,第4講 公鑰基礎(chǔ)設(shè)施（PKI）,周福才 教授 博導(dǎo) 東北大學(xué)信息學(xué)院計(jì)算機(jī)應(yīng)用所 ,2019/9/4,1,1,2019/9/4,1.數(shù)字證書的引入 2.PKI體系結(jié)構(gòu) 3.數(shù)字證書的生命周期,2,2,2019/9/4,1.數(shù)字證書的引入,3,3,2019/9/4,密碼學(xué)理論,密碼學(xué)應(yīng)用 對(duì)稱加密、非對(duì)稱加密、消息摘要、數(shù)字簽名、消息認(rèn)證碼、密鑰協(xié)商,數(shù)字證書&PKI,安全傳輸協(xié)議SSL/TLS, SSH ,安全結(jié)構(gòu),挑戰(zhàn)-應(yīng)答,客戶向認(rèn)證服務(wù)器發(fā)出請(qǐng)求，要求進(jìn)行身份認(rèn)證 認(rèn)證服務(wù)器從用戶數(shù)據(jù)庫中查詢用戶是否是合法的用戶，若不是，則不做進(jìn)一步處理 認(rèn)證服務(wù)器內(nèi)部產(chǎn)生一個(gè)隨機(jī)數(shù)，作為“提問”，發(fā)送給客戶 客戶將用戶名字和隨機(jī)數(shù)合并，使用單向Hash函數(shù)（例如MD5算法）生成一個(gè)字節(jié)串作為應(yīng)答 認(rèn)證服務(wù)器將應(yīng)答串與自己的計(jì)算結(jié)果比較，若二者相同，則通過一次認(rèn)證；否則，認(rèn)證失敗 CRP（Challenge-Response Protocol ）可以使用對(duì)稱密鑰或非對(duì)稱密鑰 對(duì)稱密碼：驗(yàn)證者和示證者共享一個(gè)秘密(share asecret key) 公鑰密碼體制：秘密值為示證者的私鑰（private key）,挑戰(zhàn)-應(yīng)答,Bob,Alice,Hash(Alice,c),Enc(c),Request,Alice 公鑰,挑戰(zhàn)-應(yīng)答,需要解決的問題 在基于非對(duì)稱密鑰的CRP中，驗(yàn)證者需要用示證者的公鑰對(duì)挑戰(zhàn)值加密 驗(yàn)證者如何確定：這個(gè)公鑰與示證者的身份是對(duì)應(yīng)的？ 在SSL中也有同樣的問題 SSL客戶端如何能確定數(shù)字證書中的公鑰與服務(wù)器是關(guān)聯(lián)的？,數(shù)字證書,通過由可信認(rèn)證機(jī)構(gòu)簽發(fā)的數(shù)字證書，驗(yàn)證者可以確定證書中包含的公鑰是屬于該用戶的。證書需要有合適的有效期限,證書主體身份信息,證書主體公鑰,CA身份信息,CA私鑰簽名,將身份與公鑰綁定在一起，這個(gè)身份可以是一個(gè)用戶或組織的名稱、也可以是其它信息如地址、年齡等,頒發(fā)者的數(shù)字簽名,X.509證書格式,版本： 一般為V1，V2和V3，目前常用V3。 序列號(hào)：是由CA分配給證書的唯一的數(shù)字型標(biāo)識(shí)符。 簽名算法標(biāo)識(shí)：對(duì)證書進(jìn)行簽名的算法和算法所需的參數(shù)。 頒發(fā)者：為PCA的名稱。 有效期：定義證書有效的起始日期和結(jié)束日期。 證書主體：為證書持有者的唯一識(shí)別名稱（DN）。 證書主體的公開密鑰：信息包括算法名稱、需要的參數(shù)和公開密鑰。 頒發(fā)者唯一標(biāo)識(shí)：可選項(xiàng)不推薦使用。防止頒發(fā)者的名字出現(xiàn)重用。 主體唯一標(biāo)識(shí)：可選項(xiàng)不推薦使用。防止主體的名字出現(xiàn)重用。 擴(kuò)展項(xiàng)：用于其它擴(kuò)展內(nèi)容。 簽名：對(duì)整個(gè)證書的散列值的簽名。任何一方都能認(rèn)證證書是否有效（必須知道CA的公鑰）。,X.509證書格式,一個(gè)數(shù)字證書：包含數(shù)字簽名證書的發(fā)證機(jī)關(guān)；任何人都可以驗(yàn)證數(shù)字證書的真實(shí)性。 任何人都可以驗(yàn)證了示證者的證書真假，的公鑰必須是盡人皆知的。 由CA簽發(fā)的數(shù)字證書含有示證者的公鑰。,CA簽發(fā)的數(shù)字證書,自簽名證書,自簽名證書包括： 證書所有者的公鑰、信息和簽名 使用非對(duì)稱密鑰，上面所說的秘密值就是證明者的私鑰 什么時(shí)候、如何使用自簽名證書？ 視安全需求而定 如果需要完成重要軟件的組件之間最高級(jí)別的認(rèn)證，則不能使用自簽名證書 在創(chuàng)建與安裝由認(rèn)證機(jī)構(gòu)簽名并頒發(fā)的證書之前，自簽名證書可以用來測(cè)試SSL的設(shè)備配置。,如何生成、儲(chǔ)存、頒發(fā)、使用、撤銷公鑰和數(shù)字證書？ 公鑰基礎(chǔ)設(shè)施（PKI）,PKI動(dòng)機(jī),公鑰技術(shù) 如何提供數(shù)字簽名功能 如何實(shí)現(xiàn)不可否認(rèn)服務(wù) 公鑰和身份如何建立聯(lián)系 為什么要相信這是某個(gè)人的公鑰 公鑰如何管理 方案：引入證書(certificate) 通過證書把公鑰和身份關(guān)聯(lián)起來,14,14,2019/9/4,2.PKI體系結(jié)構(gòu),PKI(Public Key Infrastructure),定義 用公鑰原理和技術(shù)實(shí)施和提供安全服務(wù)的具有普適性的安全基礎(chǔ)設(shè)施 一個(gè)完整的PKI應(yīng)該包括 認(rèn)證機(jī)構(gòu)(CA) 證書庫 證書注銷 密鑰備份和恢復(fù) 自動(dòng)密鑰更新 密鑰歷史檔案 交叉認(rèn)證 支持不可否認(rèn) 時(shí)間戳 客戶端軟件,PKI的關(guān)鍵點(diǎn)： 性能：盡量少用公鑰加解密操作，在實(shí)用中，往往結(jié)合對(duì)稱密碼技術(shù)，避免對(duì)大量數(shù)據(jù)作加解密操作；除非需要數(shù)據(jù)來源認(rèn)證才使用簽名技術(shù)，否則就使用MAC或者HMAC實(shí)現(xiàn)數(shù)據(jù)完整性檢驗(yàn) 在線/離線模型 簽名的驗(yàn)證可以在離線情況下完成（off line） 用公鑰實(shí)現(xiàn)保密性也可以在離線情況下完成（off line） 離線模式的問題：無法獲得最新的證書注銷信息 證書中所支持算法的通用性 在提供實(shí)際的服務(wù)之前，必須協(xié)商到一致的算法 個(gè)體命名：如何命名一個(gè)安全個(gè)體，取決于CA的命名登記管理工作,PKI主要組成,CA,認(rèn)證機(jī)構(gòu)（CA）：證書頒發(fā)者,證書申請(qǐng)者,驗(yàn)證者,證書是否有效？,證書交互,證書頒發(fā),簽名者：該證書主體的身份（或其它信息）與公鑰綁定,驗(yàn)證者：出于認(rèn)證目的使用證書的一方,簽名者與驗(yàn)證者都稱作終端實(shí)體,PKI主要組成（細(xì)化）,證書&CRL 數(shù)據(jù)庫,證書申請(qǐng)者,驗(yàn)證者,RA,CA,CA,CRL發(fā)布者,認(rèn)證機(jī)構(gòu),證書撤銷列表,PKI用戶,PKI管理實(shí)體,發(fā)布證書,發(fā)布證書及CRL,發(fā)布CRL,證書認(rèn)證業(yè)務(wù)聲明/證書政策協(xié)議（CPS/CPA）,證書下載與查詢,CA之間交互,用戶注冊(cè),認(rèn)證機(jī)構(gòu)（CA）,認(rèn)證： 將一個(gè)身份信息與一個(gè)公鑰綁定的行為 例如：頒發(fā)證書 認(rèn)證機(jī)構(gòu)：負(fù)責(zé)認(rèn)證的實(shí)體 CA運(yùn)行按照證書認(rèn)證業(yè)務(wù)聲明（CPS） CPS描述了CA的操作規(guī)程 證書按照證書政策協(xié)議（CPA）頒發(fā)給終端實(shí)體 CPA描述了在該政策下證書的頒發(fā)和使用規(guī)則,證書數(shù)據(jù)庫,只通過CA對(duì)證書進(jìn)行發(fā)布是不夠的，驗(yàn)證者需要比 較容易地找到對(duì)應(yīng)于不同簽名者的公鑰 需要證書數(shù)據(jù)庫（CR） CR可以由以下幾種方式實(shí)現(xiàn)： 輕量級(jí)目錄管理協(xié)議（ LDAP ） Web服務(wù)器 DNS 共用數(shù)據(jù)庫,證書撤銷以及CRL數(shù)據(jù)庫,驗(yàn)證者通過證書撤銷機(jī)制可以得知一個(gè)證書是否被作廢 證書撤銷與證書過期 證書過期是指過了有效期后證書自動(dòng)失效（如駕照的有效期） 證書撤銷是某事件發(fā)生，使得公鑰與主體身份之間的綁定關(guān)系失效，如： 主體身份發(fā)生改變（如女人婚后姓氏發(fā)生改變） 私鑰泄露 非法用戶（如司機(jī)違章，駕照被吊銷） 撤銷證書由CRL發(fā)布者發(fā)布到CRL數(shù)據(jù)庫中,證書的注銷機(jī)制,由于各種原因，證書需要被注銷 比如，私鑰泄漏、密鑰更換、用戶變化 PKI中注銷的方法 CA維護(hù)一個(gè)CRL(Certificate Revocation List) 基于Web的CRL服務(wù) 檢查CRL的URL應(yīng)該內(nèi)嵌在用戶的證書中 可以提供安全途徑(SSL)訪問URL 返回注銷狀態(tài)信息 其他的用法由瀏覽器決定,證書撤銷列表,24,24,2019/9/4,3.數(shù)字證書的生命周期,公鑰證書生命周期,密鑰/證書 生成,密鑰/證書 使用,密鑰/證書 失效,密鑰/證書生成過程,初始化過程 主要包括： 證書主體注冊(cè) 密鑰生成 證書生成與密鑰/證書發(fā)布 證書傳播 密鑰備份（如果需要的話）,證書主體注冊(cè),一個(gè)獨(dú)立用戶或進(jìn)程的身份被建立并驗(yàn)證 對(duì)于該過程控制的強(qiáng)度取決于CPS/CP： 證書認(rèn)證業(yè)務(wù)聲明（CPS）描述CA的操作規(guī)程 證書政策（CP）指定了如何應(yīng)用某公私鑰對(duì)（數(shù)字簽名、數(shù)據(jù)加密、網(wǎng)站一致性驗(yàn)證等）。該信息應(yīng)由CA發(fā)布。,證書主體注冊(cè),主體 （終端實(shí)體）,注冊(cè)機(jī)構(gòu) （RA）,認(rèn)證機(jī)構(gòu) （CA）,1.注冊(cè)請(qǐng)求,3.注冊(cè)提交,2.注冊(cè)回復(fù),4.注冊(cè)建立請(qǐng)求,5.注冊(cè)建立結(jié)果,6.注冊(cè)結(jié)果,7.證書請(qǐng)求,8.證書回復(fù),密鑰生成,密鑰對(duì)可以在不同的地點(diǎn)產(chǎn)生： 終端實(shí)體（如用戶的PC主機(jī)） RA CA 可信的第三方密鑰生成設(shè)備 需要考慮的因素： 性能（例如在移動(dòng)電話中產(chǎn)生密鑰） 確定性 密鑰用途（例如機(jī)密性、不可否認(rèn)性）,密鑰用途（例如機(jī)密性、不可否認(rèn)性） 下面的原則是對(duì)于不同的用途使用不同的密鑰 用于數(shù)字簽名（相應(yīng)的證書成為驗(yàn)證證書） 用于數(shù)據(jù)加密（相應(yīng)的證書成為加密證書） 密鑰用途對(duì)于密鑰產(chǎn)生地點(diǎn)有影響 如果密鑰用于實(shí)現(xiàn)不可否認(rèn)性，則應(yīng)由終端實(shí)體產(chǎn)生，私鑰只能該實(shí)體擁有 作為PKI系統(tǒng)中最可信的實(shí)體CA，也可以知道私鑰，對(duì)于這一點(diǎn)有爭議。,密鑰生成,Java環(huán)境：KeyTool 用于創(chuàng)建、儲(chǔ)存、管理密鑰 功能： 生成公私鑰對(duì) 將X.509中V1、V2、V3版本的證書作為文件儲(chǔ)存，并能夠輸入、輸出 生成自簽名證書 發(fā)布證書（PKCS#10）請(qǐng)求給CA 輸入證書恢復(fù)（從CA得到） 將公鑰證書標(biāo)記為可信,密鑰生成,證書生成,證書生成： 由CA生成 如果公鑰是由終端實(shí)體而不是CA產(chǎn)生，則該公鑰應(yīng)通過安全方式傳給CA 最終實(shí)體得到證書,一般的證書產(chǎn)生流程,狀態(tài)查詢,認(rèn)證機(jī)構(gòu),證書資料庫,注冊(cè)機(jī)構(gòu)RA,發(fā)布證書及CRL,私鑰,公鑰,證書申請(qǐng),證書,公鑰,公鑰,公鑰,密鑰/證書發(fā)布,公鑰和證書的交付 直接交給證書擁有者（主體） 交給遠(yuǎn)程數(shù)據(jù)庫（證書和CRL數(shù)據(jù)庫） 以上兩種都交付 向CA請(qǐng)求并接收證書的過程需要安全的協(xié)議 RFC2510互聯(lián)網(wǎng)X.509公鑰基礎(chǔ)設(shè)施證書管理協(xié)議（CMP） RFC2511互聯(lián)網(wǎng)X.509證書請(qǐng)求管理格式（CRMF）,證書傳播,如何讓驗(yàn)證者得到證書 面對(duì)面，手遞手，物理上隱秘交付 將證書發(fā)送到公開的數(shù)據(jù)庫中 要求具有在線恢復(fù)功能 在某個(gè)域內(nèi)按協(xié)議分發(fā)（如安全的電子郵件）,公鑰證書生命周期,密鑰/證書 生成,密鑰/證書 使用,密鑰/證書 失效,密鑰/證書的使用,證書恢復(fù)（從證書數(shù)據(jù)庫中） 需要驗(yàn)證者的請(qǐng)求 證書驗(yàn)證（需要驗(yàn)證者請(qǐng)求） 驗(yàn)證證書完整性（如驗(yàn)證頒發(fā)者數(shù)字簽名，需要相應(yīng)CA的公鑰） 證書是否過期 證書是否被撤銷 密鑰恢復(fù) 對(duì)于終端實(shí)體忘記私鑰的情況，便于恢復(fù) 密鑰更新 當(dāng)證書鄰近有效期時(shí)，發(fā)布新的密鑰對(duì),認(rèn)證路徑,開始的時(shí)候，簽名者掌握的CA公鑰數(shù)量是有限的 如果用戶得到某CA頒發(fā)的證書，而該CA的公鑰用戶不掌握，則還需要額外的證書來得到該公鑰 這樣就需要一個(gè)證書鏈，包括一個(gè)CA給用戶頒發(fā)的證書，可能還有多個(gè)CA的證書，這些證書是由其他的CA頒發(fā)的（認(rèn)證路徑）,PKI信任模型,需要解決的問題： 哪些實(shí)體的證書可以被信任？ 這樣的信任如何被建立？ 在給定的環(huán)境下，這種信任能夠被限制和控制的情況有哪些？,幾種信任模型： CA層次結(jié)構(gòu) 基于政策的CA層次 分布式信任結(jié)構(gòu) 四角模型 網(wǎng)狀模型 當(dāng)?shù)谝粋€(gè)實(shí)體作出假定：第二個(gè)實(shí)體總是按照它所期望的方式運(yùn)作，則說第一個(gè)實(shí)體信任第二個(gè)實(shí)體,PKI信任模型,CA層次結(jié)構(gòu),認(rèn)證機(jī)構(gòu),終端實(shí)體,認(rèn)證,自簽名證書,頂級(jí)CA,頂級(jí)CA（TLCA）也被稱作根CA TLCA頒發(fā)一個(gè)自簽名證書，作為該層次結(jié)構(gòu)中每個(gè)實(shí)體的信任基礎(chǔ) TLCA認(rèn)證下屬每個(gè)CA 以此類推，每個(gè)CA都認(rèn)證各自下屬的CA 從第二層到最后一層的CA可以認(rèn)證終端實(shí)體 結(jié)構(gòu)中每個(gè)實(shí)體都必須擁有TLCA的公鑰 在該模型中，TLCA的公鑰是日后實(shí)體認(rèn)證、證書處理的基礎(chǔ),CA層次結(jié)構(gòu),如果兩個(gè)用戶同屬一個(gè)CA，則認(rèn)為它們都擁有該CA的公鑰 各個(gè)CA必須呈層次結(jié)構(gòu) 結(jié)構(gòu)中鏈接的每一方都能驗(yàn)證所有CA 每個(gè)CA都有上層和下層實(shí)體的證書 每個(gè)實(shí)體都信任上層實(shí)體的證書 這種結(jié)構(gòu)使得用戶能夠認(rèn)證該結(jié)構(gòu)中任何CA頒發(fā)的任何證書,CA層次結(jié)構(gòu),自簽名證書,自簽名證書包括： 公鑰、證書擁有者的信息和擁有者的簽名 有一個(gè)私鑰，但不用來通過第三方CA驗(yàn)證該證書的來源,公鑰證書生命周期,密鑰/證書 生成,密鑰/證書 使用,密鑰/證書 失效,密鑰/證書失效,證書過期CA可以進(jìn)行如下三種操作： 無操作，該終端實(shí)體不再在該P(yáng)KI中注冊(cè) 證書延期，原來的公鑰被放到一個(gè)新的證書中，擁有新的有效期 證書更新，生成新的密鑰對(duì)并頒發(fā)新的證書 證書撤銷 一個(gè)已頒發(fā)的證書未過期，卻不能再使用 懷疑私鑰泄露 原來終端實(shí)體狀態(tài)變化,證書撤銷,由誰、如何管理證書撤銷（Who、How）？ WHO： CA負(fù)責(zé)發(fā)布撤銷信息 驗(yàn)證者必須確定證書未被撤銷 CA可以通過證書撤銷列表（CRL）發(fā)布撤銷信息 在線查詢機(jī)制：在線證書狀態(tài)查詢（OCSP）,PKI有關(guān)的標(biāo)準(zhǔn),Certificates X.509 v.3 交叉認(rèn)證 PKIX group in IETF(RFC 2459) 智能卡/硬件插件 PKCS #11 PKCS系列 目錄服務(wù)LDAP 安全套接層SSL協(xié)議 SET協(xié)議 其他：IPSec、S/MIME、時(shí)間戳、XML,PKCS(公鑰密碼系統(tǒng)標(biāo)準(zhǔn))系列標(biāo)準(zhǔn),PKCS #1 RSA Encryption Standard PKCS #3 Diffie-Hellman Key-Agreement Standard PKCS # 5 Password-Based Encryption Standard PKCS #6 Extended-Certificate Syntax Standard PKCS #7 Cryptographic Message Syntax Standard PKCS #8 Private-Key Information Syntax Standard,PKCS系列標(biāo)準(zhǔn)(續(xù)),PKCS #9 Selected Attribute Types PKCS #10 Certification Request Syntax