第3章-身份认证技术和PKI

签名
所有版本

X.509证书
PKCS12

PKCS (公钥密码标准)是RSA实验室发布的一系列 关于公钥技术的标准。PKCS标准提供了基本的数 据格式定义和算法定义，是今天所有PKI实现的基 础 PKCS12是PKCS的个人信息交换标准， PKCS12 将X.509证书及其相关联的非对称密钥对，通过加 密封装在一起。 许多应用都使用PKCS12标准作为用户私钥和 X.509证书的封装形式，通常将封装了用户的非对 称密钥对和X.509证书的PKCS12文件称之为私钥 证书或PKCS12证书
确保一个认证机构签发的证书能够被另一

个认证机构的用户所信任

严格层次信任模型 分布式信任模型 以用户为中心的信任模型
严格层次信任模型
根CA
零或多层 中介CA
非CA的终 端实体
（1）根CA认证直接为其下面的CA签发证书， 根CA给自己颁发一个自签名证书。 （2）每个CA都认证零个或多个直接连接在它 下面的CA
5.请 6 .返 回 远
求
用
于
程
远
应
程
用
应
服
用
务
服
器
务
器
TG T
的
票
据
Authentication Server(AS) Ticket Granting Server(TGS)
领 域 B
应用服务器
练习

假设使用包含三个消息的双向认证协议，并且由 Alice发起与Bob的通信。假设Bob是一个无状态的 服务器，无法记住自己发送给Alice的挑战。协议如 下图所示，请问这一协议安全吗？


PGP

PGP（Pretty Good Privacy）是一种对电子 邮件和文件进行加密和数字签名的方法。 PGP规定了实体间传递信息和文件的报文格 式，也规范了实体间传递PGP密钥的报文格 式。


PGP的信任模型，以用户为中心

属性证书
一种轻量级的数字证书，不包含公钥信息，
只包含证书所有人ID、发行证书ID、签名 算法、有效期、属性等信息
（3）倒数第二层的CA认证终端实体
简单、不适合大规模
分布式信任模型
交叉认证
CA1
CA2
CA3
同位体CA
中介CA
终端实体

分布式信任结构把信任分散在两个或多个 CA上 同位体根CA的相互签发证书的过程叫交叉 认证
X.509规范定义：如果一个认证机构可

以是另一个认证机构颁发的证书的主体， 该证书称为交叉证书
增强了对目录存取控制和鉴别的支持
1996年发布X.509 v3版,支持扩展的概念，
提供了多项预留扩展域，如：发证者或证 书用户的身份标识，迷药标志，用户或公 钥属性等。
X.509 v4版2000年5月发布。提出了特权
管理基础设施PMI和授权模型
签名算法 版本1 有效期 版本2 版本3
主体的公 钥信息
1

解决
不同的密钥
不同的挑战
Bob
I am Alice，R2
I am Alice，R1
基于的双向认证
I am Alice,{R2}Bob
Alice
R2,{R1}Alice R1

如何让Alice安全得到Bob的公钥？


借助于其他实体 如何让 Alice安全得到Bob的公钥？
如何让Alice知道自己的私钥？ 从目录服务或Bob那里提取出用口令加密 的Alice的私钥
应用服务器
交叉领域认证
1.请求一张TGS票据 2.返回TGT给客户 3.发送TGT，并请求获得远程TGS的票据 4.返回远程TGS的票据 Kerberos 客户端 Authentication Server(AS) Ticket Granting Server(TGS)
领 域 A
7.向应用服务器请求服务
I am Alice
Alice
R R,KAlice-Bob{R}
Bob
将上题的协议进行修改，让Bob用只有 他知道的密钥加密挑战，并将加密的结果连 同该挑战发给Alice，请问这个协议安全吗？
I am Alice
Alice
R,KBob{R} KBob{R},KAlice-Bob{R}
Bob
完成了公钥交换，认证就得到了保障
公钥如何分配？
公钥基础设施PKI

PKI是一种遵循标准的利用公钥理论和技术 建立的提供安全服务的基础设施。 主要任务：确立可信任的数字身份


PKI在网络中已被广泛采用。PKI可以作为安 全服务的框架，如加密、认证、抗抵性等。
公钥分配

有两种解决方案
通过离线方式或通过安全通道交换公钥
如：电话和普通信件，或一个安全的已收到保护
PKI的内容

认证中心CA 注册中心RA 证书发布库 密钥备份及恢复 证书撤销 PKI应用接口
认证中心CA

CA中心，又称数字证书认证中心，作为具有权威 性和公正性的第三方，专门解决公钥的合法性问题。
CA系统功能
CA
证 书 生 成
证 书 颁 发
证 书 撤 销
证 书 更 新
证 书 归 档
域内交叉认证 域间交叉认证
以用户为中心的信任模型

以用户为中心的信任模型中，每个用户自己 决定信任哪些证书。
通常，用户的最初信任对象包括用户的朋
友、家人或同事，但是否信任某证书则被 许多因素所影响。产生间接的信任关系。

依赖于用户自身的行为和决策能力
（3）个人签名证书
证书中包含个人身份信息和个人的签名私 钥，用于标识证书持有人的个人身份。 （4）机构签名证书
证书中包含企业信息和企业的签名私钥， 用于标识证书持有企业的身份。 （5）设备数字证书
证书中包含服务器信息和服务器的公钥， 用于标识证书持有服务器的身份。
信任模型

实际网络中不可能只有一个CA，多个认证机 构之间的信任关系必须保证所有的PKI用户 不必依赖和信任专一的CA，否则将无法进行 扩展、管理和包含。 信任模型建立的目的：
认证人的身份

三个方面：
你所知道的内容 你所拥有的东西 你是谁
口令

在线口令猜测、离线口令猜测
应该使用多长的密钥——32个字符！！！

侦听
一次一密

粗心的用户 木马 非用于登录的口令
认证令牌

认证令牌是一个用户随身携带的设备，用户 使用这一设备来实施认证
磁条卡
有PIN值保护的内存卡
的PKI必须提供良好的应用接口系统。
PKI服务

认证 完整性 保密性 不可否认性 安全时间戳 安全公证
证书

数字证书是网络通信中标志通信各方身份信 息的一系列数据，其作用类似于现实生活中 的身份证，由CA发行，可以用来在网络中识 别对方的身份。 下面分别介绍不同类型的数字证书
（8）日志审计，维护RA的操作日志
（9）自身安全保证
证书发布库

证书库是CA颁发的证书和证书撤销列表 （CRL）的集中存放地。 LDAP保障了证书及CRL的访问
X.509证书中对证书主题的命名带有目录

系统的结构性质
目录服务器处理搜索速度非常快
支持分布式存放，解决瓶颈
密钥备份及恢复

丢失了解密数据的密钥，PKI提供了米要备 份和恢复机制
网络发展初期，UNIX和VMS都采用了这
种方案
面临问题：伪造网络地址
认证的形式
3.密码认证协议

密码认证协议要比基于口令或地址的认证安全得多 Alice对Bob提供的一个数据做一些密码学运算，以 向Bob证明自己的身份。
直接使用口令的哈希
使用口令作为密钥
可信第三方 会话密钥协商 代理

Kerberos组成
1.请求一张TGS票据 2.返回TGT给客户 3.发送TGT，请求应用服务器的票据 4.返回应用服务器票据 Kerberos 客户端 5.给应用服务器发送回话票据 6.（可选）返回身份确认消息给客户 密钥分发中心 （KDC） Authentication Server(AS) Ticket Granting Server(TGS)


Kerberos就是基于这一协议的
引入专用名词Nonce，指使用一次的数值

扩展
Kerberos

Kerberos是为了TCP/IP网络设计的可信第三 方认证协议。 网络上Kerberos服务器起着可信仲裁者的作 用 主要包括：客户机、服务器、认证服务器 （AS）和票据授权服务器（TGS）。

身份认证
内容提要

认证系统概述 认证的形式 认证人的身份 安全握手协议 Kerberos 公钥基础设施PKI
认证系统概述

认证是一种可靠的验证某人（某物）身份的 过程。 在人与人之间的交互过程中，有大量身份认 证的例子，认识你的人通过你的长相或声音 识别你，一个警察可能通过证件的相片识别 你 网络中呢？

SET
安全电子交易（SET）标准定义了在分布
式网络进行信用卡支付交易所需的标准， 定义了标准的支付协议，并规范了应用PKI 所必需的条件
数字证书按功能划分
（1）个人数字证书
证书中包含个人身份信息和个人的公钥， 用于标识证书持有人的个人身份。 （2）机构数字证书
证书中包含企业信息和企业的公钥，用于 标识证书持有企业的身份。
密码挑战/响应卡
密码计算器
生物特征

视网膜扫描 指纹识别 面部识别


虹膜识别
掌纹识别


语音识别
击键记时

签名
安全握手协议

通信安全一般都要求有初始认证握手过程， 并且有时还需要额外对数据实施完整性保护 或者加密数据。

了解协议的缺陷，对于协议的特点就会有更 深入的了解
只进行登录

Alice
Alice
R
（签名）
Bob
或
（加密）
R
Bob
双向认证

基于共享密钥的双向认证
I am Alice R1
Alice
1
R2
2
Bob
双向认证

提高效率，进行改进
I am Alice，R2
Alice
2
1
Bob
R 1,
双向认证

反射攻击
第一步 第二步

Trudy
Trudy
Bob
R 1,
2ห้องสมุดไป่ตู้
R 3,
双向认证
受干预的认证（使用KDC）
只进行登录

共享密钥 Bob使用共享密钥认证Alice
I am Alice
I am Alice
Alice
Alice
Bob
挑战R
或
R
Bob
只进行登录

如果能读取Bob的数据库，就能够冒充 Alice。如果使用公钥的技术就可以避免。 单向公钥
I am Alice I am Alice

只能针对加密/解密密钥，对签名密钥不能做 备份
签名用于防否认，有时间性要求
证书撤销

原因：姓名的改变，私钥被窃或泄漏，用户 与所属企业关系变更等。 PKI利用证书撤销，做为警告机制


方法：
周期性发布，CRL
在线查询机制
PKI应用接口

PKI的价值在于使用户能够方便地使用
加密、数字签名等安全服务，因此一个完整
如何让Alice知道自己的私钥？
Bob
受干预的认证（使用KDC）

密钥分发中心(Key Distrivution Center,KDC)
KDC 使得密钥分发更为方便 缺点：
KDC拥有足以伪造任何用户身份的信息 KDC安全问题的集中点 可能成为系统瓶颈
受干预的认证

使用KDC实现认证的经典协议是NeedhamSchroeder
自 身 管 理
日 志 审 计
密 钥 恢 复
注册中心RA

RA是数字证书注册审批机构，他是CA的延伸 部分，与CA逻辑上是一个整体，执行不同的 功能。

负责对证书申请进行资格审核，功能如下：
（1）替用户填写用户注册信息
（2）核对用户申请信息，就定是否提交审核
（3）审核
（4）向CA提交生成证书请求 （5）发放证书和私钥 （6）登记黑名单（过期的、撤销的证书及时 登记） （7）CRL管理


认证的形式（计算机之间）
1.基于口令的认证
这种认证不是基于你认识谁，而是基于你
知道的东西

面临的最大问题是窃听 其他问题
离线和在线口令猜测 存储用户口令
认证的形式
2.基于地址的认证

基于地址的认证并不是通过网络发送口令实 现的，而是假设可以根据收到的数据包的源 地址判断数据源的身份
的通信进行。
通过一个不安全的通道交换公钥
要求离线检验收到的公钥，如：通过电话向发送
方确认

实际应用中非常笨拙，且扩展性不强，解决？

PKI系统的关键是如何实现密钥管理，私钥 由用户自己保管，公要是公开的，需要在网 上传送，目前较好的解决方案一般采用证书 机制。

数字证书是公开密钥体制的一种密钥管理媒 介。

X.509

X.509证书是应用范围最广泛的一种证书。 一个标准的X.509证书由用户公开密钥与用户 标识符组成，此外还包括版本号、证书序列 号、CA标识符、签名算法标识、签发者名称、 证书有效期等。
最初的X.509 v1版于1988年发布
1993年国际电信联盟ITU公布X.509 v2，