1
第六章
公开密钥设施 PKI
计算机系统安全
2
一、需要解决的问题
网络安全的要求,
数据传输的机密性
数据交换的完整性
发送信息的不可否认性
交易者身份的确定性
安全解决方案:
建立安全证书体系结构 。 提供在网上验证身份的方式 。
主要采用了公开密钥体制, 其它还包括对称密钥加密,
数字签名, 数字信封等技术 。
第六章 公开密钥设施 PKI
3
1,什么是信任
信任:实体 A认定实体 B将严格地按 A所期望的
那样行动, 则 A 信任 B。 ( ITU-T推荐标准
X.509的定义 )
称 A是信任者, B是被信任者 。 信任涉及对某
种事件, 情况的预测, 期望和行为 。 信任是信
任者对被信任者的一种态度, 是对被信任者的
一种预期, 相信被信任者的行为能够符合自己
的愿望 。
第六章 公开密钥设施 PKI
二、信任及信任模式
4
信任涉及假设, 期望和行为, 这意味着
信任是不可能被定量测量的, 信任是与
风险相联系的并且信任的建立不可能总
是全自动的 。 在 PKI中, 我们可以把这个
定义具体化为:如果一个用户假定 CA可
以把任一公钥绑定到某个实体上, 则他
信任该 CA。
5
信任具有不同的类别 。 按照涉及到的事件, 情
况的分类, 信任可以表现为三种期待:对自然
与社会的秩序性, 对合作伙伴承担的义务, 对
某角色的技术能力 。 例如在电子商务中, 交易
者信任交易系统对每个用户是公平的, 对用户
的私有信息是严加保密的, 交易系统是稳定的
并且能够完成交易的全过程而且保证交易的正
确性等等 。
信任具有时间差 。 信任者的期待在前, 被信任
者的行为在后, 信任者与被信任者之间存在着
时间上的某种不对称性 。
第六章 公开密钥设施 PKI
6
信任具有不确定性 。 依据信任而做出的决策,
产生的行为结果是不确定的, 即结果可能与期
望相符也可能与期望不符 。 信任是实体决策时
的一个主观概念, 是一种非理性的行为, 它处
在全知与无知之间, 是一种依据过去形成的信
任关系对未来的期望 。
信任与风险是相联系的 。 信任是在对未来事件
的不可预料中才会有的, 行为结果的不确定性
使信任者的决策具有风险, 即便决策依据完全
信任 。 行为结果如果具备了确定性, 就不存在
风险与应对风险这一特定方式了 。
第六章 公开密钥设施 PKI
7
信任是动态和非单调的 。 信任关系的建立有很
多种, 如自觉的, 强制的, 道德约束的或法律
制约的, 利益驱动的 。 信任随着实体的行为结
果将动态变化 。 对一个实体得出的信任或不信
任评价依赖于被信任者的交易历史, 良好的交
易评价将得到较高程度的信任, 信任者依据对
决策之后行动结果的信任评价, 不断修正对实
体的信任程度 。
信任是决策的重要因素, 但不是唯一因素 。 例
如实体 A信任实体 B,而同时实体 B不信任实体
A,但实体 B可能为获得较大的收益而不顾风
险与实体 A与进行一次交易 。
第六章 公开密钥设施 PKI
8
信任者与被信任者建立信任关系分为四个阶段:
1) 信任者对被信任者的行为进行信任评价,
得到预测结果;
2) 依据预测结果及其他参考因素, 进行综合
决策, 决定被信任者的行为是否发生;
3) 若被信任者的行为发生, 将产生实际结果;
4) 对被信任者的行为结果进行信任评价, 即
比较预测结果与实际结果, 根据信任评价修正
信任关系 。
第六章 公开密钥设施 PKI
9
2,直接信任与推荐信任
按照有无第三方可信机构参与, 信任可划分为
直接信任和第三方的推荐信任 。
1) 第三方信任
第三方信任是指两个实体以前没有建立起信任
关系, 但双方与共同的第三方有信任关系, 第
三方为两者的可信任性进行了担保, 由此建立
起来的信任关系 。 第三方信任的实质是第三方
的推荐信任, 是目前网络安全中普遍采用的信
任模式 。
第六章 公开密钥设施 PKI
10
第三方信任
第六章 公开密钥设施 PKI
信任 信任
信任
第三方
Alice Bob
第三方信任
11
扩展的第三方信任模型 ( 交叉认证 )
第六章 公开密钥设施 PKI
信
任
CA
Alice
CA
Bill AnneBob
CA域 X CA域 Y
第三方
信任
12
2) 直接信任
直接信任是最简单的信任形式 。 两个实体间无
须第三方介绍而直接建立信任关系 。
在 Web浏览器中, 用户直接信任根 CA密钥, 因
为密钥是由制造商直接提供的;在 PGP中, 用
户自己验证密钥, 从不设置其他可信介绍人,
这就是直接信任;当两个从不同的 CA来的实体
要进行安全通信, 而这两个 CA之间不能交叉认
证时, 这时也需要直接信任, 在此基础上直接
交换密钥, 建立起信任关系 。 如果没有直接信
任, 交换密钥就没有价值的 。
第六章 公开密钥设施 PKI
13
二,PKI
PKI (Pubic Key Infrastructure)的概念
PKI是经过多年研究形成的一套完整的
Internet安全解决方案 。 它用公钥技术和规范
提供用于安全服务的具有普适性的基础设施 。
用户可利用 PKI平台提供的服务进行安全通信 。
PKI系统由五个部分组成:认证中心 CA,注册
机构 RA,证书库 CR, 证书申请者, 证书信任
方 。 前三部分是 PKI的核心, 证书申请者和证
书信任方则是利用 PKI进行网上交易的参与者 。
第六章 公开密钥设施 PKI
14
PKI的功能
证书产生与发放;证书撤销;密钥备份及
恢复;证书密钥对的自动更新;密钥历史档案;
支持不可否认;时间戳;交叉认证;用户管理
(如登录, 增删等 );客户端服务:理解安全策
略, 恢复密钥, 检验证书, 请求时间戳等 。
其他功能:
支持 LDAP ;支持用于认证的智能卡 。 此外,
PKI的特性融入各种应用 ( 防火墙, 浏览器,
电子邮件, 网络 OS) 也正在成为趋势 。
第六章 公开密钥设施 PKI
15
数字证书和 PKI解决哪些问题
数字证书能够解决信息传输的保密性, 完整性, 不
可否认性, 交易者身份的确定性问题 。 数字证书和
PKI结合解决电子商务中的安全问题 。
在传统的安全解决方案中,密码服务与应用紧密地结
合在一起,每一种网络应用都有自己的一套密钥管理,
功能大量冗余,管理维护工作复杂, 费用高, 而且这
种分散式的方案存在安全隐患, 互操作性也得不到保
证; 而 PKI以统一的, 通用的方式来解决所有应用的
共同安全问题 。 利用 PKI可以方便地建立和维护一个
可信的网络计算环境, 从而使得人们在这个无法直接
相互面对的环境里, 能够确认彼此身份和所交换的信
息, 能够安全地从事商务活动 。
第六章 公开密钥设施 PKI
16
美国的公开密钥体制
1,PAA(Policy Approval Authority)策略机构是 PKI核心和基础,
为所有的用户, 用户组织和 CA制定指南, 监管所有制定策略
的机构 。
2.PCA(Policy Creation Authority)是整个 PKI的二级 CA,开发安
全策略 。
3,CA是第三层实体 。 CA在其上级 PCA规定的安全策略下运行 。
4,ORA(Organization Registration Authority)鉴别个人身份,
确认用户与单位的隶属关系 。
5,用户:用户是整个 PKI树的叶节点, 用户通常是个人 。
6,目录服务器:使用 X.500或 LDAP提供证书和 CRL发布功能 。
第六章 公开密钥设施 PKI
17
1,认证机关
为信息安全提供有效的, 可靠的保护机制, 包括
机密性, 身份验证特性, 不可否认性 (交易的各方不
可否认它们的参与 )。 这就需要依靠一个可靠的第三
方机构验证, 而 认 证 中 心 ( CA,Certification
Authority) 专门提供这种服务 。
证书机制是目前被广泛采用的一种安全机制, 使
用证书机制的前提是建立 CA(Certification
Authority-认证中心 )以及配套的 RA( Registration
Authority --注册审批机构 ) 系统 。
第六章 公开密钥设施 PKI
18
什么是 CA机构
CA机构, 又称为证书授证中心, 是为了解决电
子商务活动中交易参与的各方身份, 资信的认定, 维
护交易活动中的安全, 从根本上保障电子商务交易活
动顺利进行而设立的, 是受一个或多个用户信任, 提
供用户身份验证的第三方机构, 承担公钥体系中公钥
的合法性检验的责任 。
在 SET交易中, CA不仅对持卡人, 商户发放证书,
还要对收款的银行, 网关发放证书 。 它负责产生, 分
配并管理所有参与网上交易的个体所需的数字证书,
因此是安全电子交易的核心环节 。
第六章 公开密钥设施 PKI
19
二,PKI
RA( Registration Authority)
数字证书注册审批机构 。 RA系统是 CA的证书发
放, 管理的延伸 。 它负责证书申请者的信息录
入, 审核以及证书发放等工作;同时, 对发放
的证书完成相应的管理功能 。 发放的数字证书
可以存放于 IC卡, 硬盘或软盘等介质中 。 RA系
统是整个 CA中心得以正常运营不可缺少的一部
分 。
第六章 公开密钥设施 PKI
20
二,PKI CA的职能
( 1) 接收验证最终用户数字证书的申请 。
( 2) 确定是否接受最终用户数字证书的申请 -证书的审批 。
( 3) 向申请者颁发, 拒绝颁发数字证书 -证书的发放 。
( 4) 接收, 处理最终用户的数字证书更新请求 -证书的更新 。
( 5) 接收最终用户数字证书的查询, 撤销 。
( 6) 产生和发布证书废止列表 CRL( Certificate Revocation
List) 。
( 7) 数字证书的归档 。
( 8) 密钥归档 。
( 9) 历史数据归档 。
第六章 公开密钥设施 PKI
21
认证中心为了实现其功能, 主要由以下三部分组成:
注册服务器,通过 Web Server 建立的站点, 可
为客户提供每日 24小时的服务 。 因此客户可在自己方
便的时候在 网上提出证书申请和填写相应的证书申请
表, 免去了排队等候等烦恼 。
证书申请受理和审核机构,负责证书的申请和审
核 。 它的主要功能是 接受客户证书申请并进行审核 。
认证中心服务器, 是数字证书生成, 发放的运行
实体, 同时提供发放证书的管理, 证书废止列表 ( CRL)
的生成和处理等服务 。
第六章 公开密钥设施 PKI
22
我国 CA的建设情况
中国电信 CA安全认证体系 ( CTCA), 上海电子商务 CA
认证中心 ( SHECA) 和中国金融认证中心 ( CA) 等 。
数字证书
数字证书是网络通讯中标志通讯各方身份信息的
一系列数据, 提供了一种在 Internet上验证身份的方式,
其作用类似于司机的驾驶执照或日常生活中的身份证 。
由权威机构 CA机构发行的, 人们可以在交往中用它来
识别对方的身份 。
最简单的证书包含一个公开密钥, 名称以及证书授权
中心的数字签名 。
第六章 公开密钥设施 PKI
23
证书原理:数字证书采用公钥体制 。 用户设定一把特
定的仅为本人所有的私有密钥 ( 私钥 ), 用它进行解
密和签名;同时设定一把公共密钥 ( 公钥 ) 并由本人
公开, 为一组用户所共享, 用于加密和验证签名 。
数字证书的作用:使用数字证书, 通过运用对称和非
对称密码体制等密码技术建立起一套严密的身份认证
系统, 从而保证信息除发方和接方外不被其它人窃取
或篡改 。
数字证书可用于:安全地发送电子邮件;访问安
全站点, 网上招投标, 网上签约, 网上订购, 安全网
上公文传送, 网上办公, 网上缴费, 网上购物等网上
的安全电子事务处理和交易 。
第六章 公开密钥设施 PKI
24
产生, 验证和分发密钥 方式
1)用户自己产生密钥对,用户自己生成密钥对, 然后
将公钥以安全的方式传送给 CA,该过程必须保证用户
公钥的可验证性和完整性 。
2)CA为用户产生密钥对,CA替用户生成密钥对,然后
将其安全地传给用户, 该过程必须确保密钥对的机密
性, 完整性和可验证性 。 该方式下由于用户的私钥为
CA所知, 故对 CA的可信性要求更高 。
3)CA(包括 PAA,PCA,CA)自己产生自己的密钥对 。
第六章 公开密钥设施 PKI
25
签名和验证
在 PKI体系中, 对信息和文件的签名, 以及对签
名的 验 证是很普遍的操作 。
PKI成员对数字签名和认证是采用多种算法的,
如 RSA,DES等等, 这些算法可以由硬件, 软件
或硬软结合的加密模块 (固件 )来完成 。
密钥和证书存放的介质可以是内存, IC卡或软
盘等 。
第六章 公开密钥设施 PKI
26
证书的获取
—— 发送者发送签名信息时, 附加发送自己的证书;
—— 单独发送证书信息的通道;
—— 可从访问发布证书的目录服务器获得;
—— 或者从证书的相关实体 (如 RA)处获得;
在 PKI体系中, 可以采取某种或某几种的上述方式获得
证书 。
发送数字签名证书的同时, 可以发布证书链 。 这时,
接收者拥有证书链上的每一个证书, 从而可以验证发
送者的证书 。
第六章 公开密钥设施 PKI
27
证书的主要内容
证书的格式与证书发放 数字证书格式的通用标准是 X.509。 根
据该标准, 数字证书应有下列信息:
版本号;
序列号;
签字算法;
发出该证书的认证机构;
有效期限;
第六章 公开密钥设施 PKI
主体信息:包括持有人的姓名、
服务处所等信息;
公共密钥信息;
认证机构的数字签字。
在 X.509标准的扩展部分,认证
机构可以说明该证书的附加信息,
如密钥用途等。
28
证书的管理
用户能方便地查找各种证书及已经撤销的证书 。
根据用户请求或其它相关信息撤销用户的证书 。
能根据证书的有效期限自动地撤销证书 。
能完成证书数据库的备份工作 。
证书的管理通过目录服务来实现 。
第六章 公开密钥设施 PKI
29
验证证书
验证证书的过程是迭代寻找证书链中下一个证书和它
相应的上级 CA证书 。
在使用每个证书前, 必须检查相应的 CRL(对用户来说
这种在线的检查是透明的 )。
用户检查证书的路径是从最后一个证书 (即用户已确认
可以信任的 CA证书 )所签发的证书有效性开始, 检验每
一个证书, 一旦验证后, 就提取该证书中的公钥, 用
于检验下一个证书, 直到验证完发送者的签名证书,
并将该证书中包括的公钥用于验证签名 。
第六章 公开密钥设施 PKI
30
保存证书
指 PKI实体在本地储存证书, 以减少在 PKI体系中获得
证书的时间, 并提高证书签名的效率 。
在存储每个证书之前, 应该验证该证书的有效性 。 PKI
实体可以选择存储其证书链上其他实体所接收到的所
有证书, 也可以只存储数字签名发送者的证书 。
证书存储单元应对证书进行定时管理维护, 清除已作
废的或过期的证书及在一定时间内未使用的证书 。 证
书存储数据库还要与最新发布的 CRL文件相比较, 从数
据库中删除 CRL文件中已发布的作废证书 。
第六章 公开密钥设施 PKI
31
本地保存证书的获取
CA证书可以集中存放 或 分布式存放, 即可从本地
保存的证书中获取证书 。 用户收到签名数据后,
将去检查证书存储区中是否已有发送者签发的证
书, 用签发者的公钥验证签名 。
用户可以选择在每次使用前来检查最新发布的
CRL,以确保发送者的证书未被作废;用户也可
选择定期证实本地证书在存储区中的有效性 。
如果用户的本地存储区中未保存发送者的证书,
用户则应按照上述证书获取的过程取得所需的证
书 。
第六章 公开密钥设施 PKI
32
证书废止的申请
—— 当 PKI中某实体的私钥被泄漏时, 被泄密的
私钥所对应的公钥证书应被作废 。
对 CA而言, 私钥的泄密不大可能, 除非有意破
坏或恶意攻击所造成;对一般用户而言, 私钥
的泄密可能是因为存放介质的遗失或被盗 。
—— 另外一种情况是证书中所包含的证书持有
者已终止或与某组织的关系已经中止, 则相应
的公钥证书也应该作废 。
第六章 公开密钥设施 PKI
33
终止的方式:
(1)如果是密钥泄露, 证书的持有者以电话或书面的方
式, 通知相应的 CA;
(2)如果是因关系中止, 由原关系中组织方面出面通知
相应的 ORA或 CA。
处理过程:
如果 ORA得到通知, ORA应通知相应的 CA,作废请求得
到确认后, CA在数据库中将该证书记上作废标志, 并
在下次发布 CRL时加入证书作废列表, 并标明作废时间 。
在 CRL中的证书作废列表时间有规定, 过期后即可删除 。
第六章 公开密钥设施 PKI
34
密钥的恢复
在密钥泄密, 证书作废后, 泄密实体将获得 (包括个人用户 )一
对新的密钥, 并要求 CA产生新的证书 。
泄漏密钥的实体是 CA的情况下, 它需要重新签发以前那些用泄
密密钥所签发的证书 。 每一个下属实体将产生新的密钥时, 获
得 CA用新私钥签发新的证书, 而原来用泄密密钥签发的旧证书
将作废, 并被放入 CRL。
可采取双 CA的方式来进行泄密后的恢复, 即每一个 PKI实体的公
钥都由两个 CA签发证书, 当一个 CA泄密钥后, 得到通知的用户
可转向另一个 CA的证书链, 可以通过另一个 CA签发的证书来验
证签名 。 这样可以减少重新产生密钥时和重新签发证书的巨大
工作量, 也可以使泄密 CA的恢复和它对下属实体证书的重新发
放工作稍慢进行, 系统的功能不受影响 。
第六章 公开密钥设施 PKI
35
CRL的获取
每一个 CA均可以产生 CRL,CRL可以定期产生也
可以在每次有证书作废请求后, 实时产生, CA
应将其产生的 CRL及时发布到目录服务器上去 。
CRL的获取就可以有多种方式:
—— CA产生 CRL后, 自动发送到下属各实体;
—— 大多数情况是:由使用证书的各 PKI实体从
目录服务器获得相应的 CRL。
第六章 公开密钥设施 PKI
36
交叉认证方式
需要互通的 PKI体系中的 PAA( Policy Approval
Authority) 在经过协商和政策制定之后, 可以
互相认证对方系统中的 PAA(即根 CA)。
认证方式是根 CA用自己的私钥为其他的需要交
叉认证的根 CA的公钥签发证书 。
这种认证方式减少了操作中的政策因素, 对用
户而言, 也只在原有的证书链上增加一个证书
而已 。 但对于每一个根 CA而言, 需要保存所有
其它需要与之进行交叉认证的根 CA的证书 。
第六章 公开密钥设施 PKI
37
签名密钥对和加密密钥对
签名密钥对
----签名密钥对由签名私钥和验证公钥组成 。 签
名私钥具有日常生活中公章, 私章的效力, 为
保证其唯一性,签名私钥绝对不能够作备份和存
档,丢失后只需重新生成新的密钥对,原来的签名
可以使用旧公钥的备份来验证 。 验证公钥需要
存档,用于验证旧的数字签名 。
----用作数字签名的这一对密钥一般可以有较长
的生命期 。
第六章 公开密钥设施 PKI
38
签名密钥对和加密密钥对
加密密钥对
?加密密钥对由加密公钥和脱密私钥组成 。
?为防止密钥丢失时丢失数据, 脱密私钥应该进
行备份, 同时还可能需要进行存档,以便能在任
何时候脱密历史密文数据 。 加密公钥无须备份和
存档,加密公钥丢失时,只须重新产生密钥对 。
?加密密钥对通常用于分发会话密钥, 这种密钥
应该频繁更换,故加密密钥对的生命周期较短 。
第六章 公开密钥设施 PKI
39
签名密钥对和加密密钥对的比较
这两对密钥的密钥管理要求存在互相冲突的地
方, 因此, 系统必须针对不同的用途使用不同
的密钥对, 尽管有的公钥体制算法, 如目前使
用广泛的 RSA,既可以用于加密, 又可以用于
签名,在使用中仍然必须为用户配置两对密钥,
两张证书, 分别用于数字签名和加密 。
第六章 公开密钥设施 PKI
40
2,证书库
----证书库是证书的集中存放地, 是网上的一种
公共信息库,用户可以从此处获得其他用户的证
书和公钥 。
----构造证书库的最佳方法是采用支持 LDAP协
议的目录系统, 用户或相关的应用通过 LDAP来
访问证书库 。 系统必须确保证书库的完整性,防
止伪造, 篡改证书 。
第六章 公开密钥设施 PKI
41
3.密钥备份及恢复系统
----如果用户丢失了用于脱密数据的密钥,则密文
数据将无法被脱密,造成数据丢失 。 为避免这种
情况的出现,PKI应该提供备份与恢复脱密密钥
的机制 。
----密钥的备份与恢复应该由可信的机构来完成,
例如 CA可以充当这一角色 。 强调:密钥备份与
恢复只能针对脱密密钥, 签名私钥不能够作备
份 。
第六章 公开密钥设施 PKI
42
4.证书作废处理系统
它是 PKI的一个重要组件 。 有三种策略,
作废一个或多个主体的证书 ;
作废由某一对密钥签发的所有证书 ;
作废由某 CA签发的所有证书 。
?通过将证书列入作废证书表 ( CRL) 来完成 。 CA创建
并维护一张及时更新的 CRL,而由用户在验证证书时
负责检查该证书是否在 CRL之列 。 CRL一般存放在目
录系统中 。
?证书的作废处理必须安全, 可验证, 必须保证 CRL的
完整性 。
第六章 公开密钥设施 PKI
43
5.PKI应用接口系统
?PKI的价值:提供加密, 数字签名等安全服务, 因此
需要良好的应用接口系统, 使得各种各样的应用能够
以安全, 一致, 可信的方式与 PKI交互, 确保所建立起
来的网络环境的可信性, 同时降低管理维护成本 。
?向应用系统屏蔽密钥管理的细节:
完成证书的验证工作, 为所有应用以一致, 可信的方
式使用公钥证书提供支持;
以安全, 一致的方式与 PKI的密钥备份与恢复系统交互,
为应用提供统一的密钥备份与恢复支持;
第六章 公开密钥设施 PKI
44
在所有应用系统中, 确保用户的签名私钥始终只在用
户本人的控制之下, 阻止备份签名私钥的行为;
根据安全策略自动为用户更换密钥;
为方便用户访问加密的历史数据, 向应用提供历史密
钥的安全管理服务;
为所有应用访问公用证书库提供支持;
向所有应用提供统一的证书作废处理服务;
为所用应用提供统一模式的交叉验证支持;
支持多种密钥存放介质, 如 IC卡, PC卡, 安全文件等 。
?PKI应用接口系统应该是跨平台 。
第六章 公开密钥设施 PKI
45
PKI系统的常用信任模型
选择适当的信任模型 ( Trust Model) 是构筑和运作
PKI所必需的一个环节 。 选择正确的信任模型以及与
它相应的安全级别是非常重要的, 同时也是部署 PKI
所要做的较早和基本的决策之一 。
----信任模型主要阐述了以下几个问题:
● 一个 PKI用户能够信任的证书是怎样被确定的?
● 这种信任是怎样被建立的?
● 在一定的环境下, 这种信任如何被控制?
第六章 公开密钥设施 PKI
46
常用的四种信任模型:
? 认 证 机 构 的 严 格 层 次 结 构 模 型 ( Strict
Hierarchy of Certification Authorities Model)
? 分 布 式 信 任 结 构 模 型 ( Distributed Trust
Architecture Model)
? Web模型 ( Web Model)
?以用户为中心的信任模型 ( User Centric Trust
Model) 。
第六章 公开密钥设施 PKI
47
1)认证机构的严格层次结构模型
----认证机构的严格层次结构为一棵倒转的树, 根在
顶上, 树枝向下伸展, 树叶在下面 。 在这棵倒转的树
上, 根代表一个对整个 PKI系统的所有实体都有特别意
义的 CA—— 通常叫做根 CA,它充当信任的根或, 信任
锚 ( trust anchor),—— 也就是认证的起点或终点 。
在根 CA的下面是零层或多层中介 CA,也被称作子 CA,
因为它们从属于根 CA。 子 CA用中间节点表示, 从中间
节点再伸出分支 。 与非 CA的 PKI实体相对应的树叶通常
被称作终端实体或终端用户 。 在这个模型中, 层次结
构中的所有实体都信任唯一的根 CA。
第六章 公开密钥设施 PKI
48
这个层次结构按如下规则建立:
?根 CA认证 (创立和签署证书 )直接连接在它下面的 CA。
?每个 CA都认证零个或多个直接连接在它下面的 CA。
( 在一些认证机构的严格层次结构中, 上层的 CA既可
以认证其他 CA也可以认证终端实体 。 虽然在现有的
PKI标准中并没有排除这一点, 但是在文献中层次结构
往往都是假设一个给定的 CA要么认证终端实体要么认
证其他 CA,但不能两者都认证 。 我们将遵循这个惯例,
但不应该认为这是有限制的 。 )
?倒数第二层的 CA认证终端实体 。
在认证机构的严格层次结构中, 每个实体 ( 包括中介
CA和终端实体 ) 都必须拥有根 CA的公钥
第六章 公开密钥设施 PKI
49
认证过程 举 例
持有根 CA公钥的终端实体 A通过下述方法检验另一个终
端实体 B的证书 。 假设 B的证书是由 CA2签发的, 而 CA2
的证书是由 CA1签发的, CA1的证书又是由根 CA签发的 。
A拥有根 CA的公钥 KR,能够验证 CA1的公钥 K1,因此可
提取出可信的 CA1的公钥 。 然后, 这个公钥可以被用作
验证 CA2的公钥, 类似地就可以得到 CA2的可信公钥 K2。
公钥 K2能够被用来验证 B的证书, 从而得到 B的可信公
钥 KB。 现在 A能 根据密钥的类型来使用密钥 KB,如对
发给 B的消息加密或者用来验证据称是 B的数字签名,
从而实现 A和 B之间的安全通信 。
第六章 公开密钥设施 PKI
50
2)分布式信任结构模型
----与在 PKI系统中的所有实体都信任唯一一个
CA的严格层次结构相反, 分布式信任结构把信
任分散在两个或多个 CA上 。 也就是说, A把 CA1
作为他的信任锚, 而 B可以把 CA2做为他的信任
锚 。 因为这些 CA都作为信任锚, 因此相应的 CA
必须是整个 PKI系统的一个子集所构成的严格层
次结构的根 CA( CA1是包括 A在内的严格层次结
构的根, CA2是包括 B在内的严格层次结构的
根 ) 。
第六章 公开密钥设施 PKI
51
----如果这些严格层次结构都是可信颁发者层次结构,
那么该总体结构被称作完全同位体结构, 因为所有的
CA实际上都是相互独立的同位体 ( 在这个结构中没有
子 CA) 。 另一方面, 如果所有的严格层次结构都是多
层结构, 那么最终的结构就被叫做满树结构 。 ( 注意,
根 CA之间是同位体, 但是每个根又是一个或多个子 CA
的上级 。 混合结构也是可能的 ( 具有若干个可信颁发
者层次结构和若干个多层树型结构 ) 。 一般说来, 完
全同位体结构部署在某个组织内部, 而满树结构和混
合结构则是在原来相互独立的 PKI系统之间进行互联的
结果 。 同位体根 CA的互连过程通常被称为, 交叉认证
( cross certification),。
第六章 公开密钥设施 PKI
52
交叉认证要考虑的问题
交叉认证把以前无关的 CA连在一起,使各
自主体群之间的安全通信成为可能。它
也扩展了信任概念。
? 名字约束
例:限定某一特定公司的证书有效。
? 策略约束
例:限制证书使用目的
? 路径长度约束
限制交叉证书的数目
53
3)Web模型
----Web模型是在 WWW上诞生的, 依赖于浏览器, 如
Navigator和 Internet Explorer。 许多 CA的公钥被预
装在标准的浏览器上 。 这些公钥确定了一组浏览器用
户最初信任的 CA。 普通用户很难修改这组根密钥 。
----该模 型似乎与分布式信任结构模型相似, 但从根
本上讲, 它更类似于认证机构的严格层次结构模型 。
因为在实际上, 浏览器厂商起到了根 CA的作用, 而与
被嵌入的密钥相对应的 CA就是它所认证的 CA,当然这
种认证并不是通过颁发证书实现的, 而只是物理地把
CA的密钥嵌入浏览器 。
第六章 公开密钥设施 PKI
54
----Web模型方便, 简单, 互操作性 好, 但存在安全隐
患 。 例如, 因为浏览器的用户自动地信任预安装的所
有公钥, 所以即使这些根 CA中有一个是, 坏的, ( 例
如, 该 CA从没有认真核实被认证的实体 ), 安全性将
被完全破坏 。 A将相信任何声称是 B的证书都是 B的合法
证书, 即使它实际上只是由其公钥嵌入浏览器中的
CAbad 签署的挂在 B名下的 C的公钥 。 所以, A就可能无
意间向 C 透露机密或接受 C伪造的数字签名 。 这种假冒
能够成功的原因是,A一般不知道收到的证书是由哪一
个根密钥验证的 。 在嵌入到其浏览器中的多个根密钥
中, A可能只认可所给出的一些 CA,但并不了解其他 CA。
然而在 Web模型中, A的软件平等而无任何疑问地信任
这些 CA,并接受它们中任何一个签署的证书 。
第六章 公开密钥设施 PKI
55
4)以用户为中心的信任模型
----每个用户自己决定信任哪些证书 。 通常, 用户的
最初信任对象包括用户的朋友, 家人或同事, 但是否
信任某证书则被许多因素所左右 。
----在 PGP中, 一个用户通过担当 CA( 签署其他实体的
公钥 ) 并使其公钥被其他人所认证来建立, 信任网,。
例如, 当 A收到一个据称属于 B的证书时, 她将发现这
个证书是由她不认识的 D签署的, 但是 D的证书是由她
认识并且信任的 C签署的 。 在这种情况下, A可以决定
信任 B的密钥 ( 即信任从 C到 D再到 B的密钥链 ), 也可
能不信任 B的密钥 ( 认为, 未知的, B与, 已知的, C
之间的, 距离太远, ) 。
此模型依赖于用户行为, 决策, 不适于普通群体 。
第六章 公开密钥设施 PKI
56
实施 PKI应考虑的因素
关键:商业驱动,而不是以技术为中心
1)好处:安全的 E-mail,EDI,内 (外 )部网、
实体访问控制,Web应用、客户签名、
简化登录。
提高工作效率、节省劳动力、减少风险、
降低通信费用等。
2)成本因素
3)实施步骤
57
PKI实施中的障碍
? 资料库问题
? 业界标准问题
? 产品之间的互操作问题
? PKI支撑平台有待提高
? 专业人才
58
三,X.509标准
相关国际标准
PKI (Public-Key Infrastructure)公钥体系基础框架 。
PKIX (Public-Key Infrastructure Using X.509)使
用 X.509的公钥体系基础框架 。
X.500 由 ISO和 ITU提出的为大型网络提供目录服务的
标准体系 。
X.509 为 X.500提供验证 (Authenticating)体系的标准 。
PKCS(Public Key Cryptography Standards)公钥加密
标准, 为 PKI提供一套完善的标准体系 。
第六章 公开密钥设施 PKI
59
X.509是 X.500推荐系列的一部分, 提供安全
目录服务 。 目录是维护用户信息数据库的服务器
或一组分布式服务器 。 一份 X.509证书是一些标
准字段的集合,这些字段包含有关用户或设备及
其相应公钥的信息的通用证书格式, 所有的证书
都符合 X.509标准 。 X.509最初是 1988年发布, 此
后针对安全问题作了改进 。 1995年发布 V3版本,
它在原有版本基础上进行功能的扩充 。
X.509是重要的标准, 它定义的证书结构, 身份验
证 协议 已经 用于 S/MIME,IPSEC,SSL/TLS、
SET协议等 。
第六章 公开密钥设施 PKI
60
第六章 公开密钥设施 PKI
X.509 PKI 主要特性
X.509 v1 & 2 X.509 v3
证书信息
只有 X.500 实体名,包括 CA、
证主 (subject)名,证主公钥
及其有效期。
充分扩展,可包含任何信
息。
CA 规范 CA体系鼓励带交叉的层状树型结构,无信任限制规范。
CA体系鼓励带交叉的层状
树型结构,有信任限制规
范。
CA,证主,用户 CA,证主、用户在概念上严格区分
CA,证主、用户 信
任关系
认为每个用户至少信任一个 CA。
CA无法操纵与其它 CA,证主及
用户间的信任关系。
认为每个用户至少信任一
个 CA。 CA可以规范与其它
CA及证主间的信任关系。
61
第六章 公开密钥设施 PKI
证书有效性验证方
式
离线方式,通过检查证书有效
期及是否出现在最近的 CRL
( 证书吊销表)上。
支持离线与在线方式。
证书吊销方法 简单 CRL。 复杂的 CRL,通过功能扩展支持在线方式。
证书形式特点 身份形式的证书。
主要还是身份形式的证书,
但支持信任委托形式的证
书。
匿名性 匿名程度依赖于 X.500 条目的匿名程度。 扩展功能支持彻底的匿名服务。
62
各版本必须包含下列信息:
(1) 用来区分 X.509的不同版本号既版本号
(2) 由 CA给每个证书的分配的编号即序列号;
(3) 产生证书签名所用的算法及参数
(4) CA的 x.500名字即发出该证书的认证机构
(5) 证书有效期:生效日期和截止日期
(6) 持 证人的姓名, 服务处所等信息即主题信息
(7) 认证机构的数字签名
(8) 公钥值, 使用这个公钥的算法名称, 参数
第六章 公开密钥设施 PKI
63
四,SET支付
支付工具:现金 ?信用卡 。
网上交易, 商家, 消费者和银行通过 Internet交互, 无
法用传统方法完成支付的查验过程 。
1995年, 信用卡国际组织, 资讯业者及网络安全专业团
体等开始组成策略联盟, 共同研究开发电子商务的安全
交易系统 。 1 9 9 6 年 6 月, 由 IBM,Master Card
International,Visa International,Microsoft,
Netscape等共同制定的标准 SET( Secure Electronic
Transaction) 正式公告, 涵盖了信用卡在电子商务交
易中的交易协定, 信息保密, 资料完整即数字认证, 数
字签名等 。 这一标准被公认为全球网际网络的标准, 被
用于 B2C交易模式中 。
第六章 公开密钥设施 PKI
64
在 SET标准中, 定义了五种实体:
● 持卡人:拥有信用卡的消费者;
● 商家:在 Internet上提供商品或服务的商店;
● 支付网关:由金融机构或第三方控制, 它处理持卡
人购买和商家支付的请求;
● 收单行 (Acquirer),负责将持卡人的帐户中资金转
入商家帐户的金融机构;
● 发卡行:负责向持卡人发放信用卡的金融机构 。
第六章 公开密钥设施 PKI
65
SET协议流程:
1) 用户向商家发订单和经过签名, 加密的信托书 。 书
中的信用卡号是经过加密的, 商家无从得知;
2) 收单银行收到商家发来的信托书, 解密信用卡号,
并通过认证验证签名;
3) 收单银行向发卡银行查问, 确认用户信用卡是否属
实;
4) 发卡银行认可并签证该笔交易;
5) 收单银行认可商家并签证此交易;
6) 商家向用户传送货物和收据;
第六章 公开密钥设施 PKI
66
7) 交易成功, 商家向收单银行索款;
8) 收单银行按合同将货款划给商家;
9) 发卡银行向用户定期寄去信用卡消费账单 。
SET协议规定了参加电子交易各方在交易中的行为规
范和信息交换的过程和规则, 有助于实现安全, 可靠
的电子商务, 得到了许多著名网络和计算机公司的支
持 。 但是, SET协议实施起来很复杂, 因而在短期内
推广 SET协议还存在一定的困难 。
第六章 公开密钥设施 PKI
第六章
公开密钥设施 PKI
计算机系统安全
2
一、需要解决的问题
网络安全的要求,
数据传输的机密性
数据交换的完整性
发送信息的不可否认性
交易者身份的确定性
安全解决方案:
建立安全证书体系结构 。 提供在网上验证身份的方式 。
主要采用了公开密钥体制, 其它还包括对称密钥加密,
数字签名, 数字信封等技术 。
第六章 公开密钥设施 PKI
3
1,什么是信任
信任:实体 A认定实体 B将严格地按 A所期望的
那样行动, 则 A 信任 B。 ( ITU-T推荐标准
X.509的定义 )
称 A是信任者, B是被信任者 。 信任涉及对某
种事件, 情况的预测, 期望和行为 。 信任是信
任者对被信任者的一种态度, 是对被信任者的
一种预期, 相信被信任者的行为能够符合自己
的愿望 。
第六章 公开密钥设施 PKI
二、信任及信任模式
4
信任涉及假设, 期望和行为, 这意味着
信任是不可能被定量测量的, 信任是与
风险相联系的并且信任的建立不可能总
是全自动的 。 在 PKI中, 我们可以把这个
定义具体化为:如果一个用户假定 CA可
以把任一公钥绑定到某个实体上, 则他
信任该 CA。
5
信任具有不同的类别 。 按照涉及到的事件, 情
况的分类, 信任可以表现为三种期待:对自然
与社会的秩序性, 对合作伙伴承担的义务, 对
某角色的技术能力 。 例如在电子商务中, 交易
者信任交易系统对每个用户是公平的, 对用户
的私有信息是严加保密的, 交易系统是稳定的
并且能够完成交易的全过程而且保证交易的正
确性等等 。
信任具有时间差 。 信任者的期待在前, 被信任
者的行为在后, 信任者与被信任者之间存在着
时间上的某种不对称性 。
第六章 公开密钥设施 PKI
6
信任具有不确定性 。 依据信任而做出的决策,
产生的行为结果是不确定的, 即结果可能与期
望相符也可能与期望不符 。 信任是实体决策时
的一个主观概念, 是一种非理性的行为, 它处
在全知与无知之间, 是一种依据过去形成的信
任关系对未来的期望 。
信任与风险是相联系的 。 信任是在对未来事件
的不可预料中才会有的, 行为结果的不确定性
使信任者的决策具有风险, 即便决策依据完全
信任 。 行为结果如果具备了确定性, 就不存在
风险与应对风险这一特定方式了 。
第六章 公开密钥设施 PKI
7
信任是动态和非单调的 。 信任关系的建立有很
多种, 如自觉的, 强制的, 道德约束的或法律
制约的, 利益驱动的 。 信任随着实体的行为结
果将动态变化 。 对一个实体得出的信任或不信
任评价依赖于被信任者的交易历史, 良好的交
易评价将得到较高程度的信任, 信任者依据对
决策之后行动结果的信任评价, 不断修正对实
体的信任程度 。
信任是决策的重要因素, 但不是唯一因素 。 例
如实体 A信任实体 B,而同时实体 B不信任实体
A,但实体 B可能为获得较大的收益而不顾风
险与实体 A与进行一次交易 。
第六章 公开密钥设施 PKI
8
信任者与被信任者建立信任关系分为四个阶段:
1) 信任者对被信任者的行为进行信任评价,
得到预测结果;
2) 依据预测结果及其他参考因素, 进行综合
决策, 决定被信任者的行为是否发生;
3) 若被信任者的行为发生, 将产生实际结果;
4) 对被信任者的行为结果进行信任评价, 即
比较预测结果与实际结果, 根据信任评价修正
信任关系 。
第六章 公开密钥设施 PKI
9
2,直接信任与推荐信任
按照有无第三方可信机构参与, 信任可划分为
直接信任和第三方的推荐信任 。
1) 第三方信任
第三方信任是指两个实体以前没有建立起信任
关系, 但双方与共同的第三方有信任关系, 第
三方为两者的可信任性进行了担保, 由此建立
起来的信任关系 。 第三方信任的实质是第三方
的推荐信任, 是目前网络安全中普遍采用的信
任模式 。
第六章 公开密钥设施 PKI
10
第三方信任
第六章 公开密钥设施 PKI
信任 信任
信任
第三方
Alice Bob
第三方信任
11
扩展的第三方信任模型 ( 交叉认证 )
第六章 公开密钥设施 PKI
信
任
CA
Alice
CA
Bill AnneBob
CA域 X CA域 Y
第三方
信任
12
2) 直接信任
直接信任是最简单的信任形式 。 两个实体间无
须第三方介绍而直接建立信任关系 。
在 Web浏览器中, 用户直接信任根 CA密钥, 因
为密钥是由制造商直接提供的;在 PGP中, 用
户自己验证密钥, 从不设置其他可信介绍人,
这就是直接信任;当两个从不同的 CA来的实体
要进行安全通信, 而这两个 CA之间不能交叉认
证时, 这时也需要直接信任, 在此基础上直接
交换密钥, 建立起信任关系 。 如果没有直接信
任, 交换密钥就没有价值的 。
第六章 公开密钥设施 PKI
13
二,PKI
PKI (Pubic Key Infrastructure)的概念
PKI是经过多年研究形成的一套完整的
Internet安全解决方案 。 它用公钥技术和规范
提供用于安全服务的具有普适性的基础设施 。
用户可利用 PKI平台提供的服务进行安全通信 。
PKI系统由五个部分组成:认证中心 CA,注册
机构 RA,证书库 CR, 证书申请者, 证书信任
方 。 前三部分是 PKI的核心, 证书申请者和证
书信任方则是利用 PKI进行网上交易的参与者 。
第六章 公开密钥设施 PKI
14
PKI的功能
证书产生与发放;证书撤销;密钥备份及
恢复;证书密钥对的自动更新;密钥历史档案;
支持不可否认;时间戳;交叉认证;用户管理
(如登录, 增删等 );客户端服务:理解安全策
略, 恢复密钥, 检验证书, 请求时间戳等 。
其他功能:
支持 LDAP ;支持用于认证的智能卡 。 此外,
PKI的特性融入各种应用 ( 防火墙, 浏览器,
电子邮件, 网络 OS) 也正在成为趋势 。
第六章 公开密钥设施 PKI
15
数字证书和 PKI解决哪些问题
数字证书能够解决信息传输的保密性, 完整性, 不
可否认性, 交易者身份的确定性问题 。 数字证书和
PKI结合解决电子商务中的安全问题 。
在传统的安全解决方案中,密码服务与应用紧密地结
合在一起,每一种网络应用都有自己的一套密钥管理,
功能大量冗余,管理维护工作复杂, 费用高, 而且这
种分散式的方案存在安全隐患, 互操作性也得不到保
证; 而 PKI以统一的, 通用的方式来解决所有应用的
共同安全问题 。 利用 PKI可以方便地建立和维护一个
可信的网络计算环境, 从而使得人们在这个无法直接
相互面对的环境里, 能够确认彼此身份和所交换的信
息, 能够安全地从事商务活动 。
第六章 公开密钥设施 PKI
16
美国的公开密钥体制
1,PAA(Policy Approval Authority)策略机构是 PKI核心和基础,
为所有的用户, 用户组织和 CA制定指南, 监管所有制定策略
的机构 。
2.PCA(Policy Creation Authority)是整个 PKI的二级 CA,开发安
全策略 。
3,CA是第三层实体 。 CA在其上级 PCA规定的安全策略下运行 。
4,ORA(Organization Registration Authority)鉴别个人身份,
确认用户与单位的隶属关系 。
5,用户:用户是整个 PKI树的叶节点, 用户通常是个人 。
6,目录服务器:使用 X.500或 LDAP提供证书和 CRL发布功能 。
第六章 公开密钥设施 PKI
17
1,认证机关
为信息安全提供有效的, 可靠的保护机制, 包括
机密性, 身份验证特性, 不可否认性 (交易的各方不
可否认它们的参与 )。 这就需要依靠一个可靠的第三
方机构验证, 而 认 证 中 心 ( CA,Certification
Authority) 专门提供这种服务 。
证书机制是目前被广泛采用的一种安全机制, 使
用证书机制的前提是建立 CA(Certification
Authority-认证中心 )以及配套的 RA( Registration
Authority --注册审批机构 ) 系统 。
第六章 公开密钥设施 PKI
18
什么是 CA机构
CA机构, 又称为证书授证中心, 是为了解决电
子商务活动中交易参与的各方身份, 资信的认定, 维
护交易活动中的安全, 从根本上保障电子商务交易活
动顺利进行而设立的, 是受一个或多个用户信任, 提
供用户身份验证的第三方机构, 承担公钥体系中公钥
的合法性检验的责任 。
在 SET交易中, CA不仅对持卡人, 商户发放证书,
还要对收款的银行, 网关发放证书 。 它负责产生, 分
配并管理所有参与网上交易的个体所需的数字证书,
因此是安全电子交易的核心环节 。
第六章 公开密钥设施 PKI
19
二,PKI
RA( Registration Authority)
数字证书注册审批机构 。 RA系统是 CA的证书发
放, 管理的延伸 。 它负责证书申请者的信息录
入, 审核以及证书发放等工作;同时, 对发放
的证书完成相应的管理功能 。 发放的数字证书
可以存放于 IC卡, 硬盘或软盘等介质中 。 RA系
统是整个 CA中心得以正常运营不可缺少的一部
分 。
第六章 公开密钥设施 PKI
20
二,PKI CA的职能
( 1) 接收验证最终用户数字证书的申请 。
( 2) 确定是否接受最终用户数字证书的申请 -证书的审批 。
( 3) 向申请者颁发, 拒绝颁发数字证书 -证书的发放 。
( 4) 接收, 处理最终用户的数字证书更新请求 -证书的更新 。
( 5) 接收最终用户数字证书的查询, 撤销 。
( 6) 产生和发布证书废止列表 CRL( Certificate Revocation
List) 。
( 7) 数字证书的归档 。
( 8) 密钥归档 。
( 9) 历史数据归档 。
第六章 公开密钥设施 PKI
21
认证中心为了实现其功能, 主要由以下三部分组成:
注册服务器,通过 Web Server 建立的站点, 可
为客户提供每日 24小时的服务 。 因此客户可在自己方
便的时候在 网上提出证书申请和填写相应的证书申请
表, 免去了排队等候等烦恼 。
证书申请受理和审核机构,负责证书的申请和审
核 。 它的主要功能是 接受客户证书申请并进行审核 。
认证中心服务器, 是数字证书生成, 发放的运行
实体, 同时提供发放证书的管理, 证书废止列表 ( CRL)
的生成和处理等服务 。
第六章 公开密钥设施 PKI
22
我国 CA的建设情况
中国电信 CA安全认证体系 ( CTCA), 上海电子商务 CA
认证中心 ( SHECA) 和中国金融认证中心 ( CA) 等 。
数字证书
数字证书是网络通讯中标志通讯各方身份信息的
一系列数据, 提供了一种在 Internet上验证身份的方式,
其作用类似于司机的驾驶执照或日常生活中的身份证 。
由权威机构 CA机构发行的, 人们可以在交往中用它来
识别对方的身份 。
最简单的证书包含一个公开密钥, 名称以及证书授权
中心的数字签名 。
第六章 公开密钥设施 PKI
23
证书原理:数字证书采用公钥体制 。 用户设定一把特
定的仅为本人所有的私有密钥 ( 私钥 ), 用它进行解
密和签名;同时设定一把公共密钥 ( 公钥 ) 并由本人
公开, 为一组用户所共享, 用于加密和验证签名 。
数字证书的作用:使用数字证书, 通过运用对称和非
对称密码体制等密码技术建立起一套严密的身份认证
系统, 从而保证信息除发方和接方外不被其它人窃取
或篡改 。
数字证书可用于:安全地发送电子邮件;访问安
全站点, 网上招投标, 网上签约, 网上订购, 安全网
上公文传送, 网上办公, 网上缴费, 网上购物等网上
的安全电子事务处理和交易 。
第六章 公开密钥设施 PKI
24
产生, 验证和分发密钥 方式
1)用户自己产生密钥对,用户自己生成密钥对, 然后
将公钥以安全的方式传送给 CA,该过程必须保证用户
公钥的可验证性和完整性 。
2)CA为用户产生密钥对,CA替用户生成密钥对,然后
将其安全地传给用户, 该过程必须确保密钥对的机密
性, 完整性和可验证性 。 该方式下由于用户的私钥为
CA所知, 故对 CA的可信性要求更高 。
3)CA(包括 PAA,PCA,CA)自己产生自己的密钥对 。
第六章 公开密钥设施 PKI
25
签名和验证
在 PKI体系中, 对信息和文件的签名, 以及对签
名的 验 证是很普遍的操作 。
PKI成员对数字签名和认证是采用多种算法的,
如 RSA,DES等等, 这些算法可以由硬件, 软件
或硬软结合的加密模块 (固件 )来完成 。
密钥和证书存放的介质可以是内存, IC卡或软
盘等 。
第六章 公开密钥设施 PKI
26
证书的获取
—— 发送者发送签名信息时, 附加发送自己的证书;
—— 单独发送证书信息的通道;
—— 可从访问发布证书的目录服务器获得;
—— 或者从证书的相关实体 (如 RA)处获得;
在 PKI体系中, 可以采取某种或某几种的上述方式获得
证书 。
发送数字签名证书的同时, 可以发布证书链 。 这时,
接收者拥有证书链上的每一个证书, 从而可以验证发
送者的证书 。
第六章 公开密钥设施 PKI
27
证书的主要内容
证书的格式与证书发放 数字证书格式的通用标准是 X.509。 根
据该标准, 数字证书应有下列信息:
版本号;
序列号;
签字算法;
发出该证书的认证机构;
有效期限;
第六章 公开密钥设施 PKI
主体信息:包括持有人的姓名、
服务处所等信息;
公共密钥信息;
认证机构的数字签字。
在 X.509标准的扩展部分,认证
机构可以说明该证书的附加信息,
如密钥用途等。
28
证书的管理
用户能方便地查找各种证书及已经撤销的证书 。
根据用户请求或其它相关信息撤销用户的证书 。
能根据证书的有效期限自动地撤销证书 。
能完成证书数据库的备份工作 。
证书的管理通过目录服务来实现 。
第六章 公开密钥设施 PKI
29
验证证书
验证证书的过程是迭代寻找证书链中下一个证书和它
相应的上级 CA证书 。
在使用每个证书前, 必须检查相应的 CRL(对用户来说
这种在线的检查是透明的 )。
用户检查证书的路径是从最后一个证书 (即用户已确认
可以信任的 CA证书 )所签发的证书有效性开始, 检验每
一个证书, 一旦验证后, 就提取该证书中的公钥, 用
于检验下一个证书, 直到验证完发送者的签名证书,
并将该证书中包括的公钥用于验证签名 。
第六章 公开密钥设施 PKI
30
保存证书
指 PKI实体在本地储存证书, 以减少在 PKI体系中获得
证书的时间, 并提高证书签名的效率 。
在存储每个证书之前, 应该验证该证书的有效性 。 PKI
实体可以选择存储其证书链上其他实体所接收到的所
有证书, 也可以只存储数字签名发送者的证书 。
证书存储单元应对证书进行定时管理维护, 清除已作
废的或过期的证书及在一定时间内未使用的证书 。 证
书存储数据库还要与最新发布的 CRL文件相比较, 从数
据库中删除 CRL文件中已发布的作废证书 。
第六章 公开密钥设施 PKI
31
本地保存证书的获取
CA证书可以集中存放 或 分布式存放, 即可从本地
保存的证书中获取证书 。 用户收到签名数据后,
将去检查证书存储区中是否已有发送者签发的证
书, 用签发者的公钥验证签名 。
用户可以选择在每次使用前来检查最新发布的
CRL,以确保发送者的证书未被作废;用户也可
选择定期证实本地证书在存储区中的有效性 。
如果用户的本地存储区中未保存发送者的证书,
用户则应按照上述证书获取的过程取得所需的证
书 。
第六章 公开密钥设施 PKI
32
证书废止的申请
—— 当 PKI中某实体的私钥被泄漏时, 被泄密的
私钥所对应的公钥证书应被作废 。
对 CA而言, 私钥的泄密不大可能, 除非有意破
坏或恶意攻击所造成;对一般用户而言, 私钥
的泄密可能是因为存放介质的遗失或被盗 。
—— 另外一种情况是证书中所包含的证书持有
者已终止或与某组织的关系已经中止, 则相应
的公钥证书也应该作废 。
第六章 公开密钥设施 PKI
33
终止的方式:
(1)如果是密钥泄露, 证书的持有者以电话或书面的方
式, 通知相应的 CA;
(2)如果是因关系中止, 由原关系中组织方面出面通知
相应的 ORA或 CA。
处理过程:
如果 ORA得到通知, ORA应通知相应的 CA,作废请求得
到确认后, CA在数据库中将该证书记上作废标志, 并
在下次发布 CRL时加入证书作废列表, 并标明作废时间 。
在 CRL中的证书作废列表时间有规定, 过期后即可删除 。
第六章 公开密钥设施 PKI
34
密钥的恢复
在密钥泄密, 证书作废后, 泄密实体将获得 (包括个人用户 )一
对新的密钥, 并要求 CA产生新的证书 。
泄漏密钥的实体是 CA的情况下, 它需要重新签发以前那些用泄
密密钥所签发的证书 。 每一个下属实体将产生新的密钥时, 获
得 CA用新私钥签发新的证书, 而原来用泄密密钥签发的旧证书
将作废, 并被放入 CRL。
可采取双 CA的方式来进行泄密后的恢复, 即每一个 PKI实体的公
钥都由两个 CA签发证书, 当一个 CA泄密钥后, 得到通知的用户
可转向另一个 CA的证书链, 可以通过另一个 CA签发的证书来验
证签名 。 这样可以减少重新产生密钥时和重新签发证书的巨大
工作量, 也可以使泄密 CA的恢复和它对下属实体证书的重新发
放工作稍慢进行, 系统的功能不受影响 。
第六章 公开密钥设施 PKI
35
CRL的获取
每一个 CA均可以产生 CRL,CRL可以定期产生也
可以在每次有证书作废请求后, 实时产生, CA
应将其产生的 CRL及时发布到目录服务器上去 。
CRL的获取就可以有多种方式:
—— CA产生 CRL后, 自动发送到下属各实体;
—— 大多数情况是:由使用证书的各 PKI实体从
目录服务器获得相应的 CRL。
第六章 公开密钥设施 PKI
36
交叉认证方式
需要互通的 PKI体系中的 PAA( Policy Approval
Authority) 在经过协商和政策制定之后, 可以
互相认证对方系统中的 PAA(即根 CA)。
认证方式是根 CA用自己的私钥为其他的需要交
叉认证的根 CA的公钥签发证书 。
这种认证方式减少了操作中的政策因素, 对用
户而言, 也只在原有的证书链上增加一个证书
而已 。 但对于每一个根 CA而言, 需要保存所有
其它需要与之进行交叉认证的根 CA的证书 。
第六章 公开密钥设施 PKI
37
签名密钥对和加密密钥对
签名密钥对
----签名密钥对由签名私钥和验证公钥组成 。 签
名私钥具有日常生活中公章, 私章的效力, 为
保证其唯一性,签名私钥绝对不能够作备份和存
档,丢失后只需重新生成新的密钥对,原来的签名
可以使用旧公钥的备份来验证 。 验证公钥需要
存档,用于验证旧的数字签名 。
----用作数字签名的这一对密钥一般可以有较长
的生命期 。
第六章 公开密钥设施 PKI
38
签名密钥对和加密密钥对
加密密钥对
?加密密钥对由加密公钥和脱密私钥组成 。
?为防止密钥丢失时丢失数据, 脱密私钥应该进
行备份, 同时还可能需要进行存档,以便能在任
何时候脱密历史密文数据 。 加密公钥无须备份和
存档,加密公钥丢失时,只须重新产生密钥对 。
?加密密钥对通常用于分发会话密钥, 这种密钥
应该频繁更换,故加密密钥对的生命周期较短 。
第六章 公开密钥设施 PKI
39
签名密钥对和加密密钥对的比较
这两对密钥的密钥管理要求存在互相冲突的地
方, 因此, 系统必须针对不同的用途使用不同
的密钥对, 尽管有的公钥体制算法, 如目前使
用广泛的 RSA,既可以用于加密, 又可以用于
签名,在使用中仍然必须为用户配置两对密钥,
两张证书, 分别用于数字签名和加密 。
第六章 公开密钥设施 PKI
40
2,证书库
----证书库是证书的集中存放地, 是网上的一种
公共信息库,用户可以从此处获得其他用户的证
书和公钥 。
----构造证书库的最佳方法是采用支持 LDAP协
议的目录系统, 用户或相关的应用通过 LDAP来
访问证书库 。 系统必须确保证书库的完整性,防
止伪造, 篡改证书 。
第六章 公开密钥设施 PKI
41
3.密钥备份及恢复系统
----如果用户丢失了用于脱密数据的密钥,则密文
数据将无法被脱密,造成数据丢失 。 为避免这种
情况的出现,PKI应该提供备份与恢复脱密密钥
的机制 。
----密钥的备份与恢复应该由可信的机构来完成,
例如 CA可以充当这一角色 。 强调:密钥备份与
恢复只能针对脱密密钥, 签名私钥不能够作备
份 。
第六章 公开密钥设施 PKI
42
4.证书作废处理系统
它是 PKI的一个重要组件 。 有三种策略,
作废一个或多个主体的证书 ;
作废由某一对密钥签发的所有证书 ;
作废由某 CA签发的所有证书 。
?通过将证书列入作废证书表 ( CRL) 来完成 。 CA创建
并维护一张及时更新的 CRL,而由用户在验证证书时
负责检查该证书是否在 CRL之列 。 CRL一般存放在目
录系统中 。
?证书的作废处理必须安全, 可验证, 必须保证 CRL的
完整性 。
第六章 公开密钥设施 PKI
43
5.PKI应用接口系统
?PKI的价值:提供加密, 数字签名等安全服务, 因此
需要良好的应用接口系统, 使得各种各样的应用能够
以安全, 一致, 可信的方式与 PKI交互, 确保所建立起
来的网络环境的可信性, 同时降低管理维护成本 。
?向应用系统屏蔽密钥管理的细节:
完成证书的验证工作, 为所有应用以一致, 可信的方
式使用公钥证书提供支持;
以安全, 一致的方式与 PKI的密钥备份与恢复系统交互,
为应用提供统一的密钥备份与恢复支持;
第六章 公开密钥设施 PKI
44
在所有应用系统中, 确保用户的签名私钥始终只在用
户本人的控制之下, 阻止备份签名私钥的行为;
根据安全策略自动为用户更换密钥;
为方便用户访问加密的历史数据, 向应用提供历史密
钥的安全管理服务;
为所有应用访问公用证书库提供支持;
向所有应用提供统一的证书作废处理服务;
为所用应用提供统一模式的交叉验证支持;
支持多种密钥存放介质, 如 IC卡, PC卡, 安全文件等 。
?PKI应用接口系统应该是跨平台 。
第六章 公开密钥设施 PKI
45
PKI系统的常用信任模型
选择适当的信任模型 ( Trust Model) 是构筑和运作
PKI所必需的一个环节 。 选择正确的信任模型以及与
它相应的安全级别是非常重要的, 同时也是部署 PKI
所要做的较早和基本的决策之一 。
----信任模型主要阐述了以下几个问题:
● 一个 PKI用户能够信任的证书是怎样被确定的?
● 这种信任是怎样被建立的?
● 在一定的环境下, 这种信任如何被控制?
第六章 公开密钥设施 PKI
46
常用的四种信任模型:
? 认 证 机 构 的 严 格 层 次 结 构 模 型 ( Strict
Hierarchy of Certification Authorities Model)
? 分 布 式 信 任 结 构 模 型 ( Distributed Trust
Architecture Model)
? Web模型 ( Web Model)
?以用户为中心的信任模型 ( User Centric Trust
Model) 。
第六章 公开密钥设施 PKI
47
1)认证机构的严格层次结构模型
----认证机构的严格层次结构为一棵倒转的树, 根在
顶上, 树枝向下伸展, 树叶在下面 。 在这棵倒转的树
上, 根代表一个对整个 PKI系统的所有实体都有特别意
义的 CA—— 通常叫做根 CA,它充当信任的根或, 信任
锚 ( trust anchor),—— 也就是认证的起点或终点 。
在根 CA的下面是零层或多层中介 CA,也被称作子 CA,
因为它们从属于根 CA。 子 CA用中间节点表示, 从中间
节点再伸出分支 。 与非 CA的 PKI实体相对应的树叶通常
被称作终端实体或终端用户 。 在这个模型中, 层次结
构中的所有实体都信任唯一的根 CA。
第六章 公开密钥设施 PKI
48
这个层次结构按如下规则建立:
?根 CA认证 (创立和签署证书 )直接连接在它下面的 CA。
?每个 CA都认证零个或多个直接连接在它下面的 CA。
( 在一些认证机构的严格层次结构中, 上层的 CA既可
以认证其他 CA也可以认证终端实体 。 虽然在现有的
PKI标准中并没有排除这一点, 但是在文献中层次结构
往往都是假设一个给定的 CA要么认证终端实体要么认
证其他 CA,但不能两者都认证 。 我们将遵循这个惯例,
但不应该认为这是有限制的 。 )
?倒数第二层的 CA认证终端实体 。
在认证机构的严格层次结构中, 每个实体 ( 包括中介
CA和终端实体 ) 都必须拥有根 CA的公钥
第六章 公开密钥设施 PKI
49
认证过程 举 例
持有根 CA公钥的终端实体 A通过下述方法检验另一个终
端实体 B的证书 。 假设 B的证书是由 CA2签发的, 而 CA2
的证书是由 CA1签发的, CA1的证书又是由根 CA签发的 。
A拥有根 CA的公钥 KR,能够验证 CA1的公钥 K1,因此可
提取出可信的 CA1的公钥 。 然后, 这个公钥可以被用作
验证 CA2的公钥, 类似地就可以得到 CA2的可信公钥 K2。
公钥 K2能够被用来验证 B的证书, 从而得到 B的可信公
钥 KB。 现在 A能 根据密钥的类型来使用密钥 KB,如对
发给 B的消息加密或者用来验证据称是 B的数字签名,
从而实现 A和 B之间的安全通信 。
第六章 公开密钥设施 PKI
50
2)分布式信任结构模型
----与在 PKI系统中的所有实体都信任唯一一个
CA的严格层次结构相反, 分布式信任结构把信
任分散在两个或多个 CA上 。 也就是说, A把 CA1
作为他的信任锚, 而 B可以把 CA2做为他的信任
锚 。 因为这些 CA都作为信任锚, 因此相应的 CA
必须是整个 PKI系统的一个子集所构成的严格层
次结构的根 CA( CA1是包括 A在内的严格层次结
构的根, CA2是包括 B在内的严格层次结构的
根 ) 。
第六章 公开密钥设施 PKI
51
----如果这些严格层次结构都是可信颁发者层次结构,
那么该总体结构被称作完全同位体结构, 因为所有的
CA实际上都是相互独立的同位体 ( 在这个结构中没有
子 CA) 。 另一方面, 如果所有的严格层次结构都是多
层结构, 那么最终的结构就被叫做满树结构 。 ( 注意,
根 CA之间是同位体, 但是每个根又是一个或多个子 CA
的上级 。 混合结构也是可能的 ( 具有若干个可信颁发
者层次结构和若干个多层树型结构 ) 。 一般说来, 完
全同位体结构部署在某个组织内部, 而满树结构和混
合结构则是在原来相互独立的 PKI系统之间进行互联的
结果 。 同位体根 CA的互连过程通常被称为, 交叉认证
( cross certification),。
第六章 公开密钥设施 PKI
52
交叉认证要考虑的问题
交叉认证把以前无关的 CA连在一起,使各
自主体群之间的安全通信成为可能。它
也扩展了信任概念。
? 名字约束
例:限定某一特定公司的证书有效。
? 策略约束
例:限制证书使用目的
? 路径长度约束
限制交叉证书的数目
53
3)Web模型
----Web模型是在 WWW上诞生的, 依赖于浏览器, 如
Navigator和 Internet Explorer。 许多 CA的公钥被预
装在标准的浏览器上 。 这些公钥确定了一组浏览器用
户最初信任的 CA。 普通用户很难修改这组根密钥 。
----该模 型似乎与分布式信任结构模型相似, 但从根
本上讲, 它更类似于认证机构的严格层次结构模型 。
因为在实际上, 浏览器厂商起到了根 CA的作用, 而与
被嵌入的密钥相对应的 CA就是它所认证的 CA,当然这
种认证并不是通过颁发证书实现的, 而只是物理地把
CA的密钥嵌入浏览器 。
第六章 公开密钥设施 PKI
54
----Web模型方便, 简单, 互操作性 好, 但存在安全隐
患 。 例如, 因为浏览器的用户自动地信任预安装的所
有公钥, 所以即使这些根 CA中有一个是, 坏的, ( 例
如, 该 CA从没有认真核实被认证的实体 ), 安全性将
被完全破坏 。 A将相信任何声称是 B的证书都是 B的合法
证书, 即使它实际上只是由其公钥嵌入浏览器中的
CAbad 签署的挂在 B名下的 C的公钥 。 所以, A就可能无
意间向 C 透露机密或接受 C伪造的数字签名 。 这种假冒
能够成功的原因是,A一般不知道收到的证书是由哪一
个根密钥验证的 。 在嵌入到其浏览器中的多个根密钥
中, A可能只认可所给出的一些 CA,但并不了解其他 CA。
然而在 Web模型中, A的软件平等而无任何疑问地信任
这些 CA,并接受它们中任何一个签署的证书 。
第六章 公开密钥设施 PKI
55
4)以用户为中心的信任模型
----每个用户自己决定信任哪些证书 。 通常, 用户的
最初信任对象包括用户的朋友, 家人或同事, 但是否
信任某证书则被许多因素所左右 。
----在 PGP中, 一个用户通过担当 CA( 签署其他实体的
公钥 ) 并使其公钥被其他人所认证来建立, 信任网,。
例如, 当 A收到一个据称属于 B的证书时, 她将发现这
个证书是由她不认识的 D签署的, 但是 D的证书是由她
认识并且信任的 C签署的 。 在这种情况下, A可以决定
信任 B的密钥 ( 即信任从 C到 D再到 B的密钥链 ), 也可
能不信任 B的密钥 ( 认为, 未知的, B与, 已知的, C
之间的, 距离太远, ) 。
此模型依赖于用户行为, 决策, 不适于普通群体 。
第六章 公开密钥设施 PKI
56
实施 PKI应考虑的因素
关键:商业驱动,而不是以技术为中心
1)好处:安全的 E-mail,EDI,内 (外 )部网、
实体访问控制,Web应用、客户签名、
简化登录。
提高工作效率、节省劳动力、减少风险、
降低通信费用等。
2)成本因素
3)实施步骤
57
PKI实施中的障碍
? 资料库问题
? 业界标准问题
? 产品之间的互操作问题
? PKI支撑平台有待提高
? 专业人才
58
三,X.509标准
相关国际标准
PKI (Public-Key Infrastructure)公钥体系基础框架 。
PKIX (Public-Key Infrastructure Using X.509)使
用 X.509的公钥体系基础框架 。
X.500 由 ISO和 ITU提出的为大型网络提供目录服务的
标准体系 。
X.509 为 X.500提供验证 (Authenticating)体系的标准 。
PKCS(Public Key Cryptography Standards)公钥加密
标准, 为 PKI提供一套完善的标准体系 。
第六章 公开密钥设施 PKI
59
X.509是 X.500推荐系列的一部分, 提供安全
目录服务 。 目录是维护用户信息数据库的服务器
或一组分布式服务器 。 一份 X.509证书是一些标
准字段的集合,这些字段包含有关用户或设备及
其相应公钥的信息的通用证书格式, 所有的证书
都符合 X.509标准 。 X.509最初是 1988年发布, 此
后针对安全问题作了改进 。 1995年发布 V3版本,
它在原有版本基础上进行功能的扩充 。
X.509是重要的标准, 它定义的证书结构, 身份验
证 协议 已经 用于 S/MIME,IPSEC,SSL/TLS、
SET协议等 。
第六章 公开密钥设施 PKI
60
第六章 公开密钥设施 PKI
X.509 PKI 主要特性
X.509 v1 & 2 X.509 v3
证书信息
只有 X.500 实体名,包括 CA、
证主 (subject)名,证主公钥
及其有效期。
充分扩展,可包含任何信
息。
CA 规范 CA体系鼓励带交叉的层状树型结构,无信任限制规范。
CA体系鼓励带交叉的层状
树型结构,有信任限制规
范。
CA,证主,用户 CA,证主、用户在概念上严格区分
CA,证主、用户 信
任关系
认为每个用户至少信任一个 CA。
CA无法操纵与其它 CA,证主及
用户间的信任关系。
认为每个用户至少信任一
个 CA。 CA可以规范与其它
CA及证主间的信任关系。
61
第六章 公开密钥设施 PKI
证书有效性验证方
式
离线方式,通过检查证书有效
期及是否出现在最近的 CRL
( 证书吊销表)上。
支持离线与在线方式。
证书吊销方法 简单 CRL。 复杂的 CRL,通过功能扩展支持在线方式。
证书形式特点 身份形式的证书。
主要还是身份形式的证书,
但支持信任委托形式的证
书。
匿名性 匿名程度依赖于 X.500 条目的匿名程度。 扩展功能支持彻底的匿名服务。
62
各版本必须包含下列信息:
(1) 用来区分 X.509的不同版本号既版本号
(2) 由 CA给每个证书的分配的编号即序列号;
(3) 产生证书签名所用的算法及参数
(4) CA的 x.500名字即发出该证书的认证机构
(5) 证书有效期:生效日期和截止日期
(6) 持 证人的姓名, 服务处所等信息即主题信息
(7) 认证机构的数字签名
(8) 公钥值, 使用这个公钥的算法名称, 参数
第六章 公开密钥设施 PKI
63
四,SET支付
支付工具:现金 ?信用卡 。
网上交易, 商家, 消费者和银行通过 Internet交互, 无
法用传统方法完成支付的查验过程 。
1995年, 信用卡国际组织, 资讯业者及网络安全专业团
体等开始组成策略联盟, 共同研究开发电子商务的安全
交易系统 。 1 9 9 6 年 6 月, 由 IBM,Master Card
International,Visa International,Microsoft,
Netscape等共同制定的标准 SET( Secure Electronic
Transaction) 正式公告, 涵盖了信用卡在电子商务交
易中的交易协定, 信息保密, 资料完整即数字认证, 数
字签名等 。 这一标准被公认为全球网际网络的标准, 被
用于 B2C交易模式中 。
第六章 公开密钥设施 PKI
64
在 SET标准中, 定义了五种实体:
● 持卡人:拥有信用卡的消费者;
● 商家:在 Internet上提供商品或服务的商店;
● 支付网关:由金融机构或第三方控制, 它处理持卡
人购买和商家支付的请求;
● 收单行 (Acquirer),负责将持卡人的帐户中资金转
入商家帐户的金融机构;
● 发卡行:负责向持卡人发放信用卡的金融机构 。
第六章 公开密钥设施 PKI
65
SET协议流程:
1) 用户向商家发订单和经过签名, 加密的信托书 。 书
中的信用卡号是经过加密的, 商家无从得知;
2) 收单银行收到商家发来的信托书, 解密信用卡号,
并通过认证验证签名;
3) 收单银行向发卡银行查问, 确认用户信用卡是否属
实;
4) 发卡银行认可并签证该笔交易;
5) 收单银行认可商家并签证此交易;
6) 商家向用户传送货物和收据;
第六章 公开密钥设施 PKI
66
7) 交易成功, 商家向收单银行索款;
8) 收单银行按合同将货款划给商家;
9) 发卡银行向用户定期寄去信用卡消费账单 。
SET协议规定了参加电子交易各方在交易中的行为规
范和信息交换的过程和规则, 有助于实现安全, 可靠
的电子商务, 得到了许多著名网络和计算机公司的支
持 。 但是, SET协议实施起来很复杂, 因而在短期内
推广 SET协议还存在一定的困难 。
第六章 公开密钥设施 PKI
