1、 公開密鑰設施PKI1公鑰加密通信存在的問題Alice Bob：我叫Alice，我的公開密鑰是Ka，你選擇一個會話密鑰K，用Ka加密后傳送給我。Bob Alice：使用Ka加密會話密鑰K；Alice Bob：使用K加密傳輸信息；Bob Alice ：使用K加密傳輸信息。以上協議能否實現秘密通信？2公鑰加密通信存在的問題中間人攻擊 AliceBobMallory Ka Km EKm(K,Bob) EKa(K,Bob) 3公鑰加密通信存在的問題攻擊的成功本質上在于Bob收到的Alice的公開密鑰可能是攻擊者假冒的，即無法確定獲取的公開密鑰的真實身份，從而無法保證信息傳輸的保密性、不可否認性、數據交

2、換的完整性。 為了解決這些安全問題，采用公鑰基礎設施（Pubic Key Infrastructure簡稱PKI）。 CA機構，又稱為證書授證(Certificate Authority)中心，是PKI的核心。CA是受一個或多個用戶信任，提供用戶身份驗證的第三方機構，承擔公鑰體系中公鑰的合法性檢驗的責任。 4公鑰加密通信存在的問題PKI正成為安全體系結構的核心部分，有了它，許多標準的安全應用成為可能。例如：(1) 安全電子郵件。(2) 安全Web訪問與服務。(3) 虛擬專用網(VPN)。(4) 安全路由器。(5) 登錄用戶認證系統。(6) 安全傳輸層協議SSL、TLS。(7) 安全電子交易協議

3、SET。(8) 安全目錄訪問協議與服務。 5信任模式信任定義：實體A認定實體B將嚴格地按A所期望的那樣行動，則A信任B。這里我們稱A是信任者，B是被信任者。從定義可以看出，信任涉及對某種事件、情況的預測、期望和行為。信任是信任者對被信任者的一種態度，是對被信任者的一種預期，相信被信任者的行為能夠符合自己的愿望。按照有無第三方可信機構參與，信任可劃分為直接信任和第三方的推薦信任。 6信任模式直接信任是最簡單的信任形式。兩個實體之間無須第三方介紹而直接建立起來的信任關系稱為直接信任。 AliceBob直接信任7信任模式第三方信任（推薦信任）是指兩個實體以前沒有建立起信任關系，但雙方與共同的第三方有

4、信任關系，第三方為兩者的可信任性進行了擔保，由此建立起來的信任關系。信任信任第三方AliceBob第三方信任8信任模式在PKI中，第三方的認證代理就是稱謂的“認證中心”(CA)。一個認證中心是一個可信任的實體，通常是國家認定的權威機構。CA的核心職責就是審查認證某實體的身份，證明該實體是不是他所聲稱的實體，然后由CA發放給實體數字證書，作為CA信任他的一種證明通過第三方信任，任何信任第三方的人便可以信任擁有有效證書的實體。 9信任模式證書將用戶公鑰和名字等其他信息綁定起來，CA使用它的簽名私鑰對證書信息進行數字簽名。CA機構的數字簽名使得攻擊者不能偽造和篡改證書，CA不能否認它簽名的證書（抗抵

5、賴性）。 用戶公鑰和名字CA簽名10信任模式如果兩個CA交換密鑰信息，這樣每個CA都可以有效地驗證另一方CA密鑰的可信任性，我們稱這樣的過程為交叉認證。交叉認證是第三方信任的擴展。 第三方信任信任信任信任CAAliceBob信任信任CABillAnne11PKI的構成 PKI包括：認證中心(認證權威)，注冊權威，證書庫、檔案庫、PKI的用戶 認證中心(CA)和公證人類似。認證中心CA是PKI一個基本的組成部分，是提供PKI安全服務的中心。CA有兩個知名的屬性：CA的名字和CA的公鑰。CA執行4個基本的PKI功能：簽發證書(例如：創建和簽名)；維持證書狀態信息和簽發CRL ；發布它的當前(例如：

6、期限未滿)證書和CRL，因此用戶可以獲得他們需要實現安全服務的信息；維持有關到期證書的狀態信息檔案。 12PKI的構成 注冊權威(RA)是一個可以被CA信任的實體，它能夠為用戶注冊提供擔保。RA被設計用來為CA驗證證書內容的。證書內容可以反映出實體需要在證書中反映的內容，這些內容可以是五花八門的。例如：Alice的證書可以反映他具有一定的借貸能力，Bob的證書可以反映他是具有某種特權的官員。RA驗證證書申請者與要在證書中反映的內容是否相符，然后把這些信息提供給CA，由CA簽發證書13PKI的構成 證書庫是CA系統中活動的數字證書的數據庫。證書庫的主要任務是為收到數字簽名消息的個人和商務提供可證

7、實數字證書狀態的數據。PKI應用在很大程度上依賴于發布證書和證書狀態信息的目錄服務。目錄提供了一種證書分發、存儲、管理、更新的方法。目錄服務是X.500標準或者該標準子集的典型實現。 14PKI的構成 檔案庫是一個被用來解決將來爭執的信息庫，為CA承擔長期存儲文檔信息的責任。檔案的主要任務是儲存和保護充足的信息來決定在一份舊的文檔中數字簽名是可以信任的。15PKI的構成 PKI用戶是使用PKI的組織或者個人，但是他們不發布證書。PKI的用戶一般來源于2種：證書持有者和證書依賴方。在各種應用中，個人和組織都可以是依賴方和證書持有人。 16PKI的體系結構 PKI的體系結構可以有：單個CA、分級（

8、層次）結構的CA、網狀結構的CA、橋式CA。單個CA的結構是最基本的PKI結構，PKI中的所有用戶對此單個CA給予信任，它是PKI系統內單一的用戶信任點，它為PKI中的所有用戶提供PKI服務。CAAliceBob17PKI的體系結構 層次結構。在根CA下發布證書給下面的CA來分層部署。這些CA也可以分層次地把證書發給它們下面的CA或者用戶。在每一層次的PKI，每一個依賴方知道根CA的公鑰。任何一個證書可以從根CA開始的證書證明路徑來驗證。18PKI的體系結構 層次結構。CA4CA5CA1CA3CA2Bob Alice 19PKI的體系結構 網狀結構。獨立的CA雙方交叉認證(也就是互相發放證書)

9、，結果是在對等的CA中產生了信任關系網。 CA之間交叉認證，也就是他們互相發放證書，把2個組合成交叉認證對。 依賴方知道“靠近”他的CA的公鑰，通常該CA發給他證書。依賴方檢測通向他信任CA的證書的證明路徑來驗證證書。20PKI的體系結構 交叉認證。主體CA1CA1公鑰CA2簽名主體CA2CA2公鑰CA1簽名主體U1U1公鑰CA1簽名主體U2U2公鑰CA2簽名CA1CA2U1U221PKI的體系結構 網狀結構CA1CA2CA3CA5CA4Bob Alice 22PKI的體系結構 橋式PKI 。橋式PKI通過引進一個新的CA(稱為橋式CA)來連接企業之間的PKI。橋式CA惟一的目的是為企業PKI

10、建立關系。 與網狀結構CA不同的是，橋式CA不直接發布證書給用戶；與層次結構中的根CA不同的是，橋式CA也不是當做一個信任點來使用的。所有的PKI用戶把橋式CA當做一個中間人。橋式CA為不同企業的PKI建立對等關系(P2P)。這些關系可以組合成為連接不同PKI用戶的信任橋。 23PKI的體系結構 如果信任域由層次PKI實現，那么橋式CA將和根CA建立關系。如果信任域由網狀PKI實現，那么橋CA只會和它的一個CA建立關系。和橋CA建立信任關系的CA被稱為主CA(principal CA)。 24橋式CA FOX CompanyFoxAliceBob橋CA HAWK DATAHORADLegalC

11、arolOpsR&DLegalDougDove .Inc25PKI的體系結構 完整的PKI包括認證策略的制定（包括遵循的技術標準、各CA之間的上下級或同級關系、安全策略、安全程度、服務對象、管理原則和框架等）認證規則運作制度的制定所涉及的各方法律關系內容技術實現 26PKI的體系結構 CA的構成接受用戶證書申請的證書受理者（RS）證書發放的審核部門（Registration Authority，RA）證書發放的操作部門（CP）記錄證書作廢的證書作廢表（又叫黑名單CRL） 27PKI的體系結構 CA的構成CPRSCRLRA證書使用者業務受理點網絡平臺28PKI的物理結構 典型的PKI相關系統的部

12、署 29證書的概念 證書提供了一種在Internet上驗證身份的方式，其作用類似于司機的駕駛執照或日常生活中的身份證。證書可以用來證明自己的身份，也可以向接收者證實對公開密鑰的擁有。 數字證書可用于發送電子郵件、訪問安全站點、網上招標投標、網上簽約、網上訂購、安全網上公文傳送、網上辦公、網上繳費、網上繳稅、網上購物等。 30證書的類型 公鑰證書就是用來綁定實體姓名（以及有關該實體的其它屬性）和相應公鑰的。證書類型：1）X.509公鑰證書2）簡單PKI 證書3）PGP（Pretty Good Privacy）證書4）屬性（Attribute）證書5）代理證書等31證書的類型 證書具有各自不同的格

13、式。一種類型的證書可以被定義為好幾種不同的版本，每一種版本也可能以好幾種不同的方式來具體實現。例如，X.509公鑰證書就有三種版本。版本1是版本2的子集，版本2又是版本3的子集。因為版本3的公鑰證書又包括好幾種可選的不同擴展，所以它可以以不同的應用方式來具體實現。例如，安全電子交易（SET）證書就是X.509版本3的公鑰證書結合專門為SET交易制定的特別擴展而成的。32ITU-T X.509標準。 版本V3序列號1234567890簽名算法標識（算法、參數）RSA 和 MD5簽發者c=CN，o=JIT-CA有效期（起始日期、結束日期）01/08/00-01/08/07主體c=CN，o=SX C

14、orp，cn=John Doe主體公鑰信息（算法、參數、公開密鑰）56af8dc3a4a785d6ff4/RSA/SHA發證者唯一標識符Value主體唯一標識符Value類型關鍵程度Value類型ValueCA的數字簽名33X.509證書實例 34X509證書結構Version：版本域表示該x.509證書的版本號（0，1，2）。0表示版本1，1表示版本2，2表示版本3。SerialNumber：表示被該認證中心發放的用戶的數字證書的編號。由證書發放者和證書序列號可以唯一的確定一個數字證書。35X509證書結構Signature Algrithm標識了被該認證中心簽發的數字證書所使用的數字簽名算

15、法。算法標識是一個國際性標準組織（如ISO）登記的標準算法，它標明了數字簽名所使用的公鑰算法和摘要算法。舉例說明:md2WithRSAEncryption 表示公鑰算法是RSA,摘要算法是md2.md5WithRSAEncryption 表示公鑰算法是RSA,摘要算法是md5.sha1WithRSASignature 表示公鑰算法是RSA,摘要算法是sha1.sha1WithDSASignature 表示公鑰算法是DSA,摘要算法是sha1.36X509證書結構（續）Issuer X.500 Name： 指明了發放該用戶證書的認證中心的標識名稱DN(Distinguished name)，例如

16、 ：c=US，o=ACME Corporation，cn=danny hou X.500名稱常用的包含如下： CountryName , 國家，簡寫c； tateOrProvinceName ,州名或省份名稱，簡寫st； LocalityName ,城市名稱，簡寫l； OrganizationName ,組織名稱，簡寫o； OrganizationalUnitName ,部門名稱，簡寫ou； CommonName ,通用名稱，簡寫cn； Validity Peroid：證書有效期域指明了該證書的有效起止日期和時間。37X509證書結構（續）Subject X.500 Name：標識了擁有該數字

17、證書的用戶的標識名稱DN，例如：c=US，o=ACME Corporation ,cn=Danny Hou，表示數字證書的用戶是美國的ACME公司的Danny Hou。X.500名稱是一個符合X.500標準的名稱表示法。Subject Public Key Information：用戶公鑰信息域指明了a）用戶所擁有的公開鑰值，b）該公開鑰是哪一種公鑰算法，即算法標識值。該算法標識值既標明了公鑰算法，也標明了摘要算法。Issuer Unique Identifier（Version 2 Only）：標識證書發放者X.500名稱的唯一性，它是一個bit string，在V2 X.509數字證書中增

18、加該項擴展是因為擁有同樣的X.500名稱的發放者可能有多個重名。Subject Unique Identifier （Version 2 Only）38CA主要功能 證書認證系統即CA，其主要功能是簽發證書和管理證書。（）用戶注冊用戶要使用CA提供的服務，首先就要進行注冊。PKI一般提供在線申請方式和離線申請方式。（）用戶資料審核RA對用戶資料進行審核，并根據證書級別不同，審核用戶相關的關鍵資料與證書請求信息的一致性。更高級別的證書需要由CA進行進一步的審核。39CA主要功能 （3）產生、驗證和分發密鑰用戶自己生成密鑰對；CA替用戶生成密鑰對。該方式下由于用戶的私鑰為CA所知，故對CA的可信性

19、有更高的要求。CA自己的密鑰對由自己產生。RA的密鑰對可由自己或第三方產生。40CA主要功能 （4）證書頒發證書的頒發也可采取兩種方式，一是在線直接從CA下載，一是CA將證書制作成介質（磁盤或IC卡）后，由申請者帶走。（5）證書查詢用戶資料審核通過后，CA對用戶信息和公鑰進行簽名，生成證書發布到服務器上，以供用戶下載，證書開始生效。在X.509公鑰體系中，CA提供的用戶服務都基于輕量目錄存取協議LDAP（Light Weight Directory Access Protocol）。41CA主要功能 （6）證書作廢證書可能在其有效期限內被認證機構撤銷。例如，私鑰泄露、雇員離開該組織。在密鑰泄漏

20、的情況下，應由泄密私鑰的持有者通知CA；在關系中止的情況下，由原關系中組織方或相應的安全機構通知相應的CA。一旦作廢請求得到認證，CA在數據庫中將該證書標記為已作廢。42CA主要功能 （6）證書作廢（續）作廢證書有三種策略：作廢一個或多個主體的證書；作廢由某一對密鑰簽發的所有證書；作廢由某CA簽發的所有證書。撤銷方法周期發布機制在線查詢機制43CA主要功能 （6）證書作廢（周期發布）作廢證書一般通過將證書列入作廢證書表（CRL）來完成。由CA負責創建并維護一張及時更新的CRL，由用戶在驗證證書時負責檢查該證書是否在CRL。CRL可以定期產生，也可以在每次有證書作廢請求后產生。CRL產生后發布到目錄服務器上。CRL的獲得44CA主要功能 （6）證書作廢（續）版本2的CRL結構（RFC2459）版本號為2或空簽名指計算本CRL的數字簽名所用的算法的對象標識符頒發者指CRL頒發者的（簽名者）的可識別名版本