1、第第4讲讲 公钥基础设施(公钥基础设施(PKI)周福才周福才 教授教授 博导博导东北大学信息学院计算机应用所东北大学信息学院计算机应用所2022-8-171 12022-8-17o 1.数字证书的引入数字证书的引入o 2.PKI体系结构体系结构o 3.数字证书的生命周期数字证书的生命周期2 22022-8-171.数字证书的引入数字证书的引入3 32022-8-17密码学理论密码学理论密码学应用密码学应用对称加密、非对称加密、消息摘要、数字签名、对称加密、非对称加密、消息摘要、数字签名、消息认证码、密钥协商消息认证码、密钥协商数字证书数字证书&PKI安全传输协议安全传输协议SSL/TLS,SS
2、H 安全结构安全结构挑战挑战-应答应答o 客户向认证服务器发出请求,要求进行身份认证客户向认证服务器发出请求,要求进行身份认证o 认证服务器从用户数据库中查询用户是否是合法的用户,若认证服务器从用户数据库中查询用户是否是合法的用户,若不是,则不做进一步处理不是,则不做进一步处理o 认证服务器内部产生一个随机数,作为认证服务器内部产生一个随机数,作为“提问提问”,发送给客户,发送给客户o 客户将用户名字和随机数合并,使用单向客户将用户名字和随机数合并,使用单向Hash函数(例如函数(例如MD5算法)生成一个字节串作为应答算法)生成一个字节串作为应答o 认证服务器将应答串与自己的计算结果比较,若二
3、者相同,认证服务器将应答串与自己的计算结果比较,若二者相同,则通过一次认证;否则,认证失败则通过一次认证;否则,认证失败o CRP(Challenge-Response Protocol)可以使用对称密)可以使用对称密钥或非对称密钥钥或非对称密钥n 对称密码:验证者和示证者共享一个秘密对称密码:验证者和示证者共享一个秘密(share asecret key)n 公钥密码体制:秘密值为示证者的私钥(公钥密码体制:秘密值为示证者的私钥(private key)挑战挑战-应答应答BobAliceHash(Alice,c)Enc(c)RequestAlice公钥公钥挑战挑战-应答应答需要解决的问题需要
4、解决的问题o 在基于非对称密钥的在基于非对称密钥的CRP中,验证者需要用示证中,验证者需要用示证者的公钥对挑战值加密者的公钥对挑战值加密n验证者如何确定:这个公钥与示证者的身份是对应的?验证者如何确定:这个公钥与示证者的身份是对应的?o 在在SSL中也有同样的问题中也有同样的问题nSSL客户端如何能确定客户端如何能确定数字证书数字证书中的中的公钥公钥与与服务器服务器是关是关联的?联的?数字证书数字证书o 通过由可信认证机构签发的数字证书,验证者可通过由可信认证机构签发的数字证书,验证者可以确定证书中包含的公钥是属于该用户的。证书以确定证书中包含的公钥是属于该用户的。证书需要有合适的有效期限需要
5、有合适的有效期限证书主体身份信息证书主体身份信息证书主体公钥证书主体公钥CA身份信息身份信息CA私钥签名私钥签名将身份与公钥绑定在一起,这个身份可将身份与公钥绑定在一起,这个身份可以是一个用户或组织的名称、也可以是以是一个用户或组织的名称、也可以是其它信息如地址、年龄等其它信息如地址、年龄等颁发者的数字签名颁发者的数字签名X.509证书格式证书格式o版本:版本:一般为一般为V1,V2和和V3,目前常用,目前常用V3。o序列号:是由序列号:是由CA分配给证书的唯一的数字型标识符。分配给证书的唯一的数字型标识符。o签名算法标识:对证书进行签名的算法和算法所需的参数。签名算法标识:对证书进行签名的算
6、法和算法所需的参数。o颁发者:为颁发者:为PCA的名称。的名称。o有效期:定义证书有效的起始日期和结束日期。有效期:定义证书有效的起始日期和结束日期。o证书主体:为证书持有者的唯一识别名称(证书主体:为证书持有者的唯一识别名称(DN)。)。o证书主体的公开密钥:信息包括算法名称、需要的参数和公开密钥。证书主体的公开密钥:信息包括算法名称、需要的参数和公开密钥。o颁发者唯一标识:可选项不推荐使用。防止颁发者的名字出现重用。颁发者唯一标识:可选项不推荐使用。防止颁发者的名字出现重用。o主体唯一标识:可选项不推荐使用。防止主体的名字出现重用。主体唯一标识:可选项不推荐使用。防止主体的名字出现重用。o
7、扩展项:用于其它扩展内容。扩展项:用于其它扩展内容。o签名:对整个证书的散列值的签名。任何一方都能认证证书是否有效签名:对整个证书的散列值的签名。任何一方都能认证证书是否有效(必须知道(必须知道CA的公钥)。的公钥)。X.509证书格式证书格式o一个数字证书:包含一个数字证书:包含数字签名证书的发证数字签名证书的发证机关;任何人都可以机关;任何人都可以验证数字证书的真实验证数字证书的真实性。性。o任何人都可以验证了任何人都可以验证了示证者的证书真假,示证者的证书真假,的公钥必须是尽的公钥必须是尽人皆知的。人皆知的。o由由CA签发的数字证书签发的数字证书含有示证者的公钥。含有示证者的公钥。CA签
8、发的数字证书签发的数字证书自签名证书自签名证书o 自签名证书包括:自签名证书包括:n证书所有者的公钥、信息和签名证书所有者的公钥、信息和签名n使用非对称密钥,上面所说的秘密值就是证明使用非对称密钥,上面所说的秘密值就是证明者的私钥者的私钥o 什么时候、如何使用自签名证书?什么时候、如何使用自签名证书?n视安全需求而定视安全需求而定n如果需要完成重要软件的组件之间最高级别的如果需要完成重要软件的组件之间最高级别的认证,则不能使用自签名证书认证,则不能使用自签名证书o 在创建与安装由认证机构签名并颁发的证书之前,在创建与安装由认证机构签名并颁发的证书之前,自签名证书可以用来测试自签名证书可以用来测
9、试SSL的设备配置。的设备配置。如何生成、储存、颁发、使用、撤销公钥和数字证书?如何生成、储存、颁发、使用、撤销公钥和数字证书?公钥基础设施(公钥基础设施(PKI)PKI动机o 公钥技术公钥技术n 如何提供数字签名功能如何提供数字签名功能n 如何实现不可否认服务如何实现不可否认服务n 公钥和身份如何建立联系公钥和身份如何建立联系o 为什么要相信这是某个人的公钥为什么要相信这是某个人的公钥n 公钥如何管理公钥如何管理o 方案:引入证书方案:引入证书(certificate)n 通过证书把公钥和身份关联起来通过证书把公钥和身份关联起来14142022-8-172.PKI体系结构体系结构PKI(Pu
10、blic Key Infrastructure)定义定义n 用公钥原理和技术实施和提供安全服务的具有普适性的安全基用公钥原理和技术实施和提供安全服务的具有普适性的安全基础设施础设施一个完整的一个完整的PKI应该包括应该包括n 认证机构认证机构(CA)n 证书库证书库n 证书注销证书注销n 密钥备份和恢复密钥备份和恢复n 自动密钥更新自动密钥更新n 密钥历史档案密钥历史档案n 交叉认证交叉认证n 支持不可否认支持不可否认n 时间戳时间戳n 客户端软件客户端软件PKIPKI的关键点:的关键点:n性能:性能:尽量少用公钥加解密操作,在实用中,往往结合对称密尽量少用公钥加解密操作,在实用中,往往结合对
11、称密码技术,避免对大量数据作加解密操作;除非需要码技术,避免对大量数据作加解密操作;除非需要数据来源认证数据来源认证才使用签名技术,否则就使用才使用签名技术,否则就使用MACMAC或者或者HMACHMAC实现数据完整性检实现数据完整性检验验n在线在线/离线模型离线模型签名的验证可以在离线情况下完成(签名的验证可以在离线情况下完成(off line)用公钥实现保密性也可以在离线情况下完成用公钥实现保密性也可以在离线情况下完成(off line)离线模式的问题:无法获得最新的证书注销信息离线模式的问题:无法获得最新的证书注销信息n证书中所支持算法的通用性证书中所支持算法的通用性在提供实际的服务之前
12、,必须协商到在提供实际的服务之前,必须协商到一致的算法一致的算法n个体命名:个体命名:如何命名一个安全个体,取决于如何命名一个安全个体,取决于CACA的命名登记管的命名登记管理工作理工作PKI主要组成主要组成CA认证机构(认证机构(CA):):证书颁发者证书颁发者证书申请者证书申请者验证者验证者证书是否有效?证书是否有效?证书交互证书交互证书颁发证书颁发签名者:该证书主体签名者:该证书主体的身份(或其它信息)的身份(或其它信息)与公钥绑定与公钥绑定验证者:出于认证目验证者:出于认证目的使用证书的一方的使用证书的一方签名者与验证者都称签名者与验证者都称作终端实体作终端实体PKI主要组成(细化)主
13、要组成(细化)证书证书&CRL数据库数据库证书申请者证书申请者验证者验证者RACACACRL发布者发布者认证机构认证机构证书撤销列表证书撤销列表PKI用户用户PKI管理实体管理实体发布证书发布证书发布证书及发布证书及CRL发布发布CRL证书认证业务声明证书认证业务声明/证书政策协议证书政策协议(CPS/CPA)证书下载与查询证书下载与查询CA之间交互之间交互用户注册用户注册认证机构(认证机构(CA)o 认证:认证:n将一个身份信息与一个公钥绑定的行为将一个身份信息与一个公钥绑定的行为n例如:颁发证书例如:颁发证书o 认证机构:负责认证的实体认证机构:负责认证的实体o CA运行按照证书认证业务声
14、明(运行按照证书认证业务声明(CPS)nCPS描述了描述了CA的操作规程的操作规程o 证书按照证书政策协议(证书按照证书政策协议(CPA)颁发给终端实体)颁发给终端实体nCPA描述了在该政策下证书的颁发和使用规则描述了在该政策下证书的颁发和使用规则证书数据库证书数据库只通过只通过CA对证书进行发布是不够的,验证者需要比对证书进行发布是不够的,验证者需要比较容易地找到对应于不同签名者的公钥较容易地找到对应于不同签名者的公钥o 需要证书数据库(需要证书数据库(CR)o CR可以由以下几种方式实现:可以由以下几种方式实现:n轻量级目录管理协议(轻量级目录管理协议(LDAP)nWeb服务器服务器nDN
15、Sn共用数据库共用数据库证书撤销以及证书撤销以及CRL数据库数据库o 验证者通过证书撤销机制可以得知一个证书是否验证者通过证书撤销机制可以得知一个证书是否被作废被作废o 证书撤销与证书过期证书撤销与证书过期n证书过期是指过了有效期后证书自动失效(如证书过期是指过了有效期后证书自动失效(如驾照的有效期)驾照的有效期)n证书撤销是某事件发生,使得公钥与主体身份证书撤销是某事件发生,使得公钥与主体身份之间的绑定关系失效,如:之间的绑定关系失效,如:o主体身份发生改变(如女人婚后姓氏发生改变)主体身份发生改变(如女人婚后姓氏发生改变)o私钥泄露私钥泄露o非法用户(如司机违章,驾照被吊销)非法用户(如司
16、机违章,驾照被吊销)o 撤销证书由撤销证书由CRL发布者发布到发布者发布到CRL数据库中数据库中证书的注销机制证书的注销机制由于各种原因,证书需要被注销由于各种原因,证书需要被注销n 比如,私钥泄漏、密钥更换、用户变化比如,私钥泄漏、密钥更换、用户变化PKI中注销的方法中注销的方法n CA维护一个维护一个CRL(Certificate Revocation List)基于基于Web的的CRL服务服务n 检查检查CRL的的URL应该内嵌在用户的证书中应该内嵌在用户的证书中n 可以提供安全途径可以提供安全途径(SSL)访问访问URLn 返回注销状态信息返回注销状态信息n 其他的用法由浏览器决定其他
17、的用法由浏览器决定证书撤销列表证书撤销列表24242022-8-173.数字证书的生命周期数字证书的生命周期公钥证书生命周期公钥证书生命周期密钥密钥/证书证书生成生成密钥密钥/证书证书使用使用密钥密钥/证书证书失效失效密钥密钥/证书生成过程证书生成过程o 初始化过程初始化过程主要包括:主要包括:n证书主体注册证书主体注册n密钥生成密钥生成n证书生成与密钥证书生成与密钥/证书发布证书发布n证书传播证书传播n密钥备份(如果需要的话)密钥备份(如果需要的话)证书主体注册证书主体注册o 一个独立用户或进程的身份被建立并验证一个独立用户或进程的身份被建立并验证o 对于该过程控制的强度取决于对于该过程控制
18、的强度取决于CPS/CP:n证书认证业务声明(证书认证业务声明(CPS)描述)描述CA的操作规程的操作规程n证书政策(证书政策(CP)指定了如何应用某公私钥对)指定了如何应用某公私钥对(数字签名、数据加密、网站一致性验证等)。(数字签名、数据加密、网站一致性验证等)。该信息应由该信息应由CA发布。发布。证书主体注册证书主体注册主体主体(终端实体)(终端实体)注册机构注册机构(RA)认证机构认证机构(CA)1.注册请求注册请求3.注册提交注册提交2.注册回复注册回复4.注册建立请求注册建立请求5.注册建立结果注册建立结果6.注册结果注册结果7.证书请求证书请求8.证书回复证书回复密钥生成密钥生成
19、o 密钥对可以在不同的地点产生:密钥对可以在不同的地点产生:n终端实体(如用户的终端实体(如用户的PC主机)主机)nRAnCAn可信的第三方密钥生成设备可信的第三方密钥生成设备o 需要考虑的因素:需要考虑的因素:n性能(例如在移动电话中产生密钥)性能(例如在移动电话中产生密钥)n确定性确定性n密钥用途(例如机密性、不可否认性)密钥用途(例如机密性、不可否认性)o 密钥用途(例如机密性、不可否认性)密钥用途(例如机密性、不可否认性)n下面的原则是对于不同的用途使用不同的密钥下面的原则是对于不同的用途使用不同的密钥o用于数字签名(相应的证书成为验证证书)用于数字签名(相应的证书成为验证证书)o用于
20、数据加密(相应的证书成为加密证书)用于数据加密(相应的证书成为加密证书)o 密钥用途对于密钥产生地点有影响密钥用途对于密钥产生地点有影响n如果密钥用于实现不可否认性,则应由终端实如果密钥用于实现不可否认性,则应由终端实体产生,私钥只能该实体拥有体产生,私钥只能该实体拥有n作为作为PKI系统中最可信的实体系统中最可信的实体CA,也可以知道,也可以知道私钥,对于这一点有争议。私钥,对于这一点有争议。密钥生成密钥生成o Java环境:环境:KeyTooln用于创建、储存、管理密钥用于创建、储存、管理密钥n功能:功能:o生成公私钥对生成公私钥对o将将X.509中中V1、V2、V3版本的证书作为文件储版
21、本的证书作为文件储存,并能够输入、输出存,并能够输入、输出o生成自签名证书生成自签名证书o发布证书(发布证书(PKCS#10)请求给)请求给CAo输入证书恢复(从输入证书恢复(从CA得到)得到)o将公钥证书标记为可信将公钥证书标记为可信密钥生成密钥生成证书生成证书生成o 证书生成:证书生成:n由由CA生成生成o如果公钥是由终端实体而不是如果公钥是由终端实体而不是CA产生,则该公钥产生,则该公钥应通过安全方式传给应通过安全方式传给CAn最终实体得到证书最终实体得到证书一般的证书产生流程状态查询状态查询认证机构认证机构证书资料库证书资料库注册机构注册机构RA发布证书发布证书及及CRL私钥私钥证书证
22、书公钥公钥证书申请证书申请证书证书公钥公钥公钥公钥公钥公钥密钥密钥/证书发布证书发布o 公钥和证书的交付公钥和证书的交付n直接交给证书拥有者(主体)直接交给证书拥有者(主体)n交给远程数据库(证书和交给远程数据库(证书和CRL数据库)数据库)n以上两种都交付以上两种都交付o 向向CA请求并接收证书的过程需要安全的协议请求并接收证书的过程需要安全的协议nRFC2510互联网互联网X.509公钥基础设施证书管理协公钥基础设施证书管理协议(议(CMP)nRFC2511互联网互联网X.509证书请求管理格式证书请求管理格式(CRMF)证书传播证书传播o 如何让验证者得到证书如何让验证者得到证书n面对面
23、,手递手,物理上隐秘交付面对面,手递手,物理上隐秘交付n将证书发送到公开的数据库中将证书发送到公开的数据库中o要求具有在线恢复功能要求具有在线恢复功能n在某个域内按协议分发(如安全的电子邮件)在某个域内按协议分发(如安全的电子邮件)公钥证书生命周期公钥证书生命周期密钥密钥/证书证书生成生成密钥密钥/证书证书使用使用密钥密钥/证书证书失效失效密钥密钥/证书的使用证书的使用o 证书恢复(从证书数据库中)证书恢复(从证书数据库中)n需要验证者的请求需要验证者的请求o 证书验证(需要验证者请求)证书验证(需要验证者请求)n验证证书完整性(如验证颁发者数字签名,需要相应验证证书完整性(如验证颁发者数字签
24、名,需要相应CA的公钥)的公钥)n证书是否过期证书是否过期n证书是否被撤销证书是否被撤销o 密钥恢复密钥恢复n对于终端实体忘记私钥的情况,便于恢复对于终端实体忘记私钥的情况,便于恢复o 密钥更新密钥更新n当证书邻近有效期时,发布新的密钥对当证书邻近有效期时,发布新的密钥对认证路径认证路径o 开始的时候,签名者掌握的开始的时候,签名者掌握的CA公钥数量是有限的公钥数量是有限的o 如果用户得到某如果用户得到某CA颁发的证书,而该颁发的证书,而该CA的公钥的公钥用户不掌握,则还需要额外的证书来得到该公钥用户不掌握,则还需要额外的证书来得到该公钥o 这样就需要一个证书链,包括一个这样就需要一个证书链,
25、包括一个CA给用户颁发给用户颁发的证书,可能还有多个的证书,可能还有多个CA的证书,这些证书是由的证书,这些证书是由其他的其他的CA颁发的(认证路径)颁发的(认证路径)PKI信任模型信任模型o 需要解决的问题:需要解决的问题:n哪些实体的证书可以被信任?哪些实体的证书可以被信任?n这样的信任如何被建立?这样的信任如何被建立?n在给定的环境下,这种信任能够被限制和控制在给定的环境下,这种信任能够被限制和控制的情况有哪些?的情况有哪些?o 几种信任模型:几种信任模型:nCA层次结构层次结构n基于政策的基于政策的CA层次层次n分布式信任结构分布式信任结构n四角模型四角模型n网状模型网状模型o 当第一
26、个实体作出假定:第二个实体总是按照它当第一个实体作出假定:第二个实体总是按照它所期望的方式运作,则说第一个实体信任第二个所期望的方式运作,则说第一个实体信任第二个实体实体PKI信任模型信任模型CA层次结构层次结构认证机构认证机构终端实体终端实体认证认证自签名证书自签名证书顶级顶级CAo 顶级顶级CA(TLCA)也被称作根也被称作根CAnTLCA颁发一个自签名证书,作为该层次结构中颁发一个自签名证书,作为该层次结构中每个实体的信任基础每个实体的信任基础nTLCA认证下属每个认证下属每个CAn以此类推,每个以此类推,每个CA都认证各自下属的都认证各自下属的CAn从第二层到最后一层的从第二层到最后一
27、层的CA可以认证终端实体可以认证终端实体o 结构中每个实体都必须拥有结构中每个实体都必须拥有TLCA的公钥的公钥o 在该模型中,在该模型中,TLCA的公钥是日后实体认证、证的公钥是日后实体认证、证书处理的基础书处理的基础CA层次结构层次结构o 如果两个用户同属一个如果两个用户同属一个CA,则认为它们都拥有该,则认为它们都拥有该CA的公钥的公钥o 各个各个CA必须呈层次结构必须呈层次结构o 结构中链接的每一方都能验证所有结构中链接的每一方都能验证所有CAn每个每个CA都有上层和下层实体的证书都有上层和下层实体的证书o 每个实体都信任上层实体的证书每个实体都信任上层实体的证书o 这种结构使得用户能
28、够认证该结构中任何这种结构使得用户能够认证该结构中任何CA颁发颁发的任何证书的任何证书CA层次结构层次结构自签名证书自签名证书o 自签名证书包括:自签名证书包括:n公钥、证书拥有者的信息和拥有者的签名公钥、证书拥有者的信息和拥有者的签名n有一个私钥,但不用来通过第三方有一个私钥,但不用来通过第三方CA验证该证验证该证书的来源书的来源公钥证书生命周期公钥证书生命周期密钥密钥/证书证书生成生成密钥密钥/证书证书使用使用密钥密钥/证书证书失效失效密钥密钥/证书失效证书失效o 证书过期证书过期CA可以进行如下三种操作:可以进行如下三种操作:n无操作,该终端实体不再在该无操作,该终端实体不再在该PKI中
29、注册中注册n证书延期,原来的公钥被放到一个新的证书中,证书延期,原来的公钥被放到一个新的证书中,拥有新的有效期拥有新的有效期n证书更新,生成新的密钥对并颁发新的证书证书更新,生成新的密钥对并颁发新的证书o 证书撤销证书撤销n一个已颁发的证书未过期,却不能再使用一个已颁发的证书未过期,却不能再使用o怀疑私钥泄露怀疑私钥泄露o原来终端实体状态变化原来终端实体状态变化证书撤销证书撤销o 由谁、如何管理证书撤销(由谁、如何管理证书撤销(Who、How)?)?o WHO:nCA负责发布撤销信息负责发布撤销信息n验证者必须确定证书未被撤销验证者必须确定证书未被撤销o CA可以通过证书撤销列表(可以通过证书
30、撤销列表(CRL)发布撤销信息)发布撤销信息o 在线查询机制:在线证书状态查询(在线查询机制:在线证书状态查询(OCSP)PKI有关的标准有关的标准Certificates X.509 v.3交叉认证交叉认证 PKIX group in IETF(RFC 2459)智能卡智能卡/硬件插件硬件插件 PKCS#11PKCS系列系列目录服务目录服务LDAP安全套接层安全套接层SSL协议协议SET协议协议其他:其他:IPSec、S/MIME、时间戳、时间戳、XMLPKCS(公钥密码系统标准公钥密码系统标准)系列标准系列标准oPKCS#1n RSA Encryption StandardoPKCS#3n
31、 Diffie-Hellman Key-Agreement StandardoPKCS#5n Password-Based Encryption StandardoPKCS#6n Extended-Certificate Syntax StandardoPKCS#7n Cryptographic Message Syntax StandardoPKCS#8n Private-Key Information Syntax StandardPKCS系列标准系列标准(续续)oPKCS#9n Selected Attribute TypesoPKCS#10n Certification Request
32、 Syntax StandardoPKCS#11n Cryptographic Token Interface StandardoPKCS#12n Personal Information Exchange StandardoPKCS#13n Elliptic Curve Cryptography StandardoPKCS#15n Cryptographic Token Information Format Standard客户通过客户通过Web申请一个证书申请一个证书PKCS#10CACA处理证书请求处理证书请求PKCS#7TDT Lab,SJTU,China2022-8-17TDT Lab,SJTU,China
