网络的攻击与防范-理论与实践 第3篇 网络防御部分 第13章 密码及认证技术.ppt

《网络的攻击与防范-理论与实践 第3篇 网络防御部分 第13章 密码及认证技术.ppt》由会员分享，可在线阅读，更多相关《网络的攻击与防范-理论与实践 第3篇 网络防御部分 第13章 密码及认证技术.ppt（131页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、 第三篇第三篇 网络防护篇网络防护篇o第11章安全扫描技术的原理与应用o第12章操作系统安全防范o第13章密码及认证技术o第14章防火墙的技术原理与应用o第15章入侵检测技术的原理与应用o第16章蜜罐与蜜网技术o第17章数据备份与灾难恢复技术o第18章网络安全综合防范平台第第13章章 密码及认证技术密码及认证技术密码学是安全信息的核心和理论基础，利用不同的加密技术对信息进行变换，实现信息的隐藏，从而保护信息的安全。保密的目的是防止对手破译系统中的机密信息。在信息系统中，安全目标的实现除了保密技术外，另外一个重要方面就是认证技术。认证技术主要用于防止对手对系统进行的主动攻击，如伪装、窜扰等，这对

2、于开放环境中各种信息系统的安全性尤为重要。第第13章章 密码及认证技术密码及认证技术o13.1加密技术原理及典型算法o13.2Hash函数原理和典型算法o13.3数字签名o13.4身份认证技术o13.5PKI与PMI认证技术o13.6实验：电子邮件的加密和签名13.1加密技术原理及典型算法加密技术原理及典型算法根据密码算法所使用的加密密钥和解密密钥是否相同可将密码体制分为对称密码体制(也叫做单钥密码体制、私密密钥密码体制)和非对称密码体制(也叫双钥密码体制、公开密钥密码体制)。数字通信系统模型公开信道公开信道首先进首先进行采样行采样13.1加密技术原理及典型算法加密技术原理及典型算法o13.1

3、.1对称密钥密码o13.1.2公开密钥加密o13.1.3电子信封技术13.1.1对称密钥密码对称密钥密码在对称加密中同一密钥既用于加密明文,也用于解密密文.但由于它们共同的弱点需要共享密钥,因此一旦密钥落入攻击者的手中将是非常危险的。一旦未经授权的人得知了密钥,就会危及基于该密钥所涉及的信息的安全性.在对称密钥加密中，加密函数为，其输入为密钥K和明文M，输出为密文C，即：o使用解密函数和相应的密钥对密文进行解密，从而显示原始的明文信息，即：o其过程如下图所示对称密码学加密：加密：EK（M）=C解密：解密：DK（C）=M 等效于等效于 DK（EK（M）=M数学变换数学变换函数函数密钥密钥K明文明

4、文密文密文数学变换数学变换函数函数密钥密钥K明文明文密文密文对称密码学网络网络信息信息M M对称密码算法对称密码算法密钥密钥K K密文密文C C用户用户A A对称密码算法对称密码算法密文密文C C用户用户B B信息信息M M密钥密钥K K对称密码有一些很好的特性,如运行占用空间小,加、解密速度快,但它们在某些情况下也有明显示的缺陷,这些缺点如下:1.如何进行密钥交换2.密钥管理困难对称密码算法有两种基本类型:分组密码和序列密码.分组密码算法是在明文分组和密文分组上进行运算，现在常用的分组长度为64位.分组密码也有很多种不同的实现方法.13.1加密技术原理及典型算法加密技术原理及典型算法密码算法

5、可以分为分组密码算法和序列密码算法。分组密码算法为对相同的明文用相同的密钥加密永远得到相同的密文。序列密码算法则对明文和密文数据流按位或字节上进行运算.以下为对称加密的几种典型算法：13.1加密技术原理及典型算法加密技术原理及典型算法（1）DES算法数据加密算法(DataEncryptionAlgorithm,DEA)的数据加密标准(DataEncryptionStandard,DES)是由IBM在20世纪70年代发展起来的,并经过政府的加密标准筛选后,于1976年11月被美国政府采用,DES随后被美国国家标准局和美国国家标准协会(AmericanNationalStandardInstitu

6、te,ANSI)承认.最初开发的DES是嵌入硬件中的,通常自动取款机(AutomatedTellerMachine,ATM)都使用DES.13.1加密技术原理及典型算法加密技术原理及典型算法13.1加密技术原理及典型算法加密技术原理及典型算法攻击DES的主要形式是穷举攻击,即重复尝试各种密钥直到有一个符合为止.DES的另外两种最重要的密码攻击是差分密码分析和线性密码分析。其中，线性攻击更有效。目前DES算法可以在很短的时间内被破译,基本上已经过时。（2）高级加密标准（AES）NIST(美国国家标准技术研究所)在1997年1月2日正式宣布了NIST计划,该计划公开征集和评估新的数据加密候选标准(

7、新的标准称之为AES)。13.1加密技术原理及典型算法加密技术原理及典型算法（2）高级加密标准（AES）新规则AES密码算法的基本要求是:必须(至少)支持128bits分组加密,支持128/192/256bits密钥(对于128bits密钥,约有3.41038个可能的密钥),比三重DES快、至少与三重DES一样安全。NIST的评判规则大体可分为三大部分：安全性、代价、算法实现特性。13.1加密技术原理及典型算法加密技术原理及典型算法2000年10月2日,NIST宣布获胜者为一个称之为Rijndael的算法,它的开发者是比利时密码专家VincentRimen和JoanDaemen。Rijndae

8、l的原形是Square密码算法。它的设计策略是宽轨迹策略(这种策略是针对差分/线性分析提出的)。Rijndael是一个迭代分组密码,其数据分组与密钥长度都是可变的。但为满足AES的要求,分组长度为128bits,密钥长度为128/192/256bits,相应的轮数为10/12/14。13.1加密技术原理及典型算法加密技术原理及典型算法公开密钥加密技术是密码学方面的一个巨大进步，它需要使用一对密钥分别来完成加密和解密操作。这两个密钥相互关联，却又截然不同，知道其中的一个密钥并不能推导或计算出另一个密钥（在运算上是不可能的）。因此，可以将一个密钥完全公开，而将另一个密钥由用户自己秘密保存。信息发送

9、者使用公开的密钥进行加密，而信息接受者则使用自己保存的私有密钥解密。公开密钥加密技术解决了密钥的管理和发布问题，每个用户都可以把自己的公开密钥进行公开，如发布到一个公钥数据库中。13.1.2公开密钥加密13.1.2公开密钥加密o在非对称密钥加密中，加密函数为，其输入为密钥K1和明文M，输出为密文C，即：o使用解密函数和相应的密钥K2对密文进行解密，从而显示原始的明文信息，即：o其过程如下图所示公钥密码学加密：加密：EK1（M）=C解密：解密：DK2（C）=M 等效于等效于 DK2（EK1（M）=M数学变换数学变换函数函数密钥密钥K1明文明文密文密文数学变换数学变换函数函数密钥密钥K2明文明文密

10、文密文公钥密码学网络网络信息信息M M非对码密钥算法非对码密钥算法B B公钥公钥密文密文C C用户用户B B用户用户A A非对称非对称密码算法密码算法密文密文C C信息信息M MB B私钥私钥A要发送机密消息给B，首先她从公钥数据库中查询到B的公开密钥，然后利用B的公开密钥和算法对数据进行加密操作，把得到的密文信息传送给B；B在收到密文以后，用自己保存的私钥对信息进行解密运算，得到原始数据。13.1.2公开密钥加密常用的公开密钥算法有RSA、ECC等。RSA公开密钥密码系统是由R.Rivest、A.Shamir和L.Adleman于1977年提出的。RSA的取名就是来自于这三位发明者的姓的第一

11、个字母。RSA公开密钥密码体制的安全性取决于从公开密钥(n,e)计算出秘密密钥(n,d)的困难程度,而后者则等同于从n找出它的两个质因数p和q。因此,寻求有效的因数分解的算法就是寻求一把锐利的矛,来击穿RSA公开密钥密码系统这个盾。13.1.2公开密钥加密椭圆曲线密码系统（EllipticCurveCryptosystem）实际上是将原有的加密算法通过某些运算移植到椭圆曲线上。该体制既可以实现密钥交换协议和公钥加密，也可以实现数字签名。13.1.1对称密钥密码对称密钥密码对称密码算法，加/解密速度快，但密钥分发问题严重；非对称密码算法，加/解密速度较慢，但密钥分发问题易于解决。为解决每次传送更

12、换密钥的问题，结合对称加密技术和非对称密钥加密技术的优点，产生了电子信封技术，用来传输数据。13.1.3电子信封技术电子信封技术的原理：用户A需要发送信息给用户B时，用户A首先生成一个对称密钥，用这个对称密钥加密要发送的信息，然后用用户B的公开密钥加密这个对称密钥，用户A将加密的信息连同用用户B的公钥加密后的对称密钥一起传送给用户B。用户B首先使用自己的私钥解密被加密的对称密钥，再用该对称密钥解密出信息。13.1.3电子信封技术图13-3 电子信封技术的原理13.2Hash函数原理和典型算法o13.2.1Hash函数概述o13.2.2Hash算法的分类13.2.1Hash函数概述Hash函数也

13、称为消息摘要（MessageDigest），其输入为一可变长度x，返回一固定长度串，该串被称为输入X的Hash值（消息摘要）。Hash函数一般满足以下几个基本需求：o（1）输入X可以为任意长度；o（2）输出数据长度固定；o（3）容易计算，给定任何X，容易计算出X的Hash值H(x)；o（4）单向函数：即给出一个Hash值，很难反向计算出原始输入；（5）唯一性：即难以找到两个不同的输入会得到相同的Hash输出值（在计算上是不可行的）。Hash值的长度由算法的类型决定，与被Hash的消息大小无关，一般为128或者160位。即使两个消息的差别很小，如仅差别一两位，其Hash运算的结果也会截然不同，用

14、同一个算法对某一消息进行Hash运算只能获得惟一确定的Hash值。常用的单向Hash算法有MD5、SHAl等。13.2.1Hash函数概述（1）MD算法MD算法(MessageDigestAlgorithm,信息摘要算法)是由Rivest从20世纪80年代末起所开发的系列散列算法的合称,历称MD2、MD3、MD4和发展到现在的MD5。1991年,Rivest开发出技术上更为趋近成熟的MD5算法.它在MD4的基础上增加了”SafetyBelts”的概念.虽然MD5比MD4稍微慢一些,但却更为安全.对MD5算法简要的叙述可以为MD5以512位分组来处理输入的信息,且每一分组又被划分为16个32位子

15、分组,经过了一系列的处理后,算法的输出由四个32位分组组成,将这四个32位分组级联后将生成一个128位散列值.13.2.2Hash算法的分类（2）SHA算法SHA(SecureHashAlgorithm,安全散列算法)由美国国家标准和技术协会(NationalInstitureofStandardsandTechnology,NIST)开发,SHA1是NIST于1994年发布的SHA算法的修订版.该算法起初是针对DSA算法而设计的,但也可以用于RSA算法和其他的公钥签名算法.其设计原理与RonRivest提出的MD2、MD4,尤其是MD5散列函数的设计原理类似.目前的计算能力表明:SHA116

16、0位的散列值虽然执行较慢,但已经能够提供足够的中等期限的安全.目前正在研制的SHA1有更长的散列值,可用于提供更长期限的安全.和MD5比较,它的输出是160位,速度稍慢一些,但是安全性要好一些.13.2.1Hash函数概述（3）HMAC算法HMAC(HashedMessageAuthenticationCode,散列信息验证码)是利用对称密钥和现有的单向函数生成信息验证码的一种散列算法,可以提供数据的完整情和验证.首先,它对数据包使用带密钥的散列算法,产生一个接收方可以进行验证的数字签名.如果信息在传输的过程中被改变,那么散列值必然与原来的数字签名有所不同,于是接收方把这个IP数据包丢弃.HM

17、AC有不同的具体散列实现算法,它们产生不同长度的数字签名,分别对应不同级别的安全要求.13.2.1Hash函数概述13.3 数字签名数字签名数字签名是在公钥密码体制下很容易获得的一种服务，它的机制与手写签名类似：单个实体在数据上签名，而其他的实体能够读取这个签名并能验证其正确性。数字签名从根本上说是依赖于公私密钥对的概念，可以把数字签名看作是在数据上进行的私钥加密操作。如果Alice是淮一知道这个私钥的实体，很明显她就是惟一能签署该数据的实体，另一方面，任何实体（只要能够获得Alice相应的公钥）都能在数据签名上用公开密钥作一次解密操作，验证这个签名的结果是否有效。13.3数字签名o13.3.

18、1数字签名的实现方法o13.3.2数字签名的特性和功能o13.3.3常用数字签名体制要签名的数据大小是任意的，而一个私钥操作却有着固定大小的输入和输出，要解决这个问题，可以使用单向Hash函数。这时，数字签名就不是对原始数据进行签名，而只是对数据的Hash运算结果进行签名，数字签名的过程为（1）发送方产生文件的单向Hash值：（2）发送方用他的私钥对Hash值加密，凭此表示对文件签名；13.3.1数字签名的实现方法（3）发送方将文件和Hash签名送给接受方；（4）接受方用发送方发送的文件产生文件的单向Hash值，同时用发送方的公钥对签名的Hash值解密。如果签名的Hash值与自己产生的Hash

19、值匹配，签名就是有效的。13.3.1数字签名的实现方法图 13-4 数字签名与验证过程示意图数字签名除了具有普通手写签名的特点和功能外,还具有自己独特的特性和功能.(1)数字签名的特性o签名是可信的：任何人都可以方便地验证签名的有效性。o签名是不可伪造的：除了合法的签名者之外,任何其它人伪造其签名是困难的.这种困难性指实现时计算上是不可行的。13.3.2数字签名的特性和功能o签名是不可复制的：对一个消息的签名不能通过复制变为另一个消息的签名.如果一个消息的签名是从别处复制的,则任何人都可发现消息与签名的不一致性,从而可以拒绝签名的消息。o签名的消息是不可改变的：经签名的消息不能被篡改.一旦消息

20、的签名被篡改,则任何人都可以发现消息与签名之间的不一致性.o签名是不可抵赖的:签名者不能否认自己的签名。13.3.2数字签名的特性和功能(2)数字签名技术的功能数字签名可以解决否认、伪造、篡改及冒充等问题,具体要求为：o发送者事后不能否认发送的报文签名；o接收者能够核实发送者发送的报文签名、接收者不能伪造发送者的报文签名、接收者不能对发送者的报文进行部分篡改；o网络中的某一用户不能冒充另一用户做为发送者或接收者。13.3.2数字签名的特性和功能用非对称加密算法实现的数字签名技术最常用的是DSS和RSA签名,下面分别做简单介绍.（1）RSA签名RSA是最流行的一种加密标准,许多产品的内核中都有R

21、SA的软件和类库,早在Web悄速发展之前,RSA数据安全公司就负责数字签别名拖放功能,用户只要把需要加密的数据拖到相应的图标上,就完成了电子形式的数字签别名.RSA与Microsoft、IBM、Sun和Digital都签订了许可协议,使在其生产线上加入了类似的签名特性.与DSS不同,RSA既可用来加密数据,也要以用于身份认证.和Hash签名相比,在公钥系统中,由于生成签名的密钥只存储于用户的计算机中,安全系数就大一些。13.3.3常用数字签名体制（2）DSS签名DigitalSignatureAlgorithm(DSA)是Schnorr和ElGamal签名算法的变种,被美国NIST作为DSS(

22、DigitalSignatureStandard)数字签名标准。DSS是由美国国家标准化研究院和国家安全局共同开发的.由于它是由美国政府颁布布实施的,主要用于与美国政府做生意的公司,其他公司则较少使用,它只是一个签名系统,而且美国政府不提倡使用任何削弱政府窃听能力的加密软件,认为这才符合美国的国家利益。13.3.3常用数字签名体制13.4 身份认证技术身份认证技术身份认证理论是一门新兴的理论，是现代密码学发展的重要分支。在一个安全系统设计中，身份认证是第一道关卡，用户在访问所有系统之前，首先应该经过身份认证系统识别身份，然后由安全系统根据用户的身份和授权数据库决定用户是否能够访问某个资源。身份

23、认证理论是一门新兴的理论，是现代密码学发展的重要分支。在一个安全系统设计中，身份认证是第一道关卡，用户在访问所有系统之前，首先应该经过身份认证系统识别身份，然后由安全系统根据用户的身份和授权数据库决定用户是否能够访问某个资源。在真实世界中，验证一个人的身份主要通过三种方式判定，一是根据你所知道的信息来证明你的身份（whatyouknow），假设某些信息只有某个人知道，比如暗号等，通过询问这个信息就可以确认这个人的身份；二是根据你所拥有的东西来证明你的身份(whatyouhave)，假设某一个东西只有某个人有，比如印章等，通过出示这个东西也可以确认个人的身份；三是直接根据你独一无二的身体特征来证

24、明你的身份(whoyouare)，比如指纹、面貌等。13.4 身份认证技术身份认证技术在网络环境下根据被认证方赖以证明身份秘密的不同，身份认证可以基于如下一个或几个因子：o双方共享的数据，如口令；o被认证方拥有的外部物理实体，如智能安全存储介质；o被认证方所特有的生物特征，如指纹、语音、虹膜、面相等。在实际使用中，可以结合使用两种或三种身份认证因子。13.4 身份认证技术身份认证技术13.4 身份认证技术身份认证技术o13.4.1身份认证系统的分类o13.4.2基于口令的认证技术o13.4.3双因子身份认证技术o13.4.4生物特征认证技术可以按以下方式对身份认证系统进行分类：（1）条件安全认

25、证系统与无条件安全认证系统无条件安全性又称理论安全性，它与敌方的计算能力和拥有的资源无关，即敌方破译认证系统所作的任何努力都不会比随机选择碰运气更优。条件安全性又称实际安全性，即认证系统的安全性是根据破译该系统所需的计算量来评价的，如果破译一个系统在理论上是可行的，但依赖现有的计算工具和计算资源不可能完成所要求的计算量，称之为在计算上是安全的。13.4.1身份认证系统的分类（2）有保密功能的认证系统与无保密功能的认证系统前者能够同时提供认证和保密两种功能，一般采用多种加密技术，而且也涉及多种密钥，而后者则只是纯粹的认证系统，不提供数据加密传输功能。13.4.1身份认证系统的分类（3）有仲裁认证

26、系统与无仲裁认证系统传统的认证系统只考虑了通信双方互相信任，共同抵御敌方的主动攻击的情形，此时系统中只有参与通信的发方和接收方及发起攻击的敌方，而不需要裁决方。因此，称之为无仲裁人的认证系统。但在现实生活中，常常遇到的情形是通信双方并不互相信任，比如，发信方发送了一个消息后，否认曾发送过该消息；或者收信方接收到发方发送的消息后，否认曾接收到该消息或宣称接收到了自己伪造的不同于接收到的消息的另一个消息。一旦这种情况发生，就需要一个仲裁方来解决争端。这就是有仲裁人认证系统的含义。有仲裁人认证系统又可分为单个仲裁人认证系统和多仲裁人认证系统。13.4.1身份认证系统的分类目前常用的身份识别技术可以分

27、为两大类：一类是基于密码技术的各种电子ID身份识别技术；另一类是基于生物特征识别的识别技术。以下分别介绍第一类中的口令认证技术、PKI技术等及第二类中的生物特征认证。PKI技术在现阶段网络认证技术中的应用最为广泛。13.4.1身份认证系统的分类较早的认证技术主要采用基于口令的认证方法。当被认证对象要求访问提供服务的系统时，提供服务的认证方要求被认证对象提交口令信息，认证方收到口令后，将其与系统中存储的用户口令进行比较，以确认被认证对象是否为合法访问者。这种认证方式叫做PAP(PasswordAuthenticationProtocol)认证。PAP协议仅在连接建立阶段进行，在数据传输阶段不进行

28、PAP认证。这种认证方法的优点在于：一般的系统如UNIX、WindowsNT、NetWare等都提供了对口令认证的支持，对于封闭的小型系统来说不失为一种简单可行的方法。13.4.2基于口令的认证技术然而，基于口令的认证方法明显存在以下几点不足：1.以明文方式输入口令，很容易被内存中运行的黑客软件记录下来而泄密；2.口令在传输过程中可能被截获；3.窃取口令者可以使用字典穷举口令或者直接猜测口令；13.4.2基于口令的认证技术4.攻击者可以利用服务系统中存在的漏洞获取用户口令；5.口令的发放和修改过程都涉及到很多安全性问题；6.低安全级别系统口令很容易被攻击者获得，从而用来对高安全级别系统进行攻击

29、；7.只能进行单向认证，即系统可以认证用户，而用户无法对系统进行认证。13.4.2基于口令的认证技术现在较为先进的身份认证系统都溶入了双因子等先进技术，即用户知道什么和用户拥有什么。据预测，双因子身份认证系统将成为网络信息安全市场新一轮焦点和新的趋势。所谓双因子认证(twofactorauthentication)，其中一个因子是只有用户本身知道的密码，它可以是个默记的个人认证号(PIN)或口令；另一个因子是只有该用户拥有的外部物理实体智能安全存储介质。13.4.3双因子身份认证技术现实生活中有很多双因子的应用。例如，使用银行卡在ATM机上取款时，取款人必须具备两个条件：一张银行卡(硬件部分)

30、和密码(软件部分)。ATM机上运行着一个应用系统，此系统要求两部分(银行卡、密码)同时正确的时候才能得到授权使用。由于这两部分一软一硬，他人即使得到密码，因为没有硬件而不能使用；或者得到硬件，因为没有密码还是无法使用。这样弥补了“用户名口令”之类的纯软认证容易泄漏的缺点。13.4.3双因子身份认证技术与软盘、光盘等传统存储介质不同，智能安全存储介质都有MasterKey和PIN口令保护及完善的信息加密、管理功能，非常适合作为安全身份认证应用秘密信息的载体：o存储的信息无法复制；o具有双重口令保护机制和完备的文件系统管理功能。o另外，某些智能安全存储介质还允许设置PIN猜测的最大值，以防止口令攻

31、击。如果使用USBToken作为信息载体，则无须专门的读卡器，使用简单方便，而且非常轻巧，容易携带。13.4.3双因子身份认证技术双因子认证比基于口令的认证方法增加了一个认证要素，攻击者仅仅获取了用户口令或者仅仅拿到了用户的令牌访问设备，都无法通过系统的认证。因此，这种方法比基于口令的认证方法具有更好的安全性，在一定程度上解决了口令认证方法中的很多问题。13.4.3双因子身份认证技术这种认证方式以人体惟一的、可靠的、稳定的生物特征为依据，采用计算机的强大功能和网络技术进行图像处理和模式识别，具有更好的安全性、可靠性和有效性。用于生物识别的生物特征有手形、指纹、脸形、虹膜、视网膜、脉搏、耳廓等，

32、行为特征有签字、声音、按键力度等。13.4.4生物特征认证技术图 14-6生物特征认证系统结构图模板数据库中存放了所有被认证方的生物特征数据，生物特征数据由特征录入设备预处理完成。以掌纹认证为例，当用户登录系统时，首先必须将其掌纹数据由传感器采集量化，通过特征提取模块提取特征码，再与模板数据库中存放的掌纹特征数据以某种算法进行比较，如果相符则通过认证，允许用户使用应用系统。13.4.4生物特征认证技术13.5 PKI与与PMI认证技术认证技术o13.5.1PKI原理o13.5.2数字证书和证书撤销列表o13.5.3PKI系统的功能o13.5.4PKI系统的组成o13.5.5PKI相关标准o13

33、.4.6常用信任模型o13.4.7基于PKI的服务o13.4.8PKI的应用o13.4.9PKI与PMI的关系o13.4.10属性证书和结构模型13.5.1PKI原理PKI（PublicKeyInfrastructure,公钥基础设施）是一个采用非对称密码算法原理和技术来实现并提供安全服务的、具有通用性的安全基础设施，PKI技术采用证书管理公钥，通过第三方的可信任机构认证中心CA（CertificateAuthority），把用户的公钥和用户的其他标识信息（如名称、Email、身份证号等）捆绑在一起，在Internet上验证用户的身份（其中认证机构CA是PKI系统的核心部分），提供安全可靠的信

34、息处理。目前，通用的办法是采用建立在PKI基础之上的数字证书，通过把要传输的数字信息进行加密和签名，保证信息传输的机密性、真实性、完整性和不可否认性，从而保证信息的安全传输。PKI技术是公开密钥密码学完整的、标准化的、成熟的工程框架。它基于并且不断吸收公开密钥密码学丰硕的研究成果，按照软件工程的方法，采用成熟的各种算法和协议，遵循国际标准和RFC文档，如PKCS、SSL、X.509、LDAP，完整地提供网络和信息系统安全的解决方案。13.5.1PKI原理（一）X.509数字证书证书证明了实体所声明的身份和其公钥绑定关系的一种电子文档，是将公钥和确定属于它的某些信息（比如该密钥对持有者的姓名、电

35、子邮件或者密钥对的有效期等信息）相绑定的数字申明。数字证书由CA认证机构颁发。认证中心所颁发的数字证书均遵循X.509V3标准。数字证书的格式在ITU标准和X.509V3(RFC2459)里定义。X.509证书的结构如下图所示，其中证书和基本信息采用X.500的可辨别名DN来标记，它是一个复合域，通过一个子组件来定义。13.5.2数字证书和证书撤销列表X.509证书结构13.5.2数字证书和证书撤销列表X.509证书包括下面的一些数据：o版本号：该域定义了证书的版本号，这将最终影响证书中包含的信息的类型和格式，目前版本4已颁布，但在实际使用过程版本3还是占据主流。o序列号：序列号是赋予证书的唯

36、一整数值。它用于将本证书与同一CA颁发的其他证书区别开来。13.5.2数字证书和证书撤销列表o签名算法标识：该域中含有CA签发证书所使用的数字签名算法的算法标识符，如SHA1WithRSA。有CA的签名，便可保证证书拥有者身份的真实性，而且CA也不能否认其签名。o颁发者X500名称：这是必选项，该域含有签发证书实体的唯一名称（DN），命名必须符合X.500格式，通常为某个CA。13.5.2数字证书和证书撤销列表o证书有效期：证书仅仅在一个有限的时间段内有效。证书的有效期就是该证书的有效的时间段，该域表示两个日期的序列：证书的有效开始日期（notBefore），以及证书有效期结束的日期（notA

37、fter）。o证书持有者X500名称：必选项，证书拥有者的可识别名称，命名规则也采用X.500格式。o证书持有者公钥：主体的公钥和它的算法标识符，这一项是必选的。13.5.2数字证书和证书撤销列表o证书颁发者唯一标识号：这是一个可选域。它含有颁发者的唯一标识符。o证书持有者唯一标识号：证书拥有者的唯一标识符，也是可选项。o证书扩展部份：证书扩展部份是V3版本在RFC2459中定义的。可供选择的标准和扩展包括证书颁发者的密钥标识、证书持有者密钥标识符、公钥用途、CRL发布点、证书策略、证书持有者别名、证书颁发者别名和主体目录属性等。13.5.2数字证书和证书撤销列表（二）证书撤销列表在CA系统中

38、，由于密钥泄密、从属变更、证书终止使用以及CA本身私钥泄密等原因，需要对原来签发的证书进行撤销。X.509定义了证书的基本撤销方法：由CA周期性的发布一个CRL(CertificateRevocationList)，即证书撤销列表，里面列出了所有未到期却被撤销的证书，终端实体通过LDAP的方式下载查询CRL。CRL格式如下图所示：13.5.2数字证书和证书撤销列表CRL格式13.5.2数字证书和证书撤销列表CA将某个证书撤销后，应使得系统内的用户尽可能及时地获知最新的情况，这对于维护PKI系统的可信性至关重要。所以CA如何发布CRL的机制是PKI系统中的一个重要问题。发布CRL的机制主要有以下

39、几种：定期发布CRL的模式、分时发布CRL的模式、分时分段的CRL的模式、DeltaCRL的发布模式。13.5.2数字证书和证书撤销列表在一个完整的PKI系统对对于数字证书的操作通常包括证书颁发、证书更新、证书废除、证书和CRL的公布、证书状态的在线查询、证书认证等。13.5.3PKI系统的功能(1)证书颁发申请者在CA的注册机构（RA）进行注册，申请证书。CA对申请者进行审核，审核通过则生成证书，颁发给申请者。证书的申请可采取在线申请和亲自到RA申请两种方式。证书的颁发也可采取两种方式，一是在线直接从CA下载，一是CA将证书制作成介质（磁盘或IC卡）后，由申请者带走。13.5.3PKI系统的

40、功能(2)证书更新当证书持有者的证书过期，证书被窃取，丢失时通过更新证书方法，使其使用新的证书继续参与网上认证。证书的更新包括证书的更换和证书的延期两种情况。证书的更换实际上是重新颁发证书。因此证书的更换的过程和证书的申请流程基本情况一致。而证书的延期只是将证书有效期延长，其签名和加密信息的公私密钥没有改变。13.5.3PKI系统的功能(3)证书废除证书持有者可以向CA申请废除证书。CA通过认证核实，即可履行废除证书职责，通知有关组织和个人，并写入黑名单CRL（CertificateRevocationList）。有些人（如证书持有者的上级或老板）也可申请废除证书持有者的证书。13.5.3PK

41、I系统的功能(4)证书和CRL的公布CA通过LDAP（LightweightDirectoryAcessProtocol）服务器维护用户证书和黑名单（CRL）。它向用户提供目录浏览服务，负责将新签发的证书或废除的证书加入到LDAP服务器上。这样用户通过访问LDAP服务器就能够得到他人的数字证书或能够访问黑名单。13.5.3PKI系统的功能(5)证书状态的在线查询通常CRL签发为一日一次，CRL的状态同当前证书状态有一定的滞后，证书状态的在线查询向OCSP（OnlineCertificateStatusProtocol）服务器发送OCSP查询包，包含有待验证证书的序列号，验证时戳。OCSP服务器

42、返回证书的当前状态并对返回结果加以签名。在线证书状态查询比CRL更具有时效性。13.5.3PKI系统的功能(6)证书认证在进行网上交易双方的身份认证时，交易双方互相提供自己的证书和数字签名，由CA来对证书进行有效性和真实性的认证。在实际中，一个CA很难得到所有用户的信任并接受它所发行的所有公钥用户的证书，而且这个CA也很难对有关的所有潜在注册用户有足够全面的了解，这就需要多个CA。在多个CA系统中，令由特定CA发放证书的所有用户组成一个域。若一个持有由特定CA发证的公钥用户要与由另一个CA发放公钥证书的用户进行安全通信，需要解决跨域的公钥安全认证和递送。建立一个可信任的证书链或证书通路。高层C

43、A称做根CA，它向低层CA发放公钥证书。13.5.3PKI系统的功能PKI公钥基础设施是提供公钥加密和数字签名服务的系统或平台，目的是为了管理密钥和证书。一个机构通过采用PKI框架管理密钥和证书可以建立一个安全的网络环境。PKI主要包括四个部份：X.509格式的证书和证书撤销列表CRL；CA/RA操作协议；CA管理协议；CA政策制定。一个典型、完整、有效的PKI应用系统至少包括以下部份：13.5.4PKI系统的组成o认证机构（CA，CertificateAuthority）：证书的签发机构，它是PKI的核心，是PKI应用中权威的、可信任的、公正的第三方机构。认证机构是一个实体，它有权利签发并撤

44、销证书，对证书的真实性负责。在整个系统中，CA由比它高一级的CA控制。13.5.4PKI系统的组成o注册机构（RA，RegistrationAuthority）：RA的用途是接受个人申请，核查其中信息并颁发证书。然而，在许多情况下，把证书的分发与签名过程分开是很有好处的。因为签名过程需要使用CA的签名私钥（私钥只有在离线状态下才能安全使用），但分发的过程要求在线进行。所以，PKI一般使用注册机构（RA）去实现整个过程。13.5.4PKI系统的组成o证书目录：用户可以把证书存放在共享目录中，而不需要在本地硬盘里保存证书。因为证书具有自我核实功能，所以这些目录不一定需要时刻被验证。万一目录被破坏，

45、通过使用CA的证书链功能，证书还能恢复其有效性。13.5.4PKI系统的组成o管理协议：该协议用于管理证书的注册、生效、发布和撤销。PKI管理协议包括：证书管理协议（PKIXCMP，CertificateManagementProtocol）；信息格式，如证书管理信息格式（CMMF，CertificateManagementMessageFormat）；PKCS#10。13.5.4PKI系统的组成o操作协议：操作协议允许用户找回并修改证书，对目录或其他用户的证书撤销列表CRL进行修改。在大多数情况下，操作协议与现有协议（如FTP、HTTP、LDAP和邮件协议等）共同工作。13.5.4PKI系统

46、的组成o个人安全环境：在这个环境下，用户个人的私人信息（如私钥或协议使用的缓存）被妥善保存和保护。一个实体的私钥对于所有公钥而言是保密的。为了保护私钥，客户软件要限制对个人安全环境的访问。13.5.4PKI系统的组成在PKI技术框架中，许多方面都经过严格的定义，如用户的注册流程、数字证书的格式、CRL的格式、证书的申请格式以及数字签名格式等。国际电信联盟ITUX.509协议：是PKI技术体系中应用最为广泛、也是最为基础的一个国际标准。在X.509规范中，一个用户有两把密钥：一把是用户的专用密钥，另一把是其他用户都可利用的公共密钥。为进行身份认证，X.509标准及公共密钥加密系统提供了数字签名方

47、案。13.5.5PKI相关标准PKCS（PublicKeyCryptographyStandard）系列标准：PKCS是由美国RSA数据安全公司及其合作伙伴制定的一组公钥密码学标准，它在OSI的基础之上定义了公钥加密技术的应用标准和细节，同时制定了基于公开密钥技术的身份认证及数字签名的相关标准。其中包括证书申请、证书更新、CRL发布、扩展证书内容以及数字签名、数字信封的格式等方面的一系列相关协议。13.5.5PKI相关标准PKIX（PublicKeyInfrastructureforX.509）系列标准：PKIX是由IETF国际工作组制定的基于X.509的PKI应用系列标准，它主要定义了与数字

48、证书应用相关的标准和协议及基于X.509和PKCS的PKI模型框架。PKIX中定义的四个主要模型为用户、认证机构CA、注册机构RA和证书存取库。这些标准是由各大商家的组织提交的，是基于安全系统之间的互操作的理想化标准案。但PKIX大部分定义的是PKI的应用方案，缺乏统一的安全接口的抽象工作。13.5.5PKI相关标准目前世界上已经出现了许多依赖于PKI的安全标准，即PKI的应用标准，如安全的套接层协议SSL、传输层安全协议TLS、安全的多用途互连网邮件扩展协议S/MIME和IP安全协议IPSEC等。13.5.5PKI相关标准S/MIME是一个用于发送安全报文的IETF标准。它采用了PKI数字签

49、名技术并支持消息和附件的加密，无须收发双方共享相同密钥。S/MIME委员会采用PKI技术标准来实现S/MIME，并适当扩展了PKI的功能。目前该标准包括密码报文语法、报文规范、证书处理以及证书申请语法等方面的内容。13.5.5PKI相关标准SSL/TLS是互联网中访问WEB服务器最重要的安全协议。当然，他们也可以应用于基于客户机/服务器模型的非WEB类型的应用系统。SSL/TLS都利用PKI的数字证书来认证客户和服务器的身份。IPSEC是IETF制定的IP层加密协议，PKI技术为其提供了加密和认证过程的密钥管理功能。IPSEC主要用于开发新一代的VPN。另外，随着PKI的进一步发展，新的标准也

50、在不断的增加和更新。13.5.5PKI相关标准信任模型提供了建立和管理信任的框架，是PKI系统整个网络结构的基础。基于X.509证书的信任模型主要有以下几种：o通用层次结构：在这个模型中考虑了两类认证机构：一个子CA向最终实体（用户、网络服务器、应用程序代码段等）颁发证书；中介CA对子CA或其他中介CA颁发证书。通用层次信任模型允许双向信任关系，证书用户可以选择自己觉得合适的信任锚。13.5.6常用信任模型o下属层次信任模型：下属层次信任模型是通用层次模型的一个子集，其根CA被任命为所有最终用户的公共信任锚。根据定义，它是最可信的证书权威，所有其它信任关系都起源于它。它单向证明了下一层下属CA