第05章密码管理技术要点课件

1第第5 5章章 密密钥管理技管理技术l5.1 5.1 密钥管理概述密钥管理概述l5.2 5.2 密钥生成与分发密钥生成与分发 l5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管 l5.4 5.4 公钥基础设施公钥基础设施PKI PKI 1第5章密钥管理技术5.1密钥管理概述2l密密钥管理系管理系统l目的目的：维持系持系统中各中各实体之体之间的密的密钥关系，以抗关系，以抗击各各种可能的威种可能的威胁：密：密钥的泄露的泄露;秘密密秘密密钥或公开密或公开密钥的的身份的真身份的真实性性丧失失;经未授未授权使用。使用。l基本思想基本思想：工作密：工作密钥需要需要时才才动态产生，并由其上生，并由其上层的密的密钥加密密加密密钥进行加密保行加密保护；密；密钥加密密加密密钥可根据可根据需要由其上需要由其上层的加密密的加密密钥再再进行保行保护；最高；最高层的主密的主密钥构成整个密构成整个密钥管理系管理系统的核心。的核心。为了了产生可靠的密生可靠的密钥管理系管理系统，对于不同的密于不同的密钥应用用场合，合，应当当规定不定不同同类型的密型的密钥。5.1密密钥管理的基本概念管理的基本概念2密钥管理系统5.1密钥管理的基本概念35.1 5.1 密密钥管理的基本概念管理的基本概念l密钥管理处理密钥自产生到最终销毁的整个过程中的有关问题u（1）密钥生成u（2）密钥的装入和更换u（3）密钥分配u（4）密钥保护和存储u（5）密钥的吊销u（6）密钥的销毁35.1密钥管理的基本概念密钥管理处理密钥自产生到最终销4第第5 5章章 密密钥管理管理l5.1 5.1 密钥管理的基本概念密钥管理的基本概念l5.2 5.2 密钥生成与分发密钥生成与分发 l5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管 l5.4 5.4 公钥基础设施公钥基础设施PKI PKI 4第5章密钥管理5.1密钥管理的基本概念55.2 5.2 密密钥生成与分生成与分发l密钥的种类u初始密钥（初始密钥（primarykey）：也称为基本密钥(basekey)或用户密钥(userkey)。该密钥可由用户选定或由系统分配给，通常由密钥生成算法实现。初始密钥的生命周期一般比较长，可为几个月、半年，甚至是一年。u会话密钥（会话密钥（sessionkey）：用于通信双方交换数据时使用的密钥,可以由可信的密钥管理中心分配，也可以由通信用户协商获得。通常会话密钥的生命周期很短，一次通信结束后，该密钥就会被销毁p数据加密密钥：对传输的数据进行保护的会话密钥p文件密钥：保护文件的会话密钥55.2密钥生成与分发密钥的种类65.2 5.2 密密钥生成与分生成与分发l密钥的种类u密钥加密密钥密钥加密密钥(keyencryptingkey)：在传输会话密钥时，用来加密会话密钥的密钥称为密钥加密密钥，也称为次主密钥(submasterkey)或二级密钥(secondarykey)。u主机主密钥主机主密钥(hostmasterkey)：对密钥加密密钥进行加密的密钥称为主机主密钥。它一般保存于网络中心、主节点、主处理机中，受到严格的物理保护。65.2密钥生成与分发密钥的种类75.2 5.2 密密钥生成与分生成与分发l密钥的种类u密钥管理的架构模式75.2密钥生成与分发密钥的种类85.2 5.2 密密钥生成与分生成与分发l密钥生成u主机主密钥p生命周期较长，安全性要求最高p伪随机数生成器生成u密钥加密密钥p由随机数生成器自动产生p也可以由密钥管理员选定p密钥加密密钥构成的密钥表存储在主机中的辅助存储器中，只有密钥产生器才能对此表进行增加、修改、删除和更换，其副本则以秘密方式发送给相应的终端或主机。85.2密钥生成与分发密钥生成95.2 5.2 密密钥生成与分生成与分发u会话密钥：会话密钥：可在密钥加密密钥控制下通过某种加密算法动态地产生，如用初始密钥控制一非线性移位寄存器或用密钥加密密钥控制DES算法产生。u初始密钥：可用产生密钥加密密钥或主机主密钥的方法产生u非对称密码体制密钥生成建立在某一计算困难性问题之上的单向陷门函数95.2密钥生成与分发会话密钥：可在密钥加密密钥控制下通105.2.15.2.1密钥的生成密钥的生成 1.好密钥特征好密钥特征u真正随机、等概；u避免使用特定算法的弱密钥；u双钥系统的密钥更难产生，因为必须满足一定的数学关系；u为了便于记忆，密钥不能选得过长，而且不可能选完全随机的数字串，要选用易记而难猜中的密钥；u采用散列函数。密钥的生成与算法有关，如果生成的密钥强度不一致，则称该算法构成的是非线性密钥空间；否则称为线性密钥空间。5.2 5.2 密钥生成与分发密钥生成与分发105.2.1密钥的生成1.好密钥特征5.2密钥生成与115.2.15.2.1密钥的生成密钥的生成 2.生成密钥的方式生成密钥的方式 方式方式代代表表生产者生产者用户数量用户数量特特点点安全性安全性适用范围适用范围集中式集中式传统的密钥传统的密钥分发中心分发中心KDC和证书和证书分发中心分发中心CDC等方案等方案在中心统在中心统一进行一进行生产有边界，生产有边界，边界以所能边界以所能配置的密钥配置的密钥总量定义，总量定义，其用户数量其用户数量受限受限密钥的认证密钥的认证协议简洁协议简洁交易中的安交易中的安全责任由中全责任由中心承担心承担网络边界确网络边界确定的有中心定的有中心系统系统分散式分散式由个人产生由个人产生密钥生产无密钥生产无边界，其用边界，其用户数量不受户数量不受限制限制密钥变量中密钥变量中的公钥必须的公钥必须公开，需经公开，需经第三方认证。第三方认证。交易中安全交易中安全责任由个人责任由个人承担承担无边界的和无边界的和无中心系统无中心系统5.2 5.2 密钥生成与分发密钥生成与分发115.2.1密钥的生成2.生成密钥的方式方式代表生产125.2.2 5.2.2 密钥的注入密钥的注入 uu主主机机主主密密钥钥：直接或间接注入，注入时须有电磁屏蔽，注入后不能再读出（但可间接验证）。uu密密钥钥加加密密密密钥钥：直接或间接注入，注入时须有电磁屏蔽，装入后不能再读出，可联机或者间接验证。uu初初始始密密钥钥：直接或间接注入，注入后不能再读出，可联机验证。5.2 5.2 密钥生成与分发密钥生成与分发125.2.2密钥的注入主机主密钥：直接或间接注入，注入135.2.3 5.2.3 5.2.3 5.2.3 密钥的寿命密钥的寿命密钥的寿命密钥的寿命uu密钥不能无限期使用。密钥不能无限期使用。密钥使用时间越久，泄露的机会已越大，由泄露造成的损失就越大。用同一个密钥对多个明文加密，被破译的机会就大。uu密钥必须定期更换。密钥必须定期更换。更换时间取决于给定时间内待加密数据的数量、加密的次数和密钥的种类。qq例如，例如，会话密钥应当频繁更换以便达到一次一密。密钥的加密密钥无需频繁更换。主密钥可有更长的更换时间。用于存储加密密钥的密钥则有更长的更换时间。公开密钥密码体制的私钥的寿命，根据应用的不同有很大变化，如用做数字签名和身份认证的私钥可持续数年或一生。5.2 5.2 密钥生成与分发密钥生成与分发135.2.3密钥的寿命密钥不能无限期使用。密钥使用时间越145.2.4 5.2.4 密钥的销毁密钥的销毁 u加密设备应能对设备内的所有明文、密钥及其他没受保护的重要保密参数“清零”。即清除一个密钥的所有踪迹。一个密钥的值在被停止使用后可能还要持续一段时间。u必须禁止攻击者通过观察的数据文件中存储的内容或从抛弃的设备来确定旧密钥值。若设备内密钥已加密或在逻辑上以及物理上已采取了保护措施，“清零”可不做要求。5.2 5.2 密钥生成与分发密钥生成与分发145.2.4密钥的销毁加密设备应能对设备内的所有明文、155.2.5 5.2.5 密钥的分配密钥的分配 uu密钥的分配是指产生并使使用者获得密钥的过程密钥的分配是指产生并使使用者获得密钥的过程。由于任何密钥都有使用期限，因此密钥的定期（或不定期）更换是密钥管理的一个基本任务。为了尽可能地减少人的参与，密钥的分配需要尽可能地自动进行。uu密钥的传递分为集中传送和分散传送两类密钥的传递分为集中传送和分散传送两类。集中传送是指将密钥整体传送，这时需要使用主密钥来保护会话密钥的传递，并通过安全渠道传递主密钥。分散传送是指将密钥分解成多个部分，用秘密分享（secretsharing）的方法传递，而且只要有一部分到达即可复原。分散传送方式适用于在不安全信道中传递密钥的情形。5.2 5.2 密钥生成与分发密钥生成与分发155.2.5密钥的分配密钥的分配是指产生并使使用者获得165.2.5 5.2.5 密钥的分配密钥的分配 能能使使通通信信双双方方共共享享密密钥钥的的基基本本方方法法有有三三种种。利利用用人人工工信信道道实实现现、网网内内利利用用码码密密技技术术实实现现密密钥钥分分配配、量量子子密密码学分配。码学分配。uu1.1.利用人工信道实现利用人工信道实现利用人工信道实现利用人工信道实现uu2.2.网内分配密钥方式网内分配密钥方式网内分配密钥方式网内分配密钥方式uu3.3.利用物理现象实现利用物理现象实现利用物理现象实现利用物理现象实现5.2 5.2 密钥生成与分发密钥生成与分发165.2.5密钥的分配能使通171.1.利用人工信道实现利用人工信道实现利用人工信道实现利用人工信道实现K K1 1 K K2 2 K K3 3 K K4 4 K K5 5密钥分路递送密钥分路递送K K1 1 K K 2 2 K K3 3 K K4 4 K K5 5密钥接收重组送密钥接收重组送K K2 2 K K1 1 K K3 3K K4 4 K K5 5 信信使使挂号函件挂号函件特快专递特快专递电电话话信信鸽鸽5.2 5.2 密钥生成与分发密钥生成与分发5.2.5 5.2.5 密钥的分配密钥的分配171.利用人工信道实现K1K2K3K4182.2.网内分配密钥方式网内分配密钥方式网内分配密钥方式网内分配密钥方式 网内分配方式是利用密码技术自动分配密钥方式。它网内分配方式是利用密码技术自动分配密钥方式。它网内分配方式是利用密码技术自动分配密钥方式。它网内分配方式是利用密码技术自动分配密钥方式。它又可分为两种：又可分为两种：又可分为两种：又可分为两种：uu一种是在用户之间直接分配密钥，即一个通信主体可向一种是在用户之间直接分配密钥，即一个通信主体可向一种是在用户之间直接分配密钥，即一个通信主体可向一种是在用户之间直接分配密钥，即一个通信主体可向另一个通信主体传送在一次对话中要使用的会话密钥。另一个通信主体传送在一次对话中要使用的会话密钥。另一个通信主体传送在一次对话中要使用的会话密钥。另一个通信主体传送在一次对话中要使用的会话密钥。uu另另另另一种是设立一个一种是设立一个一种是设立一个一种是设立一个密钥分配中心密钥分配中心密钥分配中心密钥分配中心（KDCKDC-KeyDistribute-KeyDistributeCenterCenter），通过），通过），通过），通过KDCKDC来分配密钥，这种方法使用得较多。来分配密钥，这种方法使用得较多。来分配密钥，这种方法使用得较多。来分配密钥，这种方法使用得较多。5.2 5.2 密钥生成与分发密钥生成与分发5.2.5 5.2.5 密钥的分配密钥的分配182.网内分配密钥方式5.2密钥生成与分发5.2.5193.利用物理现象实现 基基于于量量子子密密码的的密密钥分分配配方方法法，它它是是利利用用物物理理现象象实现的的。密密码学学的的信信息息理理论研研究究指指出出，通通信信双双方方A A到到B B可可通通过先先期期精精选、信信息息协调、保保密密增增强等等密密码技技术实现使使A A和和B B共共享享一一定定的的秘秘密密信信息息，而而窃窃听听者者对其其一一无所知。无所知。5.2 5.2 密钥生成与分发密钥生成与分发5.2.5 5.2.5 密钥的分配密钥的分配193.利用物理现象实现5.2密钥生成与分发5.2.5205.2.6 5.2.6 密钥分配中心方案密钥分配中心方案 网内网内KDCKDC方式方式的几种密钥分配方案。的几种密钥分配方案。uu一种是对称密钥分配方案，一种是对称密钥分配方案，uu另一种是公开密钥分配方案，另一种是公开密钥分配方案，这几种方案实际也就是网络的密钥分配协议。这几种方案实际也就是网络的密钥分配协议。5.2 5.2 密钥生成与分发密钥生成与分发205.2.6密钥分配中心方案网内215.2.6 5.2.6 密钥分配中心方案密钥分配中心方案 1.1.对称密钥分配方案对称密钥分配方案用户A EKBIDA，KS，TEKAIDB，KS，T，EKBIDA,KS,T IDAIDBKDC用户专用基本密钥文件用户BAKABKB.5.2 5.2 密钥生成与分发密钥生成与分发215.2.6密钥分配中心方案1.对称密钥分配方案225.2.6 5.2.6 密钥分配中心方案密钥分配中心方案 2.2.公开密钥分配方案公开密钥分配方案IDA|IDBCA|CB CA|CBKDC公开密钥文件用户A用户BAKPABKPB.C CAAD DKRASKRAS（IDIDAA，KKPAPA，T1T1），），），），C CB BD DKRASKRAS（IDIDB B，KKPBPB，T2T2）5.2 5.2 密钥生成与分发密钥生成与分发225.2.6密钥分配中心方案2.公开密钥分配方案235.2.6 Diffie-Hellman5.2.6 Diffie-Hellman密钥交换方案密钥交换方案 让让A A和和B B两两个个陌陌生生人人之之间间建建立立共共享享秘秘密密密密钥钥的的公公开开密密钥钥算算法法是是由由W.DiffieW.Diffie和和M.E.HellmanM.E.Hellman于于19761976年年提提出出，称称为为Diffie-HellmanDiffie-Hellman算算法法，它它定定义义了了公公开开密密钥钥密密码码体体制制。它它的的目目的的是是使使得得两两个个用用户户安安全全地地交交换换一一个个密密钥钥以以便便用用于于以以后后的的报报文文加加密密，这这个个算算法法本本身身限限于于密密钥钥交交换换的的用用途途。许许多多商用产品都使用这种密钥交换技术。商用产品都使用这种密钥交换技术。在在Diffie-HellmanDiffie-Hellman密密钥钥交交换换算算法法中中的的单单向向函函数数是是模模指指数数运运算算。它它的的逆逆过过程程是是离离散散对对数数问问题题，其其Diffie-HellmanDiffie-Hellman算算法法的保密性基于求的保密性基于求modpmodp解离散对数问题的困难。解离散对数问题的困难。5.2 5.2 密钥生成与分发密钥生成与分发235.2.6Diffie-Hellman密钥交换方案245.2.6 Diffie-Hellman5.2.6 Diffie-Hellman密钥交换方案密钥交换方案 1.1.基本原理基本原理XAXBYAYBKA计计算算KB计计算算用户用户A用户用户B公开公开公开公开秘密秘密秘密秘密会话秘密会话秘密会话秘密会话秘密 密钥交换过程密钥交换过程 5.2 5.2 密钥生成与分发密钥生成与分发245.2.6Diffie-Hellman密钥交换方案1255.2.6 Diffie-Hellman5.2.6 Diffie-Hellman密钥交换方案密钥交换方案 2.2.交换示例交换示例交换示例交换示例为了计算简单，使用很小数字。设为了计算简单，使用很小数字。设P=47P=47和和4747的一个原元，的一个原元，a=3a=3。A A选择秘密密钥选择秘密密钥X XA A=8=8，B B选择秘密密钥选择秘密密钥X XB B=10=10，各自计算其公开密钥。，各自计算其公开密钥。（1 1）双方各自计算）双方各自计算用户用户A A计算：计算：Y YA A=3=388mod47=6561mod47=28mod47mod47=6561mod47=28mod47用户用户B B计算：计算：Y YB B=3=31010mod47=59049mod47=17mod47mod47=59049mod47=17mod47（2 2）交换）交换Y YA A和和Y YB B；（3 3）交换密钥后，）交换密钥后，A A、B B分别计算共享的秘密会话密钥分别计算共享的秘密会话密钥K KA A、K KB B：用户用户A A计算：计算：K KA A=Y=YB BXAXAmod47=17mod47=1788mod47=4mod47=4 mod47mod47用户用户B B计算：计算：K KB B=Y=YA AXBXBmod47=28mod47=281010mod47=4mod47=4 mod47mod47AA和和B B双方独立地决定采用双方独立地决定采用4 4作为会话密钥。作为会话密钥。5.2 5.2 密钥生成与分发密钥生成与分发255.2.6Diffie-Hellman密钥交换方案2265.2.7 5.2.7 组播密钥分配组播密钥分配 uu组组播播报报文文涉涉及及一一个个发发送送者者和和多多个个接接收收者者，而而且且接接收收者者和和发发送送者者都都可可能能变变化化，组组播播成成员员之之间间不不能能使使用用固固定定的的对对称称密钥，所以对组播报文的加密是一个较为困难的问题。密钥，所以对组播报文的加密是一个较为困难的问题。uu几种可能的方案几种可能的方案（1 1）可可以以使使每每个个会会话话的的成成员员使使用用一一个个共共享享会会话话密密钥钥，要要解解决将会话密钥传递到本次会话的各个成员手中；决将会话密钥传递到本次会话的各个成员手中；（2 2）在在非非对对称称密密钥钥体体制制中中各各个个成成员员使使用用自自己己固固定定的的密密钥钥，发发送送者者用用会会话话密密钥钥加加密密报报文文后后，再再根根据据各各个个接接收收者者的的公公开密钥进行加密，附在密文中传送给各个接收者。开密钥进行加密，附在密文中传送给各个接收者。5.2 5.2 密钥生成与分发密钥生成与分发265.2.7组播密钥分配组播报文涉及一个发送者和多个接27第第6 6章章 密密钥管理管理l5.1 5.1 密钥管理的基本概念密钥管理的基本概念l5.2 5.2 密钥生成与分发密钥生成与分发 l5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管 l5.4 5.4 公钥基础设施公钥基础设施PKI PKI 27第6章密钥管理5.1密钥管理的基本概念285.3.1 5.3.1 密钥的存储密钥的存储 密钥在多数时间处于静态，因此对密钥的保存是密钥管理重要内容。密钥可以作为一个整体进行保存，也可化为部分进行保存。u密钥的硬件存储u使用门限方案的密钥保存u公钥在公用媒体中存储5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管285.3.1密钥的存储密钥在多数时间处295.3.1 5.3.1 密钥的存储密钥的存储 1.1.密钥的硬件存储密钥的硬件存储 好处：好处：是攻击者无法接触它们。因为令牌通常保存在个人手中，并不连接到网络上。只有当用户要使用他的令牌时，才将其连接到他的计算机上，这最终也会连接到网络。因此在这短暂的一刻，他的秘密是脆弱的。但是几秒钟的脆弱性显然没有一天24小时之内都脆弱的网络那样危险。这种方案可以使远程攻击受挫。5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管295.3.1密钥的存储1.密钥的硬件存储好处：是攻击305.3.1 5.3.1 密钥的存储密钥的存储 2.2.使用门限方案的密钥保存使用门限方案的密钥保存 密钥 门限方案（也称秘密共享或秘密分享）。通常将秘密（比如密钥）被分割成几份，某些份额必须结合在一起才能恢复秘密。例如，一个秘密可以分成5份，任何3份都可以结合以重新产生该值。5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管305.3.1密钥的存储2.使用门限方案的密钥保存315.3.1 5.3.1 密钥的存储密钥的存储 2.2.使用门限方案的密钥保存使用门限方案的密钥保存 Shamir建议了一种可达到理论上无条件保密的密钥建议了一种可达到理论上无条件保密的密钥分散保存方案，把主密钥按下列方法分为分散保存方案，把主密钥按下列方法分为W个子密钥个子密钥K1、K2、KW，并把子密钥分发给，并把子密钥分发给W个有合法权力的人，个有合法权力的人，并做到：并做到：u用用W个子密钥中的任意个子密钥中的任意t个的知识计算主密钥个的知识计算主密钥K容易；容易；u用用W个子密钥中的任意少于个子密钥中的任意少于t个的知识确定主密钥理论个的知识确定主密钥理论上不可解的问题，因为缺少信息。上不可解的问题，因为缺少信息。5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管315.3.1密钥的存储2.使用门限方案的密钥保存322.2.使用门限方案的密钥保存使用门限方案的密钥保存 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 322.使用门限方案的密钥保存332.2.使用门限方案的密钥保存使用门限方案的密钥保存 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 332.使用门限方案的密钥保存342.2.使用门限方案的密钥保存使用门限方案的密钥保存 门限方案5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 342.使用门限方案的密钥保存352.2.使用门限方案的密钥保存使用门限方案的密钥保存 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 352.使用门限方案的密钥保存362.2.使用门限方案的密钥保存使用门限方案的密钥保存 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 362.使用门限方案的密钥保存375.3 5.3 秘密共享与密秘密共享与密钥托管托管lAsmuth-Bloom(k,n)-秘密分割门限方案秘密分割门限方案375.3秘密共享与密钥托管Asmuth-Bloom(385.3 5.3 秘密共享与密秘密共享与密钥托管托管lAsmuth-Bloom(k,n)-秘密重构方案秘密重构方案385.3秘密共享与密钥托管Asmuth-Bloom(395.3 5.3 秘密共享与密秘密共享与密钥托管托管l实列：设实列：设k=2,n=3,q=7,s=4,m1=9,m2=11,m3=13.u构造秘密值构造秘密值4的一个的一个A-B(2,3)-门限方案门限方案395.3秘密共享与密钥托管实列：设k=2,n=3,405.3 5.3 秘密共享与密秘密共享与密钥托管托管l实列：设实列：设k=2,n=3,q=7,s=4,m1=9,m2=11,m3=13.u构造秘密值构造秘密值4的一个的一个A-B(2,3)-门限方案门限方案405.3秘密共享与密钥托管实列：设k=2,n=3,413.3.公钥在公用媒体中存储公钥在公用媒体中存储公钥在公用媒体中存储公钥在公用媒体中存储 将公钥存储在公用媒体中，以保证能方便获得公钥将公钥存储在公用媒体中，以保证能方便获得公钥，公用媒体首先是可信的第三方。但在公用媒体中存储，公用媒体首先是可信的第三方。但在公用媒体中存储的方法需要解决密钥传递技术，以获取对方的公钥。还的方法需要解决密钥传递技术，以获取对方的公钥。还要解决公用媒体的安全技术，即数据库的安全问题。要解决公用媒体的安全技术，即数据库的安全问题。5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 413.公钥在公用媒体中存储5.3秘密共享与密钥托管5.42第第6 6章章 密密钥管理管理l5.1 5.1 密钥管理的基本概念密钥管理的基本概念l5.2 5.2 密钥生成与分发密钥生成与分发 l5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管 l5.4 5.4 公钥基础设施公钥基础设施PKIPKI 42第6章密钥管理5.1密钥管理的基本概念435.4 5.4 公公钥基基础设施施PKIPKI l5.4.1 PKI5.4.1 PKI概念概念l5.4.2 PKI5.4.2 PKI的组成的组成l5.4.3 X.5095.4.3 X.509认证业务认证业务l5.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l5.4.5 PKI5.4.5 PKI中的信任模型中的信任模型435.4公钥基础设施PKI5.4.1PKI概念445.4.1 PKI5.4.1 PKI概念概念l公钥基础设施公钥基础设施PKI（publickeyinfrastructure）是指结合）是指结合公钥密码体制建立的提供信息安全服务的基础设施公钥密码体制建立的提供信息安全服务的基础设施l该体系在统一的安全认证标准和规范基础上提供在线身该体系在统一的安全认证标准和规范基础上提供在线身份认证，集成了份认证，集成了CA认证、数字证书、数字签名等功能。认证、数字证书、数字签名等功能。lPKI技术能提供以下技术能提供以下4种安全服务：种安全服务：u（1）数据的保密性）数据的保密性保证在开放的网络上传输的机密信息不保证在开放的网络上传输的机密信息不泄漏给非法接受者；泄漏给非法接受者；u（2）数据的完整性）数据的完整性保证在开放的网络上传输的信息不被中保证在开放的网络上传输的信息不被中途篡改及重复发送；途篡改及重复发送；u（3）身份认证）身份认证对通信方的身份、数据源的身份进行认证，对通信方的身份、数据源的身份进行认证，以保证身份的真实性；以保证身份的真实性；u（4）不可否认性）不可否认性通信各方不能否认自己在网络上的行为。通信各方不能否认自己在网络上的行为。445.4.1PKI概念公钥基础设施PKI（public455.4.1 PKI5.4.1 PKI概念概念l公钥证书（公钥证书（Certification）u为了使用户在不可靠的网络环境中获得真实的公开密为了使用户在不可靠的网络环境中获得真实的公开密钥，同时避免集中存放密钥在线查询产生的瓶颈问题，钥，同时避免集中存放密钥在线查询产生的瓶颈问题，PKI引入了公钥证书（引入了公钥证书（Certification）概念。通过可信）概念。通过可信第三方第三方证书认证机构证书认证机构CA（CertificateAuthority）或称为认证中心，把用户的公钥和用户真实的身份信或称为认证中心，把用户的公钥和用户真实的身份信息（如名称、息（如名称、Email地址、身份证号、电话号码等）地址、身份证号、电话号码等）捆绑在一起，产生公钥证书。捆绑在一起，产生公钥证书。u通过公钥证书，用户能方便、安全地获取对方的公钥，通过公钥证书，用户能方便、安全地获取对方的公钥，并且可以离线验证公钥的真实性。并且可以离线验证公钥的真实性。PKI的主要目的是通的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的网过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种环境下方便地使用加络运行环境，使用户可以在多种环境下方便地使用加密和数字签名技术，保证开放网络中数据的保密性、密和数字签名技术，保证开放网络中数据的保密性、完整性、真实性和不可否认性，从而保证信息的安全完整性、真实性和不可否认性，从而保证信息的安全传输。传输。455.4.1PKI概念公钥证书（Certificatio465.4 5.4 公公钥基基础设施施PKIPKI l5.4.1 PKI5.4.1 PKI概念概念l5.4.2 PKI5.4.2 PKI的组成的组成l5.4.3 X.5095.4.3 X.509认证业务认证业务l5.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l5.4.5 PKI5.4.5 PKI中的信任模型中的信任模型465.4公钥基础设施PKI5.4.1PKI概念475.4.2 PKI5.4.2 PKI的的组成成l一个一个PKI系统由认证中心、证书库、系统由认证中心、证书库、Web安全通信平台，安全通信平台，RA注册审核机构等组成，其中认证中心和证书库是注册审核机构等组成，其中认证中心和证书库是PKI的核心。的核心。u（1）认证中心CA：认证中心CA是具有权威的实体，它作为PKI管理实体和服务的提供者负责管理PKI机构下的所有用户的证书，包括用户的密钥或证书的发放、更新、撤销、认证等工作。CA是PKI框架中唯一能够创建、撤销、维护证书生命期的实体。u（2）证书库：为使用户容易找到所需的公钥证书，必须有一个健壮的、规模可扩充的在线分布式数据库存放CA创建的所有用户公钥证书。证书库可由WEB、FTP、X.500目录来实现。证书库主要用来发布、存储数字证书，查询、获取其他用户的数字证书、下载黑名单等。475.4.2PKI的组成一个PKI系统由认证中心、证书485.4.2 PKI5.4.2 PKI的的组成成u（4）RA注册审核机构：RA是数字证书的申请、审核和注册中心。它是CA认证机构的延伸。在逻辑上RA和CA是一个整体，主要负责提供证书注册、审核以及发证功能。u（5）发布系统：发布系统主要提供LDAP(LightweightDirectoryAccessProtocol)服务、OCSP(OnlineCertificateStatusProtocol，在线证书状态协议)服务和注册服务。注册服务为用户提供在线注册的功能；LDAP提供证书和CRL的目录浏览服务；OCSP提供证书状态在线查询服务。u（6）应用接口系统：应用接口系统为外界提供使用PKI安全服务的入口。应用接口系统一般采用API、JavaBean、COM等多种形式。485.4.2PKI的组成（4）RA注册审核机构：RA是495.4.2 PKI5.4.2 PKI的的组成成l一个典型、完整、有效的PKI应用系统至少应具有以下几个部分：u黑名单的发布和管理(证书撤销)u密钥的备份和恢复。u自动更新密钥。u自动管理历史密钥。495.4.2PKI的组成一个典型、完整、有效的PKI应505.4 5.4 公公钥基基础设施施PKIPKI l5.4.1 PKI5.4.1 PKI概念概念l5.4.2 PKI5.4.2 PKI的组成的组成l5.4.3 X.5095.4.3 X.509认证业务认证业务l5.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l5.4.5 PKI5.4.5 PKI中的信任模型中的信任模型505.4公钥基础设施PKI5.4.1PKI概念515.4.3 X.5095.4.3 X.509认证业务l国际典型联盟X.509建议作为定义目录业务的X.500系列的一个组成部分，已成为事实的标准。lX.509定义了X.500目录向用户提供认证业务的一个框架，目录的作用是存放用户的公钥证书。lX.509还定义了基于公钥证书的认证协议。由于X.509中定义的证书结构和认证协议已被广泛应用于S/MIME、IPSec、SSL/TLS以及SET等诸多应用过程，因此X.509已成为一个重要的标准。lX.509的基础是公钥密码体制，但其中未特别指明使用哪种密码体制（建议使用RSA），也未特别指明数字签字中使用哪种杂凑函数515.4.3X.509认证业务国际典型联盟X.509建525.4.3 X.5095.4.3 X.509认证业务l1.X.509的证书格式的证书格式525.4.3X.509认证业务1.X.509的证书535.4.3 X.5095.4.3 X.509认证业务l1.X.509的证书格式的证书格式u版本号：如v3。u序列号：由同一发行者（CA）发放的每个证书的序列号是唯一的。u签名算法识别符：签署证书所用的算法及相应的参数。u发行者名称：指建立和签署证书的CA名称。u有效期：包括证书有效期的起始时间和终止时间。u主体名称：指证书所属用户的名称，及这一证书用来证明私钥用户所对应的公开密钥。u主体的公开密钥信息：包括主体的公开密钥、使用这一公开密钥算法的标示符及相应的参数。u发行者唯一识别符：这一数据项是可选的，当CA名称被重新用于其它实体时，则用这一识别符来唯一的识别发行者。u主体唯一识别符：这一数据项是可选的，当主体的名称被重新用于其它实体时，则用这一识别符来唯一的识别主体。u扩展域：其中包括一个或多个扩展的数据项，仅在第3版中使用。u签名：CA用自己的私钥对上述域的哈希值进行数字签名的结果。535.4.3X.509认证业务1.X.509的证书545.4.3 X.5095.4.3 X.509认证业务l2.X.509证书的获取证书的获取CA为用户产生的证书应有以下特征：u其它任一用户只要得到CA的公开密钥，就能由此得到CA为该用户签署的公开密钥。u除CA以外，任何其他人都不能以不被察觉的方式修改证书的内容。u如果所有用户都由同一如果所有用户都由同一CA为自己签署证书为自己签署证书，用户证书除了能放在目录中以供他人访问外，还可以由用户直接发给其他用户。545.4.3X.509认证业务2.X.509证书的获555.4.3 X.5095.4.3 X.509认证业务l2.X.509证书的获取证书的获取u如果用户数量极多如果用户数量极多，应有多个CA，每一CA仅为一部分用户签署证书。设用户A已从证书发放机构X1处获取了公钥证书，用户B已从X2处获取了证书。如果A不知X2的公开密钥，他虽然能读取B的证书，但却无法验证X2的签字，因此B的证书对A来说是没有用的。u如果两个CA，X1和X2彼此间已经安全地交换了公开密钥，则A可通过以下过程获取B的公开秘钥：pA从目录中获取X1签署的X2的证书，因A知道X1的公开密钥，所以能验证X2的证书，并从中得到X2的公开密钥。pA再从目录中获取由X2签署的B的证书，并由X2的公开密钥对此验证，然后从中得到B的公开密钥。p以上过程中，A是通过一个证书链来获取B的公开密钥，证书链可表示为：X1X2X2B。555.4.3X.509认证业务2.X.509证书的获565.4.3 X.5095.4.3 X.509认证业务l2.X.509证书的获取证书的获取pB能通过相反的证书链获取A的公开密钥：X2X1X1ApN个证书的证书链可表示为：X1X2X2X3XnB。pX.509建议将所有CA以层次结构组织起来。下图是X.509的CA层次结构的一个例子，其中的内部节点表示CA，叶节点表示用户。用户A可从目录中得到相应的证书以建立到B的证书链：XWWVVYYZZB并通过该证书链获取B的公开密钥。565.4.3X.509认证业务2.X.509证书的获575.4.3 X.5095.4.3 X.509认证业务l3.X.509证书吊销列表证书吊销列表如果用户的密钥或CA的密钥被破坏，或者该用户有欺诈行为，CA不想再对该用户进行验证，则该用户的证书就应该被吊销，被吊销的证书应该存入目录供其他人查询。吊销证书列表如图所示。575.4.3X.509认证业务3.X.509证书吊销585.4.3 X.5095.4.3 X.509认证业务l4.X.509的认证过程的认证过程X.509是基于公钥密码系统的私钥传送方案，它具有用户之间相互认证和密钥认证的功能。X.509认证方案有单向认证、单向认证、双向认证和三向认证方案。双向认证和三向认证方案。下面介绍一种双向认证方案，该方案使用时间戳和基于随机数的挑战与应答。585.4.3X.509认证业务4.X.509的认证过595.4 5.4 公公钥基基础设施施PKIPKI l5.4.1 PKI5.4.1 PKI概念概念l5.4.2 PKI5.4.2 PKI的组成的组成l5.4.3 X.5095.4.3 X.509认证业务认证业务l5.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l5.4.5 PKI5.4.5 PKI中的信任模型中的信任模型595.4公钥基础设施PKI5.4.1PKI概念605.4.4 5.4.4 认证中心（中心（CACA）的体系）的体系结构与服构与服务l1.认证中心认证中心CA的体系结构的体系结构u认证中心CA是一个层次结构的组织，它由根CA，1级CA，2级CA等组成。其担保的是逐级可验证。其中根CA的公钥是众所周知的，为大家认可。由根CA的信誉担保以下各级CA公钥证书的真实性，再由底层CA担保用户公钥的真实性。用户的公钥证书可以基于根CA的信任逐级进行验证。605.4.4认证中心（CA）的体系结构与服务1.认证615.4.4 5.4.4 认证中心（中心（CACA）的体系）的体系结构与服构与服务l1.认证中心认证中心CA的体系结构的体系结构u一个认证中心CA还设有下面机构：p（1）CA：证书签发管理机构p（2）RA：注册审核机构p（3）KMC：密钥管理中心p（4）发布系统p（5）认证中心服务器615.4.4认证中心（CA）的体系结构与服务1.认证625.4.4 5.4.4 认证中心（中心（CACA）的体系）的体系结构与服构与服务l2.认证中心认证中心CA的功能（服务）的功能（服务）认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书，具体描述如下：u（1）接收验证最终用户数字证书的申请。u（2）确定是否接受最终用户数字证书的申请证书的审批。u（3）向申请者颁发、拒绝颁发数字证书证书的发放。u（4）接收、处理最终用户的数字证书更新请求证书的更新。u（5）接收最终用户数字证书的查询、撤销。u（6）产生和发布证书废止列表（CRL）。u（7）数字证书的归档。u（8）密钥归档。u（9）历史数据归档。625.4.4认证中心（CA）的体系结构与服务2.认证635.4 5.4 公公钥基基础设施施PKIPKI l5.4.1 PKI5.4.1 PKI概念概念l5.4.2 PKI5.4.2 PKI的组成的组成l5.4.3 X.5095.4.3 X.509认证业务认证业务l5.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l5.4.5 PKI5.4.5 PKI中的信任模型中的信任模型635.4公钥基础设施PKI5.4.1PKI概念645.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l建立一个管理全世界所有用户的全球性建立一个管理全世界所有用户的全球性PKI是不现实的。是不现实的。比较可行的办法是各个国家都建立自己的比较可行的办法是各个国家都建立自己的PKI，一个国家，一个国家之内在分别建立不同行业或不同地区的之内在分别建立不同行业或不同地区的PKI。为了实现跨。为了实现跨地区、跨行业，甚至跨国际的安全电子业务，这些不同地区、跨行业，甚至跨国际的安全电子业务，这些不同的的PKI之间的互联互通和相互信任是不可避免的。之间的互联互通和相互信任是不可避免的。l证书用户、证书主体、各个证书用户、证书主体、各个CA之间的证书认证关系称为之间的证书认证关系称为PKI的信任模型的信任模型l常用的信任模型有常用的信任模型有4种：种：u认证机构的严格层次结构模型u分布式信任结构模型uWeb模型u以用户为中心的信任模型。645.4.5PKI中的信任模型建立一个管理全世界所有用655.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l1.严格层次结构模型严格层次结构模型u严格层次结构模型是一种集中式的信任模型，又称树（层次）模型。认证机构的严格层次结构模型是一颗树，它比较适合具有层次结构的机构，如军队、垂直性行业、学校等。u在严格层次结构模型中，多个CA和最终用户构成一颗树。其中最高级的一个CA为根，称为根CA，根CA是树型信任模型中的信任根源。其他CA根据其在树中的位置不同，而分别被称为中间CA和底层CA。证书的持证人（最终用户）为树的叶子。所有的CA和最终用户都遵循共同的行动准则。655.4.5PKI中的信任模型1.严格层次结构模型665.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l1.严格层次结构模型严格层次结构模型665.4.5PKI中的信任模型1.严格层次结构模型675.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l2.分布式信任结构模型分布式信任结构模型在严格层次结构信任模型中，所有的CA和最终用户都遵循共同的行动准则。这对于具有层次结构的机构是可行的。但是，对于社会而言，要建立一个包容各行各业的树型模型PKI是不现实的。于是出现了由多棵树组成的森林模型即分布式信任结构模型（也称交叉认证模型）。对于森林模型，如果多棵树之间彼此没有联系、互不信任，那么分别属于不同树的最终用户之间的保密通信是无法进行的。这样，这些树便成了信任孤岛，为了避免这种情况，应当在这些树之间建立某种信任关系，从而实现交叉认证。在分布式模型中，任何CA都可以对其他CA发证。这种模型非常适合动态变化的组织机构。它遵循自底向上的原则，不依赖于高层的根CA，终端用户可以保持原来的非集中状态加入到交叉认证模型中来675.4.5PKI中的信任模型2.分布式信任结构模型685.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l2.分布式信任结构模型分布式信任结构模型685.4.5PKI中的信任模型2.分布式信任结构模型695.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l3.Web模型模型Web模型又称桥CA模型。各PKI的CA之间互相签发证书；由用户控制的交叉认证；由桥接CA控制的交叉认证。桥CA提供交叉证书，但不是根CA，桥CA是所有信任域都信任的第三方，并管理所有域的策略映射。695.4.5PKI中的信任模型3.Web模型705.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l4.以用户为中心的信任模型以用户为中心的信任模型以用户为中心的信任模型为客户端系统提供了一套可信任的（根）公钥。通常使用的浏览器中的证书就属于这种类型。由于不需要目录服务器，因此该模型方便，操作简单。705.4.5PKI中的信任模型4.以用户为中心的信任