKIX模型中，常常采用QCSP、SCVP、OCSP-X三种证书验证协议。3.2公钥根底设施4.证书分发证书分发问题针对不同的平安效劳具有不同的解决方案。其具体实现方法主要为：3.2公钥根底设施(1)在协议内局部发证书证书可以作为实现一种密码效劳所使用协议交换的一局部提供。3.2公钥根底设施目前主要是下面两种途径：·电子邮件使用S/MIME协议实现电子邮件签名时，与签名者私钥相应的证书、公开密钥和电子邮件消息一起发送。另外，在认证路径中证书的其余局部也可以被发送。·客户端SSL认证浏览器或者其他客户应用在平安套接字层〔SecuritySocketLayer,SSL〕效劳器催促时通过协议发送客户证书来进行客户端认证。3.2公钥根底设施(2)使用库分发证书

对大容量证书集的访问，如与一个用户群通信或者由一个潜在的巨大用户数据库中认证单个用户时，需要一个比带内证书传输容量更大的解决的方案。3.2公钥根底设施目前主要是下面两种途径：·电子邮件当某些个体发送已签名的电子邮件时，证书也作为数字签名的处理的一局部进行发送。另外的方法是证书分发在共享库或者目录库中。·效劳器端SSL认证对个体用户来说，当在效劳器端SSL认证期间验证一个Web效劳器提供的证书时，可以在一个证书库中发现需要用来完成证书链验证的CA证书。3.2公钥根底设施5.证书废除(挂起)当与证书相对应的数字签名无法被验证等原因从而使得无法保证证书真实可靠性时，就会宣布仍在有效期内的证书作废(称为证书废除(Revocation))。与废除不同，证书挂起〔Suspending〕是暂时宣布某证书无效，度过“挂起期〞后，该证书仍是有效证书，当然也可能被废除.证书的废除有两种情况：一种是用户提出的废除申请，另一种是CA造成的证书废除。3.2公钥根底设施3.2公钥根底设施证书废除的另一种情况是由CA自身私钥泄露而造成的。当CA私钥泄露或毁坏时，由此CA发放的所有证书，包括终端实体用户证书与子CA的证书都必须被废除。在CA产生自己的新密钥对并由其父CA为其发放新证书后，CA必须更新它所发放的所有证书。由于每个证书上都有该证书的生成日期，因此在CA私钥泄露前所发放的证书其内容是真实可靠的。更新后证书的内容与旧证书一样，只是CA用自己的新私钥对它进行数字签名。

3.2公钥根底设施无论在何种情况下被废除的证书，都必须在CA用来公布已更改的证书状态的机制——证书撤消列表(CertificateRevocationList，CRL)中予以公布，以供用户查询。在大多数情况下，CRL证书撤消列表是一个带有时间戳并且经过CA数字签名的已撤消证书的列表。当用户的证书使用期超过证书属性中的有效期时或者与证书所对应的私钥泄露时，CA为用户颁发新的证书并把原来的证书上传到CRL。3.2公钥根底设施6.证书存档3.2公钥根底设施证书存档的目的有两个：一是保存证书申请者的原始信息以及有关证书信息〔如生成、使用、到期无效、废除等〕，以供日后核查；另一个是保证在证书无效或被废除后，仍能验证在其有效期内由其对应私钥所进行的数字签名，即所谓的可追溯性，这对于许多商务活动是十分必要的。因此证书存档是CA的一项重要职责。3.2公钥根底设施3.2.3信任模型及管理大型开放的网络系统中存在多个认证机构，需要建立认证机构之间可相互信赖的模型，才能建立可信赖的公钥证书路径，实现对远端用户公钥的平安使用。3.2公钥根底设施1.信任模型(1)树型层次结构

多层树型结构(hierarchicalinfrastructure)是一个好的理论模型。它将用户作为树的端节点，端节点可以分为几组，每组有一个上级节点作为可信赖机构。而本级节点又分为几组，每组又由更上一级节点作为它们的可信赖机构。依此类推，最后到达根节点，即最高级的可信赖认证机构。3.2公钥根底设施任意两个端节点都可依靠这种树型结构找到共同的信任节点，从而形成可信赖的证书链。X.509采用的就是这种结构，如以下图。在这种结构中，经常进行联络的节点之间可以建立直接的信赖关系，称为交叉证书(crosscertificate)。3.2公钥根底设施

如果甲想和乙通信，他首先必须从证书库中取得乙的证书，然后对它进行认证。如果他们使用相同的CA，事情就很简单。甲只需认证乙证书上CA的签名；如果他们使用不同的CA，问题就稍微复杂一些。甲必须从CA的树形结构底部开始，从底层CA往上层CA查询，一起追踪到同一个CA为止，找出共同信任的CA。3.2公钥根底设施(2)网状认证结构网状结构(mesh/networkinfrastructure)的CA由几个树型结构组成，各个独立树的根节点没有上下级的领导关系，相互通过双边认证连接起来。这种结构灵活简单，比较符合国际上的团体交往原那么。如图所示。3.2公钥根底设施

不同CA用户之间的相互认证也依靠搜索交叉证书对来实现，比树型结构要相对容易。网状CA结构的缺点在于缺乏统一管理的机制，证书路径有时会很复杂并有可能不唯一。3.2公钥根底设施2.信任管理

当信任关系建立之后，对信任关系的管理成为确保信任关系的可信性的保障。信任关系的管理有两个主要方面：一方面是为证书用户管理信任锚的问题，另一方面是在认证机构间建立信任关系的管理问题。其实现方式主要为：3.2公钥根底设施(1)局部信任列表局部信任列表是通常将所有层次证书的可信根CA的证书保存在用户Web浏览器或其他客户程序处的一种信任列表。由于通常只被单一用户访问，所以被称为“局部的〞。在因特网上，用户一般在Web站点上先点击要访问的站点按钮，由局部信任列表来查看证书时，可以获得证书签名者的其他信息，最后浏览器询问用户是否信任该证书。用户那么检验证书是否是自己可信任的CA签名，然后决定是否对证书持有人以及颁发者给予信任。3.2公钥根底设施(2)全局/动态信任列表在处理不同PKI方案时，全局信任列表实现了不同PKI与信任模型之间的交互性。而动态信任列表使一个组织中可以有一个中央管理员来管理确定策略.这种方法的优点是有助于通常的证书撤销处理过程，从信任列表中删除一个信任锚使得相应CA颁发都可以被有效地撤销掉。从证书用户的角度来看，对建立信任来说，拥有一个被指定在特定场合可以信赖的信任锚很重要。3.2公钥根底设施(3)CA信任锚发布认证机构给用户颁发证书时，其自身已自然成为一个发布CA证书给用户作为信任锚的地方。这时，它已经被当作可信来源，用户需要在注册时与其进行交互。因此，CA信任锚发布方式的信任管理只适用于特定的认证机构自身。3.2公钥根底设施3.2.4基于证书的PKI概述

Diffie和Hellman在1976年提出非对称密钥概念时，为了解决公钥的分配问题和公众文件(Publicfile)的概念，用一个中央数据库作为可信的第三方来保存公钥。为了解决这种中央数据库访问的性能问题，MIT的Kohnfelder于1978年在他的本科毕业论文中提出了证书的概念，建议通过数字签名来保护命名证书(名字／密钥对)，从而可将这些公钥分散存放和访问。10年后，他的建议变为现实，出现了X.509标准。3.2公钥根底设施作为目录效劳标准x.500的一局部，X.509(对应的ISO标准是ISO/IEC9594-8)的第一版发表于1988年，1993年修订为第二版，并应用于PEM(InternetPrivacyEnhancedMail，一种带平安功能的电子邮件)系统中。经过使用，X.509于1996年6月改进为第三版。IETF的PKIX工作组致力于将X.509系统引入到Internet中。3.2公钥根底设施2.PKI的结构模型PKI是公钥的一种管理机制，宏观上呈现为域结构，即每个PKI都有一定的覆盖范围，形成一个管理域。以以下图列出了PKI的根本框架模型。3.2公钥根底设施3.2公钥根底设施3.2公钥根底设施证书管理中心(CertificateAuthority-CA)负责具体的证书颁发和管理，它是可信任的第三方，其作用就像颁发护照的部门。单位注册机构(OrganizationalRegistryAuthority-ORA)，有时也简称为RA，它可以帮助远离CA的端实体在CA处注册并获得证书。一个ORA并不是一个CA。

3.2公钥根底设施3.2公钥根底设施3.2公钥根底设施3.2公钥根底设施3.2公钥根底设施

由加拿大政府的各个部门管理运行各自的CA层次结构，发布自己管辖范围之内的证书和CRL。如果一个CA的覆盖范围较大，可以使用ORA(又可称为LocalRegistryAuthority-LRA)来负责标识和注册本地用户的公钥证书，具体包括：3.2公钥根底设施协助注册、取消或改变下属实体的属性确认用户的标识授权进行私钥恢复或证书恢复请求接受和授权进行证书撤销请求进行智能卡管理(如果使用)

管理本地的工作人员3.2公钥根底设施3.PKI的操作模型PKI框架中有两种管理实体：证书管理中心CA和注册中心RA。CA是PKI框架中唯一能够发布／撤销证书的实体，它维护着证书的生存周期；RA负责处理用户请求，在验证了请求的有效性后，代替用户向CA提交。作为管理实体，CA／RA以证书方式向端实体提供公开密钥的分发效劳。3.2公钥根底设施PKI框架中有两种端实体：持证者(Holder)和验证者(Verifier)。持证者是证书的拥有者，是证书所声明事实的主体。持证者向管理实体申请并获得证书，也可以在需要时请求撤销或更新证书。验证者通常是授权方，它需要确认持证者所提供的证书的有效性以及对方是否为该证书的真正拥有者，只有在成功认证之后才会授予对方相应的权力。3.2公钥根底设施证书库用于证书/CRL的存取和检索。在PKI框架中，它是一个可选的组件，有很多种实现方式，如Web、FTP或X.509目录。由于证书库中存取的对象是X.509证书和CRL，其完整性由数字签名来保证，因此对证书库的操作可以在普通的传输通道上进行，无需特殊的平安保护。3.2公钥根底设施

不同的实体之间通过PKI操作完成证书的请求、确认、发布、撤销、更新、获取等过程。PKI操作模型见图所示。3.3.1密钥托管体制结构密钥托管体制的结构从逻辑上可分为三个局部：用户平安模块USC(UserSecurityComponent)，密钥托管模块KEC(KeyEscrowComponent)和数据恢复模块DRC(DataRecoveryComponent)。图所示的是这几个模块的相互关系：用户平安模块USC用户平安模块是硬件设备或软件程序，提供数据加密、解密能力，同时也支持密钥托管。这种支持表现为将数据恢复字段DRF附加到加密数据上。DRF可作为通用密钥分配机制的组成局部。(1)应用范围USC应用范围是通信中的应急解密。应急解密(emergedecryption)是法律执行机构获得法庭授权的通信接入，即搭线窃听(wiretap)。USC应急解密包括以下一个或两个功能：通信，包括、e—mail以及其他联络方式；存贮数据，存贮的数据可以是简单的数据文件或普通的电子信息。(2)数据加密算法USC需要标明以下属性：操作模式和名称：操作模式是指符合FIPSPUB81中规定的四种模式之一或几种模式的组合使用；为了不影响EES芯片出口，一般不允许采用3DES加密模式。

密钥长度：密钥长度同样影响出口，目前美国政府规定密钥长度在56bits以上的DES算法不允许出口。保密级别：在USC中采用的算法可以是保密的，也可以是公开的。(3)标识符和密钥存储

USC存储应急解密所需的标识符和密钥：标识符：包括用户或USC的标识符、密钥标识符、KEC或托管机构标识符。密钥：包括USC的密钥、用户密钥、KEC使用的全球系统密钥。

(4)DRF及其机制

密钥K加密数据时，USC必须把密文和K与数据恢复密钥连接在一起，通常采用把DRF附加于加密数据的方法。

选择数据恢复密钥：K可以连接到发送者或接收者的托管机构所持的数据恢复密钥上，托管机构的选择影响数据恢复。密钥分配：DRF、连接机制以及把K传送给指定接收者的协议形成一个整体。因此，发送者必须传送有效的DRF使接收者能获得密钥。DRF的内容：DRF一般包括用一个以上数据恢复密钥加密的K，数据恢复密钥的种类有乘积密钥、发送者或接收者的公钥、KEC主公钥等。某些情况下，通过DRF后密钥K只有局部字节是有效的，因此必须利用穷举搜索算法恢复其余字节。DRF包含有另外一些信息，可以检验数据恢复密钥、KEC或密钥托管机构、加密算法及加密模式、DRF生成方法。传输和频度：通常DRF先于密文嵌入消息或文件头上。在开放式连接下，可按一定间隔进行重发。有效性：DRF包含托管认证符(EA)，接收者验证EA以确定DRF的完整性。如果用公钥生成DRF，接收者可重新计算DRF并把结果与接收到的DRF比较，验证其正确性。(5)互操作能力只有和老实的USC合作时，USC才能设计为互操作的，而对已被窜扰或不支持密钥托管的USC，USC是不能具备互操作能力的。(6)实现USC可以用硬件、软件或其它固件方式实现。一般说来，硬件比软件平安、抗攻击能力强。如果采用保密算法，必须使用防窜扰硬件完成。硬件实现包括：专用密码处理器、随机数产生器、高精度的时钟。USC设备有时称为托管加密设备，也称为托管执行设备。USC应能保证用户不能损毁密钥托管机制或其它特性。一般把那些有欺骗性质的USC称作“骗子USC〞。骗子USC能否得逞，在很大程度上依赖数据恢复机制及其实现。“骗子USC〞分为单一欺骗和合作欺骗，前者可以和老实的USC通信、后者那么只能和其他骗子USC通信。单一欺骗因为不需要接收者与其合作，是备份数据恢复的最大威胁。2.密钥托管模块KECKEC是由密钥托管机构控制，管理着数据恢复密钥的存储、传送或使用，它可以作为公钥证书管理系统的组成局部，也可以作为通用密钥管理的根底局部。KEC负责存储所有的数据恢复密钥，并提供给DRC必需的数据和效劳。KEC有以下组成局部：(1)托管机构管托机构也称为托管部门，负责操作KEC。托管机构可以在密钥托管中心托管托管注册，该中心为机构具有以下特点：

机构类型：托管机构制定操作规那么，也可作为USC、DRC的联系机构。检验能力：包括对用户身份和所在位置的检验。接入能力：由托管机构所在的位置和操作时数确定。平安性：指KEC防止托管密钥妥协、丧失或滥用的能力，包括可靠性和反弹性，反弹性是对托管机构在防止密钥妥协和促进数据恢复方面可信程度的量度。可靠性：保证检验出那些不支持数据恢复，并把密钥传送给非法部门或在无授权情况下传送密钥的托管机构。(2)数据恢复密钥

采用托管加密，所有加密数据都与数据恢复密钥有关，因为只有数据恢复密钥能够接入数据加密密钥。数据恢复密钥相关内容如下：密钥种类：包括数据恢复密钥、乘积密钥、用户密钥、主密钥。数据恢复密钥：包括会话密钥KS，网络密钥(networkkey)，文件密钥(filekey)。密钥分配中心产生、分配并托管这些密钥。乘积密钥：是USC独有的。用户密钥：通常是公钥／私钥对，用于构造数据加密密钥。KEC可以作为用户的公钥证书签发机构，负责签发用户公钥证书。主密钥：与KEC相关，可由多个USC共享。密钥分割：一个数据恢复密钥可以分割为几个子密钥，每个子密钥都分别保存在不同托管机构。密钥的产生和分配：KEC和USC都可产生密钥。托管时间：在托管设备生产阶段、系统和设备的初始化阶段、用户注册期间，密钥需要托管。密钥更新：某些体制允许更新数据恢复密钥，但只能按一定规那么进行。全部和局部：代替托管全部密钥而只托管局部密钥，在需要进行数据恢复时，通过穷举搜索可确定密钥其余的字节。密钥存储：在线或不在线都可进行密钥存储。(3)数据恢复效劳授权过程在此过程中，人们可利用KEC的效劳操作使用DRC，包括建立身份证明和接入加密数据的授权证明。效劳提供传送数据恢复密钥：一般在数据恢复密钥是会话密钥或乘积密钥时采用这种方法。传送派生密钥：KEC传送派生密钥，如时限密钥，该密钥只允许在特定时段内解密在特定时段内加密的数据。解密密钥：DRF中用主数据恢复密钥加密数据加密密钥时常用这种方法执行门限解密：每个托管机构分别将其解密结果提供给DRC，由DRC合成明文。数据传输人工或自动地将数据传入或传出DRC。(4)托管密钥的保护3.数据恢复模块DRCDRC由算法、协议和专用设备组成。专用设备可以从KEC所提供的、包含于DRF中的信息中恢复出数据加密密钥，从而解密密文。只有在执行专门的数据恢复时才能使用DRC。(1)DRC能力适时解密：实时解密接入的信息；滞后解密：解密以前接入的或记录的通信；透明度：没有相关模块的知识也可解密；不相关性：获得密钥后，DRC可用自己的资源解密而不依赖KEC。(2)数据加密密钥的恢复为了解密数据，DRC必须采用以下方法以获得数据加密密钥：从发送者S或接收者R接入。重要的是要确定发送者S或接收者R相关的数据恢复密钥能否恢复密钥K。如果只能利用发送者S的托管机构持有的子密钥才能获取K，当各个用户分别向专门的用户传送消息，尤其是在各个用户散布在不同的国家或使用不同的托管机构时，DRC必须获得密钥托管数据后才能进行实时解密。与KEC的联络频度：DRC每次获得数据加密密钥都必须与KEC合作。要求DRC和KEC是在线联系，以提供会话密钥改变时的实时解密。穷举搜索能力：当托管机构把局部密钥返回给DRC，DRC必须使用穷举搜索以确定密钥其余字节。(3)解密保护3.3.2托管加密标准EES1994年2月14日，美国政府宣布了托管加密标准EES，该标准是一种敏感的但又是非密的民用通信标准，目的是为授权的政府官员提供秘密密钥和访问各种信息所需要的证据。它的加密算法使用的是SKIPJACK。EES采用分组密码，字长64位，密钥80位，32圈置乱。

EES拥有两种加密芯片：第一种叫Clipper芯片，又叫MYK-78T芯片，主要功能有：是防篡改、和用作声语音加密。第二种EES芯片叫Capstone芯片，又叫MYK-80芯片，已装在PCMCIA密码卡中1.托管算法密钥分量EES包括的密钥分量主要有：UID：芯片编号，又叫器件唯一标识符，30比特或更长；KU：单元密钥，80比特，器件唯一密钥；KC1：单元密钥第1分量，由托管机构1秘密保管；KC2：单元密钥第2分量，由托管机构2秘密保管；KF：80比特，公用簇密钥；KFC1：簇密钥分