身份鉴别与PKI

证书的注销机制

由于各种原因，证书需要被注销
比如：私钥泄漏、密钥更换、用户变化
PKI中注销的方法
CA维护一个CRL(Certificate
Revocation List)
基于Web的CRL服务
检查CRL的URL应该内嵌在用户的证书中 可以提供安全途径(SSL)访问URL 返回注销状态信息 其他的用法由浏览器决定
消息认证无法防止通信双方的相互攻击（欺骗、 抵赖等）。 数字签名的性质：
每个用户能有效（容易）地在他选择的文件上产生自
己的签名； 每个用户能有效（容易）地验证一给定的数字串是否 是另一特定用户在某特定文件上的签名； 没人能在其他用户没签名的文件上有效（容易）地产 生他们的签名。
数字签名算法的分类
认证中心CA

层次结构。
N
级PKI 体系中： 根CA （ Root CA ） ——2 级CA——3 级CA……n－1级CA——n级CA— —最终用户。

交叉认证：扩展CA的信任范围，允许不同 信任体系中的CA建立起可信任的相互依赖 关系，从而使各自签发的证书可以相互认 证和校验。
证书库

证书库是一种网上公共信息库，用于证书 的发布和集中存放，用户可以从此处获得 其他用户的证书和公钥。

实现安全目标的方式：访问控制服务的必要支撑； 提供数据源认证的可能方法；责任原则的直接支 持。
身份认证协议
PAP（Password Authentication Protocol, 口令验证协议） CHAP（Challenge Handshake Authentication Protocol,质询握手协议） Kerberos（基于对称密码体制的认证系统） X.509
的实时查询； 按需分发或恢复硬件设备。
RA、CP和RS

从功能上来说，一个CA可以划分为接受用 户证书申请的证书受理者（RS）、证书发 放的审核部门（Registration Authority， RA）、证书发放的操作部门（CP），一般 称这部分为CA，以及记录证书作废的证书 作废表（又叫黑名单CRL），
签名算法标识符 签发人名字

ຫໍສະໝຸດ Baidu
有效时间

主体名字
X.509证书示意图
PKI组成


完整的PKI包括认证策略的制定（包括遵循的技术标准、 各CA之间的上下级或同级关系、安全策略、安全程度、 服务对象、管理原则和框架等）、认证规则、运作制度的 制定、所涉及的各方法律关系内容以及技术的实现。 基本组件：

PKCS #13

PKCS #15

LDAP

LDAP（Light Directory Access Protocol，轻量级 目录访问协议） LDAP目录中可以存储各种类型的数据：电子邮件 地址、邮件路由信息、人力资源数据、公用密匙、 联系人列表，等等。通过把LDAP目录作为系统集 成中的一个重要环节，可以简化员工在企业内部 查询信息的步骤，甚至连主要的数据源都可以放 在任何地方。
PKI技术
内容提要
认证基础 PKI及数字证书 应用举例

认证基础
引言 认证基础 消息认证 数字签名 身份认证

引言
密码技术——机密性 认证技术——完整性、防抵赖、防篡改 基本的认证技术：

数字签名 消息认证 数字摘要（杂凑函数） 简单的身份认证
消息认证

PKI中的证书
PKI适用于异构环境中，所以证书的格式在 所使用的范围内必须统一 最常用的证书格式为X.509 v3 X.509的证书包括：证书内容、签名算法和 使用签名算法对证书内容所作的签名。

X.509证书格式

版本1、2、3 序列号

在CA内部唯一 指该证书中的签名 算法 CA的名字 起始和终止时间

消息认证（MAC，Message Authentication Code） 用来保护通信双发免受第三方的攻击。 认证方案：
发方将消息和认证密钥输入认证算法，得到消息的认
证标签； 一起发送消息和认证标签； 收方将同样的认证密钥和收到的消息输入认证算法； 检验计算结果是否与收到的认证标签相同，若相同， 则认为消息未经篡改，否则认为消息被入侵者篡改。

PKI提供的基本服务

鉴别
采用数字签名技术，签名作用于相应的数据之上
完整性
PKI采用了两种技术：数字签名和MAC
保密性
用公钥分发随机密钥，然后用随机密钥对数据加密
不可否认性
发送方的不可否认—— 接受方的不可否认——
数字签名 收条+ 数字签名
密钥生命周期
PKI中的证书
消息认证

认证方案的安全性：无条件安全性和有条件安全 性。 对安全认证方案的要求：
通信双方能有效（容易）地产生任意消息的认证标签； 通信双方能有效（容易）地验证一给定的数字串是否
是一给定消息的认证标签； 没有入侵者能有效（容易）地产生通信双方没发送消 息的消息认证标签。
数字签名

三者之间的关系
CP RS RA
黑名单CRL 网络平台
业务受理点 证书使用者
实际运行情况
认证中心CA

整个PKI体系中各方都承认的一个值得信赖的、公 正的第三方机构。 CA职能（签发证书和管理证书）：
用户注册 证书签发 证书注销 密钥恢复 密钥更新 证书使用 安全管理
PKI应用接口系统


透明性：PKI必须尽可能地向上层应用屏蔽密码实现服务 的实现细节，向用户屏蔽复杂的安全解决方案，使密码服 务对用户而言简单易用，并且便于单位、企业完全控制其 信息资源。 可扩展性：满足系统不断发展的需要，证书库和CRL有良 好的可扩展性。 支持多种用户：提供文件传送、文件存储、电子邮件、电 子表单、WEB应用等的安全服务。 互操作性：不同企业、不同单位的PKI实现可能是不同的， 必须支持多环境、多操作系统的PKI的互操作性。
认证模型
PKI及数字证书
PKI中的证书 PKI的组成 PKI应用

引言
公开密钥基础设施（PKI，Public Key Infrastructure） PKI是一个用公钥概念与技术来实施和提供 安全服务的普适性基础设施. PKI是一种标准的密钥管理平台，它能够为 所有网络应用透明地提供采用加密和数据 签名等密码服务所必须的密钥和证书管理。
消息认证不要求通信双方以外的任何人能 有效地验证认证标签的真实性。 数字签名方案是消息认证的一种方式，但 消息认证方案不必构成数字签名方案。

身份认证

定义：证实客户的真实身份与其所声称的身份是 否相符的过程。 认证依据：
客户所知：密码、口令等； 客户所有：身份证、护照、信用卡、密钥盘等； 客户个人特征：指纹、虹膜、声音、笔迹、DNA等。

PKCS #6

PKCS #7

PKCS #8

PKCS系列标准

PKCS #9

定义可选信息属性类型 描述证书请求语法 定义一套独立于技术的程序设计接口 描述个人信息交换语法标准 椭圆曲线密码体制标准 密码令牌信息格式标准
PKCS #10

PKCS #11

PKCS #12
密钥备份及恢复系统
为了防止用户丢失用于数据解密的密钥或 防止该密钥被破坏，密文数据无法被解密， 从而造成数据丢失，PKI应该提供解密密钥 的备份和恢复的机制。 解密密钥的备份和恢复应该由可信机构来 完成，如CA、专用的备份服务器。 用于签名和校验的密钥对不可备份，否则 将无法保证用户签名信息的不可否认性。
OCSP
PKI应用

基本的应用
文件保护 E-mail Web应用

其他
VPN SSL/TLS XML/e-business WAP
应用举例
查看数字证书的内容 国内外CA简介 数字证书的申请及应用操作实例 查看数字证书的内容 SSL购物流程

数字证书的内容
OCSP


ocsp：Online Certificate Status Protocol 在线证书状态查 询协议，是IETF颁布的用于检查数字证书在某一交易时间 是否有效的标准，在RFC 2560中有描述。 产生背景：在PKI应用中需要验证证书有效性，CA中心定 期颁发证书废除列表，即CRL。由于CA每隔一定时间才 发布CRL，所以CRL不能及时的反应证书的状态。那么 OCSP就能满足实时的在线查询证书状态的要求。它为电 子商务提供了一种检验数字证书有效性的途径，比下载和 处理证书撤销清单（CRL）的传统方式更快、更方便和更 具独立性。请求者发送查询请求，ocsp服务器会返回证书 可能的三个状态：良好、撤销、未知。

注册机构RA（Registration Authority） 认证中心CA（Certificate Authority） 证书库 密钥备份及恢复系统 证书作废处理系统 PKI应用接口系统
注册机构RA

RA的职能：
受理用户证书业务； 审核用户身份； 向CA中心申请签发证书； 接收和授权密钥备份和恢复请求； 接收和授权证书注销请求； 管理本地在线证书状态协议服务器，并提供证书状态
与PKI有关的标准情况
Certificates —— X.509 v.3 PKCS系列 OCSP在线证书状态协议 目录服务LDAP

PKCS系列标准

PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准， 其中包括证书申请、证书更新、证书作废表发布、扩展证书内容以及数字签 名、数字信封的格式等方面的一系列相关协议。PKCS已经公布了以下标准：

PKCS #1

定义RSA公开密钥算法加密和签名机制 定义Diffie-Hellman密钥交换协议 描述一种利用从口令派生出来的安全密钥加密字符串的方法 描述公钥证书的标准语法（主要是X.509证书的扩展格式） 定义一种通用的消息语法 描述私有密钥信息格式
PKCS #3

PKCS # 5

无仲裁数字签名：
仅涉及通信方，假定接受方知道发送方的公钥； 数字签名过程：发送方用其私钥对报文进行加密； 验证签名过程：利用发送方公钥解密签名，再与发送
方出示的明文或明文摘要进行比较。 缺点：方案的有效性依赖于发送方私钥的安全性。
数字签名算法的分类

有仲裁数字签名：
前提：通信双方充分信任起监督作用的仲裁机构； 每个从签名者X发往验证者Y的签名报文首先要送给仲

身份认证与消息认证的差别
身份认证一般要求实时性，消息认证通常 不提供实时性； 身份认证只证实实体的身份，消息认证除 了要证实报文的合法性和完整性外，还需 要知道消息的含义。

身份认证系统的组成

一方是出示证件的人，称作示证者P(Prover)，又 称申请者，他提出某种要求。 另一方为验证者V（Verifier),检验申请者提出的证 件的正确性和合法性，决定是否满足要求。 第三方是可信赖者TP （Trusted third party) ，参 与调解纠纷。 第四方是攻击者，可以窃听或伪装申请者骗取验 证者的信任。

证书(certificate)，有时候简称为cert，是一个经证 书授权中心数字签名的、包含公开密钥拥有者信 息以及公开密钥的文件。
可以向系统中其他实体证明自己的身份； 公钥分发

证书是一个机构颁发给一个安全个体的证明，所 以证书的权威性取决于该机构的权威性
一个证书中，最重要的信息是个体名字、个体的公钥、 机构的签名、算法和用途 签名证书和加密证书分开
裁者A，仲裁者A对该报文和它的签名进行验证以检验 签名的有效性。然后对报文注明日期，附上已经经过 仲裁证实属实的说明后发给Y。 解决了签名者X可能否认发送过该报文的问题。
数字签名
普通的签名算法：RSA，ElGamal，DSS等； 特殊场合的签名方案：群签名、盲签名等。

数字签名与消息认证的差别

数字证书包括以下内容：

证书拥有者的姓名； 证书拥有者的公钥； 公钥的有限期； 颁发数字证书的单位； 颁发数字证书单位的数字签名； 数字证书的序列号等。
国内外CA简介