第4章-第1讲PKI简介与数字证书.ppt

1、第四章 公钥基础设施 PKI,第一讲 PKI简介与数字证书,1、公开密钥加密技术,公开密码学是整个密码编码学历史上最大的而且也是唯一真正的革命。传统的密码编码系统都建立在基本的替代和置换工具的基础上。公开密码学则与以前所用的方法都截然不同，一方面公开密钥算法基于数学函数而不是替代和置换，更重要的是公开密码学是非对称的，它用到两个不同的密钥，使用两个密钥对于保密通信、密钥分配和鉴别等都有很好的影响。,一、PKI的密码学基础,公开密钥技术:又称为非对称密钥技术，与对称密钥技术不同，它需要使用一对密钥来分别完成加密和解密的操作。其中一个公开发布，称为公开密钥 ( Public-Key );另外一个由

2、用户自己秘密保存，称为私有密钥( Private-Key )。发送方用公开密钥去加密，信息接受者则用私有密钥去解密。,特点 相对于对称密钥算法来说，通信双方不需要通过保密信道交换密钥。且由于公钥可以公开，因而便于密钥的管理、分发。另外它提供数字签名和鉴别的服务。由于公开密钥的加密密钥很长，加密速度慢(要比对称密钥加密慢的多) ，因此一般只用在对少数数据的加密上， 这点正好可以和对称密钥加密互补。,常用算法,公钥密码的典型算法有:RSA, ECC, Diffie-Hellman ( DH ), DSA, ElGamal等算法，公钥密码能够用于数据加密、密钥分发、数字签名、身份认证、信息的完整性认

3、证、信息的非否认性认证等。其中可以用于加密的算法有:RSA, ECC, EIGamal等;可以用于密钥分发的算法有:RSA, ECC, DH等;可以用于数字签名、身份认证、信息的完整性认证、信息的非否认性认证的有RSA, ECC, DSA, EIGamaI等。,2、数字签名,数字签名是指附加在报文信息上的一些数据，或是报文信息所做的密码变换，这种密码变换能使数据单元的接收者确认报文信息的来源和数据信息的完整性，并保护数据，防止接收者或者他人进行伪造。 一个签名者的签名只能唯一地由他自己产生。当发生双方争议时，仲裁机构就能够用信息上的数字签名来进行正确的裁定，从而实现防抵赖性的安全服务。,SHA

4、算法,SHA算法,DSA算法,DSA 算法,消息摘要SHA(M),消息摘要SHA(M1),发送方A 发送的消息M,接受方B 接受到的消息M1,发送方的 私人密钥,发送方的 公开密钥,数字签名,数字签名1 数字签名2,是否相等?,数字签名的产生,数字签名的验证,互联网,实现过程:,提供的安全机制 完整性:这点由单向函数的不可逆的特性保证。如果信息在传输过程中遭到窜改或破坏，接收方B根据接收到的报文还原出来的消息摘要不同于用公钥解密得出的摘要，这样很好地保证数据传输的安全性。 认证:由于公钥与私钥是一一对应的。因此B用发送方A的公钥解密出来的摘要，其值与重新计算出的摘要一致，则该消息一定是由发送方

5、A发出。 不可否认性:同样也是根据公钥与私钥一一对应的关系，由于只有A持有自己的私钥，其他人不能假冒，故A无法否认他发送过该消息。,3、数字信封,数字信封技术是用密码技术的手段保证只有规定的信息接受者才能获取信息的安全技术。它克服了秘密密钥加密中密钥分发的困难和公开密钥加密中加密时间长的问题，它在外层使用公开密钥加密技术，因而获得了公开密钥的灵活性，同时在内层使用对称密钥技术，可以提高加密效率。而且便于在每次传送中使用不同的对称密钥，提供给系统额外的安全保证。,消息,B的公钥,对称密钥,消息密文,密钥密文,生成数字信封,发送方A,对称密钥 加密算法,公钥加密 算法,数字信封,接受方B,解开数字

6、信封,消息密文,密钥密文,接受方B 的私钥,数字信封,私钥解密,对称密钥,私钥解密,消息,4、公钥系统存在的问题,Alice Bob：我叫Alice，我的公开密钥是Ka，你选择一个会话密钥K，用Ka加密后传送给我。 Bob Alice：使用Ka加密会话密钥K； Alice Bob：使用K加密传输信息； Bob Alice ：使用K加密传输信息。 以上协议能否实现秘密通信？,中间人攻击,Alice,Bob,Mallory,Ka,Km,EKm(K,Bob),EKa(K,Bob),攻击的成功本质上在于Bob收到的Alice的公开密钥可能是攻击者假冒的，即无法确定获取的公开密钥的真实身份，从而无法保证

7、信息传输的保密性、不可否认性、数据交换的完整性。 为了解决这些安全问题，采用公钥基础设施（Pubic Key Infrastructure简称PKI）。,二、PKI的基本组成与功能,（一）PKI简介,PKI（Public Key Infrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。,（1）PKI基本术语,PKI由以下几个基本部分组成： 公钥证书 证书作废列表（CRL） 策略管理机构（PMA） 认证机构（CA） 注册机构（RA）,证书管理机构（CMA） 证书存档(Reposit

8、ory) 署名用户（Subscriber） 依赖方(Relying party) 最终用户（End User）,PKI基本组成,公钥证书 由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。 证书作废列表（CRL） 作废证书列单，通常由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换姓名时，需要将原有证书作废。 策略管理机构（PMA） 监督证书策略的产生和更新，管理PKI证书策略。,PKI基本组成,注册机构（RA） 一个可选PKI实体（与CA分开），不对数字证书或证书作废列单（CRL）签名，而负责记录和验证部分或所有有关信息（特别是主体

9、的身份），这些信息用于CA发行证书和CLR以及证书管理中。RA在当地可设置分支机构LRA。,认证机构（CA） 一个可信实体，发放和作废公钥证书，并对各作废证书列表签名。,PKI基本组成,证书管理机构（CMA） 将CA和RA合起来称CMA(certificate management authority)。 证书存档(Repository) 一个电子站点，存放证书和作废证书列表（CRL），CA在用证书和作废证书。 署名用户（Subscriber） 署名用户是作为主体署名证书并依据策略使用证书和相应密钥的实体,PKI基本组成,依赖方(Relying party) 一个接收包括证书和签名信息的人或机

10、构，利用证书提供的公钥验证其有效性，与持证人建立保密通信，接收方处于依赖的地位。 最终用户（End User） 署名用户和依赖方的统称，也称末端实体（End-entity）,可以是人，也可以是机器，如路由器，或计算机中运行的进程，如防火墙。,（2）PKI提供的基本服务,认证：采用数字签名技术，签名作用于相应的数据之上 被认证的数据 数据源认证服务 用户发送的远程请求 身份认证服务 完整性：PKI采用了两种技术 数字签名：既可以是实体认证，也可以是数据完整性 MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5 保密性 用公钥分发随机密钥，然后用随机密钥对数据加密 不可否认 发送方

11、的不可否认 数字签名 接受方的不可否认 收条 + 数字签名,终端实体,注册中心 RA,认证中心 CA,证书库,PKI系统结构简图,证书申请请求,返回请求,提交证书申请,请求响应,获取证书或者CRL,（二）PKI中的数字证书,证书提供了一种在Internet上验证身份的方式，其作用类似于司机的驾驶执照或日常生活中的身份证。公钥证书就是用来绑定实体姓名（以及有关该实体的其它属性）和相应公钥的。,一个公钥证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途。,PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一。最常用的证书格式为X.509 v3,从证书的用途上看，数字证书可

12、分为：签名证书和加密证书。,1、X.509证书格式,版本1、2、3 序列号 在CA内部唯一 签名算法标识符 指该证书中的签名算法 签发人名字 CA的名字 有效时间 起始和终止时间 个体名字,X.509证书格式(续),个体的公钥信息 算法 参数 密钥 签发人唯一标识符 个体唯一标识符 扩展域 签名,X.509证书实例,2、X509证书结构,Version：版本域表示该x.509证书的版本号（0，1，2）。0表示版本1，1表示版本2，2表示版本3。 SerialNumber：表示被该认证中心发放的用户的数字证书的编号。由证书发放者和证书序列号可以唯一的确定一个数字证书。,2、X509证书结构（续）

13、,Signature Algrithm：标识了被该认证中心签发的数字证书所使用的数字签名算法。算法标识是一个国际性标准组织（如ISO）登记的标准算法，它标明了数字签名所使用的公钥算法和摘要算法。举例说明: md2WithRSAEncryption 表示公钥算法是RSA,摘要算法是md2. md5WithRSAEncryption 表示公钥算法是RSA,摘要算法是md5. sha1WithRSASignature 表示公钥算法是RSA,摘要算法是sha1.sha1WithDSASignature 表示公钥算法是DSA,摘要算法是sha1.,2、X509证书结构（续）,Issuer X.500 N

14、ame： 指明了发放该用户证书的认证中心的标识名称DN(Distinguished name)，例如 ：c=US，o=ACME Corporation，cn=danny hou X.500名称常用的包含如下： CountryName , 国家，简写c； tateOrProvinceName ,州名或省份名称，简写st； LocalityName ,城市名称，简写l； OrganizationName ,组织名称，简写o； OrganizationalUnitName ,部门名称，简写ou； CommonName ,通用名称，简写cn； Validity Peroid：证书有效期域指明了该证书的

15、有效起止日期和时间。,2、X509证书结构（续）,Subject X.500 Name：标识了拥有该数字证书的用户的标识名称DN，例如：c=US，o=ACME Corporation ,cn=Danny Hou，表示数字证书的用户是美国的ACME公司的Danny Hou。X.500名称是一个符合X.500标准的名称表示法。 Subject Public Key Information：用户公钥信息域指明了a）用户所拥有的公开钥值，b）该公开钥是哪一种公钥算法，即算法标识值。该算法标识值既标明了公钥算法，也标明了摘要算法。 Issuer Unique Identifier（Version 2 O

16、nly）：标识证书发放者X.500名称的唯一性，它是一个bit string，在V2 X.509数字证书中增加该项扩展是因为拥有同样的X.500名称的发放者可能有多个重名。 Subject Unique Identifier （Version 2 Only）,（三）PKI的主要实体及其功能,PKI是一种遵循标准饿密钥管理平台，涉及多个实体之间的协作过程，它包括认证中心（CA），注册机构（RA），证书数据库，密钥管理系统，证书撤销管理系统和PKI应用接口系统及最终用户。,（1）注册中心 注册中心(RA)是数字证书注册审批机构。注册中心在许多应用中是不必须的实体，但在许多实际环境中，要求注册机构独

17、立分离出来。RA相当于CA的一个代理机构，帮助CA完成证书申请的登记和审计工作，并将验证过的证书申请交给CA签发。RA作为CA与证书用户的接口，是保证证书真实性的关键部件。它负责证书申请者的信息录入、审核等工作。,RA的主要功能如下: 1、 主体注册证书的个人认证，确认主体所提 供的信息的有效性。这里的信息可以是书面形式的，也可以是电子形式的。但签发证书所需的公钥必须是电子形式的。 2、 根据请求信息，验证请求者的身份 3、 检查请求信息是否完整和正确。如果正确，则进行下一步，否则，退回请求。 4、 对该请求分配一个身份识别符，且该身份识别符是唯一的，并对该请求信息、数字公钥和身份识别符进行签

18、名。 5、 将上述签名连同以上信息提交给证书机构CA，并把提交信息在本地做一个备份，在这里信息提交的信道应该是加密的，而且对提交的请求应做数字签名。,（2）认证中心 CA中心为每个使用公开密钥的用户发放一个数字证书，数字证书的作用是证明证书中列出的用户名称与证书列出的公钥相对应。 CA中心的数字签名使得攻击者不能伪造和纂改该数字证书。它是在用户身份和各项相关信息通过注册中心审核后给用户颁发证书的，使证书持有者和持有者公/私密钥对、持有者的相关信息和证书中心建立联系。 在数字证书认证的过程中，证书认证中心作为权威、公正、可信赖的第三方，其作用是至关重要的,CA允许管理员撤销发放的数字证书，在证书

19、注销列表(CRL)中添加新项并周期性的发布具有数字签名的CRL 。,CA主要功能,证书认证系统即CA，其主要功能是签发证书和管理证书。,1、证书的签发,当CA收到由RA发送的证书签发请求后，验证数据的来源和完整性，符合签发要求的，CA采用自己的私钥按照相应的数字证书标准为用户制作证书。,2、证书颁发 证书的颁发采取两种方式，一是在线直接从CA下载，一是CA将证书制作成介质（磁盘或IC卡）后，由申请者带走。,3、证书撤销 证书可能在其有效期限内被认证机构撤销。例如，私钥泄露、雇员离开该组织。 在密钥泄漏的情况下，应由泄密私钥的持有者通知CA；在关系中止的情况下，由原关系中组织方或相应的安全机构通

20、知相应的CA。一旦撤销请求得到认证，CA在数据库中将该证书标记为已作废。,作废撤销有三种策略： 撤销一个或多个主体的证书； 撤销由某一对密钥签发的所有证书； 撤销由某CA签发的所有证书。 撤销方案： 周期发布机制和在线查询机制,3、证书撤销（周期发布）（续） 作废证书一般通过将证书列入作废证书表（CRL）来完成。 由CA负责创建并维护一张及时更新的CRL，由用户在验证证书时负责检查该证书是否在CRL。 CRL可以定期产生，也可以在每次有证书作废请求后产生。CRL产生后发布到目录服务器上。,5、证书更新 更新证书原因:过期或者密钥泄漏 更新类型:证书的更换和证书的延期 每个证书都有一个有效期截止

21、时间，与签发者和 被签发者的密钥作废时间中较早者保持一致。,4、证书归档 用户资料审核通过后，CA对用户信息和公钥进行签名，生成证书发布到目录服务器上，以供用户下载，证书开始生效。在X.509公钥体系中，CA提供的用户服务都基于轻量目录存取协议LDAP（Light Weight Directory Access Protocol）。,6、交叉认证 交叉认证就是多个PKI域之间实现互操作。交叉认证实现的方法有多种：一种方法是桥接CA，即用一个第三方CA作为桥，将多个CA连接起来，成为一个可信任的统一体；另一种方法是多个CA的根CA（RCA）互相签发根证书，这样当不同PKI域中的终端用户沿着不同的

22、认证链检验认证到根时，就能达到互相信任的目的,（3）证书库,由Web, FTP或X.500目录来实现。证书库中存取的对象是证书和CRL,其完整性由数字签名保证，因此对证书库的操作可在无特殊安全保护的信道上传输。 不同的实体间通过PKI操作完成证书的请求、确认、发布和撤销、更新和获取等过程。PKI操作分为存取操作和管理操作两类。前者涉及管理实体、终端实体与证书库之间的交互，操作的目的是向证书库存放证书和CRL，或从证书库中读取证书和CRL;后者涉及管理实体与端实体之间或管理实体内部的交互，操作的目的是完成证书的各项管理任务和建立证书链。各实体共同构成了一个PKI系统。,(4)客户端软件 为方便客

23、户操作，解决PKI的应用问题，在客户装有客户端软件，以实现数字签名、加密传输数据等功能。此外，客户端软件还负责在认证过程中，查询证书和相关证书的撤消信息以及进行证书路径处理、对特定文档提供时间戳请求等。,（5）密钥管理系统,2、密钥备份和恢复系统 因为某种原因用户可能丢失了解密数据的密钥，密钥的丢失将导致那些被密钥加密过的数据无法恢复而造成数据的丢失。为了避免这种情况的发生，PKI提供了密钥备份与解密密钥的恢复机制，这就是密钥备份与恢复系统。,1、产生、验证和分发密钥 用户自己生成密钥对； CA替用户生成密钥对。该方式下由于用户的私钥为 CA所知，故对CA的可信性有更高的要求。 CA自己的密钥对由自己产生。RA的密钥对可由自己或第三方产生。,（6）证书状态查询方案,2、证书状态的在线查询 通常CRL签发为一日一次，CRL的状态,在线证书状态查询更具时效性。 证书状态的在线查询向OCSP（Online Certificate Status Protocol RFC 2560）服务器发送OCSP查询包，包中含有待验证证书的序列号，验证时戳。OCSP服务器返回证书的当前状态（正常、撤销、未知）