公钥基础设施课件.ppt

1、上述攻击成功的原因？1.对公开密钥没有采取保密措施，致使公开密钥被替换而不能发现。2.对公开密钥与用户标识符之间没有绑定关系，致使A的公钥替换成C的公钥后不能发现公开密钥与用户标识符之间的对应关系被破坏。采用数字签名技术可以克服上述两个弱点。确保公开密钥的安全分配。公钥证书、证书管理机构、证书管理系统、围绕证书服务的各种软硬件设备以及相应的法律基础共同组成公钥基础设施（PKI,Public Key Infrastructure）。公开密钥基础设施提供一系列支持公开密钥密码应用（加密与解密、签名与验证签名）的基础服务。本质上，PKI是一种标准的公钥密码的密钥管理平台。数字证书是PKI中最基础的组

2、成部分。此外，PKI还包括签发证书的机构（CA），注册登记证书的机构（RA），存储和发布证书的目录，密钥管理，时间戳服务，管理证书的各种软件和硬件设备，证书管理与应用的各种政策和法律，以及证书的使用者。所有这些共同构成了PKI。一般地讲，证书是一个数据结构，是一种由一个可信任的权威机构签署的信息集合。日常生活中有许多使用证书的例子，例如汽车驾照。驾照由可信的公安机关签发，以标识驾驶员的驾驶资格。由于有公安机关的签章，任何人都可以验证驾照的真实性。又由于驾照上印有驾驶员的照片，从而实现驾驶员与驾照之间的严格绑定。数字证书类似于现实生活中的身份证。身份证将个人的身份信息(姓名、出生年月、地址和其他

3、信息)同个人的可识别特性绑定在一起，它由国家权威机关(公安部)签发。数字证书建立用户与公钥的关联。因此，数字证书要包含用户名与用户的公钥，证明特定公钥属于某个用户。谁来签发这些数字证书？证书机构就是可以签发数字证书的信任机构。对于大范围的应用，一个CA是远远不够的，往往需要许多CA。例如对于某一行业，国家建立一个最高级的CA，称为根CA。每个省建立一个省CA，每个市也都可以建立CA，甚至一个企业也可以建立自己的CA。不同的证书机构服务于不同的范围，履行不同的职责。通常，证书机构是一些著名组织，如邮局、财务机构、软件公司，等等。这样，证书机构有权向个人和组织签发数字证书，使其可以在非对称密钥加密

4、应用程序中使用这些证书。世界上最著名的证书机构是VeriSign与Entrust。Safescrypt公司是Satyam信息公司的子公司，2002年2月成为印度第一家证书机构。X.509证书 目前应用最广泛的证书格式是国际电信联盟ITU（International Telecommunication Union）提出的X.509版本3格式。X.509标准最早于1988年颁布。在此之后又于1993年和1995年进行过两次修改。INTERNET工程任务组（IETF）针对X.509在INTERNET环境的应用，颁布了一个作为X.509子集的RFC2459。从而使X.509在INTERNET环境中得到

5、广泛应用。VersionCertificate serial numberIssuer nameSignature algorithm identifiervaliditySubject nameSubject public key informationIssuer unique identifierSubject unique identifierextensionsCertification authoritys digital signatureVersion 1Version 2Version 3All version 生成数字证书的过程有两方要参与，即主体（最终用户）和和签发者（证

6、书机构）。证书生成与管理还涉及（可选）第三方。由于证书机构的任务很多，如签发新证书、维护旧证书、吊销因故无效的证书，等等。因此可以将一些任务转交给三方注册机构（RA）。从最终用户角度看，证书机构与注册机构差别不大。技术上，注册机构是用户与证书机构之间的中间实体，帮助证书机构完成日常工作。最终用户最终用户最终用户证书机构（CA）注册机构（RA）注册机构通常提供下列服务：s接收与验证最终用户的注册信息；s为最终用户生成密钥；s接收与授权密钥备份与恢复请求；s接收与授权证书吊销请求；在证书机构与最终用户间加上注册另一重要影响是证书机构成为隔离实体，更不容易受到攻击。由于最终用户只能通过注册机构与证书

7、机构通信，因此可以将注册机构与证书机构通信高度保护，使这部分连接很难攻击。注册机构主要是为了帮助证书机构与最终用户间交互，注册机构不能签发数字证书，只能由证书机构签发。密钥生成注册验证证书生成首先是主体（用户/组织）要取得证书，可以使用两种方法。主体可以用某个软件生成公钥/私钥对，这个软件通常是Web浏览器或Web服务器的一部分，也可以使用特殊软件程序。主体要使生成的私钥保密，然后把公钥和其他信息与身份证明发送给注册机构。保密发送给RA密钥生成私钥公钥 注册机构也可以为主体（用户）生成密钥对，可能用户不知道生成密钥对的技术，或特定情况要求注册机构集中生成和发布所有密钥，便于执行安全策略和密钥管

8、理。当然，这个方法的主要缺点是注册机构知道用户的私钥，发送给用户时也可能中途暴露给别人。注册机构密钥生成私钥用户X的公钥用户X的私钥用户X 这一步只在第一步由用户生成密钥对时才需要。如果注册机构为主体（用户）生成密钥对，则这一步已经在第一步中完成。假设用户生成密钥对，则要向注册机构发送公钥和相关注册信息以及关于自己的所有证明材料。注意，用户不能把私钥发给注册机构，而要将其保密。主体注册机构（RA）公钥其它注册信息和证明注册过程完成后，注册机构要验证用户的材料，这个验证分为两个方面。1.RA要验证用户材料。如果用户是个组织，则RA可能要检查营业记录、历史文件和信用证明。如果是个人用户，则只要简单

9、证明就够了，如验证邮政地址、电子邮件地址、电话号码、护照与驾照等。2.检查保证请求证书的用户持有向RA的证书请求中发送的公钥所对应的私钥。这个检查称为检查私钥的拥有证明（POP,Proof Of Prossession）。RA如何检查？u RA可以要求用户用私钥对证书签名请求进行数字签名。如果RA能用这个用户的公钥验证签名正确性，则可以相信这个用户拥有该私钥。u 在这个阶段，RA也可以生成随机数挑战，用这个用户的公钥加密，将加密挑战发给用户。如果用户能用其私钥解密，则也可以相信这个用户拥有该私钥。u RA可以对用户生成一个哑证书，用这个用户的公钥加密，将其发给用户。用户要解密这个加密证书才能取

10、得明文证书。假设上述所有步骤成功，则RA把用户的所有细节传递给证书机构。证书机构进行必要的验证，并对用户生成数字证书。可以用程序生成X.509标准格式的证书。证书机构将证书发给用户，并保留一份证书记录。证书机构的证书记录放在证书目录中，这是证书机构维护的中央存储地址。然后证书机构将证书发给用户，可以附在电子邮件中，也可以向用户发一个电子邮件，通知其证书已生成，让用户从CA站点下载。有了数字证书系统后，如果某个用户需要任何其他已向CA注册的用户的公钥，可向持证人（或证书机构）直接索取数字证书。用CA的公钥验证CA的签名，从而获得可信的公钥。由于数字证书不需要保密，可以在公网上分发，从而实现公钥的

11、安全分配。又由于数字证书有CA的签名，攻击者不能伪造合法的数字证书。因此，只要CA是可信的，数字证书就是可信的。向用户签发数字证书之前，CA首先要对证书的所有字段计算一个消息摘要，然后用CA的私钥加密消息摘要，构成CA的数字签名。然后CA将计算的数字签名作为数字证书的最后一个字段插入。VersionCertificate serial numberIssuer nameSignature algorithm identifiervaliditySubject nameSubject public key informationIssuer unique identifierSubject un

12、ique identifierextensionsCertification authoritys digital signature消息摘要算法数字签名数字签名算法消息摘要证书机构的私钥数字签名作为数字证书的最后一个字段保存全部的消息摘要字段中，只有数字证书最后一个字段没有生成 任何一个用户只要知道签证机构的公钥，就能检查对证书的签名的合法性。如果检查正确，那么用户就可以相信那个证书所携带的公钥是真实的。而且这个公钥就是证书所标识的那个主体的合法的公钥。数字证书Subject name:.Public key:.CA的数字签名要验证这个证书，就要用CA的公钥删除签名。如果能够删除签名，则可以

13、肯定这个证书有效。CA签名证书1.用户将数字证书中除最后一个字段以外的所有字段传入消息摘要算法。这个算法与CA签名证书时使用的算法相同，CA会在证书中和签名一起指定签名所用算法，使用户知道用哪个算法。2.消息摘要算法计算数字证书中除最后一个字段以外的所有字段的消息摘要，假设这个消息摘要为MD1。3.用户从证书中取出CA的数字签名。4.用户设计CA的签名（即用CA的公钥解密签名）。5.这样就得到另一个消息摘要，称为MD2。注意MD2与CA签名证书时求出的消息摘要相同（即用么角加密消息摘要之前，对证书生成数字签名）。6.用户比较求出的消息摘要（MD1）与设计CA签名得到的消息摘要（MD2）。如果两

14、者相符，即MD1=MD2，则可以肯定数字证书是CA用其私钥签名的，否则用户不信任这个证书，将其拒绝。VersionCertificate serial numberIssuer nameSignature algorithm identifiervaliditySubject nameSubject public key informationIssuer unique identifierSubject unique identifierextensionsCertification authoritys digital signature消息摘要算法消息摘要(MD1)MD1=MD2?证书有

15、效 接收证书无效 拒绝全部的消息摘要第一步第二步是否数字签名反签名算法(解密)消息摘要（MD2）第三步第四步第五步证书机构的公钥第六步1.密钥交换问题的最终方案是使用_?a.护照 b.数字信封 c.数字证书d.消息摘要2.数字证书将用户与_相联系？a.私钥b.公钥c.护照d.驾照3._可以签发数字证书？a.CAb.政府c.小店主d.银行4.RA_签发数字证书。a.可以b.可以或不可以c.必须d.不能5.CA用_签名数字证书。a.用户的公钥b.用户的私钥c.自己的公钥d.自己的私钥 数字证书的验证虽然不错，但假设A与B具有不同的证书机构，A如何知道对方CA的公钥？要解决这个问题，就要生成证书机构

16、层次，称为信任链（chain of trust）。根CA二级CA(A2)二级CA(A1)二级CA(A3)三级CA(B2)三级CA(B1)三级CA(B10)三级CA(B11)AliceBob 根CA证书是自签名证书（self-signed certificate),即根CA对自己的证书签名。简单地说，这个证书的签发者和主体名都指向根CA。Digital certificateIssuer name:rootSubject name:rootBob的数字证书B11的数字证书A3的数字证书AliceBob1 证明公钥数字证书2 需要B11的证书来验证你的证书3 B11的证书4 需要A3的证书来验证B

17、11的证书5 A3的证书 A与B可能住在不同国家，即根CA本身就一一样。这是因为，每个国家通常有自己的根CA。事实上，一个国家可能有多个根CA。日本的A能信任B在美国的根CA呢？这种情形又会回到证书机构层次及循环中，好在可以使用交叉证书（cross-certification）。交叉证书是CA签发的，建立非层次信任路径。日本的CA美国的CA二级CA(A1)二级CA(P1)三级CA(B1)三级CA(B2)三级CA(Q1)三级CA(Q2)AliceBob交叉认证 由此可见，利用证书层次、自签名证书和交叉证书技术，几乎任何用户都可以验证任何其他用户的数字证书，确定信任或拒绝。6.最高权威的CA称为_

18、CA.a.根b.主c.总d.头7.要解决信任问题，使用_.a.公钥b.自签名证书c.数字证书d.数字签名w 数字证书持有者报告说该证书中指定的公钥对应的私钥被破解了。w CA发现签发数字证书时出错。w 证书持有者辞职了，而证书是在其在职期间签发的。假设Alice要用Bob的证书与Bob安全通信，但使用Bob的证书前，Alice要回答下面两个问题：这个证书是否是Bob的？-对过信任链来确认 这个证书是否有效，是否被吊销了？-需要查询CA数据库数字证书吊销检查脱机吊销状态检查联机吊销状态检查联机证书验证协议（OCSP）简单证书验证协议（SCVP）证书吊销列表（CRL）证书吊销表(CRL,Certi

19、ficate Revocation List)是脱机证书吊销状态检查的主要方法。最简单的CRL是每个CA经常发布的证书表，标识CA吊销的所有证书。但是，这个表中不包括过了有效期的证书。CRL表只列出有效期内因故被吊销的证书。每个CA签发自己的CRL表，并由相应CA签名。因此，CRL很容易验证。CRL就是个顺序文件，随着时间不断加大，包括有效期内因故被吊销的所有证书，因此它是CA签发的所有CRL的子集。每个CRL项目列出证书序号、吊销日期和时间、吊销原因。CRL顶层还包括CRL发布的日期与时间和下一CRL的发布时间。VersionCertificate serial numberIssuer n

20、ameSignature algorithm identifierValidity（Not Before/Not After）Subject nameSubject public key informationIssuer unique identifierSubject unique identifierextensionsCertification authoritys digital signatureBob的数字证书Alice1.要保证证书没有过期2.要能验证整个证书/签名机构信任链CA:XYZ3.要保证这个系列号没有出现在Bob的CA发布的CRL中。Serial Number1234

21、5672819281Date30-12-0130-12-01ReasonKey compromisedChanged job 最初，CA可以向使用CRL服务的用户发一个一次性的完全更新CRL，称为基础CRL。下次更新时，CA不必发送整个CRL,只要发送上次更新以来改变的CRL（称为差异CRL）。这个机制使CRL文件长度缩小，从而加快传输、基础URL的改变称为差异CRL。差异CRL也是个文件，因此也要由CA签名。差异CRL注意事项：1.差异CRL文件包含一个CRL指示符，告诉用户这不是个完整CRL，而只是差异CRL。因此，用户知道要把这个CRL文件和基础RUL一起使用，得到完整CRL。2.第二，

22、每个CRL还有一个序号，使用户检查是否具有所有差异CRL或者是否缺了某个中间CRL。3.基础CRL也可能有一个差异信息指示符，告诉用户这个基础CRL具有相应的差异CRL。还可以提供差异CRL地址和下一个差异CRL的发布时间。4.差异CRL只是减少网络传输开销，而不能减少证书吊销检查所需的处理时间与工作量，因为用户要检查基础CRL和所有CRL才能判断某个证书是否吊销。尾尾字字段段重重复复项项头头字字段段versionSignature algorithm identifierIssuer nameThis update(date and time)Next update(date and tim

23、e)User certificate serial numberRevocation date CRL entry extensionsCRL extensionsSignature整个CRL只有一个CRL扩展每个吊销证书有一个扩展 联机证书状态协议（OCSP,Online Certificate Status Protocol）可以检查特定时刻某个数字证书是否有效，因此是个联机检查。联机证书状态协议使证书检验者可以实时检查证书状态，从而提供了数字证书验证的更简单、更快捷、更有效的机制。与CRL不同，这里不需要下载。DigitalcertificateOCSP请求客户机X.500 目录OCSP

24、响应证书是否有效？OCSP响应器OCSP响应器查询 X.500目录Good revoked or unknown特点特点OCSPSCVP客户端请求 客户机只向服务器发送证书序号 客户机向服务器发送整个证书，因此 服务器可以进行更多检查 信任链 只检查指定证书 客户机可以提供中间证书集合，让服 务器检查 检查 只检查证书是否吊销 客户机可以请求其他检查，考虑的吊 销信息类型，等等返回信息 只返回证书状态 客户机可以指定感兴趣的其他信息其他特性 无 客户机可以请求检查证书的过去事件 电子邮件证书 服务器方SSL证书 客户端SSL证书 代码签名证书 智能卡方式（工行的U盾）证书复制在其他介质上 漫游

25、证书w 用户数字证书、私钥和用户名密码一起存放在中央安全服务器（证件服务器）数据库中w 用户一定并登录计算机时，用用户名和密码在Internet上向证书服务器鉴别自己w 证件服务器用证件数据库验证用户名和密码，并将数字证书和私钥文件发给用户Digitalcertificate请存在这里客户机安全目录安全服务器私钥文件userpasswordcertificate Key fileId=xxxPassword=xxxxxx登录客户机安全目录安全服务器userpasswordcertificate Key fileId=xxxPassword=xxxxxx登录客户机安全目录安全服务器userpas

26、swordcertificate Key file响应Digitalcertificate私钥文件保护私钥1.口令保护2.PCMCIA卡3.令牌4.生物方式5.智能卡 多个密钥对 使用多个数字证书时：一个证书只用户签名，一个只用于加密。用于签名的私钥在到期后必须销毁。用于加/解密的私钥则要在到期后备份，以便今后恢复加密信息。密钥更新 证书到期如何更新？w CA根据碑的密钥对重新签发新证书w 生成新的密钥对，CA根据新的密钥对签发新证书 什么时候更新？w 最终用户在检测到证书到期，要求CA重新签发。w 每次使用时检查证书有效期，一旦到期就向CA发出更新请求。密钥存档 CA要维护用户的密钥和证书历

27、史（即使过期的）例如：有人访问Alice的CA，要求CA提供Alice三年前的数字证书，检查她当年签名的法律文件。注册 初始化 认证 密钥对恢复 密钥生成 密钥更新 交叉证书 吊销 公钥加密标准（PKCS,Public Key Cryptography Standards）PKCS#1-PKCS#15 基于口令加密标准（PBE,Password-Based Encryption）是保证对称会话密钥安全的方案，这个技术保证保护对称密钥，防止非法访问基于口令加密标准方法用口令加密会话密钥。明文密文加密算法对称密钥用对称密钥加密明文消息对称密钥加密算法密钥加密密钥（KEK）用密钥加密密钥将对称密钥本

28、身加密口令密钥生成过程密钥加密密钥（KEK）可扩展标记语言（XML,eXtensible markup language）是现代技术世界中的核心角色是未来技术的主干。可以加密XML文档的下列一个或多个部分：w 整个XML文档w 一个元素及其所有子元素w 一个XML文档的内容部分w XML文档外部资源的引用 数字签名是对整个消息计算的，而不能对消息的特定部分计算，因为生成数字签名的第一步就是对整个消息生成消息摘要。许多实际情形要求用户只对消息的特定部分计算签名。例如，在购买请求中，购买经理可能只要授权数量部分，而会计经理可能只要签名汇率部分。这样，就可以使用XML数字签名。XML密钥管理规范（X

29、KMS,XML Key Management Specification）指定发布与注册公钥的协议。PKI对企业生意的成功与否至关重要,它可使企业拥有一个公共的安全基础结构一个所有安全的应用赖以存在的基础结构。企业中的许多安全电子邮件、Internet商务应用、VPN以及单签字功能的安全都将依赖于X.509的认证。PKI对数据加密、数字签字、反否认、数字完整性以及甄别所需的密钥和认证实施了统一的集中化管理。预计,当企业的生意变得更依赖于Web时,为了确保它们对客户信息的安全处理,更多的企业将会不断转向PKI。然而,迄今为止,采用PKI的企业仍寥寥无几。PKI本身存在的问题是限制用户广泛采用它的

30、主要原因。统一标准的缺乏,将许多美国企业拒之于PKI方案的大门之外。事实上,对于开发PKI产品来说,目前已有相当成熟的标准可依。缺乏良好的互操作性,也是PKI广泛被采用的主要障碍之一。在PKI供应商能够支持所有标准之前,许多企业需要使用其客户机上的专利工具包,这也会在很大程度上限制PKI的迅速流行。然而,限制PKI被广泛采用的最主要的障碍依然是其设计与实现上的复杂性。但据预计,随着PKI供应商的逐步统一与合并,实现PKI的过程将会变得越来越简单。如果复杂的实现令你望而却步,则可以把企业的系统外包给某个第三方供应商。许多权威的认证方案供应商(例如VeriSign、Thawte以及GTE)目前都在

31、提供外包的PKI。外包PKI最大的问题是,用户必须把企业托管给某一服务提供商,即让出对网络安全的控制权。如果不愿这样做,则可建造一个专用的PKI。专用方案通常需把来自Entrust、Baltimore Technologies以及Xcert的多种服务器产品与来自主流应用程序供应商(如Microsoft、Netscape以及Qualcomm)的产品组合在一起。专用PKI还要求企业在准备其基础设施的过程中投入大量的财力与物力。对那些高风险行业(如银行、金融及保险)来说,今后10年,PKI对它们长期的安全需求将至关重要。随着PKI技术的广泛流行,PKI的实现将会更趋简单,成本也会逐步降低。由于PKI仅于最近才开始变成一种可行的安全方案,因此这一技术仍有待进一步完善。如果你的企业不能等待这一技术的成熟,那么现在就采用它,因为其目前的功能已足可以满足一般企业的大多数安全需求。8.CRL是_的？a.联机b.联机和脱机c.脱机d.未定义9.OCSP是_的。a.联机b.联机和脱机c.脱机d.未定义10.用户要在移动中使用证书时，使用_.a.移动证书b.漫游证书c.轮上证书d.改变证书 11.除了口令外，PBE的另外两个参数是_与_。私钥，公钥 私钥，盐 公钥，盐 盐，迭代计数