公钥基础设施pki唐文北京大学信息学院软件工程研究所信.ppt

公钥基础设施PKI2024/7/311内容内容•认证逻辑•公开密钥基础设施PKI •密钥管理•组合公钥技术2024/7/312认证逻辑认证逻辑2024/7/313 认证逻辑认证逻辑　 信任逻辑信任逻辑：对主体的认证，对照方法判别：对主体的认证，对照方法判别 注册性，双边性，独有性，一体性，主从性注册性，双边性，独有性，一体性，主从性　　 相信逻辑相信逻辑：对客体的认证，推理方法判别：对客体的认证，推理方法判别 （（BANBAN逻辑，逻辑，NRLNRL逻辑，逻辑，NCPNCP逻辑）逻辑） 可解性，无重性，占有性可解性，无重性，占有性 2024/7/314主体认证主体认证 在在信信息息系系统统中中，，主主体体认认证证在在主主体体之之间间进进行行一一个个主主体体对对另另一一个个主主体体进进行行识识别别（（identifyidentify）），，验验明明身身份份（（proof proof of of identityidentity））。

主主体体分分为为验证方和证明方验证方和证明方2024/7/315主体认证的依据主体认证的依据 主主体体认认证证必必须须具具有有某某种种““信信物物””，，如如：：合合同同，，协协议议，，照照片片，，证证件件，，IDID卡卡或或身身份份证证等等这这种种““信信物物””特特征征应应记记录录在在案案发发证证方方是是主主主主体体，，领领证证方方是是从从主主体体而而主主体体和和证证件件具具有有一一体体性性因因此此，，主主体体认认证证必必须须满满足足注注册册性性，，共共有有性性，，独独特特性性，，一一体体性性，，主主从从性2024/7/316注册性注册性 证证明明方方主主体体特特征征应应是是预预先先设设置置或或约约定定的的，，这这就就是是注注册册因因为为证证明明通通常常以以对对照照的的方方法法进进行行，，没没有有参参照照物物，，就就无无法法比比较较，，也也就就是是无无法法得得到到证证明明很很显显然然，，不不注注册册就就没没有有判判别别的的依依据据因因此此注注册册中中包包括括判判别别所所需需的的所所有有有有关关内内容容注注册册性性决决定定了了一一个个验验证证主主体体管管辖辖的的证证明明方方是是有有边边界界的的。

而而不不是是无无限限的的注注册册性性是是主体认证和客体认证的主要区别点主体认证和客体认证的主要区别点2024/7/317共有性共有性 共共有有性性强强调调验验证证方方和和证证明明方方具具有有相相同同意意义义的的““信信物物””过过去去简简单单用用：：““你你有有什什么么，，你你知知道道什什么么，，你你是是什什么么””来来定定义义身身份份认认证证的的依依据据得得出出你你是是谁谁的的结结论论按按着着共共有有性性原原则则，，应应解解释释为为：：““你你有有的的我我也也有有，，你你知知道道的的我我也也知知道道，，你你是是什什么么的的叙叙述述跟跟我我掌掌握握的的一一样样””我我有有，，我我知知道道，，我我是是什什么么””应在注册中体现应在注册中体现2024/7/318独特性独特性 ““信信物物””的的部部分分或或全全部部体体现现在在注注册册中中，，同同样样，，““信信物物””的的部部分分或或全全部部体体现现在在证证明明方方所所持持有有的的证证件件中中信信物物””的的综综合合特特证证是是唯唯一一的的有有别别于于其其它它主主体体的的特特征征身身份份特特征征的的分分粒粒度度按按业业务务性性质质可可以以不不同同，，在在敌敌友友识识别别系系统统中中，，只只识识别别敌敌友友双双方方即即可可，，有有的的系系统则要识别到具体的人，如身份证号或用户名等。

统则要识别到具体的人，如身份证号或用户名等2024/7/319一体性一体性 证证明明方方必必须须具具有有主主体体和和证证件件的的一一体体性性证证据据如如照照片片或或人人脑脑中中的的口口令令等等，，将将证证明明主主体体和和证证件件结结合合成成一一体体化化用用于于一一体体性性证证明明的的技技术术有有两两种种，，一一种种是是基基于于主主体体的的生生物物特特征征，，另另一一种种是是基基于于主主体体的的逻逻辑辑特特征征在在信信息息系系统统中中往往往往采采用用逻逻辑辑特特征征值值，，如口令或密钥参数如口令或密钥参数2024/7/31101 1）生物特征）生物特征 最最能能够够提提供供一一体体性性证证据据的的是是主主体体固固有有的的生生物物特特征征现有生物特征技术大致如下：现有生物特征技术大致如下： 类别类别 存储量存储量 验证方式验证方式 判别判别 准确度准确度指纹特征指纹特征 4 4kB kB 接触型接触型 几秒几秒 有误判有误判视网膜特征视网膜特征 2 2kB kB 接触型接触型 几秒几秒 较准确较准确虹膜特征虹膜特征 256 256B B 非接触型非接触型 1 1秒秒 非常准确非常准确脸部特征和脸部特征和声音特征声音特征 16 16kB kB 非接触型非接触型 几秒几秒 较准确较准确 其中，基于脸部特征的一体性验证，还具有可其中，基于脸部特征的一体性验证，还具有可恢复脸部图象的功能，这种功能为事发后的跟踪追恢复脸部图象的功能，这种功能为事发后的跟踪追查提供有力的证据。

查提供有力的证据2024/7/3111逻辑特征逻辑特征 逻逻辑辑特特征征是是利利用用参参数数，，如如口口令令或或密密钥钥，，作作为为主主体体身身份份的的特特征征来来进进行行认认证证的的技技术术认认证证一一般般通通过过一一种协议来实现种协议来实现2024/7/3112主从性主从性 验验证证主主体体和和证证明明主主体体构构成成主主从从关关系系主主从从关关系系以以登登记记，，发发证证的的形形式式体体现现主主体体间间互互相相认认证证，，表表面面看看起起来来是是平平等等关关系系，，但但A A方方验验证证B B方方时时，，A A方方是是主主主主体体，，而而B B方方是是从从主主体体，，而而B B方方验验证证A A方方时时，，B B方方成成为为主主主主体体，，A A方方成成为为从从主主体体就就一一个个主主体体的的验验证证过过程程来来说说，，不不会会形形成成平平等等关关系系主主从从性性指指的的是是直直接接的的从从属属关关系系，，而而不不是是间间接接的的从从属属关关系系从从属属关关系系规规定定了了发发证证的的合合法法性性和和有有效效域域一一个个系系统统只只能能对对自自己己管管辖辖的的主主体体发发证证，，而而一一个个主主体体的的证证件件只只能能在在所所属属系系统统范范围围内内有有效效。

从从安安全全理理论论的的角角度度，，这这种种关关系系是是单单层层的的，，而而不不能能是是多多层的2024/7/3113主体认证协议主体认证协议口令认证协议口令认证协议 一个客户一个客户A A主机（主机（PCPC））要登录到服务器（要登录到服务器（SVRSVR）必备条件：必备条件： A: A: 具有具有SVR SVR 配发的配发的IDID卡做管辖性证据；卡做管辖性证据； 具有用户名和口令，提供一体性证据；具有用户名和口令，提供一体性证据； 具有具有SVRSVR分发的参数分发的参数R R，，提供当次性证据；提供当次性证据；PCPC：： 具有加密算法和加密功能；具有密钥具有加密算法和加密功能；具有密钥k1;k1;SVRSVR：：IDID卡合法性验证，验证其管辖性；用户卡合法性验证，验证其管辖性；用户A A的用的用 户名户名( (或用户标识或用户标识PIN)PIN)和口令，用于一体性检和口令，用于一体性检 验；发给验；发给A A的随机参数，用于当次性和管辖性的随机参数，用于当次性和管辖性 验证；密钥验证；密钥k1k1和和 k2k2以及加解密功能。

以及加解密功能2024/7/3114身份（标识）认证示意身份（标识）认证示意 KEY1 KEY1，， KEY2 R ，， PWA PC SVREKEY1(KEY2)EKEY2(R) 用户（用户（PWA) ID卡2024/7/3115验证过程：验证过程：a)a)用户插卡，卡中的内容输进用户插卡，卡中的内容输进PCPC机中 E EK1K1（（K2K2）；）； E EK2K2（（R R）；）；b)b)PCPC计算：计算： D DK1K1（（E Ek1k1(k2)) = k2(k2)) = k2 D DK2K2(R)=R;(R)=R;c)c)用户敲入口令用户敲入口令WPaWPa；；d)d)PCPC计算计算E EK2K2（（R R WPaWPa））; ; 将结果送将结果送SVRSVR；；e)e)SVRSVR计算计算E EK2K2（（R R WPaWPa）；）；将结果进行比较。

将结果进行比较f)f)如果认证通过，将如果认证通过，将E EK2K2（（NEW RNEW R））发回发回a a的的IDID卡卡 中2024/7/3116公开密钥基础设施公开密钥基础设施PKIPKI2024/7/3117公开密钥基础设施公开密钥基础设施PKI PKI •1976年Diffie和Hellman在《密码新方向》中提出了著名的D-H密钥交换协议，标志着公钥密码体制的出现 Diffie和Hellman第一次提出了不基于秘密信道的密钥分发，这就是D-H协议的重大意义所在•PKI（Public Key Infrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务2024/7/3118PKI提供的基本服务提供的基本服务•认证–采用数字签名技术，签名作用于相应的数据之上•被认证的数据 —— 数据源认证服务•用户发送的远程请求 —— 身份认证服务•远程设备生成的challenge信息 —— 身份认证•完整性–PKI采用了两种技术•数字签名：既可以是实体认证，也可以是数据完整性•MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5•保密性–用公钥分发随机密钥，然后用随机密钥对数据加密•不可否认–发送方的不可否认 —— 数字签名–接受方的不可否认 —— 收条 + 数字签名2024/7/3119PKI的应用考虑的应用考虑•在提供前面四项服务的同时，还必须考虑–性能•尽量少用公钥加解密操作，在实用中，往往结合对称密码技术，避免对大量数据作加解密操作•除非需要数据来源认证才使用签名技术，否则就使用MAC或者HMAC实现数据完整性检验–和离线模型•签名的验证可以在离线情况下完成•用公钥实现保密性也可以在离线情况下完成•离线模式的问题：无法获得最新的证书注销信息–证书中所支持算法的通用性•在提供实际的服务之前，必须协商到一致的算法–个体命名•如何命名一个安全个体，取决于CA的命名登记管理工作2024/7/3120密钥对的用法密钥对的用法•用于加密的密钥对用公钥加密用公钥加密用私钥解密用私钥解密用私钥签名用私钥签名用公钥验证用公钥验证u用于签名的密钥对用于签名的密钥对2024/7/3121PKI之动机之动机•公钥技术–如何提供数字签名功能–如何实现不可否认服务–公钥和身份如何建立联系•为什么要相信这是某个人的公钥–公钥如何管理•方案：引入证书(certificate)–通过证书把公钥和身份关联起来2024/7/3122PKI基本组成 PKI由以下几个基本部分组成： –公钥证书 –证书作废列表（CRL） –策略管理机构（PMA） –认证机构（CA） –注册机构（RA） –证书管理机构（CMA） –证书存档(Repository) –署名用户（Subscriber） –依赖方(Relying party) –最终用户（End User） 2024/7/3123PKIPKI基本组成基本组成公钥证书公钥证书 由由可可信信实实体体签签名名的的电电子子记记录录，，记记录录将将公公钥钥和和密密钥钥（（公公私私钥钥对对））所有者的身份捆绑在一起。

公钥证书是所有者的身份捆绑在一起公钥证书是PKIPKI的基本部件的基本部件 证书作废列表（证书作废列表（CRLCRL）） 作作废废证证书书列列单单，，通通常常由由同同一一个个发发证证实实体体签签名名当当公公钥钥的的所所有有者者丢失私钥，或者改换姓名时，需要将原有证书作废丢失私钥，或者改换姓名时，需要将原有证书作废 策略管理机构（策略管理机构（PMAPMA）） 监督证书策略的产生和更新，管理监督证书策略的产生和更新，管理PKIPKI证书策略证书策略2024/7/3124PKIPKI基本组成基本组成注册机构（注册机构（RARA））互互联联网网定定义义：：一一个个可可选选PKIPKI实实体体（（与与CACA分分开开）），，不不对对数数字字证证书书或或证证书书作作废废列列单单（（CRLCRL））签签名名，，而而负负责责记记录录和和验验证证部部分分或或所所有有有有关关信信息息（（特特别别是是主主体体的的身身份份）），，这这些些信信息息用用于于CACA发发行行证证书书和和CLRCLR以以及及证证书书管管理理中中RARA在在当当地地可可设设置分支机构置分支机构LRALRA。

PKIXPKIX用用语语：：一一个个可可选选PKIPKI实实体体与与CACA分分开开，，RARA的的功功能能随随情情况况而而不不同同，，但但是是可可以以包包括括身身份份认认证证和和用用户户名名分分配配，，密密钥钥生生成和密钥对归档，密码模件分发及作废报告管理成和密钥对归档，密码模件分发及作废报告管理国防部定义：国防部定义：对对CACA负责当地用户身份（负责当地用户身份（标识标识）识别的人识别的人2024/7/3125PKIPKI基本组成基本组成认证机构（认证机构（CACA））互互联联网网定定义义：：一一个个可可信信实实体体，，发发放放和和作作废废公公钥钥证证书书，，并并对对各作废证书列表签名各作废证书列表签名国国防防部部定定义义：：一一个个授授权权产产生生，，签签名名，，发发放放公公钥钥证证书书的的实实体体CACA全全面面负负责责证证书书发发行行和和管管理理（（即即，，注注册册进进程程控控制制，，身身份份标标识识和和认认证证进进程程，，证证书书制制造造进进程程，，证证书书公公布布和和作作废废及及密密钥的更换）钥的更换）CACA还全面负责还全面负责CACA服务和服务和CACA运行联联邦邦政政府府定定义义：：被被一一个个或或多多个个用用户户所所信信任任发发放放和和管管理理X.509X.509公钥证书和作废证书的机构。

公钥证书和作废证书的机构2024/7/3126PKIPKI基本组成基本组成证书管理机构（证书管理机构（CMACMA）） 将将 CACA和和 RARA合合 起起 来来 称称 CMA(certificate CMA(certificate management management authority)authority) 证书存档证书存档( (Repository)Repository) 一一个个电电子子站站点点，，存存放放证证书书和和作作废废证证书书列列表表（（CRLCRL）），，CACA在用证书和作废证书在用证书和作废证书 署名用户（署名用户（SubscriberSubscriber）） 署署名名用用户户是是作作为为主主体体署署名名证证书书并并依依据据策策略略使使用用证证书书和和相应密钥的实体相应密钥的实体2024/7/3127PKIPKI基本组成基本组成依赖方依赖方( (Relying party)Relying party) 一一个个接接收收包包括括证证书书和和签签名名信信息息的的人人或或机机构构，，利利用用证证书书提提供供的的公公钥钥验验证证其其有有效效性性，，与与持持证证人人建建立立保保密密通通信信，，接接收方处于依赖的地位。

收方处于依赖的地位最终用户（最终用户（End UserEnd User）） 署署名名用用户户和和依依赖赖方方的的统统称称，，也也称称末末端端实实体体（（End-End-entityentity））, ,可可以以是是人人，，也也可可以以是是机机器器，，如如路路由由器器，，或或计计算机中运行的进程，如防火墙算机中运行的进程，如防火墙2024/7/3128PKI中的证书中的证书•证书(certificate)，有时候简称为cert•PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一•证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性•一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途•签名证书和加密证书分开•最常用的证书格式为X.509 v32024/7/3129X.509证书格式证书格式•版本1、2、3•序列号–在CA内部唯一•签名算法标识符–指该证书中的签名算法•签发人名字–CA的名字•有效时间–起始和终止时间•个体名字2024/7/3130X.509证书格式证书格式(续续)•个体的公钥信息–算法–参数–密钥•签发人唯一标识符•个体唯一标识符•扩展域•签名2024/7/3131PKIPKI的运行的运行X509X509标准标准PKIXPKIX1 1））署名用户向证明机构（署名用户向证明机构（CACA））提出数字证书申请；提出数字证书申请；2 2））CACA验明署名用户身份，并签发数字证书；验明署名用户身份，并签发数字证书；3 3））CACA将证书公布到证书库中；将证书公布到证书库中；4 4））署署名名用用户户对对电电子子信信件件数数字字签签名名作作为为发发送送认认证证，，确确保保信信件完整性，不可否认性，并发送给依赖方。

件完整性，不可否认性，并发送给依赖方5 5））依依赖赖方方接接收收信信件件，，用用署署名名用用户户的的公公钥钥验验证证数数字字签签名名，，并到证书库查明署名用户证书的状态和有效性；并到证书库查明署名用户证书的状态和有效性；6 6）证书库返回证书检查结果；）证书库返回证书检查结果；2024/7/3132PKIPKI的运行的运行证书机构证书机构 CA证书库证书库署名用户署名用户依赖方依赖方3124652024/7/3133PKI中密钥和证书的管理 密钥/证书生命周期管理的各个阶段：–初始化阶段 –颁发阶段 –取消阶段 •证书过期 •证书撤销 2024/7/3134密钥生命周期密钥生命周期密钥产生密钥产生证书签发证书签发Bob密钥使用密钥使用Bob证书检验证书检验密钥过期密钥过期密钥更新密钥更新2024/7/3135PKI: PKI: 初始化阶段初始化阶段在终端实体能够使用PKI支持的服务之前，它们必须初始化以进入PKI初始化由以下几步组成：① 终端实体注册② 密钥对产生③ 证书创建和密钥/证书分发④ 证书分发⑤ 密钥备份2024/7/3136终端实体的初始化8.证书响应7.证书请求4.注册建立请求5.注册建立结果6.注册结果3.注册表格提交2.注册表格应答终端实体RACA1.注册表格请求2024/7/3137颁发阶段 一旦私钥和公钥证书已经产生并适当地分发，密钥/证书生命周期管理的颁发阶段即开始。

这个阶段包括：① 证书检索——远程资料库的证书检索② 证书验证——确定一个证书的有效性（包括证书路径的验证）③ 密钥恢复——当不能正常访问密钥资料时，从CA或信任第三方处恢复④ 密钥更新——当一个合法的密钥对将过期时，进行新的公/私钥的自动产生和相应证书的颁发2024/7/3138撤消阶段 密钥/证书生命周期管理以取消阶段来结束此阶段包括如下内容：① 证书过期——证书生命周期的自然结束② 证书撤销——宣布一个合法证书（及其相关私有密钥）不再有效③ 密钥历史——维持一个有关密钥资料的记录（一般是关于终端实体的），以便被过期的密钥资料所加密的数据能够被解密④ 密钥档案——出于对密钥历史恢复、审计和解决争议的考虑所进行的密钥资料的安全第三方储存2024/7/3139PKI中证书的撤消2.证书撤销响应证书撤销请求2.证书撤销响应1.证书撤销请求RACA带外请求终端实体OR2024/7/3140CA(Certificate Authority)•职责–接受用户的请求–(由RA负责对用户的身份信息进行验证)–用自己的私钥签发证书–提供证书查询–接受证书注销请求–提供证书注销表•各个组件和功能示意图健壮的数据健壮的数据库系统库系统无缝的目录接口无缝的目录接口CA硬件硬件管理和运管理和运 行平台行平台 安全的审计安全的审计密钥密钥PKI2024/7/3141密钥备份和恢复密钥备份和恢复 进一步授权进一步授权(# 可定制可定制)授权恢授权恢复密钥复密钥RA最终用户最终用户PKI加密密钥的历史加密密钥的历史新的签名密钥对新的签名密钥对和证书和证书Password??Help!!2024/7/3142CA密钥更新密钥更新•保证透明性用于验证的CA公钥用于签名的CA私钥 CA最终用户Sep 1998Oct 1998Nov 1998Dec 1998Jan 1999Feb 1999Mar 1999Apr 1999May 1999Jun 1999Jul1999Aug 1999CA密钥历史保证对于密钥历史保证对于最终用户和其他的最终用户和其他的PKI是透明的是透明的新的新的CA签名签名密钥对密钥对2024/7/3143CA信任关系信任关系•当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？–信任难以度量，总是与风险联系在一起•可信CA–如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA•信任模型–基于层次结构的信任模型–交叉认证–以用户为中心的信任模型2024/7/3144CA层次结构层次结构•对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成•它可以建立一个CA层次结构根CA中间CA2024/7/3145CA层次结构的建立层次结构的建立•根CA具有一个自签名的证书•根CA依次对它下面的CA进行签名•层次结构中叶子节点上的CA用于对安全个体进行签名•对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的•在CA的机构中，要维护这棵树–在每个节点CA上，需要保存两种cert(1) Forward Certificates: 其他CA发给它的certs(2) Reverse Certificates: 它发给其他CA的certs2024/7/3146层次结构层次结构CA中证书的验证中证书的验证•假设个体A看到B的一个证书•B的证书中含有签发该证书的CA的信息•沿着层次树往上找，可以构成一条证书链，直到根证书•验证过程：–沿相反的方向，从根证书开始，依次往下验证每一个证书中的签名。

其中，根证书是自签名的，用它自己的公钥进行验证–一直到验证B的证书中的签名–如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥•问题：证书链如何获得？2024/7/3147证书链的验证示例证书链的验证示例2024/7/3148CA认证模型 如如果果用用户户 i i和和j j都都属属于于CA111CA111，，那那么么i i和和j j之之间间的的密密钥钥交交换换，，只只需需要要持持有有CA111CA111开开具具的的证证明明书书就就可可以以，，即即：：对对用用户户 i i和和j j的的公公钥钥PKi PKi 和和PKjPKj分分别别盖盖章章，，如如( (Pki)Pki)ca111ca111, , (Pkj)(Pkj)ca111ca111, ,那那么么用用户户i i和和j j就能证明密钥是对方的密钥就能证明密钥是对方的密钥2024/7/3149CA认证模型 如如果果用用户户j j的的证证明明书书是是CA122CA122开开具具的的，，那那么么情情况况就复杂了，各自具有：就复杂了，各自具有： i i方：方：( (Pki)Pki)ca111 ca111 , (CA111), (CA111)CA11CA11, (CA11), (CA11)CA1CA1 j j方：方：( (Pkj)Pkj)ca122 ca122 , (CA122), (CA122)CA12CA12, (CA12), (CA12)CA1CA1 这这 就就 形形 成成 了了 层层 层层 证证 明明 的的 证证 明明 链链 （（ certification certification chainchain））。

这这里里，，符符号号( (CA11)CA11)CA1CA1是是CA1CA1对对C11C11的的公公钥钥盖盖章章，，只只是是证证明明本本公公钥钥是是C11C11的2024/7/3150 CA CA 证明链证明链CACA1CA2CA11CA12CA21CA22个人证书个人证书个人证书个人证书（（PKI））CA11，（，（PKCA11））CA1，（，（PKCA1））CA（（PKJ））CA21，（，（PKCA21））CA2，（，（PKCA2））CAij2024/7/3151交叉认证交叉认证•两个不同的CA层次结构之间可以建立信任关系–单向交叉认证•一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书–双向交叉认证•交叉认证可以分为–域内交叉认证(同一个层次结构内部)–域间交叉认证(不同的层次结构之间)•交叉认证的约束–名字约束–路径长度约束–策略约束2024/7/3152以用户为中心的信任模型以用户为中心的信任模型•对于每一个用户而言，应该建立各种信任关系，这种信任关系可以被扩展•例子：用户的浏览器配置2024/7/3153PKIPKI进展进展美国防部进展美国防部进展 美美国国国国防防部部19991999年年3 3月月开开始始酝酝酿酿国国防防PKIPKI之之事事，，并并制制订订了了国国防防部部PKIPKI行行程程图图和和DoD DoD X509X509证证书书策策略略，，于于19991999年年1010月和月和1212月分别公布，计划于月分别公布，计划于20022002年完工。

年完工 DoD DoD PKIPKI的的目目标标是是：：提提供供或或支支持持：：1 1））标标准准化化的的；；2 2））多多用用途途和和多多进进程程；；3 3））国国防防部部和和联联邦邦政政府府，，盟盟国国，，商商业业伙伙伴伴之之间间的的安安全全互互操操作作性性；；4 4））数数字字签签名名和和密密钥钥交交换换; ;5)5)商业化的；商业化的；6 6）联邦信息进程标准）联邦信息进程标准FIFSFIFS相关要求相关要求 DoD DoD PKIPKI采采用用集集中中式式证证书书管管理理和和分分散散式式注注册册，，采采用用共共同的进程和部件，以节省经费和资源同的进程和部件，以节省经费和资源2024/7/3154美国防部PKIDoD PKI根根CA互相证明互相证明联邦联邦/盟国盟国 PKI根根CACADoD CA地区网站地区网站NSA集中式集中式分散式分散式外部外部CA（将来）（将来）地区注册机构地区注册机构国防部用户国防部用户注册工作站注册工作站2024/7/3155美国防部PKI PKI PKI是美国防部密钥管理构架是美国防部密钥管理构架KMIKMI（（Key Management Key Management InfrastructureInfrastructure））的重要组成部分。

的重要组成部分KMIKMI密钥管理构架，密钥管理构架，包括传统的密钥管理系统，电子密钥管理系统（包括传统的密钥管理系统，电子密钥管理系统（EKMSEKMS））以及物理产品（如密码本和认证器）以及物理产品（如密码本和认证器）KMIKMI负责提供密负责提供密钥产品，包括对称密钥和非对称密钥，为军事，情报，钥产品，包括对称密钥和非对称密钥，为军事，情报，政府，盟国，合同企业，商务伙伴提供密码服务政府，盟国，合同企业，商务伙伴提供密码服务 PKIPKI先在非密系统中试点，测试，选型先在非密系统中试点，测试，选型. . 美美国国防防部部的的PKIPKI的的研研发发，，将将遵遵循循国国防防部部层层次次化化安安全全等等级级美美国国防防部部指指定定国国家家安安全全局局（（NSANSA））和和国国防防信信息息系系统统局局（（DISADISA））负负责责实实施施DoD DoD PKI,PKI,为为国国防防部部网网络络应应用用提提供供用用户户不可否认，数据保密，加密和数字签名等服务不可否认，数据保密，加密和数字签名等服务2024/7/3156PKIPKI的运行：的运行：国防部国防部DoD PKIDoD PKI布局布局ROOT CALRARAID CACA目录目录托管托管根根CA 当地注册当地注册 注册机构注册机构 身份身份CA 邮件邮件CA 身份身份/邮件目录邮件目录 密钥托管密钥托管M/S CLIENT LOTUS NESCAPE NOVELL ACTIVE NESCAPEM/S SERVER CLIENT CLIENT NDS DIRECTORY LDAP v3 PROTOCOL DNS MAIL SISCO SISCO SNIFFER SERVER SERVER ROUTER ROUTERR2024/7/3157美国联邦政府美国联邦政府PKIPKI 美美国国联联邦邦政政府府成成立立了了联联邦邦PKIPKI促促进进委委员员会会，，并并在在整整个个联联邦政府中已批准了邦政府中已批准了5050多个与多个与PKIPKI 相相关关的的试试点点。

20002000年年1212月月公公布布了了联联邦邦搭搭桥桥证证明明机机构构（（FBCAFBCA））的的X.509X.509证证书书策策略略本策略并非定稿，仍是草稿或听取意见稿本策略并非定稿，仍是草稿或听取意见稿 FBCAFBCA支支持持联联邦邦政政府府PKIPKI中中同同等等实实体体之之间间的的互互操操作作FBCAFBCA只只向向属属于于主主管管CACA的的各各CACA签签发发证证书书，，FBCAFBCA或或与与FBCAFBCA互互操操作作的的各各CACA向向运运行行FBCAFBCA的的个个人人签签发发证证书书FBCAFBCA向向部部局局主主管管CACA签发证书起签发证书起信任的转移信任的转移作用 FBCAFBCA的的最最终终目目标标是是支支持持联联邦邦和和非非联联邦邦实实体体之之间间的的互互操操作作但但目目前前的的版版本本还还不不能能通通过过FBCAFBCA建建立立联联邦邦机机构构和和政政府府外外机机构的互操作构的互操作 FBCAFBCA将采用将采用““集线器集线器””式的非层次化工作方式式的非层次化工作方式2024/7/3158美国联邦政府美国联邦政府PKIPKIFBCAFBCA主管主管CA主管主管CACACACACA个人个人个人个人个人个人个人个人2024/7/3159华盛顿州华盛顿州PKIPKI 在华盛顿州法律下制定的在华盛顿州法律下制定的PKIPKI策略，允许发放策略，允许发放CACA许可证，许可证，不在华盛顿州的署名用户和依赖方可以获得或使用本策不在华盛顿州的署名用户和依赖方可以获得或使用本策略下发放的证书，可以在华盛顿州外进行交易，应用，略下发放的证书，可以在华盛顿州外进行交易，应用，通信，除非被联邦法律禁止。

得到许可的通信，除非被联邦法律禁止得到许可的CACA，，对其雇佣对其雇佣人员必须通过背景安全检查和测试，如证书管理知识，人员必须通过背景安全检查和测试，如证书管理知识，包括证书发放，证书系统运行，以及包括证书发放，证书系统运行，以及CACA运行机制的采用运行机制的采用和安全策略的建立和安全策略的建立2024/7/3160华盛顿州华盛顿州PKIPKI华盛顿洲华盛顿洲PKIPKI用于：用于： a) a) PKIPKI拟支持拟支持数字签名，加密，访问控制等应用数字签名，加密，访问控制等应用 b)b)政政府府机机构构内内各各司司局局，，部部，，单单位位和和/ /或或组组织织间间的的通通信信和和交交易；易； c)c)政府机构，公众组织，私人组织和政府机构，公众组织，私人组织和/ /或个人，或个人， 与政府活动相关的通信和交易；与政府活动相关的通信和交易；本策略下的证书支持：本策略下的证书支持： 1 1）数字签名；）数字签名； 2 2）加密和认证电子通信；）加密和认证电子通信； 3 3））提提供供身身份份证证据据，，支支持持依依赖赖方方所所建建立立的的访访问问控控制制，，防止非授权的计算机系统，电子信息和文件的访问。

防止非授权的计算机系统，电子信息和文件的访问2024/7/3161密钥管理密钥管理2024/7/3162密钥管理•密钥管理是密码系统中最重要，同时也是最薄弱的环节，密钥的泄漏将直接导致整个密码系统的失效密钥管理是密码算法，鉴别逻辑，VPN等的技术的基础，密钥的重要性随着信息安全技术的发展越显突出 •重要性：逻辑隔离技术之一　　　　　　重要的认证参数•　　管理体制：集中，分散• 分发体制：静态，动态•层次化的密钥管理结构在较大的信息系统中，密钥按其作用分为三种：将用于数据加密的密钥称三级密钥；保护三级密钥的密钥称二级密钥，也称密钥加密密钥；保护二级密钥的密钥称一级密钥，也称密钥保护密钥或主密钥，主密钥构成了整个密钥管理系统的关键 2024/7/3163密钥使用举例密钥使用举例 DATADATA HASH HASH（（DATADATA））= H;= H; (H) (H)DADA=SIGN=SIGN E E RAN1RAN1 （（ DATA//SIGN DATA//SIGN ））=CODE=CODE E EKA-BKA-B(RAN1)=RAN2(RAN1)=RAN2 发送：（发送：（RAN2RAN2，，CODECODE））2024/7/3164密钥管理的内容和原则密钥管理的内容和原则 •在密钥管理体制中，密钥整个生存周期中要涉及到密钥的生产、验证、分发、交换、存储、更换、销毁等多个方面 。

•密钥分发和交换技术是整个密钥管理技术中最关键，最核心的技术2024/7/3165密钥分发密钥分发 •密钥分发可分为两种形式，静态分发和动态分发密钥分发方式与密钥生产方式相关，也与密钥存储技术相关 –静态分发是由中心以脱线方式预分配的技术，采用“面对面”的分发方式，是属于秘密通道的传递方式之一静态分发方式只有在集中式机制下才能存在，其前提条件是必须解决所分发密钥的存储问题–动态分发是“请求-分发”的分发技术密钥分发可以采用密钥证书的形式，密钥传递和密钥鉴别同时进行，其协议安全性需要证明有中心的KMC或无中心的CA机制都可采用在KMC中通常采用即用即发方式，无需解决密钥存放问题，但要解决密钥传递的秘密通道问题而在CA中密钥的存放问题和密钥获取得的问题都需要解决 2024/7/3166封闭式密钥管理 封闭式密钥管理一直是密钥管理的主导方式，适用于各种专用网专用网一般指处理专门业务的封闭网专用网的密钥管理一般采用集中式密钥管理中心（KMC）实现，密钥由密钥管理中心统一编制，统一生产，统一配发使用 –物理分发：又称静态分发，密钥的生产和配发在KMC内部进行，KMC一般离线工作在KMC体制中，静态分发是密钥管理的基础。

封闭式密钥管理的密钥分发的类型–电子分发：又称动态分发，往往是在静态分发的基础上实现的动态分发是近年来发展出的新技术，最初由KMC体制发展，现在延伸到开放网的CA、PKI技术中 2024/7/3167静态配置的封闭式密钥管理 静态配置的封闭式密钥管理是一种事先进行预配置的密钥管理在密钥管理中心（KMC）和各所属用户之间建立信任关系的基础上，密钥统一由KMC生成、分发、更换的集中式（centralized）的管理体制 –点对点配置 –单层星形配置 –多层星形配置 –网状配置 2024/7/3168静态分发：单层星状配置中心K1K2K3KnT2, K2T3, K3TN, Kn T1, K12024/7/3169静态分发：网状配置CBDAKA-BKA-CKA-DKC-AKC-BKC-DKD-AKD-BKD-CKB-AKB-CKB-D2024/7/3170动态分发的封闭式密钥管理 动态分发的封闭式密钥管理是在静态分发技术基础上发展起来的新技术专用网的动态分发一般采用集中式，即KMC下的动态分发动态分发可以基于单钥体制实现，也可以基于双钥体制实现；而动态分发的密钥类型可以是单密钥，也可以是双密钥。

–基于单钥的单钥分发 –基于单钥的双钥分发 –基于双钥的单钥分发 2024/7/3171动态分发：动态分发：KDCKDC，，拉方式拉方式分发协议：分发协议：1) 1) a→ca→c：：request//n1;request//n1;2) c→a2) c→a：：E EKAKA(KS//request//n1//E(KS//request//n1//EKBKB(KS,ID(KS,IDA A))))3) a→b3) a→b：：E EKBKB(KS,ID(KS,IDA A) ) 这样这样a,ba,b双方都有相同的密钥双方都有相同的密钥KSKS验证协议：验证协议：4) 4) b→ab→a：：E EKSKS(N2)(N2)5) a→b5) a→b：：E EKSKS(fN2),(fN2), 其中其中f f是简单函数，是加是简单函数，是加1 1等简单变换等简单变换2024/7/3172KDCAB1 1request//n1request//n12 2E EKAKA(KS//request//n1//E(KS//request//n1//EKBKB(KS,ID(KS,IDA A))))3 3。

E EKBKB(KS,ID(KS,IDA A) )4 4E EKSKS(N2)(N2)5 5E EKSKS(fN2)(fN2)2024/7/3173 动态分发：动态分发：KDCKDC，，推方式推方式分发协议：分发协议： 1 1））a→ba→b：：a,Ea,EKAKA(EMa);(EMa); 2) b→c 2) b→c：：E EKAKA(EMa)(EMa) 3 3））c→bc→b：：E EKBKB(KS,a ,EMb), E(KS,a ,EMb), EKAKA(KS,b,EMa)(KS,b,EMa) 4 4））b→ab→a：：E EKAKA(KS,b,EMa)(KS,b,EMa)2024/7/3174KDCAB1 1a,Ea,EKAKA(EMa)(EMa)4 4E EKAKA(KS,b,EMa)(KS,b,EMa)2 2E EKAKA(EMa)(EMa)3 3E EKBKB(KS,a ,EMb),(KS,a ,EMb), E EKAKA(KS,b,EMa)(KS,b,EMa)2024/7/3175组合公钥技术组合公钥技术2024/7/3176 组合公钥组合公钥( (以椭圆曲线为例以椭圆曲线为例) ) 公式：公式：y y2 2=x=x3 3+ax+b mod p;+ax+b mod p; 参数参数: : T={T={a,b,G,n,p}; 私钥：私钥：sk=r; 公钥：公钥：pk=rG; 设：设：h h层组合运算；层组合运算； 2024/7/3177组合因子表组合因子表 私钥因子私钥因子( (保密）保密） 公钥因子（公布）公钥因子（公布） r11 r21 r31 … rh1 r11G r21G r31G … rh1G r12 r22 r32 … rh2 r12G r22G r32G … rh2G r13 r23 r33 … rh3 r13G r23G r33G … rh3G … … … … … … r1m r2m r3m … rhm r1mG r2mG r3mG … rhmG2024/7/3178名称映射名称映射名名称称可可以以是是互互联联网网定定义义的的用用户户名名，，也也可可以以是是单单位位名名称称，，个个人人身身份份证证号号，，银银行行帐帐号号，，IPIP地地址，设备名，号码等。

址，设备名，号码等 E EKEY1KEY1（（用户名）用户名） mod m = map1;mod m = map1; E EKEY2KEY2（（用户名）用户名） mod m = map2;mod m = map2; … … … … … … E EKEYhKEYh（（用户名）用户名） mod m = maph;mod m = maph;2024/7/3179密钥计算密钥计算 设：设：A A名称的三次映射值分别为名称的三次映射值分别为i i，，j j和和k k，， 私钥计算：私钥计算：通过映射值和私钥因子计算通过映射值和私钥因子计算 ( (r r1i1i+r+r2j2j+r+r3k3k)mod n=R)mod n=RA A，，将将R RA A作为作为A A的私钥；的私钥；公钥计算：公钥计算：通过对方名称映射值和公钥因子，计算通过对方名称映射值和公钥因子，计算 ( (r r1i1iG+rG+r2j2jG+rG+r3k3kG) mod p = GG) mod p = GA A，，将将G GA A作为作为A A的公钥；的公钥；这样私钥这样私钥R RA A和公钥和公钥G GA A刚好对应。

有了公私钥对刚好对应有了公私钥对2024/7/3180密钥存储密钥存储 如果将如果将p p定义为定义为256-256-bitbit（（32B32B），），则一个公钥占则一个公钥占512-512-bitbit（（64B64B），），分分h h层层( (如如3 3层层) )处理，设每一层为处理，设每一层为m(m(如如1000)1000)，，则要存储的公钥因子共则要存储的公钥因子共h×m(3×1000)h×m(3×1000)，，只需要只需要192192KBKB的空间，的空间，却能组合成却能组合成100010003 3个公钥2024/7/3181 密钥长度密钥长度 每层因子数每层因子数 层次数层次数 总因子量总因子量 因子存储量因子存储量 公钥量公钥量 20B 64=26 16=24 210= 1k 1*40= 40kB (26)16=296 =102820B 128=27 16=24 211= 2k 2*40= 80kB (27)16=2112=103320B 256=28 16=24 212= 4k 4*40=160kB (28)16=2128=1038 40B 64=26 16=24 210= 1k 1*80= 80kB (26)16=2 96=102840B 128=27 16=24 211= 2k 2*80=160kB (27)16=2112=103340B 256=28 16=24 212= 4k 4*80=320kB (28)16=2128=103840B 64=26 32=25 211= 2k 2*80=160kB (26)32=2192=105740B 128=27 32=25 212= 4k 4*80=320kB (27)32=2224=106740B 256=28 32=25 213= 8k 8*80=640kB (28)32=2256=1077 密钥因子存储量2024/7/3182软盘软盘公钥因子公钥因子 CA证书证书 CA证书证书 SMART卡卡CA证书证书存储片存储片公钥因子公钥因子CA证书证书存储片存储片公钥因子公钥因子CPU密钥存储形式密钥存储形式2024/7/3183组合公钥的体系结构组合公钥的体系结构公钥因子表库有效名字库作废名字库终端实体名字管理中心密钥管理中心管理实体操作事务管理事务管理事务管理事务管理事务发布有效名字发布作废名字2024/7/3184私钥因子表私钥因子表公钥因子表公钥因子表名称名称1名称名称2名称名称1名称名称2 名称名称1名称名称2名称名称私钥私钥密钥管理中心密钥管理中心名称管理名称管理名称管理名称管理名称管理名称管理私钥证书私钥证书私钥证书私钥证书私钥证书私钥证书保密网保密网名称名称私钥私钥名称名称私钥私钥公钥因子公钥因子公钥因子公钥因子公钥因子公钥因子组合公钥运行组合公钥运行2024/7/3185私钥分发过程私钥分发过程 1 1）） 署名用户：向名称管理中心面对面提出申请；署名用户：向名称管理中心面对面提出申请； 2 2）） 名名称称管管理理中中心心：：注注册册，，并并通通过过保保密密网网向向密密钥钥中中心心提提出出申申请请；；保保留留用用户户的的所所有有曾曾用用名名称称和和在在用用名名称称；；防防止止名名称称用用重重；；防防止止不不同同名名称称享有相同的映射值；享有相同的映射值； 3 3）） 密钥管理中心：计算私钥，通过保密网发回用户私钥密钥管理中心：计算私钥，通过保密网发回用户私钥; ; 4 4）） 名称管理中心：将私钥写入名称管理中心：将私钥写入IDID卡中，面对面地发给署名用户；卡中，面对面地发给署名用户；　2024/7/3186密钥更换密钥更换密钥变更方法有三种：密钥变更方法有三种：个别更换：个别更换：一个申请名称的个别性更换密钥，必须更换申一个申请名称的个别性更换密钥，必须更换申请名称，重新领取私钥证书。

请名称，重新领取私钥证书定期更换：定期更换：比如一年一次，只在中心进行，不影响用户私比如一年一次，只在中心进行，不影响用户私钥证书，购买或下载公钥因子就可以钥证书，购买或下载公钥因子就可以统一更换：统一更换：比如五年一次，中心的私钥因子表和申请名称比如五年一次，中心的私钥因子表和申请名称的私钥证书统一更换的私钥证书统一更换2024/7/3187 私钥因子私钥因子 公钥因子公钥因子 r11+a, r21+b, r31+c, r11G’ r21G’ r31G’ r12+a, r22+b, r32+c, r12G’ r22G’ r32G’ r13+a, r23+b, r33+c, r13G’ r23G’ r33G’ … … … … … … r1m+a, r2m+b, r3m+c, r1mG’ r2mG’ r3mG’ (a + b + c) mod n = 0;2024/7/3188谢谢！谢谢！2024/7/3189。