[精选]网络安全基础设施设计原理32621.pptx

第18 章 安全基础设施设计原理18.1 安全基础设施概述18.2 安全基础设施的目标18.3 安全基础设施的的设计指南18.4 密钥管理基础设施/公钥基础设施18.5 证书管理18.6 对称密钥管理18.7 基础设施目录服务18.8 信息系统安全工程18.9 本章小结习题一个安全基础设施应提供很多安全组件的协同使用，其体系结构可改进整个的安全特性，而不仅是各个安全组件的特性。使用这个定义，可推论出安全基础设施的设计和特性。18.1 安全基础设施概述 18.1.1 安全基础设施概述以防火墙为例，使用防火墙可以很好地实施安全策略，但是，如果它不能和体系结构中的其他组件很好地连接，就不能构成一个安全基础设施。例如，这个防火墙不能和安全基础设施的其他方面互相联系、互相作用，那它只是一个安全组件，而不是安全基础设施的一部分。这就是安全基础设施定义中的协同组件。再如，假如从防火墙能发送报警至事件管理站，由事件管理站处理成通知网络运行中心（Network Operations Center,NOC）的报警，那么，防火墙可能成为基础设施的一部分。反之，如防火墙本身做得很好，其屏幕可显示大部分入侵的通信，且能在搜集后做日志，但它不能通知其他任何组件，那防火墙的作用是不完全的。如果将防火墙和入侵检测、强的身份鉴别、加密的隧道（VPN）等组件协同作用，就能设计成一个基本的安全基础设施。安全基础设施的主要组成有4部分：网络、平台、物理设施、处理过程。网络类包括防火墙、路由器、交换机、远程访问设备（如VPN 和拨号modem 池）以及基于网络的入侵检测，它们分别在整个安全设计中增加某些安全特性。这些组件通过其网络接口或在软件中定义的逻辑来监控、过滤或限制通信。这些安全组件的作用是监控和保护在网络中通过的数据，或保护在应用中通过、使用的数据。18.1.2 安全基础设施的组成平台类包括服务器、客户端软件（例如，执行操作系统和安全应用的控制）。执行一些电子操作（如智能卡和读卡器、产生凭证的硬件卡、基于硬件的加密设备）的设备也属于这一类。平台类还包括应用级访问控制，如产生凭证的软件程序、数字证书、基于主机的入侵检测、病毒扫描和清除、事件搜集代理和分析软件程序。应用级访问控制能提供鉴别、授权、基于主机的入侵检测和分析、病毒检测和清除、事件账户管理和分析等功能。这些安全功能用来保护常驻在主要基础设施边界的应用。安全基础设施的物理组成包括标准的门钥匙和锁、钥匙卡、标识标志、安全照相机、活动传感器、声像报警、安全警卫和系统、设备标签等。根据人的生物特征检测的设备也属于这一类，如指纹读出器、面部形状照相机、视网膜扫描器等。这些仿生组件是通过自然本质来标识和鉴别用户的。属于这一类的还有网络电缆和后备电源（如UPS 系统和自备发电机）。物理安全设施的基本目的是防止非授权者进入以及保护安全基础设施的电力供应和网络连接。处理过程包括企业安全策略和过程文档，用来管理企业数据的生成、使用、存储和销毁，以及管理这些数据所在的系统和网络。企业安全策略的目的是定义企业资产保护的范围以及对这些资产所需的专门保护机制。企业安全过程是企业安全策略文档的一个组成，用来指导员工在特定环境下的行动。企业安全策略和过程是安全基础设施的重要组成。有了综合的安全策略和过程文档，安全设计师就能明白什么样的资产是企业需要保护的，以及如何保护这些资产。虽然安全策略文档提供数据、系统和网络的保护策略，但它对厂商选择、设计或实施并不规定所需的详细战术。这些安全组件的成功实施需要了解安全基础设施目标，否则可能会不合适地保护或完全疏忽那些关键资产。安全基础设施设计的基本目标是保护企业的资产。保护这些资产的方法是适当地部署各个安全组件于有组织的、协同的安全基础设施中。这些资产包括硬件、软件、网络组件以及知识财产。保护这些资产应根据企业安全目标和企业安全策略文档。虽然提到的只是数据的保护，实际上保护数据及其可用性也意味着保护执行的系统和网络。根据选择的数据等级分类体制，每种数据保护目标应按数据机密性、数据完整性和数据可行性来表示和衡量。18.2 安全基础设施的目标当设计一个安全基础设施时，把应用的最好结果作为目标。因为应用最靠近数据以及数据的处理、交换和存储。将设计目标放在数据机密性、数据完整性和数据可用性上，会发现这不仅使应用得到安全，而且企业也得到安全。这个概念如图18.1所示。图18.1 以应用为目标的安全设计概念数据机密性的前提是防止非授权者看到非公共使用的数据。数据机密性应用于本书所定义的具有内部的、机密的、严格限制的标记的数据。通过安全数据存储和安全数据传输提供数据机密性保护。满足数据机密性要求的典型技术包括数据传输、安全在线和离线存储的加密。数据完整性是关于对数据的任何非授权改变或破坏的保护。这个目标的基本点是数据的准确性和合法性。通过产生原始数据集检查和同复制的数据进行比较的程序来管理完整性。提供数据完整性的通常解决方案是使用通用的加密策略，例如前面讲到的IPSec，使用这样的检查和策略来保证发送的数据等于接收的数据。保护数据不被更改或破坏，可以用类似反病毒这样的简单解决方法，也可以用部署关键通路存储解决方案、高可用性的防火墙簇以及企业范围的变更管理等复杂的解决方案。为了防止非授权使用或破坏，鉴别和授权控制是最合适的方法。最后，数据可用性也是需要十分关注的。数据可用性的目标范围是根据数据可用的重要性而变化的。对某些系统需要高可用性，高达99.999%，而有些系统可用性要求就较低。提供高可用性系统保护的典型方法是使用冗余系统，通常包括冗余的电源、数据访问和存储、网络以及应用服务器处理等。但冗余并不能满足全部数据可行性问题，尤其是近年来增多的拒绝服务（DOS）和分布式拒绝服务（DDOS）的攻击。首先，设计指南中最重要的是要保证企业安全策略和过程与当前经营业务目标相一致。如有不一致，在设计和构造安全基础设施之前，应对这些策略和过程做必要的修改。如果设计指南没有被企业的最高管理层接受和全力支持，那么安全设计不可能完全达到它的功能，事实上有可能因缺少最高管理层的支持而失败。18.3 安全基础设施的的设计指南第二步是开发一个计算机事故响应组（Computer Incident Response Team,CIRT）,其职责是在安全报警事件中采取必要的行动和预防措施。为了使响应组成员能熟练地处理事件（如安全破坏或灾难恢复），应尽可能多地进行实际培训。在很多情况下，把它当作有目的的测试场景，在那里能测试CIRT 成员的行动在给定安全事件下的响应、效率、完整性以及恢复能力。这样的测试目标对改进CIRT 成员的能力是十分重要的。第三步是设计基础设施安全服务以直接支持指南和需求。这些服务包括鉴别、授权、账户、物理访问控制和逻辑访问控制。对安全服务的设计、部署和运行应遵循专门的方法。它定义了包括评估、设计、部署和管理4个步骤的生命周期。在评估阶段，分析现存的经营业务和安全需求，以决定大部分实际的、有效的安全解决方案现在是否已可行，否则必须重新设计和构造。在设计阶段，针对评估中发现的问题，设计安全解决方案。部署阶段包括安全解决方案的实施和设备安装。最后是管理阶段，保证安全基础设施正常运行，功能正常。鉴别服务于Internet 资源、外联网资源、内部网资源的用户，相应于它们内在的风险，需要不同级别的安全。内部网用户愿意基于他们登录的ID 自动进行身份鉴别，而对外联网和Internet 用户，需要使用赋予的硬件或软件的标记和个人标识号PIN 登录。通用的鉴别用户的方法包括静态用户名（UID）和口令、强的两因子鉴别、一次性口令鉴别以及单点登录（Single Sign-On,SSO）鉴别。可能的话，为企业部署至少两种鉴别方法的组合，用于需要不同保护级别的不同等级数据。对给定类别的数据选择合适的鉴别方法是十分重要的。18.3.1 鉴别最普通的鉴别方式是静态UID 和口令的组合。因为静态口令不能经常更改，因此提供的数据保护能力是很小的。静态UID 和口令的组合不能成功地抵御很多方式的攻击，包括回答攻击和蛮力攻击。在回答攻击中，假冒者从以前的鉴别会话中获取UID 和口令的组合，依靠偷得的UID 和口令给鉴别服务器回答，以得到访问权。在蛮力攻击中，攻击者只知道UID，或使用一个默认系统账户，用很多口令和已知UID 组合来企图登录，以得到访问权。这两种方式的攻击都广泛使用，从而削弱了静态方法的完整性。由于这个原因，只有公共数据或内部数据的访问基于静态鉴别方法。对更高等级的数据，需要更严格的解决方法，例如，可使用强的鉴别方法和一次性口令。强的鉴别方法可使用诸如PIN 这类的知识因子和智能卡、标记产生卡、标记软件程序等的组合。标记卡或标记软件程序使用一个算法产生通常有6个数字的号码，最后的口令码是该6个数字码和PIN 的组合。智能卡一般包含标识其拥有的权利的信息，如数字ID 或私钥。虽然这种鉴别方法优于静态方法，可以不再有必要用一次性口令，但大部分标记产生卡和标记软件程序利用一次性口令，使用一次后就不再有效了。很显然，强鉴别和一次性口令的组合能力大大优于静态UID 和口令的组合，它既不会受回答攻击的影响，也不会受蛮力攻击的影响。像智能卡这些设备，当若干次非法企图后会自己失效，因此这些可携带的卡即使丢失或被偷窃，也不会有很大风险。为了改进使用静态鉴别方法，可以建立一个口令老化的过程，规定在口令使用一定时期后必须更改。也可以在安全策略文档中规定口令加强的需求，并且在鉴别服务器中进行设定，大部分操作系统支持这种特性。另一个设计鉴别体制时需考虑的问题是选择分布式或集中式的鉴别。分布式鉴别在业界是最流行的，对每一个要访问的系统，用户有不同的UID 和口令，有时甚至对给定系统访问的每个应用都有不同的UID 和口令。与上述方法相反的是单点登录（SSO）。SSO 准许用户使用单一账号和口令的组合来访问企业中的很多资源。SSO 对用户提供方便的优点是显而易见的。它也减轻了管理的负担，管理员需跟踪的账户大大减少，由于用户忘记自己的口令而需要重新设置的负担也减轻了。然而，SSO 不是没有一点麻烦。将SSO 引入环境，使其在异构环境中有效地运行需要管理员付出新的努力。这些新的努力包括兼容的问题、部署和功能操作的问题，以及管理的问题等。如应用适当的智力和资源解决了大部分问题，引入SSO 解决方案，就能成功地处理大部分企业范围的鉴别需求。授权是基于一个人或一个组的标识，允许或拒绝规定的特权的行为。授权应从应用的周围世界来处理。从根本上讲，应用安全是所有努力的目标。这些努力包括了解你的应用，以及如何和客户机、数据库通信，以及其他服务器处理过程。18.3.2 授权应用通常使用一个静态的端口集以及和其他实体通信的协议。端口用来处理通信的发送和接收。决定使用什么样的端口和什么样的协议。有了这些信息，就可明白在使用哪一种应用会话方式（例如TCP会话），还是通过没有会话的突发数据的应用通信（例如UDP 或HTTP）。明白这些应用通信类型以及如何通信有助于设计有效的、适当的授权控制。对应用功能及其如何实现有了很好的了解后，下一步是决定谁应该在什么时间访问哪些数据，还应决定谁能得到对应用服务器、数据库或它们常驻网络段的物理访问权。这样就能防止入侵者得到访问控制。将应用访问限制在特定的群体和一天中的特定时间，就能减少受攻击的可能。根据赋予的资源特权将用户分成组，通过按资源将用户分组的方法，用赋予的组标签在应用级进行授权控制来控制组成员的活动。这样的策略是基于角色的访问控制（role based access control,RBAC）。虽然RBAC 控制很好，适合于具有大量用户和大量公共或内部数据资源的服务，但是对标有机密或严格限制的数据保护需要更严格的控制。基于用户的访问控制（User Based Access Control,UBAC）是根据各个用户的特权而不是赋予的角色来决定的访问控制。UBAC 需要对每个用户分别进行鉴别和授权。UBAC控制从其本性看可提供更细粒度的控制，因为它直接应用至每个用户或单个实体，而不是组或多个实体。账户管理涉及日志和行为的监控、事件以及满足某些条件引起的报警。大部分操作系统能配置生成账户日志，对各种系统里发生的事件向管理者发出报警。最流行的操作系统日志程序是用于UNIX 系统的Syslog和用于Microsoft NT 的NT 事件日志。UNIX Syslog 或NT 事件日志设置报警,在日志文件中产生报警级报文，或更高级的报文。然而，情况可能更为复杂，如若干个相关的、协同的、不一样的事件从不同的代理源发生，其结果是发出更严重的报警信息。不论复杂性如何，账户管理结果都能提供以下信息：18.3.3 帐户操作系统使用的详细情况；应用使用的详细情况；Internet、外联网或内部网的活动；用于法庭分析的数据；趋势分析数据；生成报告的数据。这些结果对企业都是很有价值的。除了提供性能预测和趋势分析之外，这些事件还能确定它的安全轮廓、标识存在的或可能的威胁。操作系统事件能提示安全职员下列情况：失败的登录企图、企图得到根或管理员的访问、文件系统是否已被安全送出。事件的时间界限和事件覆盖的范围一样重要。当管理员只是每周一次用人工方法考查事件日志时，从操作系统、关键应用以及在网络段上的通信监控安全事件到底有多少价值呢？当管理员周期地考查这些事件日志，查看一段历史时，黑客和漏洞的跟踪有可能早已离开了，一些关键数据也可能已被取走。在Internet 年代，事情发生得很快。即使是黑客新手也可能用大量黑客工具来攻击企业资产。这些新手从专门黑客那里得到好处，裁剪黑客工具对企业施加严重的破坏。因此，不仅需要连续的访问和鉴别控制，还需要实时的事件管理和入侵检测（ID）解决方法。将入侵检测也作为账户管理解决方案的一个组成部分，因为它的自然特性是事件检测、分析，还有防止，十分类似于事件管理的目的。以往只是将事件管理当作一种静态搜集信息的工具，在这里将事件管理作为一种实时安全报警机制。物理访问控制有关安全基础设施的组件，和其他安全设施一起减少资源滥用的效应。物理控制的操作是物理的。通用物理访问控制包括标准的门钥匙、钥匙卡、标识标志、安全照相机、活动传感器、声像报警、安全警卫和系统、设备标签等。使用这些组件的方法决定了物理访问控制策略的质量。企业安全策略和过程文档定义的操作应定义如何保护专门等级的数据及执行的系统。这些过程还应陈述在灾难事件中通知相应的人员采取哪些行动，对应用重要的数据影响，定义相应的法庭过程以及如何降低相关的风险。18.3.4 物理访问控制除了减少安全漏洞的风险和影响外，服务的破坏也必须计入物理保护策略。服务破坏保护策略包括正确的组件放置以及冗余。安全基础设施放置和冗余是一样重要的。例如，某公司需要一个高可用性的系统和数据为客户服务，为此公司需安装一条冗余的T-1 电缆接到提供客户服务的数据中心，同时需要安装冗余的UPS 设备。由于施工土建工作量较小，施工过程未同土建安全部门联系。但这种疏忽有可能会引起水、电等事故，这类事故在安装物理基础设施组件时本来是完全可以避免的。逻辑访问控制是所有安全基础设施控制中最引人注目的。这些控制包括防火墙、路由器、交换机、VPN 和应用层控制，用来限制系统和网络的使用。如前所述，逻辑访问控制有时使用鉴别和授权信息来决定准予或拒绝访问。另外，这些决定取决于正在使用的端口和协议。这些控制最好先集中在应用上，然后再控制低层协议。18.3.5 逻辑访问控制下面举例说明，假定有一个HealthApp 的应用，此应用利用端口8111 上的TCP和HealthApp 客户通信，而TCP8104处理服务器对服务器的通信。首先需明白应用的功能，而不是一开始就访问控制不希望的端口和协议。在本例中，HealthApp 服务器和其他服务器通信首先执行一个域名系统（DNS）的查找来发现要同它通信的服务器的IP地址，HealthApp 服务器和DNS服务器之间的DNS 询问必须是允许的。在本例中，下一步是对不是和HealthApp 应用相联系的操作，拒绝所有访问控制设备（例如防火墙、路由器、交换机）上的通信，并对应用进行测试。这样以应用为目标，导出可用的、最安全的逻辑访问控制集。可以发现，使用这个策略是保护应用数据及其执行的系统的最有效方法。逻辑访问控制能应用不同的方法来限制系统和网络的使用。对应用访问的保护，逻辑访问控制通常使用在应用本身。基于鉴别和授权准则，可设计成明确的限制或允许一定用户或用户组的访问。网络访问控制根据试图经过一个网络段的端口号和协议来决定允许还是拒绝通信。很多防火墙、路由器、交换机、VPN 网关和ID 系统可以根据它的类型（TCP、UDP 或IPX）、源、目的甚至载荷来限制通信。逻辑访问控制通常最后使用入侵检测系统，包括发送一个TCP RESET（RST）分组给非授权网络通信的发送源。这个RST 分组通知发送源（冒犯者）的主机该数据会话没有接收到。虽然这个冒犯者的主机可能继续再试，但它的非授权通信经过给定的网络段，入侵检测系统将重新设置这个会话，因此阻止了该通信到达目的站。实践证明，最好的逻辑访问控制实施策略是包括周边的建立、内部应用和基于网络的控制、基础设施的保护。周边的建立将决定哪些系统和网络是最可信的（内部的），哪些系统和网络有点可信（DMZ），哪些系统和网络根本不可信。图18.2表示建立可信域的模型。图18.2 可信域的模型设计分开的可信区域，就能使用访问控制，以适合不同可信区域内网络和系统的经营业务的目的。Internet 需要和内部网和外联网不同的访问控制水平，不仅必须选择合适的访问控制技术，还必须包括基础设施的正确部署位置。入侵检测系统安装在周边防火墙内和防火墙外结果不同。不仅重要的事件及其内容不同，而且使用的数据机密性、完整性和可用性的需求也不同，事件着重点的改变也相当大。当实施这些控制时，应尽可能少地牺牲企业的生产力和利益，这是必须考虑的因素，虽然要做到这点不容易。支撑性基础设施是能够提供安全服务的一套相互关联的活动与基础设施。有两个十分重要的支撑性基础设施：密钥管理基础设施/公钥基础设施，用于产生、公布和管理密钥与证书等安全凭证。检测与响应，用于预警、检测、识别可能的网络攻击，做出有效响应以及对攻击行为进行调查分析。18.4 密钥管理基础设施/公钥基础设施本节阐述密钥基础设施与公钥基础设施（KMI/PKI），KMI/PKI 作为一种支撑性基础设施，其本身并不能直接为用户提供安全服务，但KMI/PKI 是其他安全应用的基础。KMI/PKI 是安全服务所必需的组件，其体系结构依赖于其支持的应用。表18-1 列出了不同用户类型对KMI/PKI 的需求。例如，在为两个用户提供端到端加密隧道的虚拟专用网（VPN）中，KMI/PKI 为实现认证和加密功能的加密设备提供密钥和证书，还为用户提供密钥恢复服务以及证书查询的目录服务。表18-1 KMI/PKI 支持不同类型的用户服务用户类型 KMI/PKI服务VPN密钥产生 证书管理 密钥恢复 目录服务网络访问控制 密钥产生 证书管理 增值服务 目录服务远程访问服务 密钥产生 证书管理 密钥恢复 目录服务多级安全 密钥产生 证书管理 目录服务用户类型KMI/PKI 服务VPN 密钥产生证书管理密钥恢复目录服务网络访问控制密钥产生证书管理增值服务目录服务远程访问服务密钥产生证书管理密钥恢复目录服务多级安全密钥产生证书管理目录服务与其他基础设施解决方案不同的是，KMI/PKI 将它的安全分布在一组独立的组件上。这些组件本身比用户应用要求更高的安全性，以保证用户证书和密钥的安全性。同样，基础设施中的安全策略管理、信息保障的水平等都要高于用户应用的安全级别。为了减少用户获取服务的成本和需花费的人力资源，要求将提供不同服务的支撑性基础设施组合在一起，形成一个能为用户提供多种服务的多组件基础设施。KMI/PKI 支持4种服务，其中每一种服务都使用了多种机制来满足用户应用对安全的不同要求。前两种服务能直接支持用户应用，后两种服务是用户应用正常工作所必需的。18.4.1 KMI/PKI 服务第一种服务是对称密钥的产生和分发。对称密钥的产生和分发仍然是政府部门、金融部门和密钥管理机制中最主要的部分。尽管许多应用正在使用非对称密钥管理代替对称密钥管理，但对称密钥管理仍然有用武之地。对称密钥中，多个用户的密钥的产生、分发和管理由一个中心（可能是一个用户或一个独立的第三方）完成。在应用对称密钥的团体中，一个成员在其密钥的生命周期中只使用同一个密钥与其他成员进行保密通信。第二种服务是支持非对称密钥技术及与其相关的证书管理。非对称密钥通常使用数字证书来鉴别公/私钥对中公钥部分的真实性。这种鉴别很重要，因为非对称密码提供的安全服务要依赖于公钥用户确保公钥已与特定的用户绑定。数字证书（X.509 证书）恰恰能将公/私密钥对中的公钥部分与其拥有者的身份绑定在一起，并使用密码技术保证这种绑定关系的安全性。公钥基础设施由多个部分组成，包括组成基础设施的组件、使用并操作基础设施的人员、基础设施提供的服务、基础设施运行的策略以及对公钥证书的管理。公钥基础设施可以产生、管理数字证书以保证数据的真实性、完整性及不可否认性，也可产生、管理密钥协商证书以保护数据的机密性。第三种服务是目录服务。通过目录服务，用户可获得PKI 提供的公开信息，如公钥证书、相关基础设施的证书、受损的密钥信息等。目录服务可以由全球的分布目录集提供，如X.500DMS(Defense Message System),也可以由单一站点组成的在线存储库提供。目录服务一般与PKI 结合在一起使用，但也可以用来提供其他服务。第四种服务是对基础设施本身的管理。基础设施是由多个组件协同工作为用户提供服务的，这种分布特性增加了对KMI/PKI 的功能和操作上的要求。同时应用安全需求的敏感性也对KMI/PKI 提出了更多的安全需求。KMI/PKI 的内部结构也受其支持的应用的影响。KMI/PKI 能支持不同的安全应用，这取决于应用使用的密码技术。对称密码技术一般保护信息在传输和存储中的机密性，如传输机密性、文件加密、密钥协商。对称密钥技术与其他机制相结合也可保证交易过程中数据的完整性和真实性，从而确保交易安全，如鉴别、完整性、不可否认等安全应用。与对称密码不同，非对称密码技术可以保护信息在传输和存储中的完整性和真实性，如鉴别、完整性和不可否认等安全应用。公开密钥密码技术与证书管理相结合可以为应用提供全方位的安全服务。公开密钥密码技术对数据进行加密、解密的速度比较慢，因此一般都使用对称密码算法对数据进行加密和解密。KMI/PKI 包含一系列过程。这些过程需要正确地协同工作，以保护用户服务的安全。这些过程列举如下：注册。在系统中登记已经过认证的用户，使其可以使用KMI/PKI。申请。用户向KMI/PKI 请求密钥或证书。密钥生成。由基础设施的一个组件产生对称密钥或不对称密钥。证书生成。将用户的信息和用户的公开密钥绑定在一个证书中。18.4.2 KMI/PKI 过程 分发。通过一种安全的可认证方式将密钥和证书分发给用户。审计。记录密钥和证书的位置和状态。受损恢复。通过一种可验证的方式将无效的密钥和证书从系统中删除。密钥更新。以一种安全的可认证方式周期性地更新密钥和证书。销毁。销毁失效的私钥。密钥恢复。不直接访问用户私钥的拷贝而恢复用户私钥的能力。制定策略：定义上述操作的应用需求。管理：运行基础设施。增值PKI 过程。提供一些可增值的服务，如备份、时间戳、公证等。这部分不是必须的。在PKI 中，由不同的组件负责处理不同的操作。上述的操作可以有多种方法进行组合，为用户提供安全服务，具体的实现方式依赖于具体的应用和用户愿意投入的成本。KMI/PKI 的整体安全由各个操作的安全性构成，每一个操作都面临着不同的攻击威胁并有相应的防范措施。表18-2 定义了4种KMI/PKI 服务对实现每一个操作的基本要求。（见书中表18-2 KMI/PKI 操作）1.用户需求（1）对称密码密钥的来源应该是可信的、权威的、可鉴别的；在分发过程中应该对密钥进行保护。（2）非对称密码由用户或KMI/PKI 来产生公/私密钥对；证书信息是准确、有效的，并反映了与可识别的惟一用户之间有效的绑定关系；18.4.3 用户和基础设施需求证书将用户私钥对应的公钥与用户身份绑定在一起；可信基础设施组件的证书通过可鉴别的方式传递给用户；用户可以周期性检查证书中信息的有效性；KMI/PKI 只为在策略中定义的经过认证的实体（如用户或用户组织）提供数据恢复服务，例如提供私钥的一个拷贝。验证密钥产生请求接收公钥验证申请密钥请求验证信息请求 验证改变信任模型的过程接收基础设施组件的公钥产生 产生公/私密钥对产生证书产生密钥向目录中增加信息 产生根公/私密钥对产生根证书产生基础设施组件的公/私密钥对产生基础设施组件的证书产生交叉认证证书分发 向用户提供证书验证获取证书的用户是否具有相应的私钥将策略批准权威（PAA）的公钥证书通过可认证的途径发送给用户 将密钥发送给用户将密钥装入到加密设备中向用户提供信息 通过安全的途径将根证书提供给基础设施的各个组件为每个基础设施组件提供证书确保每个基础设施组件拥有公钥对应的私钥通过安全的方式向基础设施组件提供域内的加密参数受损恢复 对失效的密钥提供失效密钥列表（CKL）对处于有效期内的证书提供在线认证机制取消所有使用失效的密钥的密码设备修复一个受到攻击的目录提供整个基础设施或组件失效或遇到灾难后的重建步骤续表操作证书（公钥）管理对称密钥管理基础设施目录服务基础设施管理审计在密钥和证书整个生命周期内跟踪其位置和状态在密钥的整个生命周期内跟踪其位置和状态记录何人何时修改目录中的信息确保对基础设施的组件的操作符合PAA 定义的策略和操作流程密钥恢复适当的密钥恢复机制N/AN/A 根签名密钥可能需要密钥恢复密钥更新新证书新密钥密码设备的密钥更新N/A 改变根密钥的过程销毁到达私钥使用期限后将其置0达到密钥使用期限后将密钥置0将信息从目录中删除到达基础设施组件的私钥使用期限后将其置0管理N/AN/AN/A 安全地使用基础设施组件和运用系统策略的操作步骤2.基础设施管理需求（1）对称密码确保密钥产生和分发的请求者经过认证；密钥产生过程是安全、强健的；在密钥分发过程中保证密钥的安全性；密钥只分发给经过认证的用户；系统要对密钥整个生命周期进行审计（申请、产生、分发、使用、更新以及销毁）；系统要将失效的密钥从系统中删除。（2）非对称密码确保证书申请的发起者经过认证；产生证书之前确保证书申请中的信息与用户的实际情况相符合；CA 要保证将正确的公钥写入证书中；如果系统为用户产生公钥，则要保证密钥产生的安全性并安全地传递给用户；基础设施要确保其证书的完整性，并以可鉴别的、不可否认的方式传递给用户；基础设施必须周期地为用户提供证书撤销信息；基础设施必须保证其组件的高可用性；系统对密钥的生命周期进行审计（申请、产生、分发、应用、更新、撤销和归档）；基础设施只对已认证的用户或用户组织提供私钥的恢复机制；基础设施存储的密钥要使用密钥恢复机制保护密钥；保证恢复的密钥在分发给用户的过程中的安全。KMI/PKI 的一个主要功能就是对使用公钥的应用提供密钥和证书的产生、分发和管理服务。在KMI/PKI 的分工中，PKI 的目的就是管理密钥和证书。本节从用户的角度出发介绍PKI 的功能及其体系结构。18.5 证书管理为了给各种基于公钥的应用提供服务，PKI 的组成包括一系列的软件、硬件和协议。PKI 的主要组成部分包括证书授权（Certification Authority,CA）、注册授权（Registration Authority,RA）以及证书存储库（Certificate Repository,CR）。PKI 管理的对象有密钥、证书以及证书撤销列表（Certificate Revocation List,CRL）。下面简要介绍这些组件。CA。被一个或多个用户信任并负责创建、分发证书，操作CA 的人称为管理员。RA。负责认证CA 申请证书的用户身份的实体。RA并不签发证书，一般位于离用户比较近的地方。完成RA 认证用户这项任务的人称为RA 操作员在大多数PKI 中，完成认证用户身份的任务一般由分散的、离用户较近的局域注册授权（Local Registration Authority,LRA）完成。CR。CA 发布证书和CRL 的地点。存储库有多种实现方式，包括数据库、Web 服务器，但一般用户都使用LDAP 协议访问目录服务。非对称密钥。非对称密钥算法中需要一对密钥，一个用来加密、签字，一个用来进行解密、验证。密钥对中有一个是由密钥拥有者秘密保存的，称为秘密密钥，另外一个由密钥按照一个不可逆的数字函数计算得到，并可公开，称为公开密钥。根据数学原理，由公开密钥不可能推导出秘密密钥，所以公开密钥不会影响秘密密钥的安全性。证书。将用户的身份信息及其公钥用一种可信的方式绑定在一起的一条计算机记录。证书中包括签发者名称、用户身份信息、用户公钥以及CA 对这些信息的签字。目前多数证书格式都遵循ITU X.509标准定义的证书格式，凡符合X.509 标准的证书称为X.509 证书。CRL。包含尚处于有效期内、但证书内的用户身份信息及其公钥的绑定关系已经失效的证书列表。CRL 由CA 签发，CRL 可以通过多种方式发布，如发布到目录服务器中，利用Web 方式发布或通过E-mail方式发布。同其他PKI 相联系的、处于不同保护地址中的通信实体，如果信任报文发送者的证书签发者CA，那么可以对报文发送者的证书进行鉴别。如果用户相信CA能将用户身份信息与公钥正确地绑定在一起，那么用户可以将该CA 的公钥装入到用户的加密设备中。可以用用户信任的CA 公钥验证其签字的，并且不在CA签发的撤销列表中的任何证书都是有效证书。这意味着用户可以从该证书中解析出公钥，并相信该公钥确实属于证书中标明的用户。大型公钥基础设施往往包含多个CA，当一个CA 相信其他的公钥证书时，也就信任该CA 签发的所有证书。多数PKI 中的CA 是按照层次结构组织在一起的，在一个PKI 中，只有一个根CA，在这种方式中，用户总可能通过根CA 找到一条连接任意一个CA 的信任路径。在采用层次结构的组织中，层次结构的CA 组织方式非常有效，但对于内部不采用层次结构的组织以及组织之间，则很难使用层次结构的CA 组织方式。解决这个问题的一个很通用的方法是，将多个CA 证书结构内受信任的证书安装到验证证书的应用中，大多数商用浏览器中包含有50个以上的受信任的CA 证书，并且用户可以向浏览器中增加受信任的CA 证书，也可以从中删除不受信任的证书。当接收一个证书时，只要浏览器能在待验证证书与其受信任的CA 证书之间建立起一个信任链路，浏览器就可以验证证书。另一种方法是双向地交叉认证证书。采用交叉认证不像层次结构组织CA 的PKI 那样，需要在CA 之间建立上下级的信任关系。为了区别于层次结构的PKI，采用双向交叉认证机制的PKI 称为网状PKI。层次结构的PKI 可以同网状结构的PKI 组合在一起。在层次PKI 与网状PKI 之间进行互操作可采用桥CA 的概念，桥CA 为多个PKI 中的关键CA 签发交叉认证证书。不论是采用层次结构还是采用网状结构的PKI，签字的验证者必须建立一条从签字者到验证者信任的CA之间的证书链，验证者必须验证证书链中的每一个证书的签字，并检查该证书是否已经撤销，如果证书链中的每个证书都是有效的，那么验证者可以确认签字者的公钥是有效的。不使用证书链对证书进行验证的方法称为在线证书验证。在线证书验证的过程是将证书传递给网络上的服务器，让该服务器根据其验证规则来实现对证书有效性的验证。图18.3表示PKI 互操作中的分层信任列表与网状方法。图18.4表示基于双向交叉认证、桥CA 和在线状态检查互操作模型的PKI。在多个PKI 间进行互操作的方法都各有其优缺点，必须仔细考虑选用互操作方法，以防降低系统的安全性。图18.3 PKI 互操作中的分层信任列表与网状方法图18.4 基于双向交叉认证、桥CA 和在线状态检查互操作模型的PKIPKI 在密钥和证书的产生、分发和管理中起着关键作用，密钥和证书的产生、分发和管理是实现基于公钥的安全服务所必须的。PKI 本身使用机密性安全服务保护私钥在存储和分发中的安全性，使用完整性安全服务对公钥进行认证，PKI 对公钥的数字签名保证了公钥与证书中的用户身份信息的绑定关系，同时确保了证书中公钥的完整性。尽管PKI 有很多优点，正在得到广泛应用，但在现实世界中，对称密钥管理仍然是一种重要技术。很多现存的系统惟一地使用对称密码。甚至随着非对称密码技术应用的不断发展，许多新出现的应用，例如多点传送，将仍然要求安全的对称密钥和非对称密码系统。在对称密码算法中，加密密钥可以从解密密钥求得，反之亦然。这一点和公钥密码算法不同，从加密密钥难以计算出解密密钥。在大多数对称密码系统中，加密和解密密钥是相同的，这要求发送者和接收者在相互传送加密报文时约定一个密钥。18.6 对称密钥管理如果密钥系统所用的密钥管理很脆弱，密码算法的健壮性就为零。对称密钥应用要求所有用户拥有一个共同的安全密钥，正确安全地分发、管理密钥会十分复杂和昂贵。对称密钥管理的许多方面对于维护安全都是至关重要的。对称密钥的管理涉及整个的密钥存活期，必须建立密钥定购、产生、分配、存储、记录、销毁的可控过程，图18.5是对称密钥管理活动的关键因素。必须有检测受到篡改的密钥以及使系统恢复安全的方法和规定，并能有效地确定受到的危害程度。18.6.1 对称密钥管理的关键因素图18.5 对称密钥管理活动的关键因素 定购。只有授权的个体才允许定购密钥，只有得到明确授权的密钥才可以定购。定购者必须具有对通信网络管理的访问权限，定购密钥是为了在需要密钥之前将密钥分发给所有的用户。密钥管理系统将保证定购者具有定购密钥的权限以及接收者具有接收密钥的权限。产生。必须在安全环境中产生密钥以防止对密钥的非授权访问。对于特定的加密算法，产生过程将能产生一组可公认的密钥。对称密钥通常是随机的比特流，因此需要一个性质控制过程保证比特流的随机性。分配。对称密钥可以通过可信的人或一些保护技术（如抗窜扰装置），以物理形式进行分发。对一些非常敏感的密钥，可以使用两人控制来得到更多的保障。然而，这些技术只能在密钥的存活期提供最小的保护。可以访问密钥的人越多，篡改的可能性就越大。因此，安全分配的目标是通过良好的分发技术将密钥从产生器通过电子手段传送到用户设备。公钥技术可以支持良好的分发技术，允许用户设备产生一个授权的会话密钥，由产生器传送对称密钥。存储。密钥在等待分发给用户或偶然使用时，必须存储起来。当一个连接失败时，需要有一种机制来保证恢复未经加密的对称密钥的存储区。对这些密钥的保护十分关键，必须安全地存储。以物理形式分发的密钥只能通过严格的物理和人员安全性进行保护。电子形式的密钥应以加密的形式进行存储，同时应采取物理的、人员的和计算机的安全机制来限制对密钥的加密和访问。保密应用。在密码系统的应用中注入密码需要一个保护接口，在接口处对密钥进行物理保护，对于防止密钥的篡改十分关键，因为可以在接口处对密钥进行复制和替换。尽管注入加密密钥只需要最少的保护，但对于相应的解密密钥却需要非常高的保护来限制它注入的频度。销毁。可以有多种可能的介质存放对称密钥，包括纸（例如手工代码本、密钥带）和电子器件（例如随机访问存储器（RAM）、电子可擦写可编程只读存储器（EEPROM）、可编程只读存储器（PROM）。由于对称密钥篡改具有能够恢复以前加密的通信流的特性，所以密钥的存储期不能长于必需的任务执行期是十分必要的。在密钥周期结束后，安全的密钥必须在所有位置进行销毁，包括偶然存储及伴随的电子存储等。篡改。对称密钥易受到密钥篡改的攻击（例如物理分发、大规模加密网、长加密周期），因此密钥篡改的检测和恢复是十分关键的。目前尚无完善的机制来控制密钥篡改对网络造成的危害。安全密钥的篡改可能会暴露所