1、第八章 密鑰管理一、密鑰管理的基本概念二、密鑰生成與密鑰分發(fā)三、秘密共享與密鑰托管四、非線性序列第1頁(yè)，共71頁(yè)。2022/8/31一、密鑰管理的基本概念第2頁(yè)，共71頁(yè)。 在先前的章節(jié)，我們所關(guān)注的是采用何種密碼算法來(lái)實(shí)現(xiàn)數(shù)據(jù)的機(jī)密性、完整性、認(rèn)證性。然而，在一個(gè)安全系統(tǒng)中，總體安全性依賴于許多不同的因素，例如算法的強(qiáng)度、密鑰的大小、口令的選擇、協(xié)議的完全性等，其中對(duì)密鑰或口令的保護(hù)尤其重要。 根據(jù)Kerckhoff的假設(shè)，一個(gè)密碼系統(tǒng)的安全性完全取決于對(duì)密鑰的保密而與算法無(wú)關(guān)，即算法可以公開。簡(jiǎn)單來(lái)說(shuō)，不管算法多么強(qiáng)有力，一旦密鑰丟失或出錯(cuò)，不但合法用戶不能提取信息，而且可能會(huì)使非法用戶竊

2、取信息。 可見，密鑰的保密和安全管理在數(shù)據(jù)系統(tǒng)安全中是尤為重要的。第3頁(yè)，共71頁(yè)。2022/8/33密鑰管理是處理密鑰自產(chǎn)生到最終銷毀的整個(gè)過程中的有關(guān)問題，大體上講，密鑰管理包括密鑰的產(chǎn)生、裝入、存儲(chǔ)、備份、分配、更新、吊銷和銷毀等內(nèi)容，其中分配和存儲(chǔ)是最棘手的問題。在分布式系統(tǒng)中，人們已經(jīng)設(shè)計(jì)了用于自動(dòng)密鑰分配業(yè)務(wù)的幾個(gè)方案。其中某些方案已被成功使用，如Kerberos和ANSI X.9.17,以及ISO-CCITT X.509目錄認(rèn)證方案。第4頁(yè)，共71頁(yè)。2022/8/34密鑰管理涉及的方面：密鑰的種類: 初始密鑰，會(huì)話密鑰，加密密鑰，主機(jī)主密鑰；密鑰的生成密鑰的更換密鑰的存儲(chǔ)密鑰的

3、銷毀密鑰的吊銷 第5頁(yè)，共71頁(yè)。2022/8/35密鑰管理的原則密鑰管理是一個(gè)系統(tǒng)工程，必須從整體上考慮，從細(xì)節(jié)著手，嚴(yán)密細(xì)致地施工，充分完善的測(cè)試，才能較好地解決密鑰管理問題，為此，首先要弄清楚密鑰管理的一些基本原則。第6頁(yè)，共71頁(yè)。2022/8/36區(qū)分秘鑰管理的策略和機(jī)制全程安全原則最小權(quán)利原則責(zé)任分離原則密鑰分級(jí)原則密鑰更換原則密鑰應(yīng)當(dāng)有足夠的長(zhǎng)度密碼體制不同，密鑰管理也不同第7頁(yè)，共71頁(yè)。2022/8/37二、密鑰生成與密鑰分發(fā)第8頁(yè)，共71頁(yè)。密鑰生成密鑰是數(shù)據(jù)保密的關(guān)鍵，應(yīng)采用足夠安全的方法來(lái)產(chǎn)生密鑰。在大型計(jì)算機(jī)密碼系統(tǒng)中常采用主密鑰、二級(jí)密鑰和初級(jí)密鑰三種不同等級(jí)的密鑰

4、。針對(duì)不同的密鑰應(yīng)采用不同的方法來(lái)產(chǎn)生。對(duì)于秘要的一個(gè)基本要求是要具有良好的隨機(jī)性，這主要包括長(zhǎng)周期性、 非線性、 統(tǒng)計(jì)意義上的等概率性以及不可預(yù)測(cè)性等。高效的產(chǎn)生高質(zhì)量的真隨機(jī)序列，并不是一件容易的事。在實(shí)際中，我們針對(duì)不同的情況采用不同的隨機(jī)序列。第9頁(yè)，共71頁(yè)。2022/8/39單鑰加密體制密鑰生成主密鑰的產(chǎn)生。主密鑰應(yīng)當(dāng)是高質(zhì)量的真隨機(jī)序列，常采用物理噪聲源的方法，但不管是基于什么隨機(jī)源來(lái)產(chǎn)生密鑰，都要經(jīng)過嚴(yán)格的隨機(jī)性測(cè)試，否則不能作為密鑰；二級(jí)密鑰的產(chǎn)生?？梢韵癞a(chǎn)生主密鑰那樣產(chǎn)生真隨機(jī)的二級(jí)密鑰，也可以在主密鑰產(chǎn)生后，借助于主密鑰和一個(gè)強(qiáng)的密碼算法來(lái)產(chǎn)生二級(jí)密鑰；初級(jí)密鑰的產(chǎn)生。為

5、了安全和簡(jiǎn)便，通?？偸前央S機(jī)數(shù)直接視為受高級(jí)密鑰（主密鑰或二級(jí)密鑰）加密過的初級(jí)密鑰。第10頁(yè)，共71頁(yè)。2022/8/310單鑰加密體制的密鑰分配兩個(gè)用戶在使用單鑰體制進(jìn)行通信時(shí)，必須預(yù)先共享秘密密鑰，并且應(yīng)當(dāng)時(shí)常更新，用戶A和B共享密鑰的方法主要有A選取密鑰并通過物理手段發(fā)送給B第三方選取密鑰并通過物理手段發(fā)送給A和BA,B事先已有一密鑰，其中一方選取新密鑰，用已有密鑰加密新密鑰發(fā)送給另一方A和B分別與第三方C有一保密信道，C為A，B選取密鑰，分別在兩個(gè)保密信道上發(fā)送給A和B第11頁(yè)，共71頁(yè)。2022/8/311單鑰加密體制的密鑰分配如果有n個(gè)用戶，需要兩兩擁有共享密鑰，一共需要n(n-

6、1)/2的密鑰采用第4中方法，只需要n個(gè)密鑰第12頁(yè)，共71頁(yè)。2022/8/312一個(gè)實(shí)例KS：一次性會(huì)話密鑰N1,N2：隨機(jī)數(shù)KA,KB：A與B和KDC的共享密鑰f：某種函數(shù)變換第13頁(yè)，共71頁(yè)。2022/8/313公鑰的分配公開發(fā)布用戶將自己的公鑰發(fā)給每一個(gè)其他用戶方法簡(jiǎn)單，但沒有認(rèn)證性，因?yàn)槿魏稳硕伎梢詡卧爝@種公開發(fā)布第14頁(yè)，共71頁(yè)。2022/8/314公鑰的分配公用目錄表公用的公鑰動(dòng)態(tài)目錄表，目錄表的建立、維護(hù)以及公鑰的分布由可信的實(shí)體和組織承擔(dān)。管理員為每個(gè)用戶都在目錄表里建立一個(gè)目錄，目錄中包括兩個(gè)數(shù)據(jù)項(xiàng)：一是用戶名，而是用戶的公開密鑰。每一用戶都親自或以某種安全的認(rèn)證通信

7、在管理者處為自己的公開密鑰注冊(cè)。用戶可以隨時(shí)替換自己的密鑰。管理員定期公布或定期更新目錄。用戶可以通過電子手段訪問目錄。第15頁(yè)，共71頁(yè)。2022/8/315公鑰的分配公鑰管理機(jī)構(gòu)公鑰管理機(jī)構(gòu)為用戶建立維護(hù)動(dòng)態(tài)的公鑰目錄。每個(gè)用戶知道管理機(jī)構(gòu)的公開鑰。只有管理機(jī)構(gòu)知道自己的秘密鑰。第16頁(yè)，共71頁(yè)。2022/8/316公鑰管理機(jī)構(gòu)分配公鑰有可能成為系統(tǒng)的瓶頸，容易受到敵手的串?dāng)_第17頁(yè)，共71頁(yè)。2022/8/317公鑰證書用戶通過公鑰證書交換各自公鑰，無(wú)須與公鑰管理機(jī)構(gòu)聯(lián)系公鑰證書由證書管理機(jī)構(gòu)CA（Certificate Authority）為用戶建立。證書的形式為:T-時(shí)間，PKA-

8、A的公鑰，IDAA的身份，SKCACA的私鑰時(shí)戳T保證證書的新鮮性，防止重放舊證書。第18頁(yè)，共71頁(yè)。2022/8/318證書的產(chǎn)生過程第19頁(yè)，共71頁(yè)。2022/8/319公鑰加密體制密鑰生成由于公開密鑰密碼體制與傳統(tǒng)的單鑰加密體制是性質(zhì)不同的兩種密碼體制，所以公開密鑰密碼體制的密鑰產(chǎn)生與傳統(tǒng)密碼體制的密鑰產(chǎn)生有著本質(zhì)的區(qū)別。公開密鑰密碼體制本質(zhì)上是一種單向陷門函數(shù)，它們都是建立在某一數(shù)學(xué)難題之上的。 不同的公開密鑰密碼體制所依據(jù)的數(shù)學(xué)難題不同，因此其密鑰產(chǎn)生的具體要求不同。但是，它們都必須滿足密碼安全性和應(yīng)用的有效性對(duì)密鑰所提出的要求。第20頁(yè)，共71頁(yè)。2022/8/320用公鑰加密

9、分配單鑰密碼體制的密鑰第21頁(yè)，共71頁(yè)。2022/8/321用公鑰加密分配單鑰密碼體制的密鑰具有保密性和認(rèn)證性的密鑰分配第22頁(yè)，共71頁(yè)。2022/8/322 Kerboros協(xié)議 Kerboros協(xié)議是一個(gè)基于私鑰密碼體制的流行的密鑰服務(wù)系統(tǒng)。在這個(gè)系統(tǒng)中，每個(gè)用戶U和可信中心（對(duì)稱密鑰分發(fā)中心KDC）共享一個(gè)秘密的DES密鑰。在協(xié)議的最新版本中，傳送的所有消息都通過CBC模式進(jìn)行加密。 用ID（U）表示用戶U的某些識(shí)別信息。使用Kerboros協(xié)議傳輸一個(gè)會(huì)話密鑰的過程可描述如下：用戶U為了和用戶V通信，他向可信中心要一個(gè)會(huì)話密鑰；可信中心隨機(jī)選擇一個(gè)會(huì)話密鑰K，一個(gè)時(shí)戳T和一個(gè)生存期

10、L；第23頁(yè)，共71頁(yè)。2022/8/323可信中心計(jì)算m1=EKU(K,ID(V),T,L)和m2=EKV(K,ID(U),T,L)，并將m1和m2發(fā)給U；用戶U首先解密m1獲得K,ID(V),T和L。然后計(jì)算m3=EK(ID(U),T),并將m3和可信中心發(fā)送來(lái)的m2一起發(fā)給V；用戶V首先解密m2獲得K,ID(U),T和L。然后適用K解密m3獲得T和ID(U)并檢測(cè)T的兩個(gè)值和ID(U)的兩個(gè)值是否一樣。如果是一樣的，那么V計(jì)算m4=EK(T+1),并將m4發(fā)送給U；U使用K解密m4獲得T+1并驗(yàn)證解密結(jié)果是T+1.第24頁(yè)，共71頁(yè)。2022/8/324傳輸在協(xié)議中的信息流程圖為：第25

11、頁(yè)，共71頁(yè)。2022/8/325Kerboros協(xié)議的缺點(diǎn)： 網(wǎng)絡(luò)中的所有用戶都是同步時(shí)鐘，因?yàn)槟壳澳壳暗臅r(shí)間被用來(lái)確定是否一個(gè)給定的會(huì)話密鑰K是合法的。 Kerboros的口令沒有進(jìn)行額外的特殊處理，使用窮舉攻擊法的時(shí)間復(fù)雜性僅和口令長(zhǎng)度成比例。 Kerboros認(rèn)證中心要求保存大量的共享私鑰，無(wú)論管理還是更新都有很大的困難，需要特別細(xì)致的安全保護(hù)措施，將付出極大的系統(tǒng)代價(jià)。第26頁(yè)，共71頁(yè)。2022/8/326三、秘密共享和密鑰托管第27頁(yè)，共71頁(yè)。秘密共享在導(dǎo)彈控制發(fā)射、重要場(chǎng)所通行檢驗(yàn)等情況下，通常必須由兩人或多人同時(shí)參加才能生效，這時(shí)都需要將秘密分給多人掌管，并且必須有一定人數(shù)

12、的掌管秘密的人同時(shí)到場(chǎng)才能恢復(fù)這一秘密。由此，引入門限方案的一般概念。第28頁(yè)，共71頁(yè)。2022/8/328定義:設(shè)秘密s被分成n個(gè)部分信息，每一部分信息稱為一個(gè)子密鑰或影子，由一個(gè)參與者持有，使得： 1.由k個(gè)或多于k個(gè)參與者所持有的部分信息可重構(gòu)s。 2.由少于k個(gè)參與者所持有的部分信息則無(wú)法重構(gòu)s。 則稱這種方案為(k,n)-秘密共享門限方案，k稱為方案的門限值第29頁(yè)，共71頁(yè)。2022/8/329Shamir門限方案基于多項(xiàng)式Lagrange插值公式 設(shè)(x1,y1),(xk,yk)是平面上k個(gè)點(diǎn)構(gòu)成的點(diǎn)集，其中xi(i=1,k,)各不相同，那么在平面上存在唯一的k-1次多項(xiàng)式f(

13、x)通過這k個(gè)點(diǎn).若把秘密s取做f(0)，n個(gè)shadow取做f(xi)(i=1,n),那么利用其中任意k個(gè)shadow可以重構(gòu)f(x)，從而可以得到秘密s。第30頁(yè)，共71頁(yè)。2022/8/330Shamir門限方案有限域GF(q),q為大素?cái)?shù)，qn+1。秘密s是GF(q)0上均勻選取的隨機(jī)數(shù)，表示為sRGF(q)0.k-1個(gè)系數(shù)a1,a2,ak-1選取ai RGF(q)0.在GF(q)上構(gòu)造一個(gè)k-1次多項(xiàng)式f(x)=a0+a1x+ak-1xk-1N個(gè)參與者P1,Pn,Pi的Shadow為f(i)。任意k個(gè)參與者得到秘密，可使用(il,f(il)|l=1,k構(gòu)造方程組第31頁(yè)，共71頁(yè)。2

14、022/8/331Shamir門限方案由Lagrange插值公式第32頁(yè)，共71頁(yè)。2022/8/332Shamir門限方案如果k-1個(gè)參與者想獲得s，可構(gòu)造k-1個(gè)方程，有k個(gè)未知量。對(duì)任一s0,設(shè)f(0)= s0.這樣可以得到第k個(gè)方程，得到f(x)。對(duì)每個(gè)s0都有唯一的多項(xiàng)式滿足，所有由k-1個(gè)shadow得不到任何s的信息。因此此方案是完善的。第33頁(yè)，共71頁(yè)。2022/8/333Shamir門限方案例k=3,n=5,q=19,s=11。隨機(jī)選a1=2,a2=7 f(x)=7x2+2x11 mod 19。計(jì)算f(1)=1,f(2)=5,f(3)=4,f(4)=17,f(5)=6 已知

15、f(2),f(3),f(5),重構(gòu)第34頁(yè)，共71頁(yè)。2022/8/334Asmuth-Bloom門限方案首先選取大素?cái)?shù)q，正整數(shù)s(秘密數(shù)據(jù))，以及n個(gè)嚴(yán)格遞增的m1,m2,mn,滿足qs(mi,mj)=1(對(duì)所有ij)(q,mi)=1(對(duì)所有i) 選隨機(jī)的A,滿足0A N/q-1，公布q和AN/q大于任取的k-1和不同的mi的乘積第35頁(yè)，共71頁(yè)。2022/8/335Asmuth-Bloom門限方案如果僅有k1個(gè)參與者，只能求得y=y mod N，而N91=7*13=qm3 在0,99/7-1=0,13中隨機(jī)取A=10，求ys+Aq=4+107=74. y1y mod m1=2 y2y

16、mod m2=8 y3y mod m3=9(9,2),(11,8),(13,9)構(gòu)成（2,3）門限方案第36頁(yè)，共71頁(yè)。2022/8/336Asmuth-Bloom門限方案若已知(9,2),(11,8)，可建立方程組解得y=(1152958) mod 99=74S=y-Aq=74-1074第37頁(yè)，共71頁(yè)。2022/8/337密鑰托管也稱托管加密，其目的在于保證個(gè)人沒有絕對(duì)的銀絲和絕對(duì)不可跟蹤的匿名性。實(shí)現(xiàn)手段是把已加密的數(shù)據(jù)和數(shù)據(jù)恢復(fù)密鑰聯(lián)系起來(lái)。由數(shù)據(jù)恢復(fù)密鑰可以得到解密密鑰，由所信任的委托人持有。提供了一個(gè)備用的解密途徑，不僅對(duì)政府有用，也對(duì)用戶自己有用。第38頁(yè)，共71頁(yè)。2022

17、/8/338美國(guó)托管加密標(biāo)準(zhǔn)1993年4月提出托管加密標(biāo)準(zhǔn)EES（Escrowed encryption standard）提供強(qiáng)加密功能，同時(shí)也提供政府機(jī)構(gòu)在法律授權(quán)下監(jiān)聽功能。通過防竄擾Clipper芯片來(lái)實(shí)現(xiàn)。包含兩個(gè)特性Skipjack算法，實(shí)現(xiàn)強(qiáng)加密法律實(shí)施存取域LEAF，實(shí)現(xiàn)法律授權(quán)下解密第39頁(yè)，共71頁(yè)。2022/8/339Skipjack算法單鑰分組加密算法，密鑰長(zhǎng)80比特，輸入輸出分組長(zhǎng)度64Bit4種工作模式ECB模式CBC模式64bitOFB模式1,8,16,32,64比特CFB模式第40頁(yè)，共71頁(yè)。2022/8/340托管加密芯片Skipjack算法80比特族密鑰K

18、F (Family key),同一批芯片的族密鑰都相同芯片單元識(shí)別符UID80bit的芯片單元密鑰KU (unique key),由兩個(gè)80bit密鑰分量異或得到控制軟件被固化在芯片上第41頁(yè)，共71頁(yè)。2022/8/341托管加密芯片的編程過程第42頁(yè)，共71頁(yè)。2022/8/342托管加密芯片加密過程第43頁(yè)，共71頁(yè)。2022/8/343通信和法律實(shí)施存取過程第44頁(yè)，共71頁(yè)。2022/8/344密鑰托管密碼體制的組成成分用戶安全成分（USC）, 密鑰托管成分（KEC）, 數(shù)據(jù)恢復(fù)成分（DRC）第45頁(yè)，共71頁(yè)。2022/8/345四、公鑰基礎(chǔ)設(shè)施PKI第46頁(yè)，共71頁(yè)。公鑰基礎(chǔ)設(shè)

19、施是指結(jié)合公鑰密碼體制建立的提供信息安全服務(wù)的基礎(chǔ)設(shè)施。PKI并不是簡(jiǎn)單的一種技術(shù)，而是一種安全體系和框架。該體系在統(tǒng)一的安全認(rèn)證標(biāo)準(zhǔn)和規(guī)范基礎(chǔ)上提供在線身份認(rèn)證，集成了CA認(rèn)證、數(shù)字證書、數(shù)字簽名等功能。第47頁(yè)，共71頁(yè)。2022/8/347數(shù)字證書數(shù)字證書是各實(shí)體或最終用戶在網(wǎng)上進(jìn)行信息交流及商務(wù)活動(dòng)的身份證明，在電子交易的各個(gè)環(huán)節(jié)，交易各方都需要驗(yàn)證其他參與各方的數(shù)字證書的有效性，從而解決相互間的信任問題。數(shù)字證書的格式一般應(yīng)遵循X.509版本公布于1988年，版本3的建議稿于1994年發(fā)布，并于1995年獲得批準(zhǔn)。第48頁(yè)，共71頁(yè)。2022/8/348PKI的組成認(rèn)證機(jī)構(gòu)（Cert

20、ificate Authority, CA）。是PKI的核心機(jī)構(gòu)。主要責(zé)任是：驗(yàn)證并標(biāo)識(shí)證書申請(qǐng)者的身份；確保用于簽名證書的非對(duì)稱密鑰的安全性；管理證書信息資料；發(fā)布和維護(hù)作廢證書列表（CRL）。證書和證書庫(kù)。數(shù)字證書是網(wǎng)上實(shí)體身份的證明，應(yīng)由具備權(quán)威性、可信任性和公正性的第三方機(jī)構(gòu)簽發(fā)；證書庫(kù)是CA頒發(fā)證書和撤銷證書的集中存放地。密鑰備份及恢復(fù)。密鑰和證書的更新。證書歷史檔案。記錄整個(gè)密鑰歷史是非常重要的。第49頁(yè)，共71頁(yè)。2022/8/349客戶端軟件。為方便客戶操作，客戶應(yīng)安裝客戶端軟件，以支持?jǐn)?shù)字簽名、建米傳輸數(shù)據(jù)等功能。交叉認(rèn)證。是指在多個(gè)PKI域之間實(shí)現(xiàn)互操作，主要方法：橋接CA

21、；將多個(gè)CA的根CA（RCA）互相簽發(fā)根證書。證書由某個(gè)可信的證書發(fā)放機(jī)構(gòu)（CA）建立，并由CA或用戶自己將其放入公共目錄中，以供其他用戶訪問。目前，X.509標(biāo)準(zhǔn)已在編排公共密鑰格式方面被廣泛接受，并用于許多網(wǎng)絡(luò)安全應(yīng)用程序，其中包括IPSec、SSL、安全電子交易（SET）、S/MIME等等。第50頁(yè)，共71頁(yè)。2022/8/350X.509認(rèn)證業(yè)務(wù)X.509定義了X.500目錄向用戶提供認(rèn)證業(yè)務(wù)的一個(gè)框架，目錄的作用是存放用戶的公鑰證書。 X.509還定義了基于公鑰證書的認(rèn)證協(xié)議。由于X.509中定義的證書結(jié)構(gòu)和認(rèn)證協(xié)議已被廣泛應(yīng)用于S/MIME、IPSec、SSL/TLS以及SET等諸

22、多應(yīng)用過程，因此X.509已成為一個(gè)重要的標(biāo)準(zhǔn)。X.509的基礎(chǔ)是公鑰密碼體制和數(shù)字簽字，但其中未特別指明使用哪種密碼體制（建議使用RSA），也未特別指明數(shù)字簽字中使用哪種雜湊函數(shù)。第51頁(yè)，共71頁(yè)。2022/8/351在X.509中，數(shù)字證書的數(shù)據(jù)域包括版本號(hào)：如v3。序列號(hào)：由同一發(fā)行者（CA）發(fā)放的每個(gè)證書的序列號(hào)是唯一的。簽名算法識(shí)別符：簽署證書所用的算法及相應(yīng)的參數(shù)。發(fā)行者名稱：指建立和簽署證書的CA名稱。有效期：包括證書有效期的起始時(shí)間和終止時(shí)間。主體名稱：指證書所屬用戶的名稱，及這一證書用來(lái)證明私鑰用戶所對(duì)應(yīng)的公開密鑰。第52頁(yè)，共71頁(yè)。2022/8/352在X.509中，數(shù)

23、字證書的數(shù)據(jù)域包括(續(xù))主體的公開密鑰信息：包括主體的公開密鑰、使用這一公開密鑰算法的標(biāo)示符及相應(yīng)的參數(shù)。發(fā)行者唯一識(shí)別符：這一數(shù)據(jù)項(xiàng)是可選的，當(dāng)CA名稱被重新用于其它實(shí)體時(shí)，則用這一識(shí)別符來(lái)唯一的識(shí)別發(fā)行者。主體唯一識(shí)別符：這一數(shù)據(jù)項(xiàng)是可選的，當(dāng)主體的名稱被重新用于其它實(shí)體時(shí)，則用這一識(shí)別符來(lái)唯一的識(shí)別主體。擴(kuò)展域：其中包括一個(gè)或多個(gè)擴(kuò)展的數(shù)據(jù)項(xiàng)，僅在第3版中使用。簽名：CA用自己的私鑰對(duì)上述域的哈希值進(jìn)行數(shù)字簽名的結(jié)果。第53頁(yè)，共71頁(yè)。2022/8/353X.509的證書格式第54頁(yè)，共71頁(yè)。2022/8/354如果所有用戶都由同一CA為自己簽署證書，則這一CA就必須取得所有用戶的信

24、任。用戶證書除了能放在目錄中以供他人訪問外，還可以由用戶直接發(fā)給其他用戶。如果用戶數(shù)量極多，則僅一個(gè)CA負(fù)責(zé)為用戶簽署證書是不現(xiàn)實(shí)的，因?yàn)槊恳挥脩舳急仨氁越^對(duì)安全的方式得到CA的公開密鑰，以驗(yàn)證CA簽署的證書。因此在用戶數(shù)目極多的情況下，應(yīng)有多個(gè)CA，每一CA僅為一部分用戶簽署證書。第55頁(yè)，共71頁(yè)。2022/8/355X.509證書的獲取CA為用戶產(chǎn)生的證書應(yīng)有以下特征：其他任一用戶只要得到CA的公開密鑰，就能由此得到CA為該用戶簽署的公開密鑰。除CA以外，任何其他人都不能以不被察覺的方式修改證書的內(nèi)容。第56頁(yè)，共71頁(yè)。2022/8/356X.509證書的獲取(續(xù)1)設(shè)用戶A已從證書發(fā)

25、放機(jī)構(gòu)X1處獲取了公鑰證書，用戶B已從X2處獲取了證書。如果A不知X2的公開密鑰，他雖然能讀取B的證書，但卻無(wú)法驗(yàn)證X2的簽字，因此B的證書對(duì)A來(lái)說(shuō)是沒有用的。然而，如果兩個(gè)CA X1和X2彼此間已經(jīng)安全地交換了公開密鑰，則A可通過以下過程獲取B的公開秘鑰：A從目錄中獲取X1簽署的X2的證書，因A知道X1的公開密鑰，所以能驗(yàn)證X2的證書，并從中得到X2的公開密鑰。A再?gòu)哪夸浿蝎@取由X2簽署的B的證書，并由X2的公開密鑰對(duì)此驗(yàn)證，然后從中得到B的公開密鑰。第57頁(yè)，共71頁(yè)。2022/8/357以上過程中，A是通過一個(gè)證書鏈來(lái)獲取B的公開密鑰，證書鏈可表示為： X1 X2 X2 B類似的，B能通

26、過相反的證書鏈獲取A的公開密鑰： X2 X1 X1 AN個(gè)證書的證書鏈可表示為： X1 X2 X2 X3XNB第58頁(yè)，共71頁(yè)。2022/8/358X.509證書的獲取(續(xù)2)X.509建議將所有CA以層次結(jié)構(gòu)組織起來(lái)。右圖是X.509的CA層次結(jié)構(gòu)的一個(gè)例子，其中的內(nèi)部節(jié)點(diǎn)表示CA，葉節(jié)點(diǎn)表示用戶。用戶A可從目錄中得到相應(yīng)的證書以建立到B的證書鏈：XWWVVYYZZB并通過該證書鏈獲取B的公開密鑰。第59頁(yè)，共71頁(yè)。2022/8/359X.509證書吊銷列表第60頁(yè)，共71頁(yè)。2022/8/360X.509的認(rèn)證過程X.509有3種認(rèn)證過程以適應(yīng)不同的應(yīng)用環(huán)境：?jiǎn)蜗蛘J(rèn)證；雙向認(rèn)證；三向認(rèn)

27、證。第61頁(yè)，共71頁(yè)。2022/8/361PKI中的信任模型建立一個(gè)管理全世界所有用戶的全球性PKI是不現(xiàn)實(shí)的。比較可行的辦法是各個(gè)國(guó)家都建立自己的PKI，一個(gè)國(guó)家之內(nèi)在分別建立不同行業(yè)或不同地區(qū)的PKI。為了實(shí)現(xiàn)跨地區(qū)、跨行業(yè)，甚至跨國(guó)際的安全電子業(yè)務(wù)，這些不同的PKI之間的互聯(lián)互通和相互信任是不可避免的。證書用戶、證書主體、各個(gè)CA之間的證書認(rèn)證關(guān)系系稱為PKI的信任模型。已經(jīng)提出的模型有樹（層次） 模型、森林模型等多種信任模型。第62頁(yè)，共71頁(yè)。2022/8/362樹（層次） 模型樹（層次） 模型是PKI的一種簡(jiǎn)單的信任模型。它比較適合具有層次結(jié)構(gòu)的機(jī)構(gòu)，如軍隊(duì)、垂直性行業(yè)、學(xué)校等。

28、在樹（層次） 模型中，多個(gè)CA和最終用戶構(gòu)成一顆樹。其中最高級(jí)的一個(gè)CA為根，稱為根CA，根CA是樹型信任模型中的信任根源。其他CA根據(jù)其在樹中的位置不同，而分別被稱為中間CA和底層CA。證書的持證人（最終用戶）為樹的葉子。所有的CA和最終用戶都遵循共同的行動(dòng)準(zhǔn)則。第63頁(yè)，共71頁(yè)。2022/8/363一種簡(jiǎn)單的樹（層次） 模型第64頁(yè)，共71頁(yè)。2022/8/364森林層次模型在樹形信任模型中，所有的CA和最終用戶都遵循共同的行動(dòng)準(zhǔn)則。這對(duì)于具有層次結(jié)構(gòu)的機(jī)構(gòu)是可行的。但是，對(duì)于社會(huì)而言，要建立一個(gè)包容各行各業(yè)的樹形，模型PKI是不現(xiàn)實(shí)的。于是出現(xiàn)了由多棵樹組成的森林，模型。對(duì)于森林模型，如果多棵樹之間彼此沒有聯(lián)系、互不信任