第05章密码管理技术要点课件.ppt

1、1第第5 5章章 密钥管理技术密钥管理技术l 5.1 5.1 密钥管理概述密钥管理概述l 5.2 5.2 密钥生成与分发密钥生成与分发 l 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管 l 5.4 5.4 公钥基础设施公钥基础设施PKI PKI 2l 密钥管理系统密钥管理系统l 目的目的：维持系统中各实体之间的密钥关系，以抗击：维持系统中各实体之间的密钥关系，以抗击各种可能的威胁：密钥的泄露各种可能的威胁：密钥的泄露;秘密密钥或公开密钥秘密密钥或公开密钥的身份的真实性丧失的身份的真实性丧失;经未授权使用。经未授权使用。l 基本思想基本思想：工作密钥需要时才动态产生，并由其上：工作密钥需

2、要时才动态产生，并由其上层的密钥加密密钥进行加密保护；密钥加密密钥可层的密钥加密密钥进行加密保护；密钥加密密钥可根据需要由其上层的加密密钥再进行保护；最高层根据需要由其上层的加密密钥再进行保护；最高层的主密钥构成整个密钥管理系统的核心。为了产生的主密钥构成整个密钥管理系统的核心。为了产生可靠的密钥管理系统，对于不同的密钥应用场合，可靠的密钥管理系统，对于不同的密钥应用场合，应当规定不同类型的密钥。应当规定不同类型的密钥。5.1 密钥管理的基本概念密钥管理的基本概念35.1 5.1 密钥管理的基本概念密钥管理的基本概念l 密钥管理处理密钥自产生到最终销毁的整个过程中的有关问题u（1）密钥生成u（

3、2）密钥的装入和更换u（3）密钥分配u（4）密钥保护和存储u（5）密钥的吊销u（6）密钥的销毁4第第5 5章章 密钥管理密钥管理l 5.1 5.1 密钥管理的基本概念密钥管理的基本概念l 5.2 5.2 密钥生成与分发密钥生成与分发 l 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管 l 5.4 5.4 公钥基础设施公钥基础设施PKI PKI 55.2 5.2 密钥生成与分发密钥生成与分发l 密钥的种类u初始密钥（初始密钥（primary key）：也称为基本密钥(base key )或用户密钥(user key)。该密钥可由用户选定或由系统分配给，通常由密钥生成算法实现。初始密钥的生命

4、周期一般比较长，可为几个月、半年，甚至是一年。u会话密钥（会话密钥（session key）：用于通信双方交换数据时使用的密钥, 可以由可信的密钥管理中心分配，也可以由通信用户协商获得。通常会话密钥的生命周期很短，一次通信结束后，该密钥就会被销毁p数据加密密钥：对传输的数据进行保护的会话密钥p文件密钥：保护文件的会话密钥65.2 5.2 密钥生成与分发密钥生成与分发l 密钥的种类u密钥加密密钥密钥加密密钥(key encrypting key)：在传输会话密钥时，用来加密会话密钥的密钥称为密钥加密密钥，也称为次主密钥(submaster key)或二级密钥(secondary key)。u主机

5、主密钥主机主密钥(host master key)：对密钥加密密钥进行加密的密钥称为主机主密钥。它一般保存于网络中心、主节点、主处理机中，受到严格的物理保护。 75.2 5.2 密钥生成与分发密钥生成与分发l 密钥的种类u密钥管理的架构模式85.2 5.2 密钥生成与分发密钥生成与分发l 密钥生成u主机主密钥p生命周期较长，安全性要求最高p伪随机数生成器生成u密钥加密密钥p由随机数生成器自动产生p也可以由密钥管理员选定p密钥加密密钥构成的密钥表存储在主机中的辅助存储器中，只有密钥产生器才能对此表进行增加、修改、删除和更换，其副本则以秘密方式发送给相应的终端或主机。95.2 5.2 密钥生成与分

6、发密钥生成与分发u会话密钥：会话密钥：可在密钥加密密钥控制下通过某种加密算法动态地产生，如用初始密钥控制一非线性移位寄存器或用密钥加密密钥控制DES算法产生。u初始密钥：可用产生密钥加密密钥或主机主密钥的方法产生 u非对称密码体制密钥生成 建立在某一计算困难性问题之上的单向陷门函数105.2.15.2.1密钥的生成密钥的生成 1.好密钥特征好密钥特征u真正随机、等概；u避免使用特定算法的弱密钥；u双钥系统的密钥更难产生，因为必须满足一定的数学关系；u为了便于记忆，密钥不能选得过长，而且不可能选完全随机的数字串，要选用易记而难猜中的密钥；u采用散列函数。 密钥的生成与算法有关，如果生成的密钥强度

7、不一致，则称该算法构成的是非线性密钥空间；否则称为线性密钥空间。5.2 5.2 密钥生成与分发密钥生成与分发115.2.15.2.1密钥的生成密钥的生成 2.生成密钥的方式生成密钥的方式 方式方式代代 表表生产者生产者用户数量用户数量特特 点点安全性安全性适用范围适用范围集中式集中式传统的密钥传统的密钥分发中心分发中心KDC 和证书和证书分发中心分发中心CDC 等方案等方案在中心统在中心统一进行一进行生产有边界，生产有边界，边界以所能边界以所能配置的密钥配置的密钥总量定义，总量定义，其用户数量其用户数量受限受限密钥的认证密钥的认证协议简洁协议简洁交易中的安交易中的安全责任由中全责任由中心承担心

8、承担网络边界确网络边界确定的有中心定的有中心系统系统 分散式分散式由个人产生由个人产生 密钥生产无密钥生产无边界，其用边界，其用户数量不受户数量不受限制限制密钥变量中密钥变量中的公钥必须的公钥必须公开，需经公开，需经第三方认证。第三方认证。交易中安全交易中安全责任由个人责任由个人承担承担无边界的和无边界的和无中心系统无中心系统5.2 5.2 密钥生成与分发密钥生成与分发125.2.2 5.2.2 密钥的注入密钥的注入 直接或间接注入，注入时须有电磁屏蔽，注入后不能再读出（但可间接验证）。直接或间接注入，注入时须有电磁屏蔽，装入后不能再读出，可联机或者间接验证。直接或间接注入，注入后不能再读出，

9、可联机验证。 5.2 5.2 密钥生成与分发密钥生成与分发13密钥使用时间越久，泄露的机会已越大，由泄露造成的损失就越大。用同一个密钥对多个明文加密，被破译的机会就大。更换时间取决于给定时间内待加密数据的数量、加密的次数和密钥的种类。会话密钥应当频繁更换以便达到一次一密。密钥的加密密钥无需频繁更换。主密钥可有更长的更换时间。用于存储加密密钥的密钥则有更长的更换时间。公开密钥密码体制的私钥的寿命，根据应用的不同有很大变化，如用做数字签名和身份认证的私钥可持续数年或一生。5.2 5.2 密钥生成与分发密钥生成与分发145.2.4 5.2.4 密钥的销毁密钥的销毁 u加密设备应能对设备内的所有明文、

10、密钥及其他没受保护的重要保密参数“清零”。即清除一个密钥的所有踪迹。一个密钥的值在被停止使用后可能还要持续一段时间。u必须禁止攻击者通过观察的数据文件中存储的内容或从抛弃的设备来确定旧密钥值。若设备内密钥已加密或在逻辑上以及物理上已采取了保护措施，“清零”可不做要求。5.2 5.2 密钥生成与分发密钥生成与分发155.2.5 5.2.5 密钥的分配密钥的分配 。 由于任何密钥都有使用期限，因此密钥的定期（或不定期）更换是密钥管理的一个基本任务。为了尽可能地减少人的参与，密钥的分配需要尽可能地自动进行。 集中传送是指将密钥整体传送，这时需要使用主密钥来保护会话密钥的传递，并通过安全渠道传递主密钥

11、。分散传送是指将密钥分解成多个部分，用秘密分享（secret sharing）的方法传递，而且只要有一部分到达即可复原。分散传送方式适用于在不安全信道中传递密钥的情形。 5.2 5.2 密钥生成与分发密钥生成与分发165.2.5 5.2.5 密钥的分配密钥的分配 5.2 5.2 密钥生成与分发密钥生成与分发17K K1 1 K K2 2 K K3 3 K K4 4 K K5 5密钥分路递送密钥分路递送K K1 1 K K 2 2 K K3 3 K K4 4 K K5 5密钥接收重组送密钥接收重组送K K2 2 K K1 1 K K3 3K K4 4 K K5 5 信信 使使挂号函件挂号函件特快

12、专递特快专递电电 话话信信 鸽鸽5.2 5.2 密钥生成与分发密钥生成与分发5.2.5 5.2.5 密钥的分配密钥的分配 185.2 5.2 密钥生成与分发密钥生成与分发5.2.5 5.2.5 密钥的分配密钥的分配 193.利用物理现象实现 基于量子密码的密钥分配方法，它是利用物理现基于量子密码的密钥分配方法，它是利用物理现象实现的。密码学的信息理论研究指出，通信双方象实现的。密码学的信息理论研究指出，通信双方A A到到B B可通过先期精选、信息协调、保密增强等密码技可通过先期精选、信息协调、保密增强等密码技术实现使术实现使A A和和B B共享一定的秘密信息，而窃听者对其共享一定的秘密信息，而

13、窃听者对其一无所知。一无所知。 5.2 5.2 密钥生成与分发密钥生成与分发5.2.5 5.2.5 密钥的分配密钥的分配 205.2.6 5.2.6 密钥分配中心方案密钥分配中心方案 5.2 5.2 密钥生成与分发密钥生成与分发215.2.6 5.2.6 密钥分配中心方案密钥分配中心方案 用户A EKBIDA，KS，TEKAIDB，KS，T，EKBIDA, KS,T IDAIDBKDC 用户专用基 本密钥文件 用户B A KA B KB. . . 5.2 5.2 密钥生成与分发密钥生成与分发225.2.6 5.2.6 密钥分配中心方案密钥分配中心方案 IDA|IDB CA|CB CA|CBKD

14、C公开密钥文件 用户A 用户BA KPAB KPB. . . 5.2 5.2 密钥生成与分发密钥生成与分发235.2.6 Diffie-Hellman5.2.6 Diffie-Hellman密钥交换方案密钥交换方案 5.2 5.2 密钥生成与分发密钥生成与分发245.2.6 Diffie-Hellman5.2.6 Diffie-Hellman密钥交换方案密钥交换方案 XAXBYAYBKA计计算算KB计计算算用户用户A用户用户B 公开公开公开公开秘密秘密秘密秘密会话秘密会话秘密会话秘密会话秘密 5.2 5.2 密钥生成与分发密钥生成与分发255.2.6 Diffie-Hellman5.2.6 D

15、iffie-Hellman密钥交换方案密钥交换方案 5.2 5.2 密钥生成与分发密钥生成与分发265.2.7 5.2.7 组播密钥分配组播密钥分配 5.2 5.2 密钥生成与分发密钥生成与分发27第第6 6章章 密钥管理密钥管理l 5.1 5.1 密钥管理的基本概念密钥管理的基本概念l 5.2 5.2 密钥生成与分发密钥生成与分发 l 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管 l 5.4 5.4 公钥基础设施公钥基础设施PKI PKI 285.3.1 5.3.1 密钥的存储密钥的存储 密钥在多数时间处于静态，因此对密钥的保存是密钥管理重要内容。密钥可以作为一个整体进行保存，也可化

16、为部分进行保存。u密钥的硬件存储 u使用门限方案的密钥保存 u公钥在公用媒体中存储 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管295.3.1 5.3.1 密钥的存储密钥的存储 好处：好处：是攻击者无法接触它们。因为令牌通常保存在个人手中，并不连接到网络上。只有当用户要使用他的令牌时，才将其连接到他的计算机上，这最终也会连接到网络。因此在这短暂的一刻，他的秘密是脆弱的。但是几秒钟的脆弱性显然没有一天24小时之内都脆弱的网络那样危险。这种方案可以使远程攻击受挫。5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管305.3.1 5.3.1 密钥的存储密钥的存储 密钥 门限方案（也称秘密共

17、享或秘密分享）。通常将秘密（比如密钥）被分割成几份，某些份额必须结合在一起才能恢复秘密。 例如，一个秘密可以分成5份，任何3份都可以结合以重新产生该值。5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管315.3.1 5.3.1 密钥的存储密钥的存储 Shamir建议了一种可达到理论上无条件保密的密钥建议了一种可达到理论上无条件保密的密钥分散保存方案，把主密钥按下列方法分为分散保存方案，把主密钥按下列方法分为W个子密钥个子密钥K1、K2、 、KW，并把子密钥分发给，并把子密钥分发给W个有合法权力的人，个有合法权力的人，并做到：并做到：u用用W个子密钥中的任意个子密钥中的任意t个的知识计算主密

18、钥个的知识计算主密钥K容易；容易；u用用W个子密钥中的任意少于个子密钥中的任意少于t个的知识确定主密钥理论个的知识确定主密钥理论上不可解的问题，因为缺少信息。上不可解的问题，因为缺少信息。5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管32 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 33 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 34 门限方案5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 35 5.3 5.3 秘密共享与密钥托管

19、秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 36 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 375.3 5.3 秘密共享与密钥托管秘密共享与密钥托管).,.,)(,(:),.,( mod,:, 1/0.)4(,)3(,)(1):,1 -1111n21iymsns n21imy yAqsy AqqNAA s mqmN n)i(1 1mq )nji(1 1mm 2sq m.mmsq iiiiikii -nkiiijin2个子秘密分割成把秘密计算公布：随机选取秘密值：，）（，）（，满足正整数选取一个大素数l Asmuth-B

20、loom (k, n)-秘密分割门限方案秘密分割门限方案385.3 5.3 秘密共享与密钥托管秘密共享与密钥托管l Asmuth-Bloom (k, n)-秘密重构方案秘密重构方案.modmod.modmod,.,2 , 1| ),(.).(111qAys NmmN N. yy m yym yy m yy kjym sniiiP,.,P,Pkkiikjiiiiiiiiik21iiijkk2211jjk21秘密其中由中国剩余定理求得：构造线性方程组：利用数据对要重构秘密个参与者设395.3 5.3 秘密共享与密钥托管秘密共享与密钥托管).9 ,13(),8 ,11(),2 , 9( :. 913

21、mod74, 811mod74, 29mod74mod74,7104:,11/0.)4(3,)3(3,)(1):32111 -111门限方案为的秘密计算公布：随机选取，）（，）（，已知参数满足(2,3)4s y y my y Aqsy 10A7q1314799A10A 91137m7mq99119mN )i(1 1mq )ji(1 1mm 2 sq 32ii -32iiijil 实列：设实列：设k=2, n=3, q=7, s=4, m1=9, m2=11,m3=13. u构造秘密值构造秘密值4的一个的一个A-B (2, 3)-门限方案门限方案405.3 5.3 秘密共享与密钥托管秘密共享与密

22、钥托管l 实列：设实列：设k=2, n=3, q=7, s=4, m1=9, m2=11,m3=13. u构造秘密值构造秘密值4的一个的一个A-B (2, 3)-门限方案门限方案.mod)(mod)mod()mod(mod8mod2)8 ,11(),2 , 9(.2410774qAys 74.99 5985112 99 11998911112y 99119mmN 11 y 9 y sP,P1-1-2121秘密由中国剩余定理求解：构造线性方程组：利用数据对要重构秘密个参与者设415.3 5.3 秘密共享与密钥托管秘密共享与密钥托管5.3.1 5.3.1 密钥的存储密钥的存储 42第第6 6章章

23、密钥管理密钥管理l 5.1 5.1 密钥管理的基本概念密钥管理的基本概念l 5.2 5.2 密钥生成与分发密钥生成与分发 l 5.3 5.3 秘密共享与密钥托管秘密共享与密钥托管 l 5.4 5.4 公钥基础设施公钥基础设施PKIPKI 435.4 5.4 公钥基础设施公钥基础设施PKIPKI l 5.4.1 PKI5.4.1 PKI概念概念l 5.4.2 PKI5.4.2 PKI的组成的组成l 5.4.3 X.5095.4.3 X.509认证业务认证业务l 5.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l 5.4.5 PKI5.4.5 PKI中的信任

24、模型中的信任模型445.4.1 PKI5.4.1 PKI概念概念l 公钥基础设施公钥基础设施PKI（public key infrastructure）是指结合）是指结合公钥密码体制建立的提供信息安全服务的基础设施公钥密码体制建立的提供信息安全服务的基础设施l 该体系在统一的安全认证标准和规范基础上提供在线身该体系在统一的安全认证标准和规范基础上提供在线身份认证，集成了份认证，集成了CA认证、数字证书、数字签名等功能。认证、数字证书、数字签名等功能。 l PKI技术能提供以下技术能提供以下4种安全服务：种安全服务：u（1）数据的保密性）数据的保密性保证在开放的网络上传输的机密信息不保证在开放的

25、网络上传输的机密信息不泄漏给非法接受者；泄漏给非法接受者；u（2）数据的完整性）数据的完整性保证在开放的网络上传输的信息不被中保证在开放的网络上传输的信息不被中途篡改及重复发送；途篡改及重复发送；u（3）身份认证）身份认证对通信方的身份、数据源的身份进行认证，对通信方的身份、数据源的身份进行认证，以保证身份的真实性；以保证身份的真实性；u（4）不可否认性）不可否认性通信各方不能否认自己在网络上的行为。通信各方不能否认自己在网络上的行为。455.4.1 PKI5.4.1 PKI概念概念l 公钥证书（公钥证书（Certification）u为了使用户在不可靠的网络环境中获得真实的公开密为了使用户在

26、不可靠的网络环境中获得真实的公开密钥，同时避免集中存放密钥在线查询产生的瓶颈问题，钥，同时避免集中存放密钥在线查询产生的瓶颈问题，PKI引入了公钥证书（引入了公钥证书（Certification）概念。通过可信）概念。通过可信第三方第三方证书认证机构证书认证机构CA（Certificate Authority）或称为认证中心，把用户的公钥和用户真实的身份信或称为认证中心，把用户的公钥和用户真实的身份信息（如名称、息（如名称、Email地址、身份证号、电话号码等）地址、身份证号、电话号码等）捆绑在一起，产生公钥证书。捆绑在一起，产生公钥证书。u通过公钥证书，用户能方便、安全地获取对方的公钥，通过

27、公钥证书，用户能方便、安全地获取对方的公钥，并且可以离线验证公钥的真实性。并且可以离线验证公钥的真实性。PKI的主要目的是的主要目的是通过自动管理密钥和证书，为用户建立起一个安全的通过自动管理密钥和证书，为用户建立起一个安全的网络运行环境，使用户可以在多种环境下方便地使用网络运行环境，使用户可以在多种环境下方便地使用加密和数字签名技术，保证开放网络中数据的保密性、加密和数字签名技术，保证开放网络中数据的保密性、完整性、真实性和不可否认性，从而保证信息的安全完整性、真实性和不可否认性，从而保证信息的安全传输。传输。 465.4 5.4 公钥基础设施公钥基础设施PKIPKI l 5.4.1 PKI

28、5.4.1 PKI概念概念l 5.4.2 PKI5.4.2 PKI的组成的组成l 5.4.3 X.5095.4.3 X.509认证业务认证业务l 5.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l 5.4.5 PKI5.4.5 PKI中的信任模型中的信任模型475.4.2 PKI5.4.2 PKI的组成的组成l 一个一个PKI系统由认证中心、证书库、系统由认证中心、证书库、Web安全通信平台，安全通信平台，RA注册审核机构等组成，其中认证中心和证书库是注册审核机构等组成，其中认证中心和证书库是PKI的核心。的核心。u（1）认证中心CA：认证中心CA是具有

29、权威的实体，它作为PKI管理实体和服务的提供者负责管理PKI机构下的所有用户的证书，包括用户的密钥或证书的发放、更新、撤销、认证等工作。CA是PKI框架中唯一能够创建、撤销、维护证书生命期的实体。u（2）证书库：为使用户容易找到所需的公钥证书，必须有一个健壮的、规模可扩充的在线分布式数据库存放CA创建的所有用户公钥证书。证书库可由WEB、FTP、X.500目录来实现。证书库主要用来发布、存储数字证书，查询、获取其他用户的数字证书、下载黑名单等。485.4.2 PKI5.4.2 PKI的组成的组成u（4）RA注册审核机构：RA是数字证书的申请、审核和注册中心。它是CA认证机构的延伸。在逻辑上RA

30、和CA是一个整体，主要负责提供证书注册、审核以及发证功能。u（5）发布系统：发布系统主要提供LDAP(Lightweight Directory Access Protocol)服务、OCSP(Online Certificate Status Protocol，在线证书状态协议)服务和注册服务。注册服务为用户提供在线注册的功能；LDAP提供证书和CRL的目录浏览服务；OCSP提供证书状态在线查询服务。u（6）应用接口系统：应用接口系统为外界提供使用PKI安全服务的入口。应用接口系统一般采用API、JavaBean、COM等多种形式。495.4.2 PKI5.4.2 PKI的组成的组成l 一个

31、典型、完整、有效的PKI应用系统至少应具有以下几个部分：u黑名单的发布和管理(证书撤销)u密钥的备份和恢复。u自动更新密钥。u自动管理历史密钥。505.4 5.4 公钥基础设施公钥基础设施PKIPKI l 5.4.1 PKI5.4.1 PKI概念概念l 5.4.2 PKI5.4.2 PKI的组成的组成l 5.4.3 X.5095.4.3 X.509认证业务认证业务l 5.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l 5.4.5 PKI5.4.5 PKI中的信任模型中的信任模型515.4.3 X.5095.4.3 X.509认证业务认证业务l 国际典型联

32、盟X.509建议作为定义目录业务的X.500系列的一个组成部分，已成为事实的标准。l X.509定义了X.500目录向用户提供认证业务的一个框架，目录的作用是存放用户的公钥证书。l X.509还定义了基于公钥证书的认证协议。由于X.509中定义的证书结构和认证协议已被广泛应用于S/MIME、IPSec、SSL/TLS以及SET等诸多应用过程，因此X.509已成为一个重要的标准。l X.509的基础是公钥密码体制，但其中未特别指明使用哪种密码体制（建议使用RSA），也未特别指明数字签字中使用哪种杂凑函数525.4.3 X.5095.4.3 X.509认证业务认证业务l 1. X.509的证书格式

33、的证书格式 535.4.3 X.5095.4.3 X.509认证业务认证业务l 1. X.509的证书格式的证书格式 u版本号：如v3。u序列号：由同一发行者（CA）发放的每个证书的序列号是唯一的。u签名算法识别符：签署证书所用的算法及相应的参数。u发行者名称：指建立和签署证书的CA名称。u有效期：包括证书有效期的起始时间和终止时间。u主体名称：指证书所属用户的名称，及这一证书用来证明私钥用户所对应的公开密钥。u主体的公开密钥信息：包括主体的公开密钥、使用这一公开密钥算法的标示符及相应的参数。u发行者唯一识别符：这一数据项是可选的，当CA名称被重新用于其它实体时，则用这一识别符来唯一的识别发行

34、者。u主体唯一识别符：这一数据项是可选的，当主体的名称被重新用于其它实体时，则用这一识别符来唯一的识别主体。u扩展域：其中包括一个或多个扩展的数据项，仅在第3版中使用。u签名：CA用自己的私钥对上述域的哈希值进行数字签名的结果。545.4.3 X.5095.4.3 X.509认证业务认证业务l 2. X.509证书的获取证书的获取 CA为用户产生的证书应有以下特征：u 其它任一用户只要得到CA的公开密钥，就能由此得到CA为该用户签署的公开密钥。u 除CA以外，任何其他人都不能以不被察觉的方式修改证书的内容。u如果所有用户都由同一如果所有用户都由同一CA为自己签署证书为自己签署证书，用户证书除了

35、能放在目录中以供他人访问外，还可以由用户直接发给其他用户。 555.4.3 X.5095.4.3 X.509认证业务认证业务l 2. X.509证书的获取证书的获取 u 如果用户数量极多如果用户数量极多，应有多个CA，每一CA仅为一部分用户签署证书。设用户A已从证书发放机构X1处获取了公钥证书，用户B已从X2处获取了证书。如果A不知X2的公开密钥，他虽然能读取B的证书，但却无法验证X2的签字，因此B的证书对A来说是没有用的。u如果两个CA ，X1和X2彼此间已经安全地交换了公开密钥，则A可通过以下过程获取B的公开秘钥：pA从目录中获取X1签署的X2的证书，因A知道X1的公开密钥，所以能验证X2

36、的证书，并从中得到X2的公开密钥。pA再从目录中获取由X2签署的B的证书，并由X2的公开密钥对此验证，然后从中得到B的公开密钥。p以上过程中，A是通过一个证书链来获取B的公开密钥，证书链可表示为： X1 X2 X2 B。565.4.3 X.5095.4.3 X.509认证业务认证业务l 2. X.509证书的获取证书的获取 pB能通过相反的证书链获取A的公开密钥： X2 X1 X1 ApN个证书的证书链可表示为： X1 X2 X2 X3Xn B。 pX.509建议将所有CA以层次结构组织起来。下图是X.509的CA层次结构的一个例子，其中的内部节点表示CA，叶节点表示用户。用户A可从目录中得到

37、相应的证书以建立到B的证书链：XWWVVYYZZB并通过该证书链获取B的公开密钥。 575.4.3 X.5095.4.3 X.509认证业务认证业务l 3. X.509证书吊销列表证书吊销列表 如果用户的密钥或CA的密钥被破坏，或者该用户有欺诈行为，CA不想再对该用户进行验证，则该用户的证书就应该被吊销，被吊销的证书应该存入目录供其他人查询。吊销证书列表如图所示。585.4.3 X.5095.4.3 X.509认证业务认证业务l 4. X.509的认证过程的认证过程 X.509是基于公钥密码系统的私钥传送方案，它具有用户之间相互认证和密钥认证的功能。X.509认证方案有单向认证、单向认证、双向

38、认证和三向认证方案。双向认证和三向认证方案。下面介绍一种双向认证方案，该方案使用时间戳和基于随机数的挑战与应答。 595.4 5.4 公钥基础设施公钥基础设施PKIPKI l 5.4.1 PKI5.4.1 PKI概念概念l 5.4.2 PKI5.4.2 PKI的组成的组成l 5.4.3 X.5095.4.3 X.509认证业务认证业务l 5.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l 5.4.5 PKI5.4.5 PKI中的信任模型中的信任模型605.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l 1. 认证中

39、心认证中心CA的体系结构的体系结构u 认证中心CA是一个层次结构的组织，它由根CA，1级CA，2级CA等组成。其担保的是逐级可验证。其中根CA的公钥是众所周知的，为大家认可。由根CA的信誉担保以下各级CA公钥证书的真实性，再由底层CA担保用户公钥的真实性。用户的公钥证书可以基于根CA的信任逐级进行验证。 615.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l 1. 认证中心认证中心CA的体系结构的体系结构 u一个认证中心CA还设有下面机构：p（1）CA：证书签发管理机构p（2）RA：注册审核机构p（3）KMC：密钥管理中心p（4）发布系统p（5）认证中心

40、服务器 625.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l 2. 认证中心认证中心CA的功能（服务）的功能（服务） 认证中心（CA）的功能有：证书发放、证书更新、证书撤销和证书验证。CA的核心功能就是发放和管理数字证书，具体描述如下： u（1）接收验证最终用户数字证书的申请。 u（2）确定是否接受最终用户数字证书的申请证书的审批。u（3）向申请者颁发、拒绝颁发数字证书证书的发放。u（4）接收、处理最终用户的数字证书更新请求证书的更新。u（5）接收最终用户数字证书的查询、撤销。u（6）产生和发布证书废止列表（CRL）。u（7）数字证书的归档。u（8）密

41、钥归档。u（9）历史数据归档。 635.4 5.4 公钥基础设施公钥基础设施PKIPKI l 5.4.1 PKI5.4.1 PKI概念概念l 5.4.2 PKI5.4.2 PKI的组成的组成l 5.4.3 X.5095.4.3 X.509认证业务认证业务l 5.4.4 5.4.4 认证中心（认证中心（CACA）的体系结构与服务）的体系结构与服务l 5.4.5 PKI5.4.5 PKI中的信任模型中的信任模型645.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l 建立一个管理全世界所有用户的全球性建立一个管理全世界所有用户的全球性PKI是不现实的。是不现实的。比较可行的办法是各个国家

42、都建立自己的比较可行的办法是各个国家都建立自己的PKI，一个国家，一个国家之内在分别建立不同行业或不同地区的之内在分别建立不同行业或不同地区的PKI。为了实现跨。为了实现跨地区、跨行业，甚至跨国际的安全电子业务，这些不同地区、跨行业，甚至跨国际的安全电子业务，这些不同的的PKI之间的互联互通和相互信任是不可避免的。之间的互联互通和相互信任是不可避免的。l 证书用户、证书主体、各个证书用户、证书主体、各个CA之间的证书认证关系称为之间的证书认证关系称为PKI的信任模型的信任模型l 常用的信任模型有常用的信任模型有4种：种：u认证机构的严格层次结构模型u分布式信任结构模型uWeb模型u以用户为中心

43、的信任模型。655.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l 1. 严格层次结构模型严格层次结构模型u严格层次结构模型是一种集中式的信任模型，又称树（层次）模型。认证机构的严格层次结构模型是一颗树，它比较适合具有层次结构的机构，如军队、垂直性行业、学校等。u在严格层次结构模型中，多个CA和最终用户构成一颗树。其中最高级的一个CA为根，称为根CA，根CA是树型信任模型中的信任根源。其他CA根据其在树中的位置不同，而分别被称为中间CA和底层CA。证书的持证人（最终用户）为树的叶子。所有的CA和最终用户都遵循共同的行动准则。 665.4.5 PKI5.4.5 PKI中的信任模型中的

44、信任模型l 1. 严格层次结构模型严格层次结构模型675.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l 2. 分布式信任结构模型分布式信任结构模型 在严格层次结构信任模型中，所有的CA和最终用户都遵循共同的行动准则。这对于具有层次结构的机构是可行的。但是，对于社会而言，要建立一个包容各行各业的树型模型PKI是不现实的。于是出现了由多棵树组成的森林模型即分布式信任结构模型（也称交叉认证模型）。对于森林模型，如果多棵树之间彼此没有联系、互不信任，那么分别属于不同树的最终用户之间的保密通信是无法进行的。这样，这些树便成了信任孤岛，为了避免这种情况，应当在这些树之间建立某种信任关系，从而

45、实现交叉认证。在分布式模型中，任何CA都可以对其他CA发证。这种模型非常适合动态变化的组织机构。它遵循自底向上的原则，不依赖于高层的根CA，终端用户可以保持原来的非集中状态加入到交叉认证模型中来685.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l 2. 分布式信任结构模型分布式信任结构模型 695.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l 3. Web模型模型 Web模型又称桥CA模型。各PKI的CA之间互相签发证书；由用户控制的交叉认证；由桥接CA控制的交叉认证。桥CA提供交叉证书，但不是根CA，桥CA是所有信任域都信任的第三方，并管理所有域的策略映射。 705.4.5 PKI5.4.5 PKI中的信任模型中的信任模型l 4. 以用户为中心的信任模型以用户为中心的信任模型 以用户为中心的信任模型为客户端系统提供了一套可信任的（根）公钥。通常使用的浏览器中的证书就属于这种类型。由于不需要目录服务器，因此该模型方便，操作简单。