1、第三章第四章PKI导论与体系和功能,2.2.1PKI的基本概念 2.2.2PKI的定义 2.2.3安全需求与PKI 2.2.4 PKI的内容,2.2公钥基础设施PKI导论,2.2.1PKI的基本概念 2.2.2PKI的定义 2.2.3安全需求与PKI 2.2.4 PKI的内容,2.2.1 PKI的基本概念,一般基础设施概念 一般基础设施的目的就是:只要遵循需要的原则,不同的实体就可以方便地使用基础设施提供的服务。 安全基础设施就是为整体应用系统提供安全基本框架,它可以被应用系统中任何需要安全应用和对象使用,PKI的应用支持,安全基础设施能够让应用程序增强自己的数据和资源的安全,以及与其他数据和
2、资源交换中的安全 具有易于使用、众所周知的界面。 基础设施提供的服务可预测且有效。 应用设备无需了解基础设施如何提供服务。,安全基础设施提供服务的几个重要方面,1.简单识别与强识别 2.终端用户的透明性 3.全面的安全性 4.公钥基础设施PKI的特点,1.简单识别与强识别,本地安全登录(注册)。其典型操作过程是用户输入身份标识符(用户ID)及认证口令(password)信息,这种身份鉴别称为简单识别 强鉴别使用安全基础设施登录到远程环境 使单点本地登录能支持其他类型设备的访问 在需要时,可以将成功登录的结果,安全地扩散到远程的应用系统,2终端用户的透明性,基础设施如何提供服务,应该是一个“黑盒
3、子” 所有的安全操作应当隐没在用户的后面,无需额外的干预,无需用户注意密钥和算法,不会因为用户的错误操作对安全造成危害。 安全不应该成为用户完成任务的障碍; 安全操作无需用户具有特别的知识,无需用户进行特殊的处理,不会严重增加用户的负担,3全面的安全性,作为一个安全基础设施最大的益处可能是在整个应用环境中,使用单一可信的安全技术 极大地简化了终端用户使用各种设备和应用程序的方式 简化了设备和应用系统的管理工作,保证执行相同等级的安全策略 PKI是使系统达到全面安全性的一个重要机制,就是要保证大范围的应用系统中的实体和设备采用统一的使用方式、相互理解和处理密钥,4.公钥基础设施PKI的特点,(1
4、)节省费用 (2)互操作性 (3)开放性 (4)一致的解决方案 (5)可验证性 (6)可选择性,(1)节省费用,在一个大型组织中,实施统一的安全解决方案,比起实施多个有限的解决方案,费用要节省得多 在实施、维护和运营多个点对点的解决方案与单一的基本方案相比,开销也要高得多,(2)互操作性,在一个企业内部,实施多个点对点的解决方案,无法实现互操作性 安全基础设施具有很好的互操作性,因为每个应用程序和设备以相同的方式访问和使用基础设施。,(3)开放性,任何先进技术的早期设计,都希望在将来能和其他企业间实现互操作。 一个基于开放的、国际标准公认的基础设施技术比一个专有的点对点的技术方案更可信和方便。
5、 点对点的技术方案不能处理多域间的复杂性,不具有开放性。,(4)一致的解决方案,安全基础设施为所有的应用程序和设备提供了可靠的、一致的解决方案。 与一系列互不兼容的解决方案相比,这种一致性的解决方案在一个企业内更易于安装、管理和维护。 一致性解决方案使管理开销小和简单,这是基础设施的重要优势。,(5)可验证性,安全基础设施为各种应用系统和设备之间的安全交互提供了可能,因为所有的交互采用统一的处理方式 在独立的点对点解决方案之间,安全性是很差的。 因为即使每一个解决方案都经过严格测试,但方案之间的交互很难进行大规模的、全面的测试。,(6)可选择性,这里的可选择性是指基础设施提供者可选择性。 基础
6、设施提供者可以是一个企业内部的特设机构,也可以从社会上的候选者中选择。 它取决于提供者的专业技术水平、价格、服务功能、名望、公正性、长远稳定性及其他因素。,2.2.2PKI的定义,PKI是一个用非对称密码算法原理和技术来实现并提供安全服务的具有通用性的安全基础设施 PKI是一种遵循标准的利用公钥加密技术为网上电子商务、电子政务的开展,提供一整套安全的基础平台。 用户利用PKI平台提供的安全服务进行安全通信 PKI这种遵循标准的密钥管理平台,能够为所有网络应用透明地提供采用加密和数字签名等密码服务所需要的密钥和证书管理,2.2.2PKI定义,PKI首先必须具有可信任的权威认证机构CA 在公钥加密
7、技术基础上实现证书的产生、管理、存档、发放以及证书作废管理等功能 并包括实现这些功能的硬件、软件、人力资源、相关政策和操作规范以及为PKI体系中的各成员提供全部的安全服务。 如: 实现通信中各实体的身份认证 数据保密性 数字完整性 不可否认性服务等。,2.2.3PKI系统的组成部分,(1)认证机构 (2)证书库 (3)证书撤销 (4)密钥备份及恢复系统 (5)自动更新密钥,2.2.3PKI系统的组成部分,(6)密钥历史档案 (7)交叉认证 (8)支持不可否认性 (9)时间戳 (10)客户端软件,(1)认证机构,认证机构是PKI的核心组成部分,一般简称为CA,在业界通常称为认证中心。它是数字证书
8、的签发机构。 证书是公开密钥体制的一种密钥管理媒介 在使用公钥体制的网络环境中,必须向公钥的使用者证明公钥的真实合法性。 因此,在公钥体制环境中,必须有一个可信的机构来对任何一个主体的公钥进行公证,证明主体的身份以及它与公钥的匹配关系,(1)认证机构,验证并标识证书申请者的身份。 确保CA用于签名证书的非对称密钥的质量。 确保整个签证过程的安全性,确保签名私钥的安全性。 证书资料信息(包括公钥证书序列号、CA标识等)的管理 确定并检查证书的有效期限。 确保证书主体标识的唯一性,防止重名。 发布并维护作废证书列表。 对整个证书签发过程做日志记录。 向申请人发出通知。,(1)认证机构,最为重要的是
9、CA自己的一对密钥的管理 CA的数字签名保证了证书(实质是持有者的公钥)的合法性和权威性。 主体(用户)的公钥可有两种产生方式: 用户自己生成密钥对 CA替用户生成密钥对 用户A在网上可通过两种方式获取用户B的证书和公钥 一种是由B将证书随同发送的正文信息一起传送给A 另一种是所有的证书集中存放于一个证书库中,用户A在网上可从该地点取得B的证书。,(1)认证机构,一般地,公钥有两大类用途: 用于验证数字签名 用于加密信息 相应地,系统中需要配置两对密钥 签名密钥对 加密密钥对,(2)证书库,证书库是CA颁发证书和撤消证书的集中存放地 证书及证书撤消信息的分发方法是发布(publication)
10、,其想法是将PKI的信息放在一个广为人知的、公开且容易访问的地点。 到证书库访问查询,就是要想得到与之通信实体的公钥。 公钥可以以一种类似电话簿的形式被发布和散发,(2)证书库,通常的做法是将证书和证书撤消信息发布到一个数据库中,称为目录服务器 采用LDAP目录访问协议,其标准格式采用X.500系列 客户端与资料库可以通过不同的方式取得通信 资料库可以支持分布式存放 证书和证书撤消信息的查询,不应该成为整个PKI操作的瓶颈 是创建一个有效的认证机构CA的关键技术之一,(3)证书撤销,1)证书撤消列表CRL 2)完全CRL 3)CRL分布点 4)增量CRL 5)在线查询机制,(3)证书撤销,1)
11、证书撤消列表CRL 必须存在一种机制来撤消这种捆绑关系,将现行的证书撤消 撤消的原因通常有 用户身份姓名的改变 私钥被窃或泄露 用户与其所属企业关系变更 证书撤消信息更新和发布的频率是非常重要的,几个小时甚至几天一次,几分钟 证书撤消的实现方法有很多种。 一种方法是利用周期性的发布机制,如证书撤消列表CRL 另一种方法是在线查询机制,在线证书状态协议OCSP,(3)证书撤销,1)证书撤消列表CRL,(3)证书撤销,2)完全CRL 将某个CA域内的所有撤销信息都包括在一个CRL中 有两种主要的意见反对完全CRL的使用 第一是颁发的规模性 第二是撤销信息的及时性 标志这一门限的主要因素: 就是终端
12、实体的数目 撤销的概率 已颁发证书的验证周期 证书序列号的大小,(3)证书撤销,3)CRL分布点 CRL分布点有时也称为分段CRL,允许一个CA的撤销信息通过多个CRL发布出来。 和完全CRL相比有两个明显的好处: 撤销信息可以被分成很多可控的片段以避免庞大CRL的增长。 证书可以指出CRL分布点的分布位置,这样用户就不需要提前知道关于特定证书的撤销信息的存放位置。 与完全CRL相比,CRL分布点提供了一种扩展性更强的替代方法,(3)证书撤销,3)CRL分布点 反对意见: 反对CRL的分段是固定的,建议在CRL分布点中使用动态分段的想法 解决方法: 重定向CRL可以用来指出到哪里能找到每个CR
13、L分段 通过定义一种新的CRL扩展来实现 对CRL的查询一般采用LDAP协议,X.500标准,(3)证书撤销,4)增量CRL 增量CRL也称CRL,它是在先前已存在的大量的撤销列表之外,最近新增加的已撤销证书列表 增量CRL的想法就是不需要每撤销一个证书就产生一个完整的、潜在的会变得越来越大的CRL,它只是产生证书撤销信息的增加部分的相关信息。 增量CRL是以已经颁发的撤销信息为基础的,这个已经颁发的撤销信息被称为基本CRL,(3)证书撤销,5)在线查询机制 在线查询就是要求用户不管是否要检索一个证书的撤销信息都得与资料库保持在线状态 最普遍的在线撤销机制就是在线证书状态协议(OCSP),它是
14、一种相对简单的请求/响应协议。 一个OCSP请求,由协议版本号、服务请求类型及一个或多个证书标识符所组成。 响应信息必须经过数字签名 有多种技术来实现,但不同的技术,适用于不同的环境。,(4)密钥备份及恢复系统,用户由于某种原因丢失了解密数据的密钥,则被加密的密文无法解开,造成数据丢失。 为了避免这种情况的发生,PKI提供了密钥备份与解密密钥的恢复机制,这就是密钥备份与恢复系统。 密钥的备份与恢复应该由可信的机构CA来完成,但值得强调的是,密钥备份与恢复只能针对解密密钥,而签名密钥不能做备份。 1)密钥/证书生命周期 2)密钥备份 3)密钥的恢复,(4)密钥备份及恢复系统,1)密钥/证书生命周
15、期,(4)密钥备份及恢复系统,2)密钥备份 如果声明公/私钥对是用数据加密,出于对数据的机密性安全需求,那么在初始化阶段,可信任的第三方机构CA,即可对该用户的密钥和证书进行备份。 备份设备的位置可以从一个PKI域变到另一个PKI域 用户用于数据签名目的的私钥绝对不能备份,(4)密钥备份及恢复系统,3)密钥的恢复 密钥恢复功能发生在密钥管理生命周期的颁发阶段 是将终端用户因为某种原因而丢失的加密密钥予以恢复 密钥恢复的手段可以从远程设备恢复,也可由本地设备恢复。 终端用户的负担减到最小,恢复过程必须尽可能最大限度地自动化、透明化 密钥的恢复和密钥备份一样,只适用于用户的加密密钥,(5)自动更新
16、密钥,一个证书的有效期是有限的 理论上诸如关于当前非对称算法和密钥长度的可破译性分析 实际应用中,证明密钥必须有一定的更换频度,才能得到密钥使用的安全性 为解决密钥更新的复杂性和人工干预的麻烦,应由PKI本身自动完成密钥或证书的更新,完全不需要用户的干预 证书更新的概念与证书恢复是不相同的, 证书恢复是保持最初的公钥/私钥对 密钥证书更新是在证书中产生了一个新的公钥/私钥对,(6)密钥历史档案,1)密钥历史 加密密钥最后要过期 存在着加密后的数据可能变得无法恢复的危险 即使密钥资料过期了,可靠地和安全地储存它们是必须的,这在PKI中称为密钥历史。 被用做解密的私有密钥资料才被存储,(6)密钥历
17、史档案,2)密钥档案 密钥档案是对一般被CA或其他信任机构所支持的密钥资料,包括密钥或证书的长期存储 密钥档案主要用于审计和交易争端时使用 密钥历史一般直接与终端实体相结合,以便在访问已过期的密钥加密的数据时,方便地提供对该终端实体过期密钥资料进行访问; 而密钥档案一般是由第三方提供的服务,并且它涉及与许多终端实体有关的密钥资料的储存。 密钥档案提供的服务包括:公证和时间戳服务、跟踪审计和终端实体的密钥历史恢复。,(7)交叉认证,建立一个管理全世界所有用户的单一全球性的PKI是不太可能实现的 为了在以前没有联系的PKI之间建立信任关系,导致了“交叉认证”的概念 交叉认证从CA所在域来分有两种形
18、式: 1.如果两个CA属于相同的域 2.如果两个CA属于不同的域 交叉认证可是单向的,也可以是双向的 从CAl的观点来看,把它当做主体,而由其他CA来颁发证书,被称做“正向交叉证书”; 被CA1颁发的证书则叫做“反向交叉证书”,(7)交叉认证,(7)交叉认证,交叉认证的方法有: 1.一个给定的CA可以承认另一个CA在其所控制的范围内被授权颁发证书。 2.允许不同的PKI域建立互操作路径。 3.交换根CA的密钥并用外部域的根CA的密钥填充每个终端实体的软、硬件。,(8)支持不可否认性,是对数据来源的不可否认和接收后的不可否认 一个PKI本身无法提供真正的、完全的不可否认性服务。需要人为因素来分析
19、、判断证据,并做出最后的抉择 这种密钥只能装载在防篡改的硬件加密模块中产生 至少需要三对不同的密钥对: 一个用于加密和解密。 一个用于普通的签名和认证。 一个用于不可否认性的签名和认证。,(9)时间戳,时间戳或称安全时间戳,它是一个可信的时间权威用一段可认证的完整的数据表示的时间戳。 最重要的不是时间本身的精确性,而是相关时间日期的安全性。 权威时间源提供的时间并不需要正确,仅仅需要用户作为一个“参照”时间,以便完成基于PKI的事务处理。 如事件A发生在事件B的前面等 权威的签名提供了数据的真实性和完整性,(10)客户端软件,客户端软件是一个全功能、可操作PKI的必要组成部分。 客户端软件功能
20、有: 询问证书和相关的撤销信息。 在一定时刻为文档请求时间戳。 作为安全通信的接收点。 进行传输加密或数字签名操作。 能理解策略,知道是何时和怎样去执行取消操作。 证书路径处理等。 没有客户端软件,PKI无法有效地提供很多服务,2.3公钥基础设施PKI的体系与功能,2.3.1PKI体系结构及各实体的功能 2.3.2PKI体系结构的组织方式 2.3.3PKI的功能操作 2.3.4体系的互通性(互操作性) 2.3.5PKI标准 2.3.6PKI服务,公钥基础设施PKI的体系与功能,PAA,PCA2,PCA1,CAn,CA1,CAn,CA1,ORA,EE1,ORA,EE1,PKI体系结构,2.3.1
21、PKI体系结构及各实体的功能,2.3.1.1政策批准机构PAA 2.3.1.2政策PCA机构 2.3.1.3认证机构CA 2.3.1.4在线证书申请ORA,PAA是政策批准机构,由它来创建整个PKI系统的方针,政策 批准本PAA下属的PCA,为下属PCA签发公钥证书 建立整个PKI体系的安全策略 具有监控各PCA行为它的具体功能是:,2.3.1.1政策批准机构PAA,发布PAA的公钥证书。 制定本体系的政策和操作程序。 制定本PKI体系中建立新PCA的政策和操作程序 对下属PCA和需要定义认证的其他根证书进行身份认证和鉴别 为下属PCA和需要定义认证的其他根证书签发证书 发布下属PCA的身份及
22、位置信息。,2.3.1.1政策批准机构PAA,接收和发布下级PCA的政策。 定义下级PCA申请证书作废请求所需的信息 接收和认证对它所签发的证书的作废申请请求 为它所签发的证书产生CRL并发布。 保存证书,保存CRL、审计信息及PCA政策 发布它所签发的证书及发布CRL,2.3.1.1政策批准机构PAA,PCA为政策CA制定本PCA的具体政策,可以是上级PAA政策的扩充或细化,但不能与之相背离。 这些政策可能包括本PCA范围内密钥的产生、密钥的长度、证书的有效期规定及CRL的处理等。 为下属CA签发公钥证书。,2.3.1.2政策PCA机构,发布自己的身份和位置信息 发布它所签发的下属CA的身份
23、和位置信息 公布它的服务对象。 发布它所制定的安全政策和证书处理有关程序:密钥的产生和模长ORA系统的安全控制、CRL的发布频率、审计程序。 对下属各成员进行身份认证和鉴别。 产生和管理下属成员的公钥。,2.3.1.2政策PCA机构,发布PAA和自己的证书到下属成员。 定义证书作废请求生效所需的信息和程序。 接收和认证对它所签发的证书的作废申请请求。 为它所签发的证书产生CRL。 保存证书、CRL、审计信息和所签发的政策 发布它所签发的证书及CRL。,2.3.1.2政策PCA机构,CA是认证机构,也称认证中心,具备有限的政策制定功能 按照上级PCA制定的政策,担任具体的用户公钥证书的签发、生成
24、和发布及CRL生成及发布职能。 它的具体功能是:,2.3.1.3认证机构CA,发布本地CA对PCA政策的增补部分。 对下属各成员进行身份认证和鉴别。 产生和管理下属证书。 发布自身证书和上级证书。 证实ORA的证书申请请求。 向ORA返回证书制作的确认信息或返回已制定好的证书 接收和认证对它所签发的证书的作废申请。 为它所签发证书产生CRL。 保存证书、CRL、审计信息和它所签发的政策。 发布它所签发的证书和CRL。,2.3.1.3认证机构CA,在线证书申请ORA进行证书申请者的身份认证,向CA提交证书申请,验证接收CA签发的证书放发给申请者。 必要时,协助证书制作的处理过程。 它的具体功能是
25、:,2.3.1.4在线证书申请ORA,对用户进行身份审查和鉴别。 将用户身份信息和公钥以数字签名的方式送给CA 接收CA返回的证书制作确认信息或制好的证书 发放CA证书、CA的上级证书,发放用户证书 接受证书作废申请,验证其有效性,并向CA发送该申请。,2.3.1.4在线证书申请ORA,1.COI方式(Community of interest) 这种方式将成员按他们的日常职能分类,将日常处理中通信较频繁的成员划分到一个CA或PCA之下,政策的制定就由COI组织来决定。 2.组织化方式 将PKI体系建立在现有的政府或组织机构的管理基础之上,安全政策也由每一个组织的管理结构来制订 3.担保等级方
26、式 基于在一个PKI系统中,成员的工作可以分为3-4个安全级别成员,按照他们相应的安全级别来组织,而安全政策的制定可以由类似委员会机构来完成。,2.3.2PKI体系结构的组织方式,2.3.2PKI体系结构的组织方式,以上这些方式都是基于以下两点来考虑: 即由哪个机构来设置安全政策和在安全政策下,用户该如何组织。 在具体实施过程中采用哪种或几种方式的组合,应考虑以下因素: 系统可靠性。 系统可扩展性。 系统的灵活性和使用的方便性。 CA结构的可信任性。 与其他系统的互操作性。 增加成员的开销、多系统模块的管理结构,2.3.3.1产生、验证和分发密钥。 2.3.3.2签名和验证。 2.3.3.3证
27、书的获取。 2.3.3.4验证证书。 2.3.3.5保存证书。 2.3.3.6本地保存的证书的获取,2.3.3PKI的功能操作,2.3.3.7证书废止的申请 2.3.3.8密钥的恢复 2.3.3.9CRL的获取。 2.3.3.10密钥更新。 2.3.3.11审计。 2.3.3.12存档(证书及废止证书),2.3.3PKI的功能操作,1.用户自己产生密钥对 2.CA为用户产生密钥对 3.CA(包括PAA,PCA,CA)自己产生自己的密钥对,2.3.3.1产生、验证和分发密钥,用户自己选取产生密钥方法,负责私钥的存放 用户还应该向CA提交自己的公钥和身份证明,CA对用户进行身份认证,对密钥的强度和
28、持有者进行审查。 在审查通过的情况下,对用户的公钥产生证书 然后通过面对面、信件或电子方式将证书安全地发放给用户; 最后CA负责将证书发布到相应的目录服务器。 在某些情况下,用户自己产生了密钥对后到ORA(在线证书审查机构)去进行证书申请。,1用户自己产生密钥对,这种情况用户应到CA中心产生并获得密钥对 产生之后,CA中心应自动销毁本地的用户密钥对拷贝; 用户取得密钥对后,保存好自己的私钥 将公钥送至CA或ORA,接着按上述方式申请证书。,2CA为用户产生密钥对,PCA的公钥证书由PAA签发,并得到PAA的公钥证书。 CA的公钥由上级PCA签发,并取得上级PCA的公钥证书; 当它签发下级(用户
29、或ORA)证书时,向下级发送上级PCA及PAA的公钥证书。,3CA自己产生自己的密钥对,在PKI体系中,对信息和文件的签名,以及对数字签名的认证是很普遍的操作。 PKI成员对数字签名和认证是采用多种算法的。 如RSA,DES等,这些算法可以由硬件软件或硬软结合的加密模块(硬件)来完成。 密钥和证书存放的介质可以存放在内存、IC卡、光盘或软盘中。,2.3.3.2签名和验证,在验证信息的数字签名时,用户必须事先获取信息发送者的公钥证书,以对信息验证,同时还需要CA对发送者所发的证书进行验证,以确定发送者身份的有效性。 发送者发送签名信息时,附加发送自己的证书。 单独发送证书信息的通道。 可从访问发
30、布证书的目录服务器获得。 或者从证书的相关实体(为RA)处获得。,2.3.3.3证书的获取,验证证书的过程是迭代寻找证书链中下一个证书和它相应的上级CA的证书。 在使用每一个证书前,必须检查相应的CRL(对用户来说,这种在线的检查是透明的)。 用户检查证书的路径,是从最后一个证书(即用户已确认可以信任的CA证书)所签发的证书有效性开始,检验每一个证书,一旦验证后,就提取该证书中的公钥,用于检验下一个证书,直到验证完发送者的签名证书,并将该证书中包括的公钥用于验证签名。,2.3.3.4验证证书,保存证书是指PKI实体在本地储存证书证书签名的效率 在存储每个证书之前,应该验证该证书的有效性。 PK
31、I实体,可以选择存储其证书链上其他实体所接收到的所有证书,也可以只存储数字签名发送者的证书。 证书存储单元应对证书进行定时管理维护,清除已作废的或过期的证书及在一定时间内未使用的证书。 证书存储数据库还要与最新发布的CRL文件相比较,从数据库中删除CRL文件中已发布的作废证书。 证书存储区存满之后,一般采取删除最少使用的那些证书(LRU),2.3.3.5保存证书,CA证书可以集中存放,也可分布式存放,即可从本地保存的证书中获取证书。 用户收到签名数据后,将去检查证书存储区中是否已有发送者签发的证书,用签发者的公钥验证签名。 用户可以选择在每次使用前来检查最新发布的CRL,以确保发送者的证书未被
32、作废; 用户也可选择定期证实本地证书在存储区中的有效性。 如果用户的本地存储区中未保存发送者的证书,用户则应按照上述证书获取的过程取得所需的证书。,2.3.3.6本地保存证书的获取,当PKI中某实体的私钥被泄露时,被泄密的私钥所对应的公钥证书应被作废。 对CA而言,私钥的泄密不大可能。除非有意破坏或恶意攻击所造成; 对一般用户而言,私钥的泄密可能是因为存放介质的遗失、损坏或被盗。 另外一种情况是证书中所包含的证书持有者已终止或与某组织的关系已经终止,则相应的公钥证书也应该作废。终止的方式如下:,2.3.3.7证书废止的申请,(1)如果是密钥泄露,证书的持有者以电话或书面的方式,通知相应的CA。
33、 (2)如果是因为关系终止,由原关系中组织方面出面通知相应的ORA或CA如下: 如果ORA得到通知,ORA应通知相应的CA,作废请求得到确认后,CA在数据库中将该证书记上作废标志,并在下次发布CRL时加入证书作废列表,并标明作废时间。 在CRL中的证书作废列表时间有规定,过期后即可删除。,2.3.3.7证书废止的申请,对CA的私钥泄露情况的处理,如CA自身私钥泄露,应马上通知它的上级,上级CA将相应的CA证书放入CRL中。 此时,PKI系统应迅速通知该CA下属的实体,因为该CA证书的作废将对其下属实体验证签名带来不便,使下级CA采取相应措施。 其中,有个关键问题是如何证实这种通知的可信任性,最
34、好的方式是由泄密CA的上级CA签发一个泄密通知消息,可由该泄密CA发送给它的下级。,2.3.3.7证书废止的申请,在密钥泄密,证书作废后,为了恢复PKI中实体的业务处理和产生数字签名,泄密实体将获得(包括个人用户)一对新的密钥,并要求CA产生新的证书。 泄露密钥的实体是CA的情况下,它需要重新签发以前那些用泄密公钥所签发的证书。 而原来用泄密公钥签发的旧证书将一律作废,并被放入CRL。 在具体做法上可采取双CA的方式来进行泄密后的恢复。,2.3.3.8密钥的恢复,每一个CA均可以产生CRL,CRL可以定期产生,也可以在每次(有证书作废请求后实时产生。 CA应将其产生的CRL及时发布到目录服务器
35、上去。 CRL的获取就可以有两种方式: (1)CA产生CRL后,自动发送到下属各实体。 (2)大多数情况是:由使用证书的各PKI实体从目录服务器获得相应的CRL,2.3.3.9CRL的获取,在密钥泄密的情况下,将产生新的密钥和新的证书。 但在密钥没被泄露的情况下,密钥也应该定时更换。这种更换的方式也有多种。PKI体系中的各实体可以在同一天,也可以在不同的时间更换密钥。 其中有一个问题要引起注意:密钥的更换时间,无论是签发者或是被签发者的密钥作废时间,要与每个证书的有效截止日期保持致。,2.3.3.10密钥更新,(1)如果CA和其下属的密钥同时到达有效截止日期,则CA和其下属实体同时更换密钥,C
36、A用自己的新私钥为下属成员的新公钥签发证书。 (2)如果CA和其下属的密钥不是同时到达有效截止期,当用户的密钥到期后,CA将用它当前的私钥作为用户新的公钥签发证书。 而CA密钥先到达截止日期时。CA用新私钥为所有用户的当前公钥重新签发证书。 不管用哪一种更换方式,PKI中的实体都应该在密钥截止之前取得新密钥对和新证书。,2.3.3.10密钥更新,PKI体系中的任何实体都可以进行审计操作,但一般而言是由CA来执行审计。 CA保存有关的审计信息。如: 产生密钥对。 证书的请求。 密钥泄露的报告。 证书中包括的某种关系的终止等。 证书使用过程。,2.3.3.11审计,有由于政府和法律的要求以及系统恢
37、复的需要,CA产生的证书和CRL应被归档文件保存。 另外,有关文件和审计信息出于调整或法规的需要也应被归档保存。,2.3.3.12存档,PKI体系的互通性也不可避免地成为PKI体系建设时必须考虑的问题,PKI体系中采取的算法的多样性更加深了互通操作的复杂程度。 PKI的互通性首先必须建立在网络互通的基础上,才能保证在全球范围内在任何终端用户之间数据的传送; 其次是用户必须借助于X.500目录服务取得对方签名使用的算法。 2.3.4.1交叉认证方式 2.3.4.2全球建立统一根方式,2.3.4体系的互通性(互操作性),需要互通的PKI体系中的PAA在经过协商和政策制定之后,可以互相认证对方系统中
38、的PAA(即根CA)。 认证方式是根CA用自己的私钥为别的需要交叉认证的根CA的公钥签发证书 这种认证方式减少了操作中的政策因素,对用户而言,也只是在原有的证书链上增加一个证书而已。 但对于一个根CA而言,需要保存所有其他需要与之进行交叉认证的根CA的证书。,2.3.4.1交叉认证方式,2.3.4.1交叉认证方式,两个根CA之间交叉认证,这种方式是将不同的PKI体系组织在同一个全球根CA之下,这个全球CA可由一个国际组织,如联合国等来建设; 考虑到各个PKI体系管理者般都希望能保持本体系的独立自治性 全球统一根CA实现起来有一些具休的困难 PKI体系之间的互通性般用交叉认证来实现。,2.3.4
39、.2全球建立统一根方式,2.3.4.2全球建立统一根方式,全球一个根CA的交叉认证,2.3.6.1PKI的核心服务 2.3.6.2PKI的附加服务,2.3.6PKI服务,认证-向一个实体确认另个实体确实是它自己。 完整性-向一个实体确保数据没有被有意或无意的修改。 保密性-向一个实体确保除了接受者,无人能解读数据的关键部分,2.3.6.1PKI的核心服务,1不可否认性服务 2安全时间戳 3公证,2.3.6.2PKI的附加服务,严格地讲,不可否认性服务不是PKI的基本核心服务,是属于PKI支持的附加服务 所谓不可否认性服务是指从技术上用于保证实体对他们的行为的诚实性。 (1)与其他服务的连接 (
40、2)对安全数据文档的要求 (3)不可否认性服务的复杂性 (4)人为因素,1不可否认性服务,安全时间戳就是一个可信的时间权威,它用一段可认证的完整的数据表示时间戳。 这个时间来说,重要的不是时间本身的真实性,而是相关时间日期的安全性。 安全时间戳服务使用核心PKI服务中的认证和完整性。 一份文档上的时间戳涉及到对时间和文档的杂凑值的数字签名,权威的签名提供了数据的真实性和完整性。,2安全时间戳,PKI中的公证服务,与一般社会公证人的服务有所不同,PKI中支持的公证服务是“数据认证”的含义,也就是说CA机构中的公证人证明数据是有效的或正确的,而“正确”取决于数据被验证的方式。 PKI公证人是一个被
41、其他PKI实体所信任的实体,能够正确公正地提供公证服务,通过数字签名机制和时间戳服务来证明数据的正确性; 所以其他实体需要保存公证人的验证公钥的正确拷贝,以便验证和相信作为公证的签名数据,3公证,2.3.7.1 综述 2.3.7.2 X.509证书 2.3.7.3 证书与认证过程,2.3.7 X.509证书,X.509标准综述主要介绍标准范围、引用标准,定义、缩略语及约定 该标准范围有如下四个方面: 具体说明了目录拥有的鉴别信息的形式。 描述如何从目录中获得鉴别信息。 说明如何在目录中构成和存放鉴别信息的假设。 定义各种应用使用鉴别信息执行鉴别的三种方法,并描述鉴别。,2.3.7.1 综述,2
42、引用标准,主要包括 ITU-T X.500系列标准,ISO/IEC 959410 1997,信息技术-开放系统互联-目录 TIU-TX.600系列标准,IS0/IEC8824-14 1994 信息技术一抽象语法记法1(ASN.1), ITU-TX.800系列标准。ISO/IEC 13712-12 1994 信息技术-远程操作:概念、模型和记法等,该标准定义包括: OSI参考模型安全体系结构定义。 目录模型定义。 鉴别框架定义。,3.定义,(1)属性证书(Attribute Certificate):将用户的一组属性和其他信息,通过认证机构的私钥进行数字签名,使其成为不可伪造,用于证书的扩展使用
43、。 (2)鉴别令牌(Authentication):在强鉴别交换期间运行的信息,用于鉴别其发送者。 (3)用户证书、公钥证书、证书(User Certificate,Public key Certificate,Certificate)用户的公钥和一些其他信息,通过颁发证书机构的私钥加密,使之成为不可伪造。 (4)CA证书(CA-certificate):由一个CA颁发给另一个CA的证书。,4.技术用语,(5)证书策略(certificate Policy):已命名的一组规则,它指出证书对特定集团和具有公共安全要求的应用类别的适用性。 (6)证书用户(certificate User):需要确
44、切地知道另一实体公钥的某一实体。 (7)证书使用系统(Certificate-Using System):在本目录规范定义的并由证书用户所使用的那些功能的实现。 (8)认证机构(Certificate Authority):受用户信任的机构,以创建和分配证书。认证机构可以任意地创建用户的密钥。,4.技术用语,(9)认证路径(Certification path):DIT中客体证书的有序系列,它和在该路径的最初客体的公钥一起,可以被处理以获得该路径的最终客体的公钥。 (10)CRL分布点(CRL distribution point):通过CRL分布点所分布的CRL可以含有某个CA颁发的证书全集
45、中的某子集的撤消项,或含有多个CA的撤消项。 (11)密码体制(Cryptographic System):从明文到密文和从密文到明文的变换汇集,使用的特定变换由密钥来选定。通常用一个数学算法来定义这些变换。 (12) -CRL(delta-CRL):仅指示自CRL颁发以来变更的一部分CRL,4.技术用语,(13)端实体(end entity):不是为签署证书的目的而使用其公钥的证书主体。 (14)哈希函数(hash function):将值从一个大的域映射到一个较小的范围的一个数学函数。 (15)密钥协定(Key agreement):无需传送甚至是加密形式的密钥,在线协商密钥值的一种方法。
46、 (16)单向函数(One way function):易于计算的一个数学函数f,但对于区域中的一个普通值y来说,要找到满足函数f(x):y的该区域中x值,在计算上是很困难的。,4.技术用语,(17)策略映射(policy mapping)当某个域中的一个CA认证了另一个域中的一个CA时,对在第二个域的一个特定证书策略可能被第个CA域中的认证机构认为是等价于第一个域个的一特定证书政策的认可。 (18)公钥(public key):在公开密钥体制中,用户密钥对中只有让所有用户都知道的那个密钥 (20)简单鉴别(simple authentication):借助简单口令分配方法进行的鉴别。,4.技
47、术用语,(21)强鉴别(strong authentication):借助密码派生凭证方法进行的鉴别。 (22)安全策略(Security policy);由管理安全服务和设施的使用和提供的安全机构所拟定的一组规则。 (23)信任(trust):当第一个实体假设第二个实体完全按照第个实体的期望进行动作时,则称第一个实体“信任”第二个实体。在鉴别框架中“信任”的关键作用是描述鉴别实体和认证机构之间的关系;一个鉴别实体应确信它可以“信任”的认证机构创建有效可靠的证书。 (24)证书序列号(Certificate Serial number):在颁发证书的CA范围内唯一数值,该整数值无歧义地与那个C
48、A所颁发的一个证书相关联。,4.技术用语,CA:认证机构。 CRL:证书撤消列表。 DIB:目录信息库。 DIT:目录信息树。 DUA:目录用户代理。 PKCS:公开密钥密码体制。 DSA:数字签名算法,5.约定和略语,1.证书的定义 数字证书也叫电子证书(简称证书)。 在很多场合下,数字证书、电子证书和证书都是X.509公钥证书的同义词,它符合ITU-T X.509 V3标准。 证书是随PKI的形成而新发展起来的安全机制 它实现身份的鉴别与识别(认证)、完整性、保密性及不可否认性安全服务(安全需求)。,2.3.7.2 X.509证书,数字证书是电子商务中各实体的网上身份的证明,它证明实体所声
49、明的身份与其公钥的匹配关系,使得实体身份与证书上的公钥相绑定; 从公钥管理的机制来讲,数字证书是公钥体制密钥管理的媒介,即在公钥体制中,公钥的分发、传送是靠证书机制来实现的。 所以有时也将数字证书称为公钥证书; 数字证书是一种权威性的电子文档,它是由具有权威性、可信任性及公正性的第三方机构(CA)所颁发。,2.3.7.2 X.509证书,认证机构通过对一组信息进行签名来产生用户证书,这些信息包括用户的可辨别名和公钥以及包含关于该用户的附加信息。 具有名称CA和唯一标识符UCA的认证机构所产生的带有可辨别名A和唯一标识符UA的用户证书具有下列形式: CAA:CAV,SN,AI,CA,UCA,A,UA,Ap,TA,2.证书的表示,V-证书版本号。 SN-证书序列号。 AI-用于对证书进行签名的算法的标识符 UCA-CA可选的唯一标识符。 UA-用户A可选的唯一标识符。 Ap-用户A的公钥。 TA-指出证书的有效期,它包含两个日期,只有当处于这两个日期之间才有效。证书有效周期是指CA担保证书将维持关于证书状态信息的时间间隔。TA的取值范围不少于24小时。证书中的签名的有效性可被具有CAp知识的任何用户所检查。,2.证书的表示,4.证书的主要内容及用途,证书的结构共分两大部分: 基本证书定义 标准域和扩展域。,
