公钥基础设施PKI唐文北京大学信息学院软件工程研究所信

《公钥基础设施PKI唐文北京大学信息学院软件工程研究所信》由会员分享，可在线阅读，更多相关《公钥基础设施PKI唐文北京大学信息学院软件工程研究所信（89页珍藏版）》请在金锄头文库上搜索。

1、公钥基础设施PKI唐文北京大学信息学院软件工程研究所 信息安全研究室http:/内容内容认证逻辑公开密钥基础设施PKI 密钥管理组合公钥技术2024/9/222认证逻辑认证逻辑 认证逻辑认证逻辑 信任逻辑信任逻辑：对主体的认证，对照方法判别：对主体的认证，对照方法判别 注册性，双边性，独有性，一体性，主从性注册性，双边性，独有性，一体性，主从性 相信逻辑相信逻辑：对客体的认证，推理方法判别：对客体的认证，推理方法判别 （BANBAN逻辑，逻辑，NRLNRL逻辑，逻辑，NCPNCP逻辑）逻辑） 可解性，无重性，占有性可解性，无重性，占有性 主体认证主体认证 在在信信息息系系统统中中，主主体体认认

2、证证在在主主体体之之间间进进行行。一一个个主主体体对对另另一一个个主主体体进进行行识识别别（identifyidentify），验验明明身身份份（proof proof of of identityidentity）。主主体体分分为为验证方和证明方。验证方和证明方。 主体认证的依据主体认证的依据 主主体体认认证证必必须须具具有有某某种种“信信物物”，如如：合合同同，协协议议，照照片片，证证件件，IDID卡卡或或身身份份证证等等。这这种种“信信物物”特特征征应应记记录录在在案案。发发证证方方是是主主主主体体，领领证证方方是是从从主主体体。而而主主体体和和证证件件具具有有一一体体性性。因因此此，主

3、主体体认认证证必必须须满满足足注注册册性性，共共有有性性，独独特特性性，一一体体性性，主主从从性。性。 注册性注册性 证证明明方方主主体体特特征征应应是是预预先先设设置置或或约约定定的的，这这就就是是注注册册。因因为为证证明明通通常常以以对对照照的的方方法法进进行行，没没有有参参照照物物，就就无无法法比比较较，也也就就是是无无法法得得到到证证明明。很很显显然然，不不注注册册就就没没有有判判别别的的依依据据。因因此此注注册册中中包包括括判判别别所所需需的的所所有有有有关关内内容容。注注册册性性决决定定了了一一个个验验证证主主体体管管辖辖的的证证明明方方是是有有边边界界的的。而而不不是是无无限限的

4、的。注注册册性性是是主体认证和客体认证的主要区别点。主体认证和客体认证的主要区别点。共有性共有性 共共有有性性强强调调验验证证方方和和证证明明方方具具有有相相同同意意义义的的“信信物物”。过过去去简简单单用用：“你你有有什什么么，你你知知道道什什么么，你你是是什什么么”来来定定义义身身份份认认证证的的依依据据。得得出出你你是是谁谁的的结结论论。按按着着共共有有性性原原则则，应应解解释释为为：“你你有有的的我我也也有有，你你知知道道的的我我也也知知道道，你你是是什什么么的的叙叙述述跟跟我我掌掌握握的的一一样样”。“我我有有，我我知知道道，我我是是什什么么”应在注册中体现。应在注册中体现。独特性独

5、特性 “信信物物”的的部部分分或或全全部部体体现现在在注注册册中中，同同样样，“信信物物”的的部部分分或或全全部部体体现现在在证证明明方方所所持持有有的的证证件件中中。“信信物物”的的综综合合特特证证是是唯唯一一的的。有有别别于于其其它它主主体体的的特特征征。身身份份特特征征的的分分粒粒度度按按业业务务性性质质可可以以不不同同，在在敌敌友友识识别别系系统统中中，只只识识别别敌敌友友双双方方即即可可，有有的的系系统则要识别到具体的人，如身份证号或用户名等。统则要识别到具体的人，如身份证号或用户名等。一体性一体性 证证明明方方必必须须具具有有主主体体和和证证件件的的一一体体性性证证据据。如如照照片

6、片或或人人脑脑中中的的口口令令等等，将将证证明明主主体体和和证证件件结结合合成成一一体体化化。用用于于一一体体性性证证明明的的技技术术有有两两种种，一一种种是是基基于于主主体体的的生生物物特特征征，另另一一种种是是基基于于主主体体的的逻逻辑辑特特征征。在在信信息息系系统统中中往往往往采采用用逻逻辑辑特特征征值值，如口令或密钥参数。如口令或密钥参数。 1 1）生物特征）生物特征 最最能能够够提提供供一一体体性性证证据据的的是是主主体体固固有有的的生生物物特特征征。现有生物特征技术大致如下：现有生物特征技术大致如下： 类别类别 存储量存储量 验证方式验证方式 判别判别 准确度准确度指纹特征指纹特征

7、 4 4kB kB 接触型接触型 几秒几秒 有误判有误判视网膜特征视网膜特征 2 2kB kB 接触型接触型 几秒几秒 较准确较准确虹膜特征虹膜特征 256 256B B 非接触型非接触型 1 1秒秒 非常准确非常准确脸部特征和脸部特征和声音特征声音特征 16 16kB kB 非接触型非接触型 几秒几秒 较准确较准确 其中，基于脸部特征的一体性验证，还具有可其中，基于脸部特征的一体性验证，还具有可恢复脸部图象的功能，这种功能为事发后的跟踪追恢复脸部图象的功能，这种功能为事发后的跟踪追查提供有力的证据。查提供有力的证据。 逻辑特征逻辑特征 逻逻辑辑特特征征是是利利用用参参数数，如如口口令令或或密

8、密钥钥，作作为为主主体体身身份份的的特特征征来来进进行行认认证证的的技技术术。认认证证一一般般通通过过一一种协议来实现。种协议来实现。 主从性主从性 验验证证主主体体和和证证明明主主体体构构成成主主从从关关系系。主主从从关关系系以以登登记记，发发证证的的形形式式体体现现。主主体体间间互互相相认认证证，表表面面看看起起来来是是平平等等关关系系，但但A A方方验验证证B B方方时时，A A方方是是主主主主体体，而而B B方方是是从从主主体体，而而B B方方验验证证A A方方时时，B B方方成成为为主主主主体体，A A方方成成为为从从主主体体。就就一一个个主主体体的的验验证证过过程程来来说说，不不会

9、会形形成成平平等等关关系系。主主从从性性指指的的是是直直接接的的从从属属关关系系，而而不不是是间间接接的的从从属属关关系系。从从属属关关系系规规定定了了发发证证的的合合法法性性和和有有效效域域。一一个个系系统统只只能能对对自自己己管管辖辖的的主主体体发发证证，而而一一个个主主体体的的证证件件只只能能在在所所属属系系统统范范围围内内有有效效。从从安安全全理理论论的的角角度度，这这种种关关系系是是单单层层的的，而而不不能能是是多多层的。层的。 主体认证协议主体认证协议口令认证协议口令认证协议 一个客户一个客户A A主机（主机（PCPC）要登录到服务器（要登录到服务器（SVRSVR）。）。必备条件：

10、必备条件： A: A: 具有具有SVR SVR 配发的配发的IDID卡。做管辖性证据；卡。做管辖性证据； 具有用户名和口令，提供一体性证据；具有用户名和口令，提供一体性证据； 具有具有SVRSVR分发的参数分发的参数R R，提供当次性证据；提供当次性证据；PCPC： 具有加密算法和加密功能；具有密钥具有加密算法和加密功能；具有密钥k1;k1;SVRSVR：IDID卡合法性验证，验证其管辖性；用户卡合法性验证，验证其管辖性；用户A A的用的用 户名户名( (或用户标识或用户标识PIN)PIN)和口令，用于一体性检和口令，用于一体性检 验；发给验；发给A A的随机参数，用于当次性和管辖性的随机参数

11、，用于当次性和管辖性 验证；密钥验证；密钥k1k1和和 k2k2以及加解密功能。以及加解密功能。身份（标识）认证示意身份（标识）认证示意 KEY1 KEY1， KEY2 R ， PWA PC SVREKEY1(KEY2)EKEY2(R) 用户（用户（PWA) ID卡验证过程：验证过程：a)a)用户插卡，卡中的内容输进用户插卡，卡中的内容输进PCPC机中。机中。 E EK1K1（K2K2）；）； E EK2K2（R R）；）；b)b)PCPC计算：计算： D DK1K1（E Ek1k1(k2) = k2(k2) = k2 D DK2K2(R)=R;(R)=R;c)c)用户敲入口令用户敲入口令WP

12、aWPa；d)d)PCPC计算计算E EK2K2（R R WPaWPa）; ; 将结果送将结果送SVRSVR；e)e)SVRSVR计算计算E EK2K2（R R WPaWPa）；）；将结果进行比较。将结果进行比较。f)f)如果认证通过，将如果认证通过，将E EK2K2（NEW RNEW R）发回发回a a的的IDID卡卡 中。中。公开密钥基础设施公开密钥基础设施PKIPKI公开密钥基础设施公开密钥基础设施PKI PKI 1976年Diffie和Hellman在密码新方向中提出了著名的D-H密钥交换协议，标志着公钥密码体制的出现。 Diffie和Hellman第一次提出了不基于秘密信道的密钥分发

13、，这就是D-H协议的重大意义所在。PKI（Public Key Infrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。2024/9/2218PKI提供的基本服务提供的基本服务认证采用数字签名技术，签名作用于相应的数据之上被认证的数据 数据源认证服务用户发送的远程请求 身份认证服务远程设备生成的challenge信息 身份认证完整性PKI采用了两种技术数字签名：既可以是实体认证，也可以是数据完整性MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5保密性用公钥分发随

14、机密钥，然后用随机密钥对数据加密不可否认发送方的不可否认 数字签名接受方的不可否认 收条 + 数字签名2024/9/2219PKI的应用考虑的应用考虑在提供前面四项服务的同时，还必须考虑性能尽量少用公钥加解密操作，在实用中，往往结合对称密码技术，避免对大量数据作加解密操作除非需要数据来源认证才使用签名技术，否则就使用MAC或者HMAC实现数据完整性检验在线和离线模型签名的验证可以在离线情况下完成用公钥实现保密性也可以在离线情况下完成离线模式的问题：无法获得最新的证书注销信息证书中所支持算法的通用性在提供实际的服务之前，必须协商到一致的算法个体命名如何命名一个安全个体，取决于CA的命名登记管理工

15、作2024/9/2220密钥对的用法密钥对的用法用于加密的密钥对用公钥加密用公钥加密用私钥解密用私钥解密用私钥签名用私钥签名用公钥验证用公钥验证u用于签名的密钥对用于签名的密钥对2024/9/2221PKI之动机之动机公钥技术如何提供数字签名功能如何实现不可否认服务公钥和身份如何建立联系为什么要相信这是某个人的公钥公钥如何管理方案：引入证书(certificate)通过证书把公钥和身份关联起来2024/9/2222PKI基本组成 PKI由以下几个基本部分组成： 公钥证书 证书作废列表（CRL） 策略管理机构（PMA） 认证机构（CA） 注册机构（RA） 证书管理机构（CMA） 证书存档(Rep

16、ository) 署名用户（Subscriber） 依赖方(Relying party) 最终用户（End User） 2024/9/2223PKIPKI基本组成基本组成公钥证书公钥证书 由由可可信信实实体体签签名名的的电电子子记记录录，记记录录将将公公钥钥和和密密钥钥（公公私私钥钥对对）所有者的身份捆绑在一起。公钥证书是所有者的身份捆绑在一起。公钥证书是PKIPKI的基本部件。的基本部件。 证书作废列表（证书作废列表（CRLCRL） 作作废废证证书书列列单单，通通常常由由同同一一个个发发证证实实体体签签名名。当当公公钥钥的的所所有有者者丢失私钥，或者改换姓名时，需要将原有证书作废。丢失私钥，

17、或者改换姓名时，需要将原有证书作废。 策略管理机构（策略管理机构（PMAPMA） 监督证书策略的产生和更新，管理监督证书策略的产生和更新，管理PKIPKI证书策略。证书策略。2024/9/2224PKIPKI基本组成基本组成注册机构（注册机构（RARA）互互联联网网定定义义：一一个个可可选选PKIPKI实实体体（与与CACA分分开开），不不对对数数字字证证书书或或证证书书作作废废列列单单（CRLCRL）签签名名，而而负负责责记记录录和和验验证证部部分分或或所所有有有有关关信信息息（特特别别是是主主体体的的身身份份），这这些些信信息息用用于于CACA发发行行证证书书和和CLRCLR以以及及证证书

18、书管管理理中中。RARA在在当当地地可可设设置分支机构置分支机构LRALRA。PKIXPKIX用用语语：一一个个可可选选PKIPKI实实体体与与CACA分分开开，RARA的的功功能能随随情情况况而而不不同同，但但是是可可以以包包括括身身份份认认证证和和用用户户名名分分配配，密密钥钥生生成和密钥对归档，密码模件分发及作废报告管理。成和密钥对归档，密码模件分发及作废报告管理。国防部定义：国防部定义：对对CACA负责当地用户身份（负责当地用户身份（标识标识）识别的人。）识别的人。2024/9/2225PKIPKI基本组成基本组成认证机构（认证机构（CACA）互互联联网网定定义义：一一个个可可信信实实

19、体体，发发放放和和作作废废公公钥钥证证书书，并并对对各作废证书列表签名。各作废证书列表签名。国国防防部部定定义义：一一个个授授权权产产生生，签签名名，发发放放公公钥钥证证书书的的实实体体。CACA全全面面负负责责证证书书发发行行和和管管理理（即即，注注册册进进程程控控制制，身身份份标标识识和和认认证证进进程程，证证书书制制造造进进程程，证证书书公公布布和和作作废废及及密密钥的更换）。钥的更换）。CACA还全面负责还全面负责CACA服务和服务和CACA运行。运行。联联邦邦政政府府定定义义：被被一一个个或或多多个个用用户户所所信信任任发发放放和和管管理理X.509X.509公钥证书和作废证书的机构

20、。公钥证书和作废证书的机构。2024/9/2226PKIPKI基本组成基本组成证书管理机构（证书管理机构（CMACMA） 将将 CACA和和 RARA合合 起起 来来 称称 CMA(certificate CMA(certificate management management authority)authority)。 证书存档证书存档( (Repository)Repository) 一一个个电电子子站站点点，存存放放证证书书和和作作废废证证书书列列表表（CRLCRL），CACA在用证书和作废证书。在用证书和作废证书。 署名用户（署名用户（SubscriberSubscriber） 署署

21、名名用用户户是是作作为为主主体体署署名名证证书书并并依依据据策策略略使使用用证证书书和和相应密钥的实体。相应密钥的实体。2024/9/2227PKIPKI基本组成基本组成依赖方依赖方( (Relying party)Relying party) 一一个个接接收收包包括括证证书书和和签签名名信信息息的的人人或或机机构构，利利用用证证书书提提供供的的公公钥钥验验证证其其有有效效性性，与与持持证证人人建建立立保保密密通通信信，接接收方处于依赖的地位。收方处于依赖的地位。最终用户（最终用户（End UserEnd User） 署署名名用用户户和和依依赖赖方方的的统统称称，也也称称末末端端实实体体（En

22、d-End-entityentity）, ,可可以以是是人人，也也可可以以是是机机器器，如如路路由由器器，或或计计算机中运行的进程，如防火墙。算机中运行的进程，如防火墙。2024/9/2228PKI中的证书中的证书证书(certificate)，有时候简称为certPKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途签名证书和加密证书分开最常用的证书格式为X.509 v32024/9/2229X.509证书格式证书格式版本1、2、3序列号在

23、CA内部唯一签名算法标识符指该证书中的签名算法签发人名字CA的名字有效时间起始和终止时间个体名字2024/9/2230X.509证书格式证书格式(续续)个体的公钥信息算法参数密钥签发人唯一标识符个体唯一标识符扩展域签名2024/9/2231PKIPKI的运行的运行X509X509标准标准PKIXPKIX1 1）署名用户向证明机构（署名用户向证明机构（CACA）提出数字证书申请；提出数字证书申请；2 2）CACA验明署名用户身份，并签发数字证书；验明署名用户身份，并签发数字证书；3 3）CACA将证书公布到证书库中；将证书公布到证书库中；4 4）署署名名用用户户对对电电子子信信件件数数字字签签名

24、名作作为为发发送送认认证证，确确保保信信件完整性，不可否认性，并发送给依赖方。件完整性，不可否认性，并发送给依赖方。5 5）依依赖赖方方接接收收信信件件，用用署署名名用用户户的的公公钥钥验验证证数数字字签签名名，并到证书库查明署名用户证书的状态和有效性；并到证书库查明署名用户证书的状态和有效性；6 6）证书库返回证书检查结果；）证书库返回证书检查结果；2024/9/2232PKIPKI的运行的运行证书机构证书机构 CA证书库证书库署名用户署名用户依赖方依赖方3124652024/9/2233PKI中密钥和证书的管理 密钥/证书生命周期管理的各个阶段：初始化阶段 颁发阶段 取消阶段 证书过期 证

25、书撤销 2024/9/2234密钥生命周期密钥生命周期密钥产生密钥产生证书签发证书签发Bob密钥使用密钥使用Bob证书检验证书检验密钥过期密钥过期密钥更新密钥更新2024/9/2235PKI: PKI: 初始化阶段初始化阶段在终端实体能够使用PKI支持的服务之前，它们必须初始化以进入PKI。初始化由以下几步组成： 终端实体注册。 密钥对产生。 证书创建和密钥/证书分发。 证书分发。 密钥备份。2024/9/2236终端实体的初始化8.证书响应7.证书请求4.注册建立请求5.注册建立结果6.注册结果3.注册表格提交2.注册表格应答终端实体RACA1.注册表格请求2024/9/2237颁发阶段 一

26、旦私钥和公钥证书已经产生并适当地分发，密钥/证书生命周期管理的颁发阶段即开始。这个阶段包括： 证书检索远程资料库的证书检索。 证书验证确定一个证书的有效性（包括证书路径的验证）。 密钥恢复当不能正常访问密钥资料时，从CA或信任第三方处恢复。 密钥更新当一个合法的密钥对将过期时，进行新的公/私钥的自动产生和相应证书的颁发。2024/9/2238撤消阶段 密钥/证书生命周期管理以取消阶段来结束。此阶段包括如下内容： 证书过期证书生命周期的自然结束。 证书撤销宣布一个合法证书（及其相关私有密钥）不再有效。 密钥历史维持一个有关密钥资料的记录（一般是关于终端实体的），以便被过期的密钥资料所加密的数据能

27、够被解密。 密钥档案出于对密钥历史恢复、审计和解决争议的考虑所进行的密钥资料的安全第三方储存。2024/9/2239PKI中证书的撤消2.证书撤销响应证书撤销请求2.证书撤销响应1.证书撤销请求RACA带外请求终端实体OR2024/9/2240CA(Certificate Authority)职责接受用户的请求(由RA负责对用户的身份信息进行验证)用自己的私钥签发证书提供证书查询接受证书注销请求提供证书注销表各个组件和功能示意图健壮的数据健壮的数据库系统库系统无缝的目录接口无缝的目录接口CA硬件硬件管理和运管理和运 行平台行平台 安全的审计安全的审计密钥密钥PKI2024/9/2241密钥备份

28、和恢复密钥备份和恢复 进一步授权进一步授权(# 可定制可定制)授权恢授权恢复密钥复密钥RA最终用户最终用户PKI加密密钥的历史加密密钥的历史新的签名密钥对新的签名密钥对和证书和证书Password?Help!2024/9/2242CA密钥更新密钥更新保证透明性用于验证的CA公钥用于签名的CA私钥 CA最终用户Sep 1998Oct 1998Nov 1998Dec 1998Jan 1999Feb 1999Mar 1999Apr 1999May 1999Jun 1999Jul1999Aug 1999CA密钥历史保证对于密钥历史保证对于最终用户和其他的最终用户和其他的PKI是透明的是透明的新的新的C

29、A签名签名密钥对密钥对2024/9/2243CA信任关系信任关系当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？信任难以度量，总是与风险联系在一起可信CA如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA信任模型基于层次结构的信任模型交叉认证以用户为中心的信任模型2024/9/2244CA层次结构层次结构对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成它可以建立一个CA层次结构根CA中间CA2024/9/2245CA层次结构的建立层次结构的建立根CA具有一个自签名的证书根CA依次对它下面的CA

30、进行签名层次结构中叶子节点上的CA用于对安全个体进行签名对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的在CA的机构中，要维护这棵树在每个节点CA上，需要保存两种cert(1) Forward Certificates: 其他CA发给它的certs(2) Reverse Certificates: 它发给其他CA的certs2024/9/2246层次结构层次结构CA中证书的验证中证书的验证假设个体A看到B的一个证书B的证书中含有签发该证书的CA的信息沿着层次树往上找，可以构成一条证书链，直到根证书验证过程：沿相反的方向，从根证书开始，依次往下验

31、证每一个证书中的签名。其中，根证书是自签名的，用它自己的公钥进行验证一直到验证B的证书中的签名如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥问题：证书链如何获得？2024/9/2247证书链的验证示例证书链的验证示例2024/9/2248CA认证模型 如如果果用用户户 i i和和j j都都属属于于CA111CA111，那那么么i i和和j j之之间间的的密密钥钥交交换换，只只需需要要持持有有CA111CA111开开具具的的证证明明书书就就可可以以，即即：对对用用户户 i i和和j j的的公公钥钥PKi PKi 和和PKjPKj分分别别盖

32、盖章章，如如( (PkiPki) )ca111ca111, , ( (PkjPkj) )ca111ca111, ,那那么么用用户户i i和和j j就能证明密钥是对方的密钥。就能证明密钥是对方的密钥。2024/9/2249CA认证模型 如如果果用用户户j j的的证证明明书书是是CA122CA122开开具具的的，那那么么情情况况就复杂了，各自具有：就复杂了，各自具有： i i方：方：( (PkiPki) )ca111 ca111 , (CA111), (CA111)CA11CA11, (CA11), (CA11)CA1CA1 j j方：方：( (PkjPkj) )ca122 ca122 , (CA

33、122), (CA122)CA12CA12, (CA12), (CA12)CA1CA1 这这 就就 形形 成成 了了 层层 层层 证证 明明 的的 证证 明明 链链 （ certification certification chainchain）。这这里里，符符号号( (CA11)CA11)CA1CA1是是CA1CA1对对C11C11的的公公钥钥盖盖章章，只只是是证证明明本本公公钥钥是是C11C11的。的。2024/9/2250 CA CA 证明链证明链CACA1CA2CA11CA12CA21CA22个人证书个人证书个人证书个人证书（PKI）CA11，（，（PKCA11）CA1，（，（PKC

34、A1）CA（PKJ）CA21，（，（PKCA21）CA2，（，（PKCA2）CAij交叉认证交叉认证两个不同的CA层次结构之间可以建立信任关系单向交叉认证一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书双向交叉认证交叉认证可以分为域内交叉认证(同一个层次结构内部)域间交叉认证(不同的层次结构之间)交叉认证的约束名字约束路径长度约束策略约束2024/9/2252以用户为中心的信任模型以用户为中心的信任模型对于每一个用户而言，应该建立各种信任关系，这种信任关系可以被扩展例子：用户的浏览器配置2024/9/2253PKIPKI进展进展美国防部进展美国防部进展 美美国国国国防防部部

35、19991999年年3 3月月开开始始酝酝酿酿国国防防PKIPKI之之事事，并并制制订订了了国国防防部部PKIPKI行行程程图图和和DoDDoD X509X509证证书书策策略略，于于19991999年年1010月和月和1212月分别公布，计划于月分别公布，计划于20022002年完工。年完工。 DoDDoD PKIPKI的的目目标标是是：提提供供或或支支持持：1 1）标标准准化化的的；2 2）多多用用途途和和多多进进程程；3 3）国国防防部部和和联联邦邦政政府府，盟盟国国，商商业业伙伙伴伴之之间间的的安安全全互互操操作作性性；4 4）数数字字签签名名和和密密钥钥交交换换; ;5)5)商业化的

36、；商业化的；6 6）联邦信息进程标准）联邦信息进程标准FIFSFIFS相关要求。相关要求。 DoDDoD PKIPKI采采用用集集中中式式证证书书管管理理和和分分散散式式注注册册，采采用用共共同的进程和部件，以节省经费和资源。同的进程和部件，以节省经费和资源。2024/9/2254美国防部PKIDoD PKI根根CA互相证明互相证明联邦联邦/盟国盟国 PKI根根CACADoD CA地区网站地区网站NSA集中式集中式分散式分散式外部外部CA（将来）（将来）地区注册机构地区注册机构国防部用户国防部用户注册工作站注册工作站2024/9/2255美国防部PKI PKI PKI是美国防部密钥管理构架是美

37、国防部密钥管理构架KMIKMI（Key Management Key Management InfrastructureInfrastructure）的重要组成部分。的重要组成部分。KMIKMI密钥管理构架，密钥管理构架，包括传统的密钥管理系统，电子密钥管理系统（包括传统的密钥管理系统，电子密钥管理系统（EKMSEKMS）以及物理产品（如密码本和认证器）以及物理产品（如密码本和认证器）。KMIKMI负责提供密负责提供密钥产品，包括对称密钥和非对称密钥，为军事，情报，钥产品，包括对称密钥和非对称密钥，为军事，情报，政府，盟国，合同企业，商务伙伴提供密码服务。政府，盟国，合同企业，商务伙伴提供密码

38、服务。 PKIPKI先在非密系统中试点，测试，选型先在非密系统中试点，测试，选型. . 美美国国防防部部的的PKIPKI的的研研发发，将将遵遵循循国国防防部部层层次次化化安安全全等等级级。美美国国防防部部指指定定国国家家安安全全局局（NSANSA）和和国国防防信信息息系系统统局局（DISADISA）负负责责实实施施DoDDoD PKI,PKI,为为国国防防部部网网络络应应用用提提供供用用户户不可否认，数据保密，加密和数字签名等服务。不可否认，数据保密，加密和数字签名等服务。2024/9/2256PKIPKI的运行：的运行：国防部国防部DoDDoD PKI PKI布局布局ROOT CALRARA

39、ID CACA目录目录托管托管根根CA 当地注册当地注册 注册机构注册机构 身份身份CA 邮件邮件CA 身份身份/邮件目录邮件目录 密钥托管密钥托管M/S CLIENT LOTUS NESCAPE NOVELL ACTIVE NESCAPEM/S SERVER CLIENT CLIENT NDS DIRECTORY LDAP v3 PROTOCOL DNS MAIL SISCO SISCO SNIFFER SERVER SERVER ROUTER ROUTERR2024/9/2257美国联邦政府美国联邦政府PKIPKI 美美国国联联邦邦政政府府成成立立了了联联邦邦PKIPKI促促进进委委员员会

40、会，并并在在整整个个联联邦政府中已批准了邦政府中已批准了5050多个与多个与PKIPKI 相相关关的的试试点点。20002000年年1212月月公公布布了了联联邦邦搭搭桥桥证证明明机机构构（FBCAFBCA）的的X.509X.509证证书书策策略略。本策略并非定稿，仍是草稿或听取意见稿。本策略并非定稿，仍是草稿或听取意见稿。 FBCAFBCA支支持持联联邦邦政政府府PKIPKI中中同同等等实实体体之之间间的的互互操操作作。FBCAFBCA只只向向属属于于主主管管CACA的的各各CACA签签发发证证书书，FBCAFBCA或或与与FBCAFBCA互互操操作作的的各各CACA向向运运行行FBCAFB

41、CA的的个个人人签签发发证证书书。FBCAFBCA向向部部局局主主管管CACA签发证书起签发证书起信任的转移信任的转移作用。作用。 FBCAFBCA的的最最终终目目标标是是支支持持联联邦邦和和非非联联邦邦实实体体之之间间的的互互操操作作。但但目目前前的的版版本本还还不不能能通通过过FBCAFBCA建建立立联联邦邦机机构构和和政政府府外外机机构的互操作。构的互操作。 FBCAFBCA将采用将采用“集线器集线器”式的非层次化工作方式。式的非层次化工作方式。2024/9/2258美国联邦政府美国联邦政府PKIPKIFBCAFBCA主管主管CA主管主管CACACACACA个人个人个人个人个人个人个人个

42、人2024/9/2259华盛顿州华盛顿州PKIPKI 在华盛顿州法律下制定的在华盛顿州法律下制定的PKIPKI策略，允许发放策略，允许发放CACA许可证，许可证，不在华盛顿州的署名用户和依赖方可以获得或使用本策不在华盛顿州的署名用户和依赖方可以获得或使用本策略下发放的证书，可以在华盛顿州外进行交易，应用，略下发放的证书，可以在华盛顿州外进行交易，应用，通信，除非被联邦法律禁止。得到许可的通信，除非被联邦法律禁止。得到许可的CACA，对其雇佣对其雇佣人员必须通过背景安全检查和测试，如证书管理知识，人员必须通过背景安全检查和测试，如证书管理知识，包括证书发放，证书系统运行，以及包括证书发放，证书系

43、统运行，以及CACA运行机制的采用运行机制的采用和安全策略的建立。和安全策略的建立。2024/9/2260华盛顿州华盛顿州PKIPKI华盛顿洲华盛顿洲PKIPKI用于：用于： a) a) PKIPKI拟支持拟支持数字签名，加密，访问控制等应用。数字签名，加密，访问控制等应用。 b)b)政政府府机机构构内内各各司司局局，部部，单单位位和和/ /或或组组织织间间的的通通信信和和交交易；易； c)c)政府机构，公众组织，私人组织和政府机构，公众组织，私人组织和/ /或个人，或个人， 与政府活动相关的通信和交易；与政府活动相关的通信和交易；本策略下的证书支持：本策略下的证书支持： 1 1）数字签名；）

44、数字签名； 2 2）加密和认证电子通信；）加密和认证电子通信； 3 3）提提供供身身份份证证据据，支支持持依依赖赖方方所所建建立立的的访访问问控控制制，防止非授权的计算机系统，电子信息和文件的访问。防止非授权的计算机系统，电子信息和文件的访问。2024/9/2261密钥管理密钥管理密钥管理密钥管理是密码系统中最重要，同时也是最薄弱的环节，密钥的泄漏将直接导致整个密码系统的失效。密钥管理是密码算法，鉴别逻辑，VPN等的技术的基础，密钥的重要性随着信息安全技术的发展越显突出。 重要性：逻辑隔离技术之一重要的认证参数管理体制：集中，分散 分发体制：静态，动态层次化的密钥管理结构。在较大的信息系统中，

45、密钥按其作用分为三种：将用于数据加密的密钥称三级密钥；保护三级密钥的密钥称二级密钥，也称密钥加密密钥；保护二级密钥的密钥称一级密钥，也称密钥保护密钥或主密钥，主密钥构成了整个密钥管理系统的关键。 2024/9/2263密钥使用举例密钥使用举例 DATADATA HASH HASH（DATADATA）= H;= H; (H) (H)DADA=SIGN=SIGN E E RAN1RAN1 （ DATA/SIGN DATA/SIGN ）=CODE=CODE E EKA-BKA-B(RAN1)=RAN2(RAN1)=RAN2 发送：（发送：（RAN2RAN2，CODECODE）密钥管理的内容和原则密钥

46、管理的内容和原则 在密钥管理体制中，密钥整个生存周期中要涉及到密钥的生产、验证、分发、交换、存储、更换、销毁等多个方面 。密钥分发和交换技术是整个密钥管理技术中最关键，最核心的技术。2024/9/2265密钥分发密钥分发 密钥分发可分为两种形式，静态分发和动态分发。密钥分发方式与密钥生产方式相关，也与密钥存储技术相关。 静态分发是由中心以脱线方式预分配的技术，采用“面对面”的分发方式，是属于秘密通道的传递方式之一。静态分发方式只有在集中式机制下才能存在，其前提条件是必须解决所分发密钥的存储问题。动态分发是“请求-分发”的在线分发技术。密钥分发可以采用密钥证书的形式，密钥传递和密钥鉴别同时进行，

47、其协议安全性需要证明。有中心的KMC或无中心的CA机制都可采用。在KMC中通常采用即用即发方式，无需解决密钥存放问题，但要解决密钥传递的秘密通道问题。而在CA中密钥的存放问题和密钥获取得的问题都需要解决。 2024/9/2266封闭式密钥管理 封闭式密钥管理一直是密钥管理的主导方式，适用于各种专用网。专用网一般指处理专门业务的封闭网。专用网的密钥管理一般采用集中式密钥管理中心（KMC）实现，密钥由密钥管理中心统一编制，统一生产，统一配发使用。 物理分发：又称静态分发，密钥的生产和配发在KMC内部进行，KMC一般离线工作。在KMC体制中，静态分发是密钥管理的基础。 封闭式密钥管理的密钥分发的类型

48、电子分发：又称动态分发，往往是在静态分发的基础上实现的。动态分发是近年来发展出的新技术，最初由KMC体制发展，现在延伸到开放网的CA、PKI技术中。 2024/9/2267静态配置的封闭式密钥管理 静态配置的封闭式密钥管理是一种事先进行预配置的密钥管理。在密钥管理中心（KMC）和各所属用户之间建立信任关系的基础上，密钥统一由KMC生成、分发、更换的集中式（centralized）的管理体制。 点对点配置 单层星形配置 多层星形配置 网状配置 2024/9/2268静态分发：单层星状配置中心K1K2K3KnT2, K2T3, K3TN, Kn T1, K12024/9/2269静态分发：网状配置

49、CBDAKA-BKA-CKA-DKC-AKC-BKC-DKD-AKD-BKD-CKB-AKB-CKB-D2024/9/2270动态分发的封闭式密钥管理 动态分发的封闭式密钥管理是在静态分发技术基础上发展起来的新技术。专用网的动态分发一般采用集中式，即KMC下的动态分发。动态分发可以基于单钥体制实现，也可以基于双钥体制实现；而动态分发的密钥类型可以是单密钥，也可以是双密钥。 基于单钥的单钥分发 基于单钥的双钥分发 基于双钥的单钥分发 2024/9/2271动态分发：动态分发：KDCKDC，拉方式拉方式分发协议：分发协议：1) 1) acac：request/n1;request/n1;2) ca

50、2) ca：E EKAKA(KS/request/n1/E(KS/request/n1/EKBKB(KS,ID(KS,IDA A)3) ab3) ab：E EKBKB(KS,ID(KS,IDA A) ) 这样这样a,ba,b双方都有相同的密钥双方都有相同的密钥KSKS。验证协议：验证协议：4) 4) baba：E EKSKS(N2)(N2)5) ab5) ab：E EKSKS(fN2),(fN2), 其中其中f f是简单函数，是加是简单函数，是加1 1等简单变换。等简单变换。KDCAB1 1。request/n1request/n12 2。E EKAKA(KS/request/n1/E(KS/

51、request/n1/EKBKB(KS,ID(KS,IDA A)3 3。E EKBKB(KS,ID(KS,IDA A) )4 4。E EKSKS(N2)(N2)5 5。E EKSKS(fN2)(fN2)2024/9/2273 动态分发：动态分发：KDCKDC，推方式推方式分发协议：分发协议： 1 1）abab：a,Ea,EKAKA( (EMaEMa);); 2) bc 2) bc：E EKAKA( (EMaEMa) ) 3 3）cbcb：E EKBKB(KS,a ,(KS,a ,EMbEMb), E), EKAKA(KS,b,(KS,b,EMaEMa) ) 4 4）baba：E EKAKA(K

52、S,b,(KS,b,EMaEMa) )KDCAB1 1。a,Ea,EKAKA( (EMaEMa) )4 4。E EKAKA(KS,b,(KS,b,EMaEMa) )2 2。E EKAKA( (EMaEMa) )3 3。E EKBKB(KS,a ,(KS,a ,EMbEMb),), E EKAKA(KS,b,(KS,b,EMaEMa) )2024/9/2275组合公钥技术组合公钥技术 组合公钥组合公钥( (以椭圆曲线为例以椭圆曲线为例) ) 公式：公式：y y2 2=x=x3 3+ax+b mod p;+ax+b mod p; 参数参数: : T=T=a,b,G,n,p; 私钥：私钥：sk=r;

53、 公钥：公钥：pk=rG; 设：设：h h层组合运算；层组合运算； 组合因子表组合因子表 私钥因子私钥因子( (保密）保密） 公钥因子（公布）公钥因子（公布） r11 r21 r31 rh1 r11G r21G r31G rh1G r12 r22 r32 rh2 r12G r22G r32G rh2G r13 r23 r33 rh3 r13G r23G r33G rh3G r1m r2m r3m rhm r1mG r2mG r3mG rhmG名称映射名称映射名名称称可可以以是是互互联联网网定定义义的的用用户户名名，也也可可以以是是单单位位名名称称，个个人人身身份份证证号号，银银行行帐帐号号，I

54、PIP地地址，设备名，电话号码等。址，设备名，电话号码等。 E EKEY1KEY1（用户名）用户名） mod m = map1;mod m = map1; E EKEY2KEY2（用户名）用户名） mod m = map2;mod m = map2; E EKEYhKEYh（用户名）用户名） mod m = mod m = maphmaph; ;密钥计算密钥计算 设：设：A A名称的三次映射值分别为名称的三次映射值分别为i i，j j和和k k， 私钥计算：私钥计算：通过映射值和私钥因子计算通过映射值和私钥因子计算 ( (r r1i1i+r+r2j2j+r+r3k3k)mod n=R)mod

55、n=RA A，将将R RA A作为作为A A的私钥；的私钥；公钥计算：公钥计算：通过对方名称映射值和公钥因子，计算通过对方名称映射值和公钥因子，计算 ( (r r1i1iG+rG+r2j2jG+rG+r3k3kG) mod p = GG) mod p = GA A，将将G GA A作为作为A A的公钥；的公钥；这样私钥这样私钥R RA A和公钥和公钥G GA A刚好对应。有了公私钥对。刚好对应。有了公私钥对。密钥存储密钥存储 如果将如果将p p定义为定义为256-256-bitbit（32B32B），），则一个公钥占则一个公钥占512-512-bitbit（64B64B），），分分h h层层(

56、 (如如3 3层层) )处理，设每一层为处理，设每一层为m(m(如如1000)1000)，则要存储的公钥因子共则要存储的公钥因子共hm(31000)hm(31000)，只需要只需要192192KBKB的空间，的空间，却能组合成却能组合成100010003 3个公钥。个公钥。 密钥长度密钥长度 每层因子数每层因子数 层次数层次数 总因子量总因子量 因子存储量因子存储量 公钥量公钥量 20B 64=26 16=24 210= 1k 1*40= 40kB (26)16=296 =102820B 128=27 16=24 211= 2k 2*40= 80kB (27)16=2112=103320B 2

57、56=28 16=24 212= 4k 4*40=160kB (28)16=2128=1038 40B 64=26 16=24 210= 1k 1*80= 80kB (26)16=2 96=102840B 128=27 16=24 211= 2k 2*80=160kB (27)16=2112=103340B 256=28 16=24 212= 4k 4*80=320kB (28)16=2128=103840B 64=26 32=25 211= 2k 2*80=160kB (26)32=2192=105740B 128=27 32=25 212= 4k 4*80=320kB (27)32=222

58、4=106740B 256=28 32=25 213= 8k 8*80=640kB (28)32=2256=1077 密钥因子存储量2024/9/2282软盘软盘公钥因子公钥因子 CA证书证书 CA证书证书 SMART卡卡CA证书证书存储片存储片公钥因子公钥因子CA证书证书存储片存储片公钥因子公钥因子CPU密钥存储形式密钥存储形式2024/9/2283组合公钥的体系结构组合公钥的体系结构公钥因子表库有效名字库作废名字库终端实体名字管理中心密钥管理中心管理实体操作事务管理事务管理事务管理事务管理事务发布有效名字发布作废名字2024/9/2284私钥因子表私钥因子表公钥因子表公钥因子表名称名称1名

59、称名称2名称名称1名称名称2 名称名称1名称名称2名称名称私钥私钥密钥管理中心密钥管理中心名称管理名称管理名称管理名称管理名称管理名称管理私钥证书私钥证书私钥证书私钥证书私钥证书私钥证书保密网保密网名称名称私钥私钥名称名称私钥私钥公钥因子公钥因子公钥因子公钥因子公钥因子公钥因子组合公钥运行组合公钥运行2024/9/2285私钥分发过程私钥分发过程 1 1） 署名用户：向名称管理中心面对面提出申请；署名用户：向名称管理中心面对面提出申请； 2 2） 名名称称管管理理中中心心：注注册册，并并通通过过保保密密网网向向密密钥钥中中心心提提出出申申请请；保保留留用用户户的的所所有有曾曾用用名名称称和和在

60、在用用名名称称；防防止止名名称称用用重重；防防止止不不同同名名称称享有相同的映射值；享有相同的映射值； 3 3） 密钥管理中心：计算私钥，通过保密网发回用户私钥密钥管理中心：计算私钥，通过保密网发回用户私钥; ; 4 4） 名称管理中心：将私钥写入名称管理中心：将私钥写入IDID卡中，面对面地发给署名用户；卡中，面对面地发给署名用户；密钥更换密钥更换密钥变更方法有三种：密钥变更方法有三种：个别更换：个别更换：一个申请名称的个别性更换密钥，必须更换申一个申请名称的个别性更换密钥，必须更换申请名称，重新领取私钥证书。请名称，重新领取私钥证书。定期更换：定期更换：比如一年一次，只在中心进行，不影响用

61、户私比如一年一次，只在中心进行，不影响用户私钥证书，购买或下载公钥因子就可以。钥证书，购买或下载公钥因子就可以。统一更换：统一更换：比如五年一次，中心的私钥因子表和申请名称比如五年一次，中心的私钥因子表和申请名称的私钥证书统一更换。的私钥证书统一更换。2024/9/2287 私钥因子私钥因子 公钥因子公钥因子 r11+a, r21+b, r31+c, r11G r21G r31G r12+a, r22+b, r32+c, r12G r22G r32G r13+a, r23+b, r33+c, r13G r23G r33G r1m+a, r2m+b, r3m+c, r1mG r2mG r3mG (a + b + c) mod n = 0;2024/9/2288谢谢！谢谢！