4.5密碼應用(pki-密鑰管理)-信息安全

1、1,密碼基礎——密碼應用,PKI、密鑰管理,信息安全（模塊4－密碼基礎）,2,第一部分 PKI,1 數字證書2 PKI系統(tǒng)3 基于PKI的服務,3,什么是PKI,PKI（Public Key Infrastructure, 公鑰基礎設施）：采用非對稱密碼算法原理和技術來實現(xiàn)并提供安全服務的、具有通用性的安全基礎設施PKI技術可以讓人們隨時隨地方便地同任何人秘密通信PKI技術是公鑰密碼學完整的、標準化的、成熟的工程框架,4,什么

2、是PKI,PKI技術：采用證書管理公鑰，通過第三方的可信任機構——認證中心（Certificate Authority, CA）——把用戶的公鑰和用戶的標識信息捆綁在一起，在Internet上驗證用戶的身份，提供安全可靠的信息處理通用的辦法是采用建立在PKI基礎之上的數字證書，通過把要傳輸的數字信息進行加密和簽名，保證信息傳輸的機密性、真實性、完整性和不可否認性，從而保證信息的安全傳輸。,5,1 數字證書,本節(jié)提示：1.1 X.50

3、9數字證書1.2 證書撤銷列表,6,1.1 X.509數字證書,數字證書：是將公鑰和確定屬于它的某些信息（比如該密鑰對持有者的姓名、電子郵件或者密鑰對的有效期等信息）相綁定的數字聲明數字證書由CA認證機構頒發(fā)。認證中心所頒發(fā)的數字證書均遵循X.509 V3標準。,7,X.509證書結構,8,X.509證書包含內容,版本號：證書的版本號，這將最終影響證書中包含的信息的類型和格式，目前版本4已頒布，但在實際使用過程版本3還是占據主流。

4、序列號：序列號是賦予證書的唯一整數值。它用于將本證書與同一CA頒發(fā)的其他證書區(qū)別開來。簽名算法標識：含有CA簽發(fā)證書所使用的數字簽名算法的算法標識符，如SHA1WithRSA。有CA的簽名，便可保證證書擁有者身份的真實性，而且CA也不能否認其簽名。頒發(fā)者名稱：這是必選項，該域含有簽發(fā)證書實體的唯一名稱（DN），通常為某個CA。,9,X.509證書包含內容（續(xù)）,證書有效期：證書僅僅在一個有限的時間段內有效。用兩個日期序列表示：證書的

5、有效開始日期，證書有效期結束日期證書持有者名稱：必選項，證書擁有者的可識別名稱證書持有者公鑰：主體的公鑰和它的算法標識符，必選項證書頒發(fā)者唯一標識號：這是一個可選域。它含有頒發(fā)者的唯一標識符。證書持有者唯一標識號：證書擁有者的唯一標識符，可選項。證書擴展部份：證書擴展部份是V3版本定義的?？晒┻x擇的標準和擴展包括證書頒發(fā)者的密鑰標識、證書持有者密鑰標識符、公鑰用途、CRL發(fā)布點、證書策略、證書持有者別名、證書頒發(fā)者別名和主體目

6、錄屬性等。,10,1.2 證書撤銷列表,在CA系統(tǒng)中，由于密鑰泄密、從屬變更、證書終止使用以及CA本身私鑰泄密等原因，需要對原來簽發(fā)的證書進行撤銷X.509定義了證書的基本撤銷方法：由CA周期性的發(fā)布一個CRL (Certificate Revocation List)，即證書撤銷列表，里面列出了所有未到期卻被撤銷的證書，終端實體通過LDAP （Lightweight Directory Access Protocol）的方式下載查詢

7、CRL。,11,證書撤銷列表,CA將某個證書撤銷后，應使得系統(tǒng)內的用戶盡可能及時地獲知最新的情況發(fā)布CRL的機制主要有以下幾種：定期發(fā)布CRL的模式、分時發(fā)布CRL的模式、分時分段的CRL的模式、Delta-CRL的發(fā)布模式。,12,2 PKI系統(tǒng),本節(jié)提示2.1 PKI系統(tǒng)的功能2.2 PKI系統(tǒng)的組成,13,2.1 PKI系統(tǒng)的功能,證書頒發(fā)證書更新證書廢除證書和CRL的公布證書狀態(tài)的在線查詢證書認證,14,2.1

8、 PKI系統(tǒng)的功能,(1) 證書頒發(fā)申請者在CA的注冊機構（RA）進行注冊，申請證書。CA對申請者進行審核，審核通過則生成證書，頒發(fā)給申請者。(2) 證書更新證書的更新包括證書的更換和證書的延期兩種情況。證書的更換實際上是重新頒發(fā)證書，因此證書的更換的過程和證書的申請流程基本情況一致。證書的延期只是將證書有效期延長，其簽名和加密信息的公私密鑰沒有改變。(3) 證書廢除證書持有者可以向CA申請廢除證書。CA通過認證核實，即可

9、履行廢除證書職責，通知有關組織和個人，并寫入證書撤銷列表CRL,15,2.1 PKI系統(tǒng)的功能,(4) 證書和CRL的公布CA通過LDAP服務器維護用戶證書和證書撤銷列表（CRL）。用戶通過訪問LDAP服務器就能夠得到他人的數字證書或證書撤銷列表。(5) 證書狀態(tài)的在線查詢通常CRL簽發(fā)為一日一次，CRL的狀態(tài)同當前證書狀態(tài)有一定的滯后。證書狀態(tài)的在線查詢向OCSP（Online Certificate Status Proto

10、col）服務器發(fā)送查詢包，包含有待驗證證書的序列號，驗證時戳。OCSP服務器返回證書的當前狀態(tài)并對返回結果加以簽名。在線證書狀態(tài)查詢比CRL更具有時效性。,16,2.1 PKI系統(tǒng)的功能,(6) 證書認證在進行網上交易雙方的身份認證時，交易雙方互相提供自己的證書和數字簽名，由CA來對證書進行有效性和真實性的認證。在實際中，一個CA很難得到所有用戶的信任并接受它所發(fā)行的所有公鑰用戶的證書，而且這個CA也很難對有關的所有潛在注冊用戶有

11、足夠全面的了解，這就需要多個CA。在多個CA系統(tǒng)中，由特定CA發(fā)放證書的所有用戶組成一個域。若某個域的用戶要與另一個域的用戶進行安全通信，需要一個上層CA對下層兩個CA的認證問題。高層CA稱做根CA，它向低層CA發(fā)放公鑰證書。,17,2.2 PKI系統(tǒng)的組成,PKI公鑰基礎設施是提供公鑰加密和數字簽名服務的系統(tǒng)或平臺，目的是為了管理密鑰和證書。,18,PKI系統(tǒng)的組成（1/3）,一個典型的PKI系統(tǒng)至少包括以下部分：認證機構（CA

12、，Certificate Authority）證書的簽發(fā)機構，它是PKI的核心，是PKI應用中權威的、可信任的、公正的第三方機構。認證機構是一個實體，它有權利簽發(fā)并撤銷證書，對證書的真實性負責。根CA（Root CA）每一個PKI都有一個單獨的、可信任的根，從根處可取得所有認證證明。,19,PKI系統(tǒng)的組成（2/3）,注冊機構（RA，Registration Authority）RA的用途是接受個人申請，核查其中信息并頒發(fā)證書

13、。證書目錄用戶可以把證書存放在共享目錄中，而不需要在本地硬盤里保存證書。因為證書具有自我核實功能，所以這些目錄不一定需要時刻被驗證。萬一目錄被破壞，通過使用CA的證書鏈功能，證書還能恢復其有效性。,20,PKI系統(tǒng)的組成（3/3）,管理協(xié)議用于管理證書的注冊、生效、發(fā)布和撤銷。操作協(xié)議操作協(xié)議允許用戶找回并修改證書，對目錄或其他用戶的證書撤銷列表CRL進行修改。個人安全環(huán)境用戶個人的私人信息被妥善保存和保護。一個實體的私鑰

14、對于所有公鑰而言是保密的。,21,3 基于PKI的服務,本節(jié)提示3.1 核心服務3.2 支撐服務3.3 PKI的應用,22,3.1 核心服務,認證：確認實體是其所申明的實體，鑒別其身份的真?zhèn)螌嶓w鑒別：對實體身份進行認證數據來源鑒別：鑒定某個指定的數據是否來源于某個特定的實體完整性：確認數據無論是在傳輸還是在存儲過程中沒有被修改采用數字簽名技術，既可以提供實體認證，也可以保證被簽名數據的完整性。完整性服務也可以采用消息認證

15、碼MAC。保密性：確保數據的秘密算法協(xié)商和密鑰交換,23,3.2 支撐服務,不可否認性服務：確保實體行為的誠實性數據來源的不可否認：使得用戶不能否認某消息不是來源于它接收后的不可否認性：使得用戶不能否認它已接收到了某消息安全時間戳服務：用來證明一組數據在某個特定時間是否存在，它使用核心PKI服務中的認證和完整性。公證服務：CA機構中的公證人證明數據是有效的或正確的，而“正確的”取決于數據被驗證的方式。,24,3.3 PKI的

16、應用,PKI支持SSL、IP over VPN、S/MIME等協(xié)議，這使得它可以支持加密Web、VPN、安全郵件等應用。PKI支持不同CA間的交叉認證，并能實現(xiàn)證書、密鑰對的自動更換，這擴展了它的應用范疇。基于PKI技術的IPSec協(xié)議，現(xiàn)在已經成為架構VPN的基礎。它可以為路由器之間、防火墻之間，或者路由器和防火墻之間提供經過加密和認證的通信?；赑KI的應用包括了許多內容，如WWW安全、電子郵件安全、電子數據交換、信用卡交易安

17、全、VPN。從行業(yè)應用看，電子商務、電子政務等方面都離不開PKI技術。,25,密碼基礎——密碼應用,PKI、密鑰管理,26,第二部分 密鑰管理,1 密鑰管理的概念2 對稱密鑰的管理3 非對稱密鑰的管理4 密鑰的分散管理,27,1 密鑰管理的概念,在一個信息安全系統(tǒng)中，密碼體制、密碼算法可以公開，甚至所用的密碼設備丟失，只要密鑰沒有被泄露，保密信息仍是安全的而密鑰一旦丟失或出錯，不但合法用戶不能提取信息，而且非法用戶可能會竊取信

18、息因此密鑰管理成為信息安全系統(tǒng)中的一個關鍵問題,28,密鑰管理的定義,密鑰管理：解決密鑰自產生到最終銷毀的整個過程的所有問題包括系統(tǒng)的初始化，密鑰的產生、存儲、備份/裝入、分配、保護、更新、控制、丟失、吊銷和銷毀等。其中分配和存儲是最大的難題,29,密鑰管理的三個層面,(1) 理論因素按照信息論的理論，密文在積累到足夠量時，其破解是必然的。 用戶Alice和Bob在進行通信時，必須要解決兩個問題必須經常更新或改變密鑰如何能

19、安全地更新或是改變密鑰,30,密鑰管理的三個層面（續(xù)）,(2) 人為因素破解好的密文非常困難，即使是專業(yè)的密碼分析員也無能為力攻擊者更愿意花費小額的金錢通過間諜或賄賂等手段得到密鑰 (3) 技術因素用戶產生的密鑰有可能是脆弱的密鑰是安全的，但是密鑰保護有可能是失敗的,31,密鑰的分層管理,初始密鑰由用戶選定或系統(tǒng)分配的，在較長的一段時間內由一個用戶專用的秘密密鑰主密鑰是對密鑰加密密鑰進行加密的密鑰密鑰加密密鑰用于傳送

20、會話密鑰時采用的密鑰會話密鑰兩個通信終端用戶在一次會話或交換數據時所用的密鑰這類密鑰往往由系統(tǒng)通過密鑰交換協(xié)議動態(tài)產生會話密鑰使用的時間很短，從而限制了攻擊者所能得到的同一密鑰加密的密文量,32,2 對稱密鑰的管理,對稱密鑰交換協(xié)議,33,對稱密鑰交換協(xié)議,對稱密鑰密碼體制；通信雙方擁有相同的密鑰可通過公開密鑰加密技術實現(xiàn)對稱密鑰的交換,34,對稱密鑰的密鑰交換,35,對稱密鑰交換協(xié)議,Diffie-Hellman算法[197

21、6]是一個公開的密鑰交換算法，其安全性基于在有限域上求解離散對數的困難問題,36,Diffie-Hellman密鑰交換協(xié)議,假設Alice和Bob是需要通信的雙方首先，Alice和Bob協(xié)商確定一個大的素數n和整數g（這兩個數可以公開），其中g是n的本原元生成密鑰過程為Alice選取一個大的隨機整數x，并且發(fā)送 給BobBob選取一個大的隨機整數y，并且發(fā)送

22、給AliceAlice計算 作為會話密鑰Bob計算 作為會話密鑰會話密鑰 ，由于在傳送過程中，攻擊者只能得到X和Y，不能求得x和y，因此這個算法是安全的Diffie-Hellman協(xié)議很容易能擴展到多人間的密鑰分配中去,,,,,,,37,Diffie-Hellman協(xié)議示意,,Alice擁有g, n, x,Bob擁有g, n

23、, y,,Alice計算,Bob計算,Alice和Bob共同擁有密鑰,g, n可公開,38,對Diffie-Hellman的中間人攻擊,,Alice擁有g, n, x,Bob擁有g, n, y,,Alice計算,Bob計算,Coral計算,攻擊者Coral擁有g, n, z,,,,,×,,×,g, n可公開,,,39,,中間人攻擊：Alice用密鑰k1加密信息發(fā)給Bob，被Coral截獲，Coral用k1解密，

24、獲知明文Coral再用k2加密明文發(fā)送給Bob，Bob用k2解密反之同樣Alice和Bob無法察覺存在中間人攻擊Coral在通信雙方不發(fā)現(xiàn)的情況下截取了明文,40,如何對付中間人攻擊？,簽名,41,3 非對稱密鑰的管理,對于用戶Alice而言，只需要記住通信的對方——Bob的公鑰，即可以進行正常的加密通信利用數字證書等方式實現(xiàn)通信雙方間的公鑰交換,42,4 密鑰的分散管理（秘密共享）,將密鑰K分割成n個小片(k1,k2,…,k

25、n)，分別交給n個用戶保管每個用戶無法從自己的ki導出密鑰K只有當任意t個用戶拿出他們的子密鑰，才可以共同計算出K任意小于t個用戶都無法計算出K門限秘密共享(n,t),43,密鑰的分散管理,如何實現(xiàn)？直觀的例子：不在一條直線上的三個點，決定一個圓任意畫一個圓，比如圓的半徑是密鑰在圓上任取n個點，將其坐標分配給n個人任意1個人（或兩個人）都無法從他們的坐標中計算出這個圓的半徑（密鑰）任意三個人就可以從他們的坐標中計算出