1、1物联网信息安全之物联网信息安全之实体认证实体认证2n实体认证的基本概念实体认证的基本概念n非密码的认证机制非密码的认证机制n认证协议认证协议nKerberos认证认证nX.509认证认证n公钥基础设施公钥基础设施PKIn接入认证协议接入认证协议主要内容主要内容3安全的信息交换应满足的性质n保密性(Confidentiality)n完整性(Integrity)n数据完整性,未被未授权篡改或者损坏n系统完整性,系统未被非授权操纵,按既定的功能运行n可用性(Availability)n认证/鉴别(Authenticity)n数据源认证n实体身份的认证,适用于用户、进程、系统、信息等n不可否认性(N
2、on-repudiation)n 防止源点或终点的抵赖4身份认证身份认证nThe property that ensures that the identity of a subject or resource is the one claimed.n身份认证就是确认实体是它所声明的。n身份认证是最重要的安全服务之一。实体的身份认证服务提供了关于某个实体身份的保证。(所有其它的安全服务都依赖于该服务)n身份认证可以对抗假冒攻击的危险5身份认证的需求和目的身份认证的需求和目的n身份认证需求:n某一成员(声称者)提交一个主体的身份并声称它是那个主体。n身份认证目的:n使别的成员(验证者)获得对声称
3、者所声称的事实的信任。6身份认证分类身份认证分类n身份认证可以分为本地和远程两类。n本地身份认证本地身份认证(单机环境):实体在本地环境的初始化鉴别(就是说,作为实体个人,和设备物理接触,不和网络中的其他设备通信)。n 需要用户进行明确的操作n 远程身份认证远程身份认证(网络环境):连接远程设备、实体和环境的实体鉴别。n通常将本地鉴别结果传送到远程。n(1)安全n(2)易用7身份认证分类身份认证分类n身份认证可以是单向的也可以是双向的。n单向认证单向认证是指通信双方中只有一方向另一方进行鉴别。n双向认证双向认证是指通信双方相互进行鉴别。8身份认证身份认证n进行身份认证的几种依据进行身份认证的几
4、种依据 n用户所知道的用户所知道的:密码、口令n用户所拥有的:用户所拥有的:身份证、护照、信用卡、钥匙n用户本身的特征:用户本身的特征:指纹、笔迹、声纹、手型、血型、视网膜、虹膜、DNA以及个人动作方面的一些特征9n实体认证的基本概念实体认证的基本概念n非密码的认证机制非密码的认证机制n认证协议认证协议nKerberos认证认证nX.509认证认证n公钥基础设施公钥基础设施PKIn接入认证协议接入认证协议主要内容主要内容10非密码的认证机制非密码的认证机制nA.口令机制nB.一次性口令机制nC.基于智能卡的机制nD.基于个人特征的机制11A.A.口令机制口令机制n常规的口令方案中的口令是不随时
5、间变化的口令,常规的口令方案中的口令是不随时间变化的口令,该机制提供该机制提供弱鉴别弱鉴别(weak authentication)。n口令或通行字机制是最广泛研究和使用的身份鉴口令或通行字机制是最广泛研究和使用的身份鉴别法。别法。n口令系统有许多脆弱点口令系统有许多脆弱点n外部泄露外部泄露n口令猜测口令猜测n线路窃听线路窃听n重放重放12对付口令猜测的措施对付口令猜测的措施n 教育、培训;n 严格限制非法登录的次数;n 口令验证中插入实时延迟;n 限制最小长度,至少68字节以上n 防止用户特征相关口令,n 口令定期改变;n 及时更改预设口令;n 使用机器产生的口令。13强壮口令应符合的规则强
6、壮口令应符合的规则个人名字个人名字或呢称或呢称电话号码、电话号码、生日等敏感生日等敏感信息信息输入输入8字符字符以上口令以上口令记录于纸上或记录于纸上或放置于办公处放置于办公处使用重复使用重复的字符的字符XXXX+14对付线路窃听的措施对付线路窃听的措施n 使用保护口令机制:如单向函数。n对于每个用户,系统将帐户和散列值对存储在一对于每个用户,系统将帐户和散列值对存储在一个口令文件中,当用户输入口令个口令文件中,当用户输入口令x,系统计算其散,系统计算其散列值列值H(x),然后将该值与口令文件中相应的散列,然后将该值与口令文件中相应的散列值比较,若相同则允许登录。值比较,若相同则允许登录。n安
7、全性仅依赖于口令安全性仅依赖于口令15B.B.一次性口令机制一次性口令机制n近似的强鉴别(towards strong authentication)n一次性口令机制确保在每次认证中所使用一次性口令机制确保在每次认证中所使用的口令不同,以对付重放攻击。的口令不同,以对付重放攻击。n确定口令的方法:确定口令的方法:n两端共同拥有一串随机口令,在该串的某一位两端共同拥有一串随机口令,在该串的某一位置保持同步;置保持同步;n两端共同使用一个随机序列生成器,在该序列两端共同使用一个随机序列生成器,在该序列生成器的初态保持同步;生成器的初态保持同步;n使用时戳,两端维持同步的时钟。使用时戳,两端维持同步
8、的时钟。16双因素动态口令卡n双因素动态口令卡双因素动态口令卡n基于密钥基于密钥/时间双因素的身份认证机制;时间双因素的身份认证机制;n用户登录口令随时间变化,口令一次性使用,用户登录口令随时间变化,口令一次性使用,无法预测,可以有效抵御密码窃取和重放攻击无法预测,可以有效抵御密码窃取和重放攻击行为行为17双因素动态口令卡n相关产品相关产品n如如Security Dynamics公司的公司的SecureID设备设备n基于时间同步的动态密码认证系统基于时间同步的动态密码认证系统RSA SecureIDn美国美国Axend(现被现被Symantec公司兼并公司兼并)是较早推是较早推出双因素身份认证
9、系统的公司。出双因素身份认证系统的公司。n我国一些信息技术公司也相继推出了动态口令我国一些信息技术公司也相继推出了动态口令认证系统。如网泰金安信息技术公司、北京亿认证系统。如网泰金安信息技术公司、北京亿青创新信息技术有限公司、青创新信息技术有限公司、四川安盟电子信息四川安盟电子信息安全有限公司等。安全有限公司等。18双因素动态口令卡-举例n北京亿青创新信息技术有限公司-易码通(EasyPass)动态口令系统。n动态口令卡是发给每个用户的动态口令发生器,通过同步信任认证算法,以时间为参数,每隔16-64秒产生一个一次性使用的“动态口令”。19双因素动态口令卡-举例Login:Login:JSMI
10、THJSMITHPasscode:Passcode:24682468723656723656PINTOKENCODE令牌码令牌码:每每 60秒变秒变化一次化一次唯一的唯一的 64-bit 种子种子内部电池内部电池与与 UCT时钟同时钟同步步PASSCODE=+PINTOKENCODE20令牌码的产生令牌码的产生 令牌码的产生令牌码的产生?时间时间 UCT时间时间 算法算法 伪随机函数伪随机函数 种子种子 随机数随机数Algorithm111011010001010101101010101010=21认证过程认证过程访问请求访问请求(加密的加密的)访问请求被通过访问请求被通过(加密的加密的)登录
11、者登录者ACE/代理代理ACE/服务器服务器User-ID:安盟安盟password:1234 234836PIN 数据库算法算法11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit 种子时钟算法算法11101101000101010110101010101001010010101001010100101000101010010101001110110101010100011164-bit 种子时钟用户进入一个用户进入一个 SecurID保护的网络保护的网
12、络,应用或应用或服务。系统将提示用户输入用户名和一次服务。系统将提示用户输入用户名和一次性密码性密码(PASSCODE)PIN 123422种子种子时间时间算法算法种子种子时间时间算法算法时间同步技术时间同步技术23C.基于基于智能卡的机制智能卡的机制n优点优点n基于智能卡的认证方式是一种双因素的认证基于智能卡的认证方式是一种双因素的认证方式(方式(PIN+智能卡)智能卡)n智能卡提供硬件保护措施和加密算法智能卡提供硬件保护措施和加密算法n缺点缺点n智能卡和接口设备之间的信息流可能被截获智能卡和接口设备之间的信息流可能被截获n智能卡可能被伪造智能卡可能被伪造n职员的作弊行为职员的作弊行为24基
13、于基于智能卡的机制智能卡的机制n安全措施安全措施n对持卡人、卡和接口设备的合法性的相互验对持卡人、卡和接口设备的合法性的相互验证证n重要数据加密后传输重要数据加密后传输n卡和卡和 接口设备中设置安全区,安全区中保护接口设备中设置安全区,安全区中保护逻辑电路或外部不可读的存储区逻辑电路或外部不可读的存储区n明确有关人员的责任,并严格遵守明确有关人员的责任,并严格遵守n设置止付名单设置止付名单25基于电子钥匙的机制n电子钥匙是一种通过电子钥匙是一种通过USB直接与计算机相连、直接与计算机相连、具有密码验证功能、可靠高速的小型存储设备,具有密码验证功能、可靠高速的小型存储设备,用于存储一些个人信息或
14、证书,它内部的密码用于存储一些个人信息或证书,它内部的密码算法可以为数据传输提供安全的管道,是适合算法可以为数据传输提供安全的管道,是适合单机或网络应用的安全防护产品。其安全保护单机或网络应用的安全防护产品。其安全保护措施与智能卡相似。措施与智能卡相似。26D.基于基于生物特征的机制生物特征的机制n以人体唯一的、可靠的、稳定的生物特以人体唯一的、可靠的、稳定的生物特征为依据征为依据n指纹识别指纹识别n视网膜识别视网膜识别n虹膜识别虹膜识别n手形识别手形识别n签名识别签名识别n声纹识别声纹识别27n实体认证的基本概念实体认证的基本概念n非密码的认证机制非密码的认证机制n认证协议认证协议nKerb
15、eros认证认证nX.509认证认证n公钥基础设施公钥基础设施PKIn接入认证协议接入认证协议主要内容主要内容28协议协议n协议指的是双方或多方通过一系列规定的步骤协议指的是双方或多方通过一系列规定的步骤来完成某项任务。来完成某项任务。n协议的含义:协议的含义:n协议自开始至终是有序的过程,每一步骤必协议自开始至终是有序的过程,每一步骤必须依次执行。须依次执行。n协议至少需要两个参与者协议至少需要两个参与者n通过执行协议必须完成某项任务。通过执行协议必须完成某项任务。29协议协议n协议的特点协议的特点n协议的每一方必须事先知道此协议及要执行的步协议的每一方必须事先知道此协议及要执行的步骤骤n协
16、议涉及的每一方必须同意遵守协议协议涉及的每一方必须同意遵守协议n协议必须是非模糊的协议必须是非模糊的n协议必须是完整的协议必须是完整的n每一步的操作要么是由一方或多方进行计算,要每一步的操作要么是由一方或多方进行计算,要么是在各方之间进行消息传递么是在各方之间进行消息传递30密码协议密码协议n使用密码算法的提供安全服务的协议称为使用密码算法的提供安全服务的协议称为密码密码协议协议或或安全协议安全协议.n根据协议的功能(常用的)根据协议的功能(常用的)n认证协议认证协议(authentication protocol):一个实体向他所一个实体向他所希望通信的另一个实体的提供身份的确认希望通信的另
17、一个实体的提供身份的确认.n密钥建立协议密钥建立协议(key establishment protocol):建立共享建立共享秘密秘密n认证的密钥建立协议认证的密钥建立协议(authenticated key establishment protocol):与另一个身份已被或可被认与另一个身份已被或可被认证的实体之间建立共享秘密证的实体之间建立共享秘密.31认证协议认证协议n认证协议提供的安全服务认证协议提供的安全服务n认证认证(Authenticity)n实体认证实体认证就是确认实体是它所声明的。就是确认实体是它所声明的。n实体认证是其它安全服务的基础实体认证是其它安全服务的基础n实体认证适
18、用于用户、进程、系统、信息实体认证适用于用户、进程、系统、信息等,特别是远程登录。等,特别是远程登录。32认证与密钥交换协议认证与密钥交换协议n使得通信各方互相认证各自的身份,然后使得通信各方互相认证各自的身份,然后交换会话密钥。交换会话密钥。n认证和密钥交换协议的核心问题有两个:认证和密钥交换协议的核心问题有两个:n保密性保密性n时效性时效性n为了防止伪装和防止暴露会话密钥,基本为了防止伪装和防止暴露会话密钥,基本认证与会话密码信息必须以保密形式通信认证与会话密码信息必须以保密形式通信。n要求使用预先保密或公开密钥实现加密以提供要求使用预先保密或公开密钥实现加密以提供保密性。保密性。n时效性
19、防止消息重放攻击。时效性防止消息重放攻击。33双向认证协议n双向认证的必要性双向认证的必要性n通信对象的确认通信对象的确认通信各方相互证实对方的身通信各方相互证实对方的身份份n信息交换的机密性信息交换的机密性防止信息的篡改和泄漏防止信息的篡改和泄漏 n信息交换的时效性信息交换的时效性 防止消息重放的威胁防止消息重放的威胁34双向认证实现方案n采用传统加密方法采用传统加密方法nNeedham/Schroeder Protocol 1978nDenning Protocol 1981,1982nKEHN92,93n采用公钥加密方法采用公钥加密方法n基于时间戳的协议:DENN81n基于临时值握手协议
20、:WOO92a,WOO92b35单向认证单向认证n单向认证的必要性单向认证的必要性n通信对象的确认通信对象的确认通信的接收方证实发送方的通信的接收方证实发送方的身份身份n信息交换的机密性信息交换的机密性防止信息的篡改和泄漏防止信息的篡改和泄漏36单向认证实现方案n采用传统加密方法采用传统加密方法n采用公钥加密方法采用公钥加密方法“Yoking-Proofs”for RFID TagsnThe focus is on proofs that tags have been read simultaneously.nThe challenge:nRFID tags have very rudimen
21、tary computational abilities.nbasic RFID tags cannot communicate with one another directly.So,the adversary has full control of the communications medium.nAssumptions:nThe adversary does not reverse-engineer RFID tags.na timeout assumption,namely that the protocol will always terminate within a cert
22、ain interval of time t.nKey ideas:npermitting tags to interleave MAC using a reading device as a communications medium.nby maintaining state on tags,to prevent a reader from corrupting the proof by altering or dropping messages or by“rewinding”the protocol.“Yoking-Proofs”for RFID Tags“Yoking-Proofs”
23、for RFID TagsnVnCalculate a0=(A,cA,fxAcA)nCalculate b0=(B,cB,MACxBa0,cB)nCheck PAB=?MACxAa0,b0.40n实体认证的基本概念实体认证的基本概念n非密码的认证机制非密码的认证机制n认证协议的概念与类别认证协议的概念与类别nKerberos认证认证nX.509认证认证n公钥基础设施公钥基础设施PKIn接入认证协议接入认证协议主要内容主要内容41KerberosKerberosn项目背景项目背景nKerberosKerberos是是MIT1985年开始的年开始的Athena计划中的一部分,是计划中的一部分,是为
24、为UNIX TCP/IPUNIX TCP/IP网络设计的三方认证协议。网络设计的三方认证协议。n网络上的网络上的KerberosKerberos服务设施作为信赖的仲裁者。服务设施作为信赖的仲裁者。KerberosKerberos提供安全的网络认证,允许一个用户访问网络上的不同机提供安全的网络认证,允许一个用户访问网络上的不同机器。器。nKerberosKerberos基于对称密码技术。基于对称密码技术。nKerberos第第4版是版是“最初的最初的”Kerberos,还在广泛使用。还在广泛使用。第第5版弥补了第版弥补了第4版中存在的某些安全漏洞,并作为版中存在的某些安全漏洞,并作为Intern
25、et标准草案发布(标准草案发布(RFC 1510)。)。42KerberosKerberosn问题的提出n在一个公开的分布式环境中,工作站上的用户希在一个公开的分布式环境中,工作站上的用户希望访问分布在网络中服务器上的服务。望访问分布在网络中服务器上的服务。服务提供服务提供者则希望服务器能限制授权用户的访问,并能对者则希望服务器能限制授权用户的访问,并能对服务请求进行鉴别服务请求进行鉴别。n因此,因此,KerberosKerberos不是建立一个精细的鉴别协议,不是建立一个精细的鉴别协议,而是提供一个集中的鉴别服务器,功能是实现服而是提供一个集中的鉴别服务器,功能是实现服务器与用户间的相互鉴别
26、。务器与用户间的相互鉴别。43KerberosnKerberos的设计目标nKerberos假定一个分布的客户服务器结构,并使用一个或假定一个分布的客户服务器结构,并使用一个或多个多个Kerberos服务器来提供鉴别服务。并期望满足下述需服务器来提供鉴别服务。并期望满足下述需求:求:安全,可靠,透明,可扩缩。n为了支持这些需求,为了支持这些需求,Kerberos的总体方案是使用一个协议的总体方案是使用一个协议来提供可信的第三方鉴别服务。客户和服务器信任来提供可信的第三方鉴别服务。客户和服务器信任Kerberos能仲裁它们之间的相互鉴别,从这个意义上说它能仲裁它们之间的相互鉴别,从这个意义上说它
27、是可信的。假定是可信的。假定Kerberos协议已经设计好,协议已经设计好,如果Kerberos服务器本身是安全的,那么鉴别服务就是安全的。,那么鉴别服务就是安全的。44KerberosnKerberos支持在分布式系统中实现认证支持在分布式系统中实现认证nKerberos服务器向用户提供一种称为票据的已服务器向用户提供一种称为票据的已认证的令牌,用户利用票据向应用软件提出请认证的令牌,用户利用票据向应用软件提出请求。求。n票据是不能伪造、不能重放、已认证的对象。票据是不能伪造、不能重放、已认证的对象。n票据是一种用户可以获得的用于命名一个用户票据是一种用户可以获得的用于命名一个用户或一种服务
28、的加密数据结构,其中保护时间值或一种服务的加密数据结构,其中保护时间值和一些控制信息。和一些控制信息。45Kerberos认证服务器认证服务器 (AS)数据库数据库票据授权服务器票据授权服务器(TGS)用户用户C应用服务器应用服务器V5.请求服务请求服务6.服务器验证服务器验证3.申请服务器票据申请服务器票据4.票据票据+会话密钥会话密钥1.请求许可票据请求许可票据2.许可票据许可票据+会话密钥会话密钥Kerberos46 Authentication server(AS)Ticket-granting server(TGS)Kerberos 2.AS 在数据库中验证用户的访问权限,生成票据许
29、可票据和会话密钥,它们用 由用户口令导出的密钥进行加密 用户登录用户登录 每个会话一次每个会话一次 1.用户登录工作站 请求主机服务 3.工作站提示用户 输入口令来对收到 的报文进行解密,然后将票据许可票 据以及包含用户名 称、网络地址和时 间的鉴别符发往 TGS。5.工作站将票据和 鉴别符发给服务器。4.TGS 对票据和鉴别符进行解密,验证请求,然后生成请求服务许可 票据。6.服务器验证票据和鉴别 符中的匹配,然后许可访 问服务。如果需要双向鉴 别,服务器返回一个鉴别 符。每类服务一次每类服务一次 每个服务会话一次每个服务会话一次 请求票据许可票据 票据+会话密钥 请求服务许可票据 票据+会
30、话密钥 请求服务 提供服务器鉴别符 47Kerberosn优点优点n网络中无口令信息的通信网络中无口令信息的通信n使用加密提供保密性,防止欺骗使用加密提供保密性,防止欺骗n有效的有效期有效的有效期n时间戳防止重放攻击时间戳防止重放攻击n相互认证相互认证48Kerberosn缺点缺点n要求一个可信任的票据授权服务器连续可用要求一个可信任的票据授权服务器连续可用n服务器的真实性要求在票据授权服务器与每服务器的真实性要求在票据授权服务器与每个服务器之间保持一种信任关系个服务器之间保持一种信任关系n要求实时传输要求实时传输n一个被安装破坏的工作站可存储用户口令,一个被安装破坏的工作站可存储用户口令,并
31、在稍后重放该口令并在稍后重放该口令n口令猜测攻击口令猜测攻击49KerberosnKerberos 5 协议的改进模型协议的改进模型n消除认证协议对安全时间服务的依赖性消除认证协议对安全时间服务的依赖性n更好地防止重放攻击更好地防止重放攻击n提高口令猜测的复杂度提高口令猜测的复杂度n简化域间认证简化域间认证n提供效率提供效率n使用临时交互号使用临时交互号nonce50n实体认证的基本概念实体认证的基本概念n非密码的认证机制非密码的认证机制n认证协议的概念与类别认证协议的概念与类别nKerberos认证认证nX.509认证认证n公钥基础设施公钥基础设施PKIn接入认证协议接入认证协议主要内容主要
32、内容51X.509n起源nX.509是国际电信联盟是国际电信联盟-电信(电信(ITU-T)部分标准)部分标准和国际标准化组织(和国际标准化组织(ISO)的证书格式标准。作)的证书格式标准。作为为ITU-ISO目录服务系列标准的一部分,目录服务系列标准的一部分,X.509是是定义了公钥证书结构的基本标准。定义了公钥证书结构的基本标准。nX.509最早于最早于1988年发布。这个标准随后被修改年发布。这个标准随后被修改以解决某些安全问题;以解决某些安全问题;1993发布了一个修订后的发布了一个修订后的建议书。建议书。1995年又起草了第年又起草了第3版。版。nX.509应用广泛:例如,应用广泛:例
33、如,X.509证书格式用于证书格式用于S/MIME、IP安全以及安全以及SSL/TLS和和SET。52 Algorithm Parameters Encrypted Version Certificate serial number Algorithm Parameters Issuer name Not before Not after Subject name Algorithm Parameters Key Issuer unique identifier Subject unique identifier Extensions This update date Next update
34、date User certificate serial#Revocation date User certificate serial#Revocation date Algorithm Parameters Encrypted 签名算法 标识符 有效期 主体的公开 密钥信息 签名(a)X.509 证书(b)证书撤销表 已撤销 证书 所有版本 已撤销 证书 第 1 版 第 2 版 第 3 版 Algorithm Parameters Issuer name 签名 签名算法 标识符 X.509证书结构示意图53X.509证书nX.509证书要素证书要素n版本版本:版本号:版本号。n序列号序列号
35、:在发布证书中的一个有惟一性的整数值,是与这:在发布证书中的一个有惟一性的整数值,是与这张证书明确联系的。张证书明确联系的。n签名算法标识符签名算法标识符:用来签名证书的算法以及一些相关的参用来签名证书的算法以及一些相关的参数。(与在证书尾部签名字段的内容重复)数。(与在证书尾部签名字段的内容重复)n颁发者名字颁发者名字:创建和签名这个证书的创建和签名这个证书的CA的名字。的名字。n有效期有效期:由两个日期组成:证书的有效起始时间和结束时由两个日期组成:证书的有效起始时间和结束时间。间。n主体名主体名:这张证书提及的用户名。这张证书提及的用户名。54X.509证书nX.509证书要素证书要素n
36、主体的公开密钥信息主体的公开密钥信息:主体的公开密钥加上这个密钥使主体的公开密钥加上这个密钥使用算法的表示符,以及算法的相关参数。用算法的表示符,以及算法的相关参数。n颁发者的惟一标识符颁发者的惟一标识符:一个可选的比特串字段用来惟一一个可选的比特串字段用来惟一证实证实CA。n主体的惟一标识符主体的惟一标识符:一个可选的比特串字段用来惟一证一个可选的比特串字段用来惟一证实主体。实主体。n扩展扩展:包含一个或多个扩展字段的集合(仅在第包含一个或多个扩展字段的集合(仅在第3版中加版中加入)。入)。n签名签名:覆盖证书的其他所有字段;它包含用覆盖证书的其他所有字段;它包含用CA私有密钥私有密钥加密的
37、证书其他字段的散列码。还包括签名算法标识符。加密的证书其他字段的散列码。还包括签名算法标识符。55X.509证书n证书用途证书用途 在证书扩展选项中,在证书扩展选项中,“用途用途”是一项重要的内容,它规定了该证书所公是一项重要的内容,它规定了该证书所公证的公钥的用途。公钥必须按规定的用途来使用。一般地,公钥有两证的公钥的用途。公钥必须按规定的用途来使用。一般地,公钥有两大类用途:大类用途:用于验证数字签名。用于验证数字签名。消息接收者使用发送者的公钥对消息的数字签名进行验证。消息接收者使用发送者的公钥对消息的数字签名进行验证。用于加密信息。用于加密信息。消息发送者使用接收者的公钥加密用于加密消
38、息的密钥,进行数据加密消息发送者使用接收者的公钥加密用于加密消息的密钥,进行数据加密密钥的传递。密钥的传递。-相应地,系统中需要配置用于数字签名相应地,系统中需要配置用于数字签名/验证的密钥对和用于数据加密验证的密钥对和用于数据加密/解密的密钥对,这里分别称为签名密钥对和加密密钥对。解密的密钥对,这里分别称为签名密钥对和加密密钥对。56n证书用途证书用途 这两对密钥对于密钥管理有不同的要求这两对密钥对于密钥管理有不同的要求:n 签名密钥对签名密钥对 签名密钥对由签名私钥和验证公钥组成。签名私钥签名密钥对由签名私钥和验证公钥组成。签名私钥具有日常生活中公章、私章的效力,为保证其唯一具有日常生活中
39、公章、私章的效力,为保证其唯一性,签名私钥绝对不能够作备份和存档,丢失后只性,签名私钥绝对不能够作备份和存档,丢失后只需重新生成新的密钥对,原来的签名可以使用旧公需重新生成新的密钥对,原来的签名可以使用旧公钥的备份来验证。验证公钥需要存档,用于验证旧钥的备份来验证。验证公钥需要存档,用于验证旧的数字签名。用作数字签名的这一对密钥一般可以的数字签名。用作数字签名的这一对密钥一般可以有较长的生命期。有较长的生命期。n 加密密钥对加密密钥对 加密密钥对由加密公钥和解密私钥组成。为防止密加密密钥对由加密公钥和解密私钥组成。为防止密钥丢失时丢失数据,解密私钥应该进行备份,同时钥丢失时丢失数据,解密私钥应
40、该进行备份,同时还可能需要进行存档,以便能在任何时候解密历史还可能需要进行存档,以便能在任何时候解密历史密文数据。加密公钥无须备份和存档密文数据。加密公钥无须备份和存档,加密公钥丢失加密公钥丢失时时,只须重新产生密钥对。加密密钥对通常用于分发只须重新产生密钥对。加密密钥对通常用于分发会话密钥,这种密钥应该频繁更换,故加密密钥对会话密钥,这种密钥应该频繁更换,故加密密钥对的生命周期较短的生命周期较短。57证书的特点n任何有任何有CA公开密钥的用户都可以恢复被证明的用公开密钥的用户都可以恢复被证明的用户公开密钥。户公开密钥。n除了证书权威机构没有任何一方能不被察觉地更改除了证书权威机构没有任何一方
41、能不被察觉地更改该证书。该证书。n因为因为证书是不可伪造的证书是不可伪造的,因此它们可以放在一个目,因此它们可以放在一个目录内,而无需目录提供特殊的保护措施。录内,而无需目录提供特殊的保护措施。n如果所有用户都预订了相同的证书,那么这是对那如果所有用户都预订了相同的证书,那么这是对那个个CA的共同信任,所有用户的证书能被放在所有用的共同信任,所有用户的证书能被放在所有用户都能访问的目录内。此外,用户可以直接将他或户都能访问的目录内。此外,用户可以直接将他或她的证书传递给其他的用户。她的证书传递给其他的用户。58证书的申请证书的申请n用户证书由用户向用户证书由用户向CA申请,用户必须向申请,用户
42、必须向CA提交用户信息和用户的公钥(用户信息必须提交用户信息和用户的公钥(用户信息必须由由CA或或CA授权的第三方进行审核)。其中授权的第三方进行审核)。其中用户的公钥用户的公钥可以可以由用户自己生成或由用户自己生成或CA代为生代为生成。成。59证书的撤消证书的撤消n证书的撤消n认为用户的密钥已泄漏。认为用户的密钥已泄漏。n用户不再由这个用户不再由这个CA颁发证书。颁发证书。n认为认为CA证书不安全。证书不安全。每个每个CA必须保持一个所有已撤消的但还没有过期必须保持一个所有已撤消的但还没有过期的证书表,这些证书可能由这个的证书表,这些证书可能由这个CA、用户和其他用户和其他CA颁发证书。这些
43、表也应该被粘贴到目录中。颁发证书。这些表也应该被粘贴到目录中。60证书的认证过程证书的认证过程证书链证书链n根据根据X.509建议,建议,CA组织成层次结构,以便直接向前导航,因此组织成层次结构,以便直接向前导航,因此用户的证书可以使用任意长度的用户的证书可以使用任意长度的CA来产生一个链。一个有来产生一个链。一个有N个元个元素的链可以表示为素的链可以表示为:nX1X2XN n由于证书链的存在,因此可以对在同一根由于证书链的存在,因此可以对在同一根CA下的用户进行相互下的用户进行相互确认。确认。BCA RCA RCA RCA CA CA User A User B CA CA CA 61n多C
44、A证书验证的简单模型n假定假定 A已经从证书权威机构已经从证书权威机构X1处获得一证书,处获得一证书,B从证书权威机从证书权威机构构X2获得一证书。如果获得一证书。如果A无法安全地获得无法安全地获得X2的公开密钥,那么的公开密钥,那么由由X2颁发给颁发给B的证书对的证书对A是没有用的。是没有用的。A可以阅读可以阅读B的证书但不的证书但不能验证签名。然而,如果两个能验证签名。然而,如果两个CA能够安全地交换各自的公开能够安全地交换各自的公开密钥,下面的过程可以使密钥,下面的过程可以使A获得获得B的公开密钥:的公开密钥:1.A从目录获得由从目录获得由X1签名的签名的X2的证书。因为的证书。因为A能
45、安全地知道能安全地知道X1的的公开密钥,公开密钥,A从它的证书中能获得从它的证书中能获得X2的公开密钥,并通过证书的公开密钥,并通过证书中式的签名来证实它。中式的签名来证实它。2.然后然后A能回到目录中得到由能回到目录中得到由X2签名的签名的 B的证书。因为现在的证书。因为现在A已已经获得经获得X2的公开密钥,因此的公开密钥,因此A能验证这个签名并安全地获得能验证这个签名并安全地获得B的公开密钥。的公开密钥。即即A使用一个证书链获得了使用一个证书链获得了B的公开密钥。这个链用的公开密钥。这个链用X.509的符号可的符号可表示如下:表示如下:X1X2 用同样的方式,用同样的方式,B使用相反的链可
46、获得使用相反的链可获得A的公开密钥:的公开密钥:X2X1 62多多CA证书验证的通用模型证书验证的通用模型 U V W X Y Z A B C U V V W W X V Y Y Z X X Z 63n多CA证书验证的通用模型说明相连的圆圈指明相连的圆圈指明CA间的层次关系;相连的方框表示保存证书的每间的层次关系;相连的方框表示保存证书的每个个CA目录入口。每个目录入口。每个CA目录入口包括两种类型的证书:目录入口包括两种类型的证书:1.1.前向证书:由其他前向证书:由其他CA产生的产生的X的证书。的证书。2.2.反向证书:由反向证书:由X产生的其他产生的其他CA的证书。的证书。用户用户A从目
47、录获得证书以建立通往从目录获得证书以建立通往B的证书路径:的证书路径:XWWVVYYZZB当当A获得这些证书时,它可依次解开证书路径来恢复一个可信的获得这些证书时,它可依次解开证书路径来恢复一个可信的B的公开密钥。使用这个公开密钥人可以向的公开密钥。使用这个公开密钥人可以向B发送加密报文。如发送加密报文。如果果A希望收到从希望收到从B发回的加密信息,或对发给发回的加密信息,或对发给B的报文进行签的报文进行签名,那么名,那么B需要获得需要获得A的公开密钥,可以通过如下的证书路径的公开密钥,可以通过如下的证书路径获得:获得:ZYYVVWWXXAB可以从目录中这个证书集,或者可以从目录中这个证书集,
48、或者A可以将它们作为初始报文的一可以将它们作为初始报文的一部分发送给部分发送给B。64X.509可选的鉴别服务可选的鉴别服务 1.AtA,rA,B,sgnData,EKUbKab 2.BtB,rB,A,rA,sgnData,EKUaKba B A(a)单向鉴别 1.AtA,rA,B,sgnData,EKUbKab B A(b)双向鉴别 2.BtB,rB,A,rA,sgnData,EKUaKba B A 3.ArB(c)三向鉴别 1.AtA,rA,B,sgnData,EKUbKab 65X.509可选的鉴别服务可选的鉴别服务n优点优点n与与Kerberos协议相比,协议相比,X.509不需要物理
49、上安不需要物理上安全的在线服务器,公钥证书可通过使用一个全的在线服务器,公钥证书可通过使用一个不可信的目录服务被离线地分配。不可信的目录服务被离线地分配。66n实体认证的基本概念实体认证的基本概念n非密码的认证机制非密码的认证机制n认证协议的概念与类别认证协议的概念与类别nKerberos认证认证nX.509认证认证n公钥基础设施公钥基础设施PKIn接入认证协议接入认证协议主要内容主要内容67PKI技术技术n公钥基础设施公钥基础设施PKInPKI(Public Key Infrastructure)是一种遵循是一种遵循既定标准的密钥管理平台既定标准的密钥管理平台,它能够为所有网它能够为所有网络
50、应用提供加密和数字签名等密码服务及所络应用提供加密和数字签名等密码服务及所必需的密钥和证书管理必需的密钥和证书管理。n简单来说,简单来说,PKI就是利用公钥理论和技术建就是利用公钥理论和技术建立的提供安全服务的基础设施。立的提供安全服务的基础设施。nPKI技术是信息安全技术的核心,也是电子技术是信息安全技术的核心,也是电子商务的关键和基础技术。商务的关键和基础技术。68PKInPKIPKI采用数字证书对公钥进行管理,通过第三方的可采用数字证书对公钥进行管理,通过第三方的可信任机构(认证中心,即信任机构(认证中心,即CACA),把用户的公钥和用),把用户的公钥和用户的其他标识信息捆绑在一起。户的
