§6 密钥管理与 PKI 体系

《电子商务安全与管理》 1/73 ©2009-5-20 Guangzhou University

§6 密钥管理与 PKI 体系

• 掌握密钥的结构与分配、密钥基础设施（ PKI ）的基本概念与内涵、数字证书的基本概念与应用技术；

• 了解国内及同外 PKI 的基本框架。

• 重点：密钥基础设施（ PKI ）与数字证书。


6.1.1 密钥管理概述

密码系统的设计原则易操作原则不可破原则整体安全原则柯克霍夫原则 ( 或译克彻霍夫斯原则 ,

Kerchoffs’s Principle): 与计算机、通信系统匹配原则

§6.1 密钥的结构与分配


柯克霍夫原则 ( 或译克彻霍夫斯原则 , Kerchoffs’s Principle):

密体系统的安全性依赖于对密钥的保密，而不是依赖于对密码算法的保密 .

• 商业应用需要公开；• 使用中难以实现算法的真正保密；• 算法的设计者也不应能够解算加密后的信息。

密钥的管理在计算机安全保密设计中极为重要。



密钥管理的具体要求：密钥难以被非法窃取在一定条件下窃取的密钥也没有用密钥的分配和更换过程在用户看来是透明的。

密钥管理的内容对称密钥的管理非对称密钥的管理第三方密钥的管理



密钥管理的具体内容：系统的初始化密钥的产生密钥存储密钥备份 / 恢复密钥装入密钥分配密钥保护密钥更新密钥控制密钥丢失密钥吊销密钥销毁



6.1.2 密钥的自动分配

– 所有密钥都有时间期限• 密码分析 : 攻击者可以使用数学方法来进行密码

分析从而破解密码系统 . 攻击者获得大量有效的密文将使他们加快密码的分析．密钥使用的时间越短，则攻击收集的有效密文就会越少（一次一密是不可攻破的）．

• 密钥可能被泄漏或攻击者可能对某一特定密钥的加密进行分析，所以缩短密钥的使用期可以减少危险的发生．



密钥分配中心 (KDC, Key Distribution Center)



§6.1 密钥的结构与分配运用 KDC 的简单协议


• 爱丽丝发送一个明文信息给 KDC ，以便获得一个她自己和鲍勃之间的对称会话密钥。这个信息包含她的注册身份 ( 图中爱丽丝这个词 ) 和鲍勃的身份 ( 图中鲍勃这个词 ) 。这个信息没有加密，是公开的。 KDC 并不关心。

• KDC 收到这个信息并创建一个称为票据 (ticket) 的东西。票据用鲍勃的密钥 (KB) 加密。票据包含爱丽丝和鲍勃的身份以及会话密钥 (KAB) 。票据和会话密钥的副本被发送给爱丽丝。爱丽丝收到信息后，对其解密，并把会话密钥抽取出来。她不能解密鲍勃的票据，因为这个票据是鲍勃的，不是爱丽丝的。注意，这个信息包含双重加密：票据要加密，全部的信息也要加密。在第二个信息中，因为只有爱丽丝可以用她与 KDC的私钥打开全部信息，所以实际上 KDC 就对爱丽丝进行了验证。

• 爱丽丝把票据发送给鲍勃。鲍勃打开票据，知道爱丽丝要用 KAB 作为会话密钥给他发送信息。注意，在这个信息中，因为只有鲍勃能够打开票据，也就相当于 KDC 对鲍勃进行了验证，爱丽丝对鲍勃也进行了验证，因为他已经被 KDC 验证了。同样，相当于鲍勃也对爱丽丝进行验证，因为鲍勃相信 KDC ，并且 KDC 把含有爱丽丝身份的票据发送给了鲍勃。



• Kerberos 是一个验证协议，同时也是一个 KDC ，现在它的应用非常普及。有几种系统，包括 Windows 2000都使用 Kerberos 。它的名字来自于希腊神话中守卫地狱大门的三头狗。最初是由麻省理工学院设计出来的，现在已经经历了好几个版本。





(1) 采用电话号码本方式

§6.1 密钥的结构与分配基于非对称密钥的密钥管理

公开密钥目录

A B

Kua Kub

– A 通过公开目录得到 b 的公钥– A 产生一个公话密钥，并用 B 的公钥加密，

并发给 B

– B 将收到的信息解密，获取会话密钥– 双方采用对称密钥进行保密通信– 公话结束后，销毁会话密钥



(2) 临时产生的密钥

A B– A 临时生成一对密钥对– A 将自已产生的公钥发给 B

– B 产生一个会话密钥，将将会话密钥有 A的公钥加密，结果发给 A

– A 用私钥解密后，得到会话密钥，– A和 B 进行保密通信– 会话结束后，销毁密钥


:

, , ,

( ).

, :

(1) (0 -1), (mod )

(2) (0 -1), (mod )

(3) ;

(4) ( )

x

x

y

Diffie Hellman

A B p g g p

p primitive root

A B

A x x p X g p

B y y p Y g p

A X B B Y A

A K g

密钥交换协议描述和协商好一个大素数大的整数其中1 且是的本原根

当和要进行保密通信时他们采取如下步骤

选取大的随机数并且

选取大的随机数并计算将传给将传给

计算 (mod ); ( ) (mod );x x yp B K g p计算

§6.1 密钥的结构与分配(3) Seek 系统

由 (4) 知， A和 B 已获得了相同的秘密值 K 。双方以 K 作为加解密钥以传统对称密钥算法进行保密通信。


§6.1 密钥的结构与分配• 缺点 : 易受中间人攻击 (intruder-in-middle)

• SEEK 系统


§6.1 密钥的结构与分配基于对称密钥的密钥管理

mK

加密解密

mK

wK'wK wK

'wK


6.1.3 密钥共享秘密共享的基本思想是：系统选定主密钥 K 后，将之变换成

n 份不同的子密钥，交给 n 位系统管理员保管，一人一份子密钥。只有当所有系统管理员“全部到齐”，聚集了所有的子密钥，才能推导出这个主密钥。

这种方法是将密钥 K 按下述方式破成 n 个小片 k1， k2，……， kn ：

①已知任意 t个 Ki的值易于计算出 K 。 ②已知任意 t-1 个或更少个 Ki ，则由于信息短缺而不能确定出

K 。



6.1.4 第三方密钥托管协议密钥托管：通信双方将的会话密钥交给合法的第三方，

以便合法的第三方利用得到的密钥解密双方的内容。

密钥托的作用：• 密钥恢复• 政府部门对保密通信进行监管



1. 密托管的组成


加密解密

确定密钥解密

明文密文

密钥 ks

密文明文DRF 密文

数据恢复密钥明文

– 用户安全部分

– 密钥托管部分 – 数据恢复部分


2. 密钥托管的技术标准

美国于 1993年提出的密钥托管加密技术正符合这种要求。密钥托管有时也叫做密钥恢复。现在密钥托管已经是一些系统的派生术语，包括密钥恢复、受信任的第三方、特别获取、数据恢复等。近几年，密钥托管加密技术已成为密码技术研究和应用的焦点。

美国政府于 1993年 4 月 16日通过美国商业部颁布了具有密钥托管功能的加密标准（ EES）。



该标准规定使用专门授权加密算法（将该算法称之为Skipjack算法，目前已公布）不予公布的 Clipper芯片实施商用加密。 Clipper 芯片是实现了EES( Escrow Encryption Standard)标准的防窜扰芯片，它是由美国国家安全局（ NSA）主持开发的硬件实现的密码部件。由于加密体制具有在法律许可时可以进行密钥合成的功能，所以政府在必要时无须花费巨大代价破译密码，而能够直接侦听。

目前我们可以从网上搜集到近 40种不同功能的密钥托管系统。



用户必须选选择相应的机构对其密钥进行托管，在取得相应的托管证书后，才能向 CA申请加密证书（为了防滥用托管权限，一般将密钥分成若干部分，并由几个可信机构托管）；

用户收到托管证收后，将证书和完整的公钥传递给CA申请加密证书；

CA验证每个托管证书的真实性，即是否每一托管证书都托管了一部分有效的私钥分量，并对用户的身份加以确认．完成验证工作后， CA 生成加密证书，返回给用户．



一般来说，第三方托管技术改须有政府的强制措施才能实行 .



6.2.1 PKI 概述

密钥管理问题：对称密钥体制中的密钥管理问题，最根本的是密钥的保密问题。

公开密钥体制中，公钥的分发不需要保密，那么公钥体制中密钥管理的问题是什么？

可公开发布的公钥与持有人之间的绑定问题。网上身份认证、电子信息的完整性和不可抵赖性等安全问题均依赖于公钥与持有人的绑定。

§6.2 公钥基础设施


PKI 基本概念• 公钥基础设施 PKI( Public Key Infrastructure)

是一种遵循既定标准的密钥管理平台 , 它能够为电子商务、电子政务、网上银行和网上证券等所有网络应用提供一整套安全基础平台，它是创建、颁发、管理、撤销公钥证书所涉及到的所有软件、硬件的集合体。

• 加密技术和认证技术是 PKI 的基础技术， PKI 的核心机构是认证中心（ Certificate Authority, CA) ，数字证书是 PKI最关键的产品和服务。



PKI提供的核心服务有三个认证完整性机密性

PKI提供的附加服务不可否认性安全通信安全时间戳公证



6.2.2 PKIX模型权威认证机构 (CA)数字证书库密钥备份及恢复系统证书作废系统应用接口（ API ）



–批准证书请求–密钥产生–证书的创建–证书的分发–密钥备份与恢复–密钥更新–密钥撤消



–检查证书申请者的身份–批准证书，提交 CA

–密钥撤消，代表用户向CA提申请



–证书请求–生成密钥对–请求密钥更新–请求证书撤消–请求交叉认证服务



–存放证书相关信息–随时在线



证书信任方

–接收证书–证书请求–核实证书–检查数字签名



MCA MCA CCA PCA PCA

商户 CA(MCA)

持卡人 CA(CCA)

支付网关 CA(MCA)

地域政策 CA

品牌 CA

根 CA

CA 体系结构根 CA 是离线的，只在发布品牌 CA 时才被访问 (SET 系统）



个人证书个人证书个人证书个人证书个人证书

运行 CA

政策 CA

根 CA

Non-SET 系统



在 PKI 体系中 , 用户就是通过使用数字证书来保障信息的传输的保密性、发送信息的不可否认性、交易者身份的确定性等安全特性。

数字证书是 PKI 的核心元素，由权威的、可信认的、公证的第三方机构 CA 所签发。



6.2.3 交叉认证


个人证书个人证书个人证书个人证书个人证书

运行 CA

政策 CA

根 CA

检查个数证的签名 :

查看其是否是某级 CA 签发的

检查当前 CA 的签名 :

查看其是否是上级 CA 签发的

直到你遇到可信任的 CA 或无法验证


Issuer

CFCA Root

CFCA Root

Public keys

Subject

CFCA Root

CFCA Root

Signature

Issuer

CFCA Root

CFCA Policy

Public keys

Subject

CFCA Policy

CFCA Root

SignatureIssuer

CFCA Policy

CFCA Operation

Public keys

Subject

CFCA Operation

CFCA Policy

Signature

Issuer

CFCA Operation

End User

Public keys

Subject

Tom CA

CFCA Operation

Signature


对以下信任域中的 A和 B, 则需要交叉认证

CA1 CA2

RA2 RA1RA1 RA1

A B



§6.2 公钥基础设施Issuer

Marketing CA

Engineering CA

Public keys

Subject

Engineering CA

Marketing CA

Signature

Issuer

Engineering CA

Marketing CA

Public keys

Subject

Marketing CA

Engineering CA

Signature

Issuer

Engineering CA

End User

Public keys

Subject

Tom CA

Engineering CA

Signature

Issuer

Marketing CA

End User

Public keys

Subject

Judy CA

Marketing CA

Signature

– Judy 要认证 Tom’s 证书– Judy 需要确认 Tom’s 的签发者可信；– 更进一步，就就确认 Engineering 的公钥可信– 现在 Judy 信任的 Marketing CA 给

Engineering CA 签发了证书。


6.2.4 PKI 信任模型

在 ITU-T 推荐标准 X.509规范中给出了信任的定义 : 当实体 A假定实体 B严格地按实体 A 所期望的那样行动 ,则 A 信任 B.

从这一定义可以看出 , 信任涉及假设、期望和行为，这意味着信任是不可能被定量测量的，信任是与风险相联系的。

在 PKI 中，可以把这个定义具体化为：如果一个用户假定 CA 可以把任一公钥绑定到某个实体上，则他信任 CA

选择信任模型 (Trust model) 是构筑和运作 PKI 所必需的一个环节。



信任模型主要阐述了以下几个问题：● 一个 PKI 用户能够信任的证书是怎样被确定的？● 这种信任是怎样被建立的？● 在一定的环境下，这种信任如何被控制？



几个概念信任域信任锚信任路径



单根信任模型


Root CA

用户 B用户 A 用户 B用户 A


认证机构的严格层次结构模型①根 CA认证直接连接它下面的 CA 。②每个 CA 都认证零个或多个直接连接在它下面的 CA 。③倒数第二层的 CA认证终端实体。



网状信任结构模型与在 PKI 系统中的所有实体都信任唯一一个 CA 的严格层次结构相反，分布式信任结构把信任分散在两个或多个 CA上。也就是说， A把 CA1 作为他的信任锚，而 B 可以把 CA2做为他的信任锚。因为这些 CA 都作为信任锚，因此相应的 CA必须是整个 PKI 系统的一个子集所构成的严格层次结构的根 CA（ CA1 是包括A 在内的严格层次结构的根， CA2 是包括 B 在内的严格层次结构的根）。

CA1 CA2

RA2 RA1RA1 RA1

A B 需要交叉认证



Web模型在这种模型中，许多 CA 的公钥被预装在标准的浏览器上。这些公钥确定了一组浏览器用户最初信任的 CA 。



以用户为中心的信任模型• 在以用户为中心的信任模型中，每个用户自己决定信任哪些证书。通常，用户的最初信任对象包括用户的朋友、家人或同事，但是否信任某证书则被许多因素所左右。

• 著名的安全软件 PGP最能说明以用户为中心的信任模型。在 PGP 中，一个用户通过担当 CA （签署其他实体的公钥）并使其公钥被其他人所认证来建立或参加所谓的“信任网”。



6.2.5 PMI 模型目标是实现“永久身份，可变属性” ,(Permanent Identity Changeable Attributes)



数字证书概念• 数字证书是标志网络用户身份信息的一系列数据，用

来在网络通讯中识别通讯各方的身份，即在 Internet上解决 "我是谁 " 的问题，就如同现实中我们每一个人都要拥有一张证明个人身份的身份证或驾驶执照一样，以表明我们的身份或某种资格。

§6.3 数字证书


身份证和证书的比较

目前有多种格式的数字证书： X.509、 PGP等，其中 X.509 应用最为广泛。

§6.3 数字证书


证书类型个人数字证书机构数字证书个人签名证书机构签名证书设备数字证书

§6.3 数字证书


数字证书功能信息的保密性交易者身份的确定性不可否认性不可修改性

§6.3 数字证书


• 证书版本号• 证书序列号• 签名算法标识• 签发此证书的 CA名称• 证书有效期

– 起始日期– 终止日期

• 用户主体名称• 用户公钥信息

– 算法标识– 用户主体标识

• 可选唯一标识• 主体证书拥有者唯一标识

• 证书扩展部分• 签发者 CA 的公钥标识

– 公钥标识– 证书签发者的甄别– 签发证书的序号

• 用户主体的公钥标识• CRL 分布• 证书中的公钥用途• 用户的私钥有效期

– 起始日期– 终止日期

• CA承认的证书政策列表• 策略映射• 用户的代用名• CA 的代用名• 基本制约• 用户主体目录属性• CA签名算法标识• CA签名

证书格式

§6.3 数字证书


X.509 证书格式版本号

证书序列号

签名算法标识

签发此证书的 CA名称

证书有效期

用户名称

用户公钥信息（算法、参数、公钥）


X.509 证书格式

签发者唯一标识

用户唯一标识

扩展项

签名（算法、参数、签名）


§6.3 数字证书


CFCA Rca.cer

§6.3 数字证书


优势：我国 PKI 已经奠定了技术基础，形成了一定规模，积累了运营、管理经验，探索了应用模式，并培育了一些专业人才。

存在以下问题急需解决：

①目前属于服务于电子政务的国家级 PKI体系尚未建立。②各家的不同技术标准和管理规范并存。③各 CA 基本处于互相分割状态，成为互不关联的信任孤岛，尚未形成完整的国家 PKI体系。

§6.4 国家 PKI战略与发展


④已建成的 CA 运营机构规模小，利用率低，产业有待重组，距离可商业化运作的规模还相差很远。⑤已经建立的 CA自身安全考虑不够。⑥缺乏国家统一指导，政出多门，没有权威的管理部门。⑦各种来源不同、层次不齐的技术供应厂商大量涌现，亟待研究具有我国自主知识产权的基础技术和标准体系。⑧缺乏有力的法律支持





国家 PKI 基本目标及指导思想①统一领导、统一规划、统一体制标准，由政府主管

部门实行授权管理；②坚持独立自主、自主研发的原则，积极支持民族产

业和信息安全服务业；③高度重视 PKI体系自身安全的建设；④在统筹规划下，充分发挥各行业、各地区的积极性，

分工合作，积极探索与实验、稳步推进。



国家 PKI 协调管理委员会

（ NPCMC ）

国家电子政务

PKI体系

国家公共 PKI

体系

国外CA

国家 PKI 的体系框架



国家电子政务 PKI 体系框架



国家公共 PKI 体系

公众服务认证中心



国家电子政务 PKI 体系与国家公共 PKI 体系联系



拟开展以下述工作为主的 PKI龙头工程：①组建国家 PKI 管理协调委员会②启动政务根 CA(GRCA ，简称政务根 ) 的建设③启动国家 CA桥接中心标准体系建设④制定统一的标准体系框架⑤制定统一的业务规范⑥制定 PKI 技术标准⑦制定 PKI建设中起关键作用的信息技术产品标准⑧制定 PKI 的应用标准⑨制定 PKI 的管理标准

当前 PKI建设主要工作



亚洲 PKI 发展现状西方各国 PKI 发展现状国外著名 PKI厂商、产品



中国台北



香港 CA 许可机制


日本 GPKI 结构


韩国 PKI 体系结构


联邦桥 CA 拓扑图


VeriSign ：专业 PKI 公司，提供证书服务，并有 OnSite 产品，全球最大的安全公司之一，最初是从 RSA DSI 分离出来的。目前在中国也有合资公司出现。

Entrust ：最著名的 PKI 公司之一，其 PKI 产品在北美市场居有绝对优势。中国的 CFCA(即金融认证中心 ) 的非 SET 证书CA 部分即基于 Entrust 的产品与技术。

Baltimore ：最著名的 PKI 公司之一，总部位于爱尔兰， 20世纪 90年代后期转型做 PKI ，在欧洲 PKI市场有相当大的影响力。其主打产品Unicert V3.5 技术也相当先进。

RSA Security ：最著名的密码安全公司，拥有 RSA 算法的专利 ( 已于 2000年放弃 )

国外著名 PKI厂商、产品

Documents

§6 密钥管理与 PKI 体系