網(wǎng)絡(luò)安全認(rèn)證技術(shù)身份認(rèn)證的概念身份認(rèn)證是計(jì)算機(jī)及網(wǎng)絡(luò)系統(tǒng)識(shí)別操作者身份的過(guò)程計(jì)算機(jī)網(wǎng)絡(luò)是一個(gè)虛擬的數(shù)字世界，用戶(hù)的身份信息是用一組特定的數(shù)據(jù)來(lái)表示的，計(jì)算機(jī)只能識(shí)別用戶(hù)的數(shù)字身份，所有對(duì)用戶(hù)的授權(quán)也是針對(duì)用戶(hù)數(shù)字身份的授權(quán)現(xiàn)實(shí)世界是一個(gè)真實(shí)的物理世界，每個(gè)人都擁有獨(dú)一無(wú)二的物理身份保證操作者的物理身份與數(shù)字身份相對(duì)應(yīng)身份認(rèn)證的功能信息安全體系的目的是保證系統(tǒng)中的數(shù)據(jù)只能被有權(quán)限的“人”訪問(wèn)，未經(jīng)授權(quán)的“人”無(wú)法訪問(wèn)身份認(rèn)證是整個(gè)信息安全體系的基礎(chǔ)用于解決訪問(wèn)者的物理身份和數(shù)字身份的一致性問(wèn)題，給其他安全技術(shù)提供權(quán)限管理的依據(jù)防火墻、入侵檢測(cè)、VPN、安全網(wǎng)關(guān)等安全技術(shù)建立在身份認(rèn)證之上針對(duì)數(shù)字身份進(jìn)行權(quán)限管理，解決數(shù)字身份能干什么的問(wèn)題身份認(rèn)證的分類(lèi)用戶(hù)與主機(jī)之間的認(rèn)證–認(rèn)證人的身份單機(jī)狀態(tài)下的身份認(rèn)證計(jì)算機(jī)驗(yàn)證人的身份：你是否是你聲稱(chēng)的那個(gè)人？人的存儲(chǔ)和計(jì)算能力有限記憶高數(shù)量的密碼密鑰困難執(zhí)行密碼運(yùn)算能力有限主機(jī)與主機(jī)之間的認(rèn)證–通信的初始認(rèn)證握手網(wǎng)絡(luò)環(huán)境下的身份認(rèn)證計(jì)算機(jī)驗(yàn)證計(jì)算機(jī)計(jì)算機(jī)存儲(chǔ)和計(jì)算能力強(qiáng)大能存儲(chǔ)高數(shù)量的密碼和密鑰能夠快速地進(jìn)行密碼運(yùn)算認(rèn)證人的身份認(rèn)證人的身份所知(whatyouknow)密碼、口令所有(whatyouhave)身份證、護(hù)照、智能卡等所是(whoyouare)指紋、DNA等用戶(hù)名/密碼方式用戶(hù)設(shè)定密碼，計(jì)算機(jī)驗(yàn)證易泄露用戶(hù)經(jīng)常用有意義的字符串作為密碼用戶(hù)經(jīng)常把密碼抄在一個(gè)自己認(rèn)為安全的地方密碼是靜態(tài)的數(shù)據(jù)，每次驗(yàn)證過(guò)程使用的驗(yàn)證信息都是相同的，易被監(jiān)聽(tīng)設(shè)備截獲用戶(hù)名/密碼方式一種是極不安全的身份認(rèn)證方式可以說(shuō)基本上沒(méi)有任何安全性可言IC卡認(rèn)證IC卡是一種內(nèi)置集成電路的卡片，卡片中存有與用戶(hù)身份相關(guān)的數(shù)據(jù)，可以認(rèn)為是不可復(fù)制的硬件IC卡由合法用戶(hù)隨身攜帶，登錄時(shí)必須將IC卡插入專(zhuān)用的讀卡器讀取其中的信息，以驗(yàn)證用戶(hù)的身份IC卡硬件的不可復(fù)制可以保證用戶(hù)身份不會(huì)被仿冒IC卡中讀取的數(shù)據(jù)還是靜態(tài)的通過(guò)內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽(tīng)等技術(shù)還是很容易截取到用戶(hù)的身份驗(yàn)證信息動(dòng)態(tài)口令1是一種讓用戶(hù)的密碼按照時(shí)間或使用次數(shù)不斷動(dòng)態(tài)變化，每個(gè)密碼只使用一次的技術(shù)。專(zhuān)用硬件：動(dòng)態(tài)令牌內(nèi)置電源、密碼生成芯片和顯示屏密碼生成芯片運(yùn)行專(zhuān)門(mén)的密碼算法，根據(jù)當(dāng)前時(shí)間或使用次數(shù)生成當(dāng)前密碼并顯示在顯示屏上認(rèn)證服務(wù)器采用相同的算法計(jì)算當(dāng)前的有效密碼用戶(hù)使用時(shí)只需要將動(dòng)態(tài)令牌上顯示的當(dāng)前密碼輸入客戶(hù)端計(jì)算機(jī)，即可實(shí)現(xiàn)身份的確認(rèn)動(dòng)態(tài)口令2優(yōu)點(diǎn)每次使用的密碼必須由動(dòng)態(tài)令牌來(lái)產(chǎn)生，只有合法用戶(hù)才持有該硬件一次一密，每次登錄過(guò)程中傳送的信息都不相同，以提高登錄過(guò)程安全性缺點(diǎn)動(dòng)態(tài)令牌與服務(wù)器端程序的時(shí)間或次數(shù)必須保持良好的同步使用不便生物特征征認(rèn)證采用每個(gè)個(gè)人獨(dú)一一無(wú)二的的生物特征征來(lái)驗(yàn)證用用戶(hù)身份份指紋識(shí)別別、虹膜膜識(shí)別等等生物特征征認(rèn)證是是最可靠的身份認(rèn)認(rèn)證方式式，因?yàn)闉樗苯咏邮褂萌巳说奈锢砝硖卣鱽?lái)來(lái)表示每每一個(gè)人人的數(shù)字字身份受到現(xiàn)在在的生物物特征識(shí)識(shí)別技術(shù)術(shù)成熟度度的影響響USBKey認(rèn)證近幾年發(fā)發(fā)展起來(lái)來(lái)的一種種方便、、安全、、經(jīng)濟(jì)的的身份認(rèn)認(rèn)證技術(shù)術(shù)軟硬件相相結(jié)合一次一密密USBKey是一種種USB接口的的硬件設(shè)設(shè)備，它它內(nèi)置單單片機(jī)或或智能卡卡芯片，，可以存存儲(chǔ)用戶(hù)戶(hù)的密鑰或數(shù)數(shù)字證書(shū)書(shū)，利用USBKey內(nèi)置的的密碼學(xué)學(xué)算法實(shí)實(shí)現(xiàn)對(duì)用用戶(hù)身份份的認(rèn)證證可使用以以上幾種種技術(shù)保保護(hù)USBKey本本身的安安全特點(diǎn)比較較特點(diǎn)應(yīng)用主要產(chǎn)品用戶(hù)名/密碼方式簡(jiǎn)單易行

保護(hù)非關(guān)鍵性的系統(tǒng)，不能保護(hù)敏感信息嵌入在各種應(yīng)用軟件中IC卡認(rèn)證簡(jiǎn)單易行很容易被內(nèi)存掃描或網(wǎng)絡(luò)監(jiān)聽(tīng)等黑客技術(shù)竊取IC加密卡等動(dòng)態(tài)口令一次一密，較高安全性使用煩瑣，有可能造成新的安全漏洞動(dòng)態(tài)令牌等生物特征認(rèn)證安全性最高技術(shù)不成熟，準(zhǔn)確性和穩(wěn)定性有待提高指紋認(rèn)證系統(tǒng)等USBKey認(rèn)證安全可靠，成本低廉依賴(lài)硬件的安全性USB接口的設(shè)備安全握手手協(xié)議的的基本思思想網(wǎng)絡(luò)環(huán)境境中的認(rèn)認(rèn)證分布式的的網(wǎng)絡(luò)環(huán)環(huán)境大量客戶(hù)戶(hù)工作站站和分布布在網(wǎng)絡(luò)絡(luò)中的服服務(wù)器服務(wù)器向向用戶(hù)提提供各種種網(wǎng)絡(luò)應(yīng)應(yīng)用和服服務(wù)用戶(hù)需要要訪問(wèn)分分布在網(wǎng)網(wǎng)絡(luò)不同同位置上上的服務(wù)務(wù)服務(wù)器的的安全服務(wù)器需需要通過(guò)過(guò)授權(quán)來(lái)來(lái)限制用用戶(hù)對(duì)資資源的訪訪問(wèn)授權(quán)和訪訪問(wèn)控制制是建立立在用戶(hù)戶(hù)身份認(rèn)認(rèn)證基礎(chǔ)礎(chǔ)上的通信安全全都要求求有初始始認(rèn)證握握手的要要求單向認(rèn)證證只有通信信的一方方認(rèn)證另另一方的的身份，，而沒(méi)有有反向的的認(rèn)證過(guò)過(guò)程電子郵件件不要求發(fā)發(fā)送方和和接收方方同時(shí)在在線(xiàn)郵件接收收方對(duì)發(fā)發(fā)送方進(jìn)進(jìn)行認(rèn)證證單向認(rèn)證證不是完善的安安全措施施，可以以非常容容易地冒冒充驗(yàn)證證方，以以欺騙被被驗(yàn)證方方原始的單單向認(rèn)證證技術(shù)發(fā)送方接收方用戶(hù)名/密碼1、發(fā)送送方的用用戶(hù)名和和密碼通通過(guò)明文文方式傳傳送，易易竊聽(tīng)2、接收收方檢驗(yàn)驗(yàn)用戶(hù)名名和密碼碼，然后后進(jìn)行通通信，通通信中沒(méi)沒(méi)有保密密基于密碼碼技術(shù)的的單向認(rèn)認(rèn)證不再發(fā)送送明文的的用戶(hù)名名和密碼碼，而是是基于““挑戰(zhàn)––響響應(yīng)”方方式符號(hào)f(KAlice-Bob,R)：使用用Alice和和Bob的共享享秘密、、按照某某種規(guī)則則對(duì)R做做密碼變變換KAlice-Bob{R}：：使用KAlice-Bob作為共享享密鑰，，基于秘秘密密鑰鑰算法對(duì)對(duì)R進(jìn)行行加密h(KAlice-Bob,R)：計(jì)算算R和KAlice-Bob的哈希值值[R]Alice：Alice使使用私鑰鑰對(duì)數(shù)據(jù)據(jù)R簽名名{R}Alice：使用Alice的公公鑰對(duì)數(shù)數(shù)據(jù)R加加密基于共享享秘密的的單向認(rèn)認(rèn)證技術(shù)術(shù)-1AliceBobIamAlice挑戰(zhàn)Rf(KAlice-Bob,R)1、偵聽(tīng)聽(tīng)者可以以看到R和f(KAlice-Bob,R)，但是是不能計(jì)計(jì)算出KAlice-Bob2、不要要求f可逆逆，因此此f可可以是是一個(gè)哈哈希函數(shù)數(shù)3、偵聽(tīng)聽(tīng)者掌握握R和f(KAlice-Bob,R)后，可可以進(jìn)行行離線(xiàn)口口令猜解解4、攻取取Bob的數(shù)據(jù)據(jù)庫(kù)，則則可以冒冒充Alice基于共享享秘密的的單向認(rèn)認(rèn)證技術(shù)術(shù)-2AliceBobIamAliceKAlice-Bob{R}R1、偵偵聽(tīng)者者可以以看到到R和和f(KAlice-Bob,R)，，但是是不能能計(jì)算算出KAlice-Bob2、如如果R是一一個(gè)有有格式式的數(shù)數(shù)據(jù)且且具有有有限限時(shí)效效，則則Alice可可以認(rèn)認(rèn)證Bob，防防止假假冒3、要要求可可逆的的密碼碼算法法4、偵偵聽(tīng)者者掌握握R和和f(KAlice-Bob,R)后后，可可以進(jìn)進(jìn)行離離線(xiàn)口口令猜猜解5、攻攻取Bob的數(shù)數(shù)據(jù)庫(kù)庫(kù)，則則可以以冒充充Alice基于共共享秘秘密的的單向向認(rèn)證證技術(shù)術(shù)-3AliceBobIamAlice,KAlice-Bob{timestamp}1、timestamp是時(shí)時(shí)戳（（當(dāng)前前時(shí)間間）。。Bob解解密結(jié)結(jié)果，，當(dāng)結(jié)結(jié)果在在一定定時(shí)差差內(nèi)，，則Alice通過(guò)過(guò)認(rèn)證證2、高高效：：只需需要一一條消消息3、要要求Alice和Bob有同同步的的時(shí)鐘鐘4、攻攻擊者者若能能夠調(diào)調(diào)整Bob的時(shí)時(shí)間，，則可可以重重新使使用以以前偵偵聽(tīng)到到的加加密時(shí)時(shí)戳5、動(dòng)動(dòng)作迅迅速的的攻擊擊者可可以利利用偵偵聽(tīng)的的加密密時(shí)戳戳在另另一臺(tái)臺(tái)機(jī)器器上冒冒充Alice6、攻攻取Bob的數(shù)數(shù)據(jù)庫(kù)庫(kù)，則則可以以冒充充Alice基于公公鑰體體制的的單向向認(rèn)證證技術(shù)術(shù)-1AliceBobIamAliceR[R]Alice1、Alice對(duì)數(shù)數(shù)據(jù)R用自自己的的私鑰鑰簽名名，Bob用Alice的公公鑰檢檢驗(yàn)簽簽名2、偵偵聽(tīng)者者無(wú)法法冒充充Alice，，即使使他攻攻取了了Bob的的數(shù)據(jù)據(jù)庫(kù)3、可可以誘誘騙Alice對(duì)特特定數(shù)數(shù)據(jù)的的簽名名基于公公鑰體體制的的單向向認(rèn)證證技術(shù)術(shù)-2AliceBobIamAlice{R}Alice1、Bob用Alice的公公鑰加加密數(shù)數(shù)據(jù)R，并并要求求Alice解解密2、偵偵聽(tīng)者者無(wú)法法冒充充Alice，，即使使他攻攻取了了Bob的的數(shù)據(jù)據(jù)庫(kù)3、如如果想想知道道其他他人發(fā)發(fā)送給給Alice的的加密密信息息，可可以誘誘騙Alice解密密R雙向認(rèn)認(rèn)證用于通通信雙雙方的的相互互認(rèn)證證認(rèn)證的的同時(shí)時(shí)可以以協(xié)商商會(huì)話(huà)話(huà)密鑰鑰基于共共享秘秘密的的雙向向認(rèn)證證-1AliceBobIamAliceR1f(KAlice-Bob,R1)1、基基于““挑戰(zhàn)戰(zhàn)––響響應(yīng)””方式式2、雙雙方使使用共共享的的秘密密對(duì)數(shù)數(shù)據(jù)進(jìn)進(jìn)行密密碼變變換，，實(shí)現(xiàn)現(xiàn)對(duì)通通信對(duì)對(duì)方的的認(rèn)證證3、效效率不不高：：消息息過(guò)多多R2f(KAlice-Bob,R2)基于共共享秘秘密的的雙向向認(rèn)證證-2AliceBobIamAlice,R2R1,f(KAlice-Bob,R2)1、基基于““挑戰(zhàn)戰(zhàn)––響響應(yīng)””方式式2、雙雙方使使用共共享的的秘密密對(duì)數(shù)數(shù)據(jù)進(jìn)進(jìn)行密密碼變變換，，實(shí)現(xiàn)現(xiàn)對(duì)通通信對(duì)對(duì)方的的認(rèn)證證3、效效率提提高：：消息息減少少為三三條f(KAlice-Bob,R1)基于共共享秘秘密的的雙向向認(rèn)證證-3AliceBobIamAlice,f(KAlice-Bob,timestamp)1、基基于““挑戰(zhàn)戰(zhàn)––響響應(yīng)””方式式，使使用時(shí)戳（（timestamp））作為挑挑戰(zhàn)2、雙雙方使使用共共享的的秘密密對(duì)挑挑戰(zhàn)進(jìn)進(jìn)行密密碼變變換，，實(shí)現(xiàn)現(xiàn)對(duì)通通信對(duì)對(duì)方的的認(rèn)證證3、效效率提提高：：消息息減少少為二二條f(KAlice-Bob,timestamp+1)基于于公公鑰鑰技技術(shù)術(shù)的的雙雙向向認(rèn)認(rèn)證證AliceBobIamAlice,{R2}BobR2,{R1}Alice1、、基基于于““挑挑戰(zhàn)戰(zhàn)––響響應(yīng)應(yīng)””方方式式2、、雙雙方方使使用用對(duì)對(duì)方方的的公鑰鑰加密密數(shù)數(shù)據(jù)據(jù)，，要要求求對(duì)對(duì)方方加加密密，，實(shí)實(shí)現(xiàn)現(xiàn)對(duì)對(duì)通通信信對(duì)對(duì)方方的的認(rèn)認(rèn)證證R1使用用KDC的的認(rèn)認(rèn)證證-1問(wèn)題題：：假假設(shè)設(shè)基基于于秘秘密密密密鑰鑰技技術(shù)術(shù)實(shí)實(shí)現(xiàn)現(xiàn)認(rèn)認(rèn)證證如果果網(wǎng)網(wǎng)絡(luò)絡(luò)上上有有n個(gè)個(gè)節(jié)節(jié)點(diǎn)點(diǎn)，，則則每每個(gè)個(gè)節(jié)節(jié)點(diǎn)點(diǎn)都都必必須須知知道道n-1個(gè)個(gè)密密鑰鑰。。每增增加加一一個(gè)個(gè)節(jié)節(jié)點(diǎn)點(diǎn)，，就就必必須須生生成成n個(gè)個(gè)新新的的密密鑰鑰。。密密鑰鑰分分發(fā)發(fā)非非常常困困難難解決決方方法法：：使使用用密密鑰鑰分分發(fā)發(fā)中中心心KDCKDC是是一一個(gè)個(gè)可可靠靠的的節(jié)節(jié)點(diǎn)點(diǎn)，，知知道道每每個(gè)個(gè)節(jié)節(jié)點(diǎn)點(diǎn)的的密密鑰鑰，，即即KDC和和每每一一個(gè)個(gè)節(jié)節(jié)點(diǎn)點(diǎn)都都共共享享一一個(gè)個(gè)密密鑰鑰。。每個(gè)個(gè)節(jié)節(jié)點(diǎn)點(diǎn)希希望望和和其其它它節(jié)節(jié)點(diǎn)點(diǎn)通通信信，，則則首首先先和和KDC聯(lián)聯(lián)系系，，由由KDC分分配配一一個(gè)個(gè)臨臨時(shí)時(shí)的的會(huì)會(huì)話(huà)話(huà)密密鑰鑰。。使用用KDC的的認(rèn)認(rèn)證證-2AliceBobAlicewantsbobKAlice{useKABforBob},TickettoBob=KBob{useKABforAlice}1、、KDC是是一一個(gè)個(gè)存存儲(chǔ)儲(chǔ)所所有有用用戶(hù)戶(hù)密密鑰鑰的的數(shù)數(shù)據(jù)據(jù)庫(kù)庫(kù)。。用用戶(hù)戶(hù)可可以以和和KDC進(jìn)進(jìn)行行安安全全通通信信2、、Alice請(qǐng)請(qǐng)求求KDC分分配配一一個(gè)個(gè)會(huì)會(huì)話(huà)話(huà)密密鑰鑰，，以以與與Bob通通信信3、KDC生生成一個(gè)會(huì)話(huà)話(huà)密鑰KAB，并用Alice的密鑰鑰加密發(fā)給Alice。。同時(shí)，KDC還用Bob的密鑰加加密KAB，交給Alice轉(zhuǎn)發(fā)。。4、Alice解密得到到KAB，并把用Bob的密鑰加加密的KAB發(fā)送給Bob5、Alice和Bob可以基于KAB實(shí)現(xiàn)雙向認(rèn)證證f(KAlice-Bob,R2)KDC生成密鑰KABKerberos認(rèn)證協(xié)協(xié)議網(wǎng)絡(luò)環(huán)境的認(rèn)認(rèn)證需求分布式網(wǎng)絡(luò)環(huán)環(huán)境服務(wù)器+工作作站服務(wù)器向用戶(hù)戶(hù)提供各種網(wǎng)網(wǎng)絡(luò)應(yīng)用的服服務(wù)用戶(hù)需要訪問(wèn)問(wèn)分布在網(wǎng)絡(luò)絡(luò)上的、不同同位置的服務(wù)務(wù)（或資源））服務(wù)器的安全全服務(wù)器需要授授權(quán)技術(shù)來(lái)限限制用戶(hù)對(duì)資資源的訪問(wèn)授權(quán)和訪問(wèn)控控制建立在對(duì)對(duì)用戶(hù)身份認(rèn)認(rèn)證的基礎(chǔ)之之上Kerberos認(rèn)證服服務(wù)Kerberos：一種種基于對(duì)稱(chēng)密鑰、在網(wǎng)絡(luò)上實(shí)實(shí)施身份認(rèn)證的服務(wù)身份認(rèn)證作為為網(wǎng)絡(luò)上一種種標(biāo)準(zhǔn)的安全全服務(wù)來(lái)提供供能夠?qū)崿F(xiàn)用戶(hù)戶(hù)和服務(wù)器之之間的雙向認(rèn)認(rèn)證集中式的認(rèn)證證服務(wù)通過(guò)運(yùn)行在網(wǎng)網(wǎng)絡(luò)中某個(gè)安安全節(jié)點(diǎn)的密密鑰分發(fā)中心心（KDC，，又稱(chēng)為認(rèn)證證服務(wù)器）提提供認(rèn)證服務(wù)務(wù)用戶(hù)能夠用用用戶(hù)名和口令令登錄工作站站，工作站使使用用戶(hù)名和和密碼與KDC聯(lián)系，代代替用戶(hù)獲得得使用遠(yuǎn)程資資源所需要的的信息Kerberosv4andKerberosv5相互競(jìng)爭(zhēng)市場(chǎng)場(chǎng)，v4用戶(hù)戶(hù)量大Kerberos特征提供一種基于于可信第三方方的認(rèn)證服務(wù)務(wù)KDC作為第第三方，若用用戶(hù)與服務(wù)器器都信任KDC，則Kerberos就可以實(shí)實(shí)現(xiàn)用戶(hù)與服服務(wù)器之間的的雙向鑒別。。如果KDC是安全的，，并且協(xié)議沒(méi)沒(méi)有漏洞，則則認(rèn)證是安全全的。安全性能夠有效防止止攻擊者假冒冒合法用戶(hù)可靠性Kerberos服務(wù)自自身可采用分分布式結(jié)構(gòu)，，KDC之間間互相備份透明性用戶(hù)只需要提提供用戶(hù)名和和口令，工作作站代替用戶(hù)戶(hù)實(shí)施認(rèn)證的的過(guò)程可伸縮性能夠支持大量量用戶(hù)和服務(wù)務(wù)器Kerberos背景在MIT的Athena項(xiàng)目中開(kāi)發(fā)發(fā)的一種認(rèn)證證服務(wù)試圖解決如下下問(wèn)題在公用網(wǎng)絡(luò)中中，用戶(hù)通過(guò)過(guò)工作站訪問(wèn)網(wǎng)絡(luò)服務(wù)務(wù)，這些服務(wù)務(wù)是由分布在在網(wǎng)絡(luò)中的服服務(wù)器提供的的服務(wù)器能夠?qū)?duì)用戶(hù)的每一一項(xiàng)服務(wù)請(qǐng)求求進(jìn)行認(rèn)證僅僅依賴(lài)工作作站對(duì)用戶(hù)的的認(rèn)證是不夠夠的用戶(hù)訪問(wèn)每一一種網(wǎng)絡(luò)服務(wù)務(wù)，都需要向向服務(wù)器證明明其身份安全威脅：工工作站無(wú)法保保證用戶(hù)的身身份真實(shí)性非法用戶(hù)訪問(wèn)問(wèn)某個(gè)工作站站，并假冒另另一個(gè)合法用用戶(hù)非法用戶(hù)更改改工作站網(wǎng)絡(luò)絡(luò)地址，假冒冒另一個(gè)工作作站非法用戶(hù)竊聽(tīng)聽(tīng)消息交換過(guò)過(guò)程，并實(shí)施施重放攻擊目標(biāo)：在各種種情況下，都都能防止用戶(hù)戶(hù)對(duì)服務(wù)的非非授權(quán)訪問(wèn)Kerberos的幾個(gè)個(gè)概念-1主密鑰每個(gè)實(shí)體（使用Kerberos的用戶(hù)和資資源）和KDC之間共享享一個(gè)秘密密鑰，稱(chēng)為實(shí)體的的主密鑰門(mén)票用戶(hù)需要訪問(wèn)問(wèn)遠(yuǎn)程服務(wù)或或資源，其工工作站代替用用戶(hù)向KDC提出申請(qǐng)。。KDC為雙雙方生成一個(gè)個(gè)共享密鑰，并分別用用用戶(hù)和遠(yuǎn)程服服務(wù)的主密鑰鑰加密這個(gè)會(huì)會(huì)話(huà)密鑰，再再將這些信息息發(fā)送給工作作站。該消息息包括用遠(yuǎn)程程資源或服務(wù)務(wù)的主密鑰加加密的會(huì)話(huà)密密鑰，以及用用戶(hù)的名字等等信息。這部部分信息稱(chēng)為為訪問(wèn)遠(yuǎn)程資資源的門(mén)票。用戶(hù)將門(mén)票轉(zhuǎn)轉(zhuǎn)發(fā)給要訪問(wèn)問(wèn)的遠(yuǎn)程服務(wù)務(wù)，遠(yuǎn)程服務(wù)務(wù)可以解密獲獲得用戶(hù)名字字和會(huì)話(huà)密鑰鑰。Kerberos的幾個(gè)個(gè)概念-2門(mén)票分發(fā)門(mén)票用戶(hù)提供用戶(hù)名和口令令登錄到工作站站，主密鑰根據(jù)其口令生生成。從登錄錄到登出這一一段時(shí)間稱(chēng)為為一個(gè)登錄會(huì)話(huà)。工作站站可以以代替替用戶(hù)戶(hù)實(shí)施施認(rèn)證證。為為了降降低口口令被被盜的的風(fēng)險(xiǎn)險(xiǎn)，工工作站站并不不記憶憶口令令并在在會(huì)話(huà)話(huà)過(guò)程程中使使用口口令，，而是是首先先向KDC申請(qǐng)請(qǐng)會(huì)話(huà)密密鑰，這個(gè)個(gè)密鑰鑰僅用用于本本次會(huì)會(huì)話(huà)。。然后后，工工作站站用這這個(gè)會(huì)會(huì)話(huà)密密鑰替替用戶(hù)戶(hù)申請(qǐng)請(qǐng)?jiān)L問(wèn)問(wèn)遠(yuǎn)程程服務(wù)務(wù)的門(mén)門(mén)票。。工作站站向KDC申請(qǐng)請(qǐng)會(huì)話(huà)話(huà)密鑰鑰，KDC生成成會(huì)話(huà)話(huà)密鑰鑰，并并發(fā)送送一個(gè)個(gè)門(mén)票分分發(fā)門(mén)門(mén)票(TGT)給工作作站，，TGT包包括用用KDC的的主密密鑰加加密的的會(huì)話(huà)話(huà)密鑰鑰，還還包括括用戶(hù)戶(hù)名字字和會(huì)會(huì)話(huà)密密鑰過(guò)過(guò)期時(shí)時(shí)間等等。TGT的作作用申請(qǐng)?jiān)L訪問(wèn)遠(yuǎn)遠(yuǎn)程服服務(wù)或或資源源的信信息工作站站發(fā)送送TGT給給KDCKDC根據(jù)據(jù)TGT中中的用用戶(hù)名名和會(huì)會(huì)話(huà)密密鑰，，給雙雙方生生成一一個(gè)共共享密密鑰Kerberos配配置Kerberos服服務(wù)器器稱(chēng)為為KDC每個(gè)實(shí)實(shí)體都都和KDC共享享一個(gè)個(gè)秘密密密鑰鑰，稱(chēng)稱(chēng)為該該實(shí)體體的主主密鑰鑰。KDC有一一個(gè)記記錄實(shí)實(shí)體名名字和和對(duì)應(yīng)應(yīng)主密密鑰的的數(shù)據(jù)據(jù)庫(kù)。。這個(gè)個(gè)數(shù)據(jù)據(jù)庫(kù)用用KDC的的主機(jī)機(jī)密鑰鑰KKDC進(jìn)行加加密。。用戶(hù)使使用用用戶(hù)名名和口口令登登錄工工作站站，工工作站站代替替用戶(hù)戶(hù)向KDC申請(qǐng)請(qǐng)?jiān)L問(wèn)問(wèn)網(wǎng)絡(luò)絡(luò)服務(wù)務(wù)的門(mén)門(mén)票。。用戶(hù)戶(hù)主密密鑰由由口令令生成成。用戶(hù)只只需記記住口口令，，其它它網(wǎng)絡(luò)絡(luò)設(shè)備備需要要記住住自己己的主主密鑰鑰。算法：：DES獲得會(huì)會(huì)話(huà)密密鑰和和TGTAlice工作站站Alice,passwordKDC生成密密鑰SATGT=KKDC{“Alice”,SA}AliceneedsaTGTKA{SA,TGT}1、Alice輸入入用戶(hù)戶(hù)名和和口令令，登登錄工工作站站2、工工作站站向KDC申請(qǐng)請(qǐng)會(huì)話(huà)話(huà)密鑰鑰，申申請(qǐng)中中包含含Alice的的名字字3、KDC使用用Alice的的主密密鑰加加密訪問(wèn)KDC的證證書(shū)，該證證書(shū)包包括：：會(huì)話(huà)話(huà)密鑰鑰SA和TGT4、TGT包括括會(huì)話(huà)話(huà)密鑰鑰、Alice的用用戶(hù)名名和過(guò)過(guò)期時(shí)時(shí)間。。TGT用用KDC的的主密密鑰KA加密，，只有有KDC可可以解解密。。5、工工作站站將口口令轉(zhuǎn)轉(zhuǎn)換為為Alice的的主密密鑰，，并用用此主主密鑰鑰解密密證書(shū)書(shū)，得得到會(huì)會(huì)話(huà)密密鑰。。然后后工作作站就就拋棄棄Alice的的主密密鑰。。用戶(hù)請(qǐng)請(qǐng)求和和遠(yuǎn)程程節(jié)點(diǎn)點(diǎn)通信信Alice工作站站rloginBob生成密密鑰KAB解密TGT得到到SA解密認(rèn)證證值檢驗(yàn)時(shí)戳戳Ticket=KB{“Alice”,KAB}AlicewantsBobTGT=KKDC{“Alice,SA}Authenticator=SA{timestamp}SA{“Bob”,KAB,Ticket}KDC1、Alice請(qǐng)求訪訪問(wèn)遠(yuǎn)程程服務(wù)Bob2、工作作站將TGT、、名字Bob和和一個(gè)認(rèn)認(rèn)證值發(fā)發(fā)給KDC。認(rèn)認(rèn)證值是是用會(huì)話(huà)話(huà)密鑰SA加密密當(dāng)前時(shí)時(shí)間，證證明工作作站知道道會(huì)話(huà)密密鑰。3、KDC解密密TGT得到SA，并用SA解密認(rèn)證證值，檢檢驗(yàn)時(shí)戳戳實(shí)現(xiàn)對(duì)對(duì)Alice工工作站的的認(rèn)證。。4、KDC生成成會(huì)話(huà)密密鑰KAB，并用Bob的的主密鑰鑰加密Alice的名名字和KAB，生成訪訪問(wèn)Bob的門(mén)門(mén)票。門(mén)門(mén)票和KAB稱(chēng)為Alice訪問(wèn)問(wèn)Bob的證書(shū)書(shū)。5、KDC用會(huì)會(huì)話(huà)密鑰鑰SA加密Bob的名名字、KAB和門(mén)票，，發(fā)送給給Alice的的工作站站。用戶(hù)和遠(yuǎn)遠(yuǎn)程節(jié)點(diǎn)點(diǎn)的通信信工作站解密門(mén)票票得到KAB解密認(rèn)證證值檢驗(yàn)時(shí)戳戳Ticket=KB{“Alice”,KAB}Authenticator=KAB{timestamp}KAB{timestamp+1}Bob1、Alice的工作作站將訪訪問(wèn)Bob的門(mén)門(mén)票發(fā)送送給Bob，并并發(fā)送一一個(gè)認(rèn)證證值2、Bob解密密門(mén)票得得到KAB和名字Alice?，F(xiàn)現(xiàn)在Bob可以以假設(shè)任任何知道道KAB的實(shí)體都都代表Alice。3、Bob解密密認(rèn)證值值并驗(yàn)證證時(shí)戳，，以確認(rèn)認(rèn)和它通通信的實(shí)實(shí)體確實(shí)實(shí)知道KAB，從而實(shí)實(shí)現(xiàn)了對(duì)對(duì)Alice工工作站的的認(rèn)證。。4、為了了實(shí)現(xiàn)雙雙向認(rèn)證證，Bob將他他加密得得到的認(rèn)認(rèn)證值加加1，使使用KAB加密并發(fā)發(fā)回。Alice可以以檢驗(yàn)時(shí)時(shí)戳實(shí)現(xiàn)現(xiàn)對(duì)Bob的認(rèn)認(rèn)證。5、Alice和Bob的后后續(xù)通信信：根據(jù)據(jù)不同需需求實(shí)施施不同的的保護(hù)備份KDC單一KDC的問(wèn)問(wèn)題：KDC的的崩潰導(dǎo)導(dǎo)致所有有認(rèn)證無(wú)無(wú)法進(jìn)行行解決方法法多個(gè)KDC每個(gè)KDC可以以替換任任何一個(gè)個(gè)KDC，它們們具有相相同的KDC主主密鑰和和相同的的數(shù)據(jù)庫(kù)庫(kù)數(shù)據(jù)一致致性設(shè)置其中中一個(gè)KDC用用來(lái)保存存數(shù)據(jù)庫(kù)庫(kù)的主備備份，其其它KDC從該該KDC更新數(shù)數(shù)據(jù)庫(kù)KDC的的更新操操作不頻頻繁域網(wǎng)絡(luò)上的的實(shí)體被被劃分成成不同的的域每個(gè)域都都有自己己的KDC服務(wù)務(wù)器所有用戶(hù)戶(hù)和服務(wù)務(wù)/資源源都在KDC上上注冊(cè)如果域中中有多個(gè)個(gè)KDC，則它它們是等等價(jià)的：：擁有相相同的KDC主主密鑰，，擁有相相同的數(shù)數(shù)據(jù)庫(kù)不同域的的KDC擁有不不同的KDC主主密鑰以以及不同同的數(shù)據(jù)據(jù)庫(kù)，因因?yàn)樗鼈儌兪菫椴徊煌膶?shí)實(shí)體集合合服務(wù)的的域間認(rèn)證證問(wèn)題：某某個(gè)域中中的實(shí)體體需要認(rèn)認(rèn)證另外外一個(gè)域域中的實(shí)實(shí)體的身身份方法：域域B的KDC可可以在域域A中注注冊(cè)成為為一個(gè)實(shí)實(shí)體，這這使得域域A中的的用戶(hù)可可以訪問(wèn)問(wèn)域B的的KDC，就像像訪問(wèn)域域A中其其它資源源一樣AliceBobREQ(“Alice@A””,““bKDC@A”)訪問(wèn)bKDC的的證書(shū)aKDCbKDCREQ(“Alice@A””,““Bob@B””)訪問(wèn)Bob的證證書(shū)登錄請(qǐng)求求Kerberosv4的缺缺陷依賴(lài)性對(duì)IP協(xié)協(xié)議的依依賴(lài)性和和對(duì)時(shí)間間依賴(lài)性性門(mén)票有效效期一般般為5分分鐘到21小時(shí)時(shí)，往往往不能滿(mǎn)滿(mǎn)足需求求領(lǐng)域間的的鑒別、、管理困困難非標(biāo)準(zhǔn)的的DES加密，，易受攻攻擊未對(duì)用戶(hù)戶(hù)口令進(jìn)進(jìn)行額外外保護(hù)，，易受攻攻擊Kerberosv5的的改進(jìn)支持任何何加密技技術(shù)除IP協(xié)協(xié)議以外外，還支支持其它它通信協(xié)協(xié)議門(mén)票有效效期：任任意長(zhǎng)度度具有鑒別別轉(zhuǎn)發(fā)能能力更有效的的方法來(lái)來(lái)解決域域間認(rèn)證證問(wèn)題提供一種種預(yù)鑒別別機(jī)制，，使得口口令攻擊擊更困難難PKI技技術(shù)安全的主主要威脅脅假冒：指指非法用用戶(hù)假冒冒合法用用戶(hù)身份份獲取敏敏感信息息；截?。褐钢阜欠ㄓ糜脩?hù)截獲獲通信網(wǎng)網(wǎng)絡(luò)的數(shù)數(shù)據(jù)；篡改：指指非法用用戶(hù)改動(dòng)動(dòng)所截獲獲的信息息和數(shù)據(jù)據(jù)；否認(rèn)：指指通信的的單方或或多方事事后否認(rèn)認(rèn)曾經(jīng)參參與某次次活動(dòng)；；常見(jiàn)的解解決方法法信息竊取取信息傳遞遞信息冒充充信息篡改改信息抵賴(lài)賴(lài)加密技術(shù)術(shù)完整性技技術(shù)認(rèn)證技術(shù)術(shù)數(shù)字簽名名PKI的的含義PKI(PublicKeyInfrastructure，，公鑰基基礎(chǔ)設(shè)施施)，是是一個(gè)基于公鑰鑰概念和和技術(shù)實(shí)現(xiàn)的、、具有通通用性的的安全基基礎(chǔ)設(shè)施施。PKI公公鑰基礎(chǔ)礎(chǔ)設(shè)施的的主要任任務(wù)是在在開(kāi)放環(huán)環(huán)境中為為開(kāi)放性性業(yè)務(wù)提提供公鑰加密密和數(shù)字簽名名服務(wù)。PKI是是生成、、管理、、存儲(chǔ)、、分發(fā)和和吊銷(xiāo)基基于公鑰鑰密碼學(xué)學(xué)的公鑰證書(shū)書(shū)所需要的的硬件、、軟件、、人員、、策略和和規(guī)程的的總和。。PKI的的內(nèi)容和和目標(biāo)PKI技技術(shù)以公鑰技術(shù)術(shù)為基礎(chǔ)，，以數(shù)字證書(shū)書(shū)為媒介，，結(jié)合對(duì)對(duì)稱(chēng)加密密和非對(duì)對(duì)稱(chēng)加密密技術(shù)，，將個(gè)人人、組織織、設(shè)備備的標(biāo)識(shí)信息息與各自的的公鑰捆綁在一一起。其主要目目的是通通過(guò)自動(dòng)管理理密鑰和和證書(shū)，為用戶(hù)戶(hù)建立起起一個(gè)安安全、可可信的網(wǎng)網(wǎng)絡(luò)運(yùn)行行環(huán)境，，使用戶(hù)戶(hù)可以在在多種應(yīng)應(yīng)用環(huán)境境下方便便地使用用加密和數(shù)數(shù)字簽名名技術(shù)，在在互聯(lián)網(wǎng)網(wǎng)上驗(yàn)證用戶(hù)戶(hù)的身份份，從而保保證了互互聯(lián)網(wǎng)上上所傳輸輸信息的的真實(shí)性性、完整整性、機(jī)機(jī)密性和和不可否否認(rèn)性。。PKI是是目前為為止既能能實(shí)現(xiàn)用用戶(hù)身份認(rèn)證證，又能保保證互聯(lián)聯(lián)網(wǎng)上所所傳輸數(shù)據(jù)安全全的惟一技技術(shù)。PKI的的理解基于公開(kāi)密鑰鑰理論和和技術(shù)建立起來(lái)來(lái)的安全全體系。。一個(gè)被廣廣泛認(rèn)識(shí)識(shí)并且被被普遍接接受的相當(dāng)標(biāo)準(zhǔn)準(zhǔn)化的結(jié)構(gòu)。。提供信息息安全服服務(wù)的具具有普適性的安全基基礎(chǔ)設(shè)施施。CA認(rèn)證證、數(shù)字字證書(shū)、、目錄服服務(wù)以及及相關(guān)安安全應(yīng)用用組件模塊的集集合。核心是要要解決信信息網(wǎng)絡(luò)絡(luò)空間中中的信任問(wèn)題，確確定可信信賴(lài)的數(shù)數(shù)字身份份。似乎可以以解決絕絕大多數(shù)數(shù)網(wǎng)絡(luò)安安全問(wèn)題題，并初初步形成成了一套套完整的的解決方方案。PKI技技術(shù)發(fā)展展現(xiàn)狀及及趨勢(shì)自20世世紀(jì)90年代初初期以來(lái)來(lái)，作為為電子商商務(wù)信息息安全的的關(guān)鍵和和基礎(chǔ)性性技術(shù)的的PKI逐步得得到了廣廣泛重視視，并由由理論研研究進(jìn)入入到商業(yè)業(yè)化應(yīng)用用階段。。PKI技術(shù)術(shù)經(jīng)過(guò)近十十年的發(fā)展展已日趨成成熟，許多多新技術(shù)還還在不斷涌涌現(xiàn)，CA之間的信信任模型、、使用的加加解密算法法、密鑰管管理的方案案等也在不不斷變化中中。PKI的應(yīng)應(yīng)用涉及電電子商務(wù)、、電子政務(wù)務(wù)、電子事事務(wù)等諸多多領(lǐng)域，PKI具有有非常廣闊闊的市場(chǎng)應(yīng)應(yīng)用前景。。我國(guó)的PKI行業(yè)起起步較晚，，PKI行行業(yè)的建立立還只有不不到五年的的時(shí)間，但但其發(fā)展還還是十分迅迅速的。國(guó)內(nèi)的這些些認(rèn)證中心心可分為三三大類(lèi)：行行業(yè)性認(rèn)證證中心、區(qū)區(qū)域性認(rèn)證證中心和純純商業(yè)性認(rèn)認(rèn)證中心。。PKI的優(yōu)優(yōu)勢(shì)節(jié)省費(fèi)用透明性和易易用性互操作性可擴(kuò)展性多用性支持多平臺(tái)臺(tái)數(shù)字證書(shū)的的概念數(shù)字證書(shū)就就是互聯(lián)網(wǎng)網(wǎng)通訊中標(biāo)識(shí)通訊各各方身份信信息的一系列數(shù)數(shù)據(jù)，提供供了一種在在Internet上驗(yàn)證身身份的方式式，其作用用類(lèi)似于駕駛執(zhí)照或或身份證。數(shù)字證書(shū)是是一個(gè)經(jīng)數(shù)字證書(shū)授授權(quán)中心數(shù)字簽名的的包含公開(kāi)開(kāi)密鑰擁有者信息以及公開(kāi)密鑰的文件。最最簡(jiǎn)單的證證書(shū)包含一一個(gè)公開(kāi)密密鑰、名稱(chēng)稱(chēng)以及證書(shū)書(shū)授權(quán)中心心的數(shù)字簽簽名。獲得證書(shū)的的人只要信信任這個(gè)證證書(shū)授權(quán)中中心，就可可以相信他他所獲得的的證書(shū)。數(shù)字證書(shū)的的格式遵循ITUTX.509國(guó)際標(biāo)準(zhǔn)準(zhǔn)版本號(hào)：用用來(lái)區(qū)分X.509的不同版版本序列號(hào)：每每一個(gè)證書(shū)書(shū)都有惟一一的數(shù)字型型編號(hào)。認(rèn)證機(jī)構(gòu)標(biāo)標(biāo)識(shí)：頒發(fā)發(fā)該證書(shū)的的機(jī)構(gòu)惟一一的X.500名字字。主體標(biāo)識(shí)：：證書(shū)持有有者的名稱(chēng)稱(chēng)。主體公鑰信信息：和該該主體私鑰鑰相對(duì)應(yīng)的的公鑰。證書(shū)有效期期：證書(shū)開(kāi)開(kāi)始有效期期和證書(shū)失失效期。密鑰/證書(shū)書(shū)用法：描描述該主體體的公/私私密鑰對(duì)的的合法用途途。擴(kuò)展：說(shuō)明明該證書(shū)的的附加信息息。認(rèn)證機(jī)構(gòu)簽簽名：用認(rèn)認(rèn)證機(jī)構(gòu)的的私鑰生成成的數(shù)字簽簽名。數(shù)字證書(shū)的的安全性證書(shū)是公開(kāi)開(kāi)的，可復(fù)復(fù)制的。任何具有證證書(shū)授權(quán)中中心（certificateauthority,CA））公鑰的用用戶(hù)都可以以驗(yàn)證證書(shū)書(shū)有效性。。除了CA以以外，任何何人都無(wú)法法偽造、修修改證書(shū)。。證書(shū)的安全全性依賴(lài)于于CA的私私鑰。PKI的主主要組件證書(shū)授權(quán)中中心證書(shū)簽發(fā)機(jī)機(jī)構(gòu)，是PKI的核核心，使PKI應(yīng)應(yīng)用中權(quán)威威的、可信信任的、公公正的第三三方機(jī)構(gòu)。。主要負(fù)責(zé)責(zé)產(chǎn)生、分分配并管理理所有參與與網(wǎng)上交易易的實(shí)體所所需的身份份認(rèn)證數(shù)字字證書(shū)。證書(shū)庫(kù)證書(shū)的集中中存放地，，提供公眾眾查詢(xún)。密鑰備份及及恢復(fù)系統(tǒng)統(tǒng)對(duì)用戶(hù)的解解密密鑰進(jìn)進(jìn)行備份，，當(dāng)丟失時(shí)時(shí)進(jìn)行恢復(fù)復(fù)，而簽名名密鑰不用用備份和恢恢復(fù)。證書(shū)撤銷(xiāo)處處理系統(tǒng)證書(shū)由于某某種原因需需要作廢，，終止使用用，將通過(guò)過(guò)證書(shū)撤銷(xiāo)銷(xiāo)列表CRL來(lái)實(shí)現(xiàn)現(xiàn)。PKI應(yīng)用用接口系統(tǒng)統(tǒng)為各種各樣樣的應(yīng)用提提供安全、、一致、可可信任的方方式與PKI交互，，確保所建建立起來(lái)的的網(wǎng)絡(luò)環(huán)境境安全可靠靠，并降低低管理成本本。PKI主要要組件PKI主要要組件的簡(jiǎn)簡(jiǎn)介公鑰證書(shū)：：由可信實(shí)實(shí)體簽名的的電子記錄錄，記錄將將公鑰和密鑰（公公私鑰對(duì)））所有者的身份捆綁綁在一起。。公鑰證書(shū)書(shū)是PKI的基本部部件。根CA：一一個(gè)單獨(dú)的的、可信任任的根CA是PKI的基礎(chǔ)，，生成一個(gè)個(gè)自簽名證證書(shū)，亦稱(chēng)稱(chēng)CA證書(shū)書(shū)或根證書(shū)書(shū)。注冊(cè)機(jī)構(gòu)和和本地注冊(cè)冊(cè)機(jī)構(gòu)RA：證書(shū)發(fā)發(fā)放審核部部件，接受個(gè)人申申請(qǐng)，對(duì)證證書(shū)申請(qǐng)者者進(jìn)行資格格審查并發(fā)發(fā)送給CA。本質(zhì)上上，RA是CA系統(tǒng)的的一個(gè)功能組件，可設(shè)計(jì)成成CA的代代理處，分分擔(dān)CA的的一定功能能以增強(qiáng)可可擴(kuò)展性。。目錄服務(wù)（（資料庫(kù)））：PKI的一個(gè)重重要組成部部分，主要要用于發(fā)布布用戶(hù)的證證書(shū)和證書(shū)書(shū)作廢列表表（黑名單單）。PKI主要要組件的簡(jiǎn)簡(jiǎn)介（續(xù)））管理協(xié)議：：用于管理理證書(shū)的注注冊(cè)、生效效、發(fā)布和和撤銷(xiāo)。PKI管理理協(xié)議包括括PKICMP、、消息格式式、CMMF、PKCS#10。操作協(xié)議：：允許用戶(hù)戶(hù)方便地通通過(guò)證書(shū)庫(kù)庫(kù)檢索和驗(yàn)驗(yàn)證證書(shū)和和CRL。。在大多數(shù)情情況下，操操作協(xié)議與與現(xiàn)有協(xié)議議（如Ftp、Http、Ldap等等）共同合合作。最終用戶(hù)（（EndUser）：也稱(chēng)稱(chēng)最終實(shí)體體（End-Entity））,可以是是人，也可可以是機(jī)器器，如路由由器，或計(jì)計(jì)算機(jī)中運(yùn)運(yùn)行的進(jìn)程程，如應(yīng)用用系統(tǒng)。CA的簡(jiǎn)介介CA機(jī)構(gòu)，，又稱(chēng)為證證書(shū)認(rèn)證(CertificateAuthority)中心心，作為電電子交易中中受信任的的第三方，，承擔(dān)公鑰鑰體系中公鑰的合法法性檢驗(yàn)的責(zé)任。核核心功能就就是發(fā)放和和管理數(shù)字字證書(shū)CA中心為為每個(gè)使用用公開(kāi)密鑰鑰的用戶(hù)發(fā)發(fā)放一個(gè)數(shù)數(shù)字證書(shū)，，數(shù)字證書(shū)的作用是證證明證書(shū)中中列出的用用戶(hù)合法擁?yè)碛凶C書(shū)中中列出的公公開(kāi)密鑰。。CA機(jī)構(gòu)的的數(shù)字簽名名使得攻擊擊者不能偽偽造和篡改改證書(shū)。它它負(fù)責(zé)產(chǎn)生生、分配并并管理所有有參與網(wǎng)上上交易的個(gè)個(gè)體所需的的數(shù)字證書(shū)書(shū)，因此是是安全電子子交易的核核心環(huán)節(jié)。。CA的概念念認(rèn)證中心：：CA負(fù)責(zé)責(zé)簽發(fā)證書(shū)書(shū)和管理證證書(shū)，對(duì)證證書(shū)的真實(shí)實(shí)性負(fù)責(zé)，，是PKI的核心。?；ヂ?lián)網(wǎng)定義義：一個(gè)可可信實(shí)體，，發(fā)放和作作廢公鑰證證書(shū)，并對(duì)對(duì)各作廢證證書(shū)列表簽簽名。美國(guó)防部定定義：一個(gè)個(gè)授權(quán)產(chǎn)生生，簽名，，發(fā)放公鑰鑰證書(shū)的實(shí)實(shí)體。CA全面負(fù)責(zé)責(zé)證書(shū)發(fā)行行和管理。。CA還全全面負(fù)責(zé)CA服務(wù)和和CA運(yùn)行行。美聯(lián)邦政府府定義：被被一個(gè)或多多個(gè)用戶(hù)所所信任發(fā)放放和管理X.509公鑰證書(shū)書(shū)和作廢證證書(shū)的機(jī)構(gòu)構(gòu)。CA組成簽名和加密密服務(wù)器對(duì)于數(shù)字證證書(shū)和被撤撤銷(xiāo)的數(shù)字字證書(shū)，應(yīng)應(yīng)有認(rèn)證機(jī)機(jī)構(gòu)的數(shù)字字簽名。密鑰管理服服務(wù)器與簽名加密密服務(wù)器連連接，按配配置生成密密鑰、撤銷(xiāo)銷(xiāo)密鑰、恢恢復(fù)密鑰和和查詢(xún)密鑰鑰。證書(shū)管理服服務(wù)器主要完成證證書(shū)的生成成、作廢等等操作控制制。證書(shū)發(fā)布和和CRL發(fā)發(fā)布服務(wù)器器用于將證書(shū)書(shū)信息按一一定時(shí)間間間隔對(duì)外發(fā)發(fā)布，為客客戶(hù)提供證證書(shū)下載和和CRL下下載等服務(wù)務(wù)。在線(xiàn)證書(shū)狀狀態(tài)查詢(xún)服服務(wù)器證書(shū)用戶(hù)隨隨時(shí)都知道道某個(gè)證書(shū)書(shū)的最新?tīng)顮顟B(tài)。Web服務(wù)務(wù)器用于證書(shū)發(fā)發(fā)布和有關(guān)關(guān)數(shù)據(jù)認(rèn)證證系統(tǒng)政策策的發(fā)布。。CA的核心心功能接受驗(yàn)證最最終用戶(hù)數(shù)數(shù)字證書(shū)的的申請(qǐng)。確定是否接接受最終用用戶(hù)數(shù)字證證書(shū)的申請(qǐng)請(qǐng)（證書(shū)審審批）。向申請(qǐng)者頒頒發(fā)、拒絕絕頒發(fā)數(shù)字字證書(shū)（證證書(shū)發(fā)放））。接受、處理理最終用戶(hù)戶(hù)的數(shù)字證證書(shū)更新請(qǐng)請(qǐng)求（證書(shū)書(shū)更新）。。接受最終用用戶(hù)數(shù)字證證書(shū)的查詢(xún)?cè)儭⒊蜂N(xiāo)。。產(chǎn)生和發(fā)布布證書(shū)注銷(xiāo)銷(xiāo)列表（CRL）。。數(shù)字證書(shū)的的歸檔。密鑰歸檔。。歷史數(shù)據(jù)歸歸檔。注冊(cè)中心（（RA）注冊(cè)中心是是數(shù)字證書(shū)書(shū)注冊(cè)審批批機(jī)構(gòu)。RA系統(tǒng)統(tǒng)是CA系系統(tǒng)的證書(shū)書(shū)發(fā)放、管管理的延伸伸，是整個(gè)個(gè)CA中心心得以正常常運(yùn)營(yíng)不可可缺少的一一部分。本本質(zhì)上是CA的功能能組件。但有的系統(tǒng)統(tǒng)中，將RA合并在在CA中。。一般而言，，注冊(cè)中心心控制注冊(cè)冊(cè)、證書(shū)傳傳遞、其他他密鑰和證證書(shū)生命周周期管理過(guò)過(guò)程中主體體和PKI間的交換換。在任何環(huán)境境下，RA都不發(fā)起起關(guān)于主體體的可信聲聲明。RA的功能能主體注冊(cè)證證書(shū)的個(gè)人人認(rèn)證。確定主體所所提供信息息的有效性性。對(duì)被請(qǐng)求證證書(shū)屬性確確定主體的的權(quán)利。在需要撤銷(xiāo)銷(xiāo)時(shí)報(bào)告報(bào)報(bào)告密鑰泄泄露或終止止事件。為識(shí)別身份份的目的分分配名字。。在注冊(cè)初始始化和證書(shū)書(shū)獲得階段段產(chǎn)生共享享秘密。產(chǎn)生公私鑰鑰對(duì)。認(rèn)證機(jī)構(gòu)代代表主體開(kāi)開(kāi)始注冊(cè)過(guò)過(guò)程。私鑰歸檔。。開(kāi)始密鑰恢恢復(fù)處理。。包含私鑰的的物理設(shè)備備的分發(fā)。。密鑰生命周周期密鑰產(chǎn)生證書(shū)簽發(fā)Bob密鑰使用Bob證書(shū)檢驗(yàn)密鑰過(guò)期密鑰更新證書(shū)管理證書(shū)注冊(cè)證書(shū)存放證書(shū)撤銷(xiāo)證書(shū)驗(yàn)證證書(shū)狀態(tài)查查詢(xún)證書(shū)注冊(cè)申請(qǐng)人提交交證書(shū)請(qǐng)求求。RA對(duì)證書(shū)書(shū)請(qǐng)求進(jìn)行行審核。CA生成證證書(shū)。下載并安裝裝證書(shū)證書(shū)發(fā)布8.證書(shū)響應(yīng)7.證書(shū)請(qǐng)求4.注冊(cè)建立請(qǐng)求5.注冊(cè)建立結(jié)果6.注冊(cè)結(jié)果3.注冊(cè)表格提交2.注冊(cè)表格應(yīng)答終端實(shí)體RACA1.注冊(cè)表格請(qǐng)求9.證書(shū)發(fā)發(fā)布證書(shū)庫(kù)證書(shū)的更新新最終實(shí)體證證書(shū)更新證書(shū)過(guò)期一些屬性的的改變發(fā)放新證書(shū)書(shū)CA證書(shū)更更新證書(shū)存放使用IC卡卡存放直接存放在在磁盤(pán)或自自己的終端端上USBKey證書(shū)庫(kù)證書(shū)撤銷(xiāo)當(dāng)條件（雇雇傭關(guān)系結(jié)結(jié)束、證書(shū)書(shū)中信息修修改等）要要求證書(shū)的的有效期在在證書(shū)結(jié)束束日期之前前終止，或或者要求用用戶(hù)與私鑰鑰分離時(shí)（（私鑰可能能以某種方方式泄露）），證書(shū)被被撤銷(xiāo)。2.證書(shū)撤銷(xiāo)響應(yīng)1.證書(shū)撤銷(xiāo)請(qǐng)求2.證書(shū)撤銷(xiāo)響應(yīng)1.證書(shū)撤銷(xiāo)請(qǐng)求RACA帶外請(qǐng)求終端實(shí)體證書(shū)庫(kù)3.撤銷(xiāo)發(fā)發(fā)布證書(shū)驗(yàn)證使用CA證證書(shū)驗(yàn)證其其他終端實(shí)實(shí)體證書(shū)有有效性。檢查證書(shū)的的有效期，，確保該證證書(shū)是否有有效。檢查該證書(shū)書(shū)的預(yù)期用用途是否符符合CA在在該證書(shū)中中指定的所所有策略限限制。在證書(shū)撤銷(xiāo)銷(xiāo)列表（CRL）中中查詢(xún)確認(rèn)認(rèn)該證書(shū)是是否被CA撤銷(xiāo)。證書(shū)狀態(tài)查查詢(xún)定期下載證書(shū)撤銷(xiāo)列列表（CRL）。在線(xiàn)證書(shū)狀狀態(tài)協(xié)議OCSP（（OnlineCertificateStatusProtocol），，其目的為為了克服基基于CRL的撤銷(xiāo)方方案的局限限性，為證證書(shū)狀態(tài)查查詢(xún)提供即即時(shí)的最新新響應(yīng)。OCSP使使用證書(shū)序序列號(hào)、CA名稱(chēng)和和公開(kāi)密鑰鑰的散列值值作為關(guān)鍵字查詢(xún)?cè)兡繕?biāo)的證書(shū)書(shū)。PKI的運(yùn)運(yùn)行舉例1）終端用用戶(hù)向證明明機(jī)構(gòu)（CA）提出出數(shù)字證書(shū)書(shū)申請(qǐng)；2）CA驗(yàn)驗(yàn)明終端用用戶(hù)身份，，并簽發(fā)數(shù)數(shù)字證書(shū)；；3）CA將將證書(shū)公布布到證書(shū)庫(kù)庫(kù)中；4）終端用用戶(hù)對(duì)電子子信件數(shù)字字簽名作為為發(fā)送認(rèn)證證，確保信信件完整性性，不可否否認(rèn)性，并并發(fā)送給接接受方。5）接受方方接收信件件，根據(jù)終終端用戶(hù)標(biāo)標(biāo)識(shí)向證書(shū)書(shū)庫(kù)查詢(xún)證證書(shū)的狀態(tài)態(tài)；6）下載終終端用戶(hù)證證書(shū)并用其其公鑰驗(yàn)證證數(shù)字簽名名，確定電電子信件數(shù)數(shù)字簽名的的有效性；；證書(shū)機(jī)構(gòu)CA證書(shū)庫(kù)終端用戶(hù)接受方312465數(shù)字證書(shū)的的應(yīng)用（1）現(xiàn)有持證人人A向持證證人B傳送送數(shù)字信息息，為了保保證信息傳傳送的真實(shí)實(shí)性、完整整性和不可可否認(rèn)性，，需要對(duì)要要傳送的信信息進(jìn)行數(shù)數(shù)據(jù)加密和和數(shù)字簽名名，其傳送送過(guò)程如下下：A準(zhǔn)備好要要傳送的數(shù)數(shù)字信息（（明文）。。A對(duì)數(shù)字信信息進(jìn)行哈哈希（hash）運(yùn)運(yùn)算，得到到一個(gè)信息息摘要。A用自己的的私鑰對(duì)信信息摘要進(jìn)進(jìn)行加密得得到A的數(shù)數(shù)字簽名，，并將其附附在數(shù)字信信息上。A隨機(jī)產(chǎn)生生一個(gè)加密密密鑰（DES密鑰鑰），并用用此密鑰對(duì)對(duì)要發(fā)送的的信息進(jìn)行行加密，形形成密文。。A獲得B的的證書(shū)，并并用CA證證