Kevin Wang

PKI 漫谈PKI 漫谈

AKA安全沙龙：PKI漫谈

第 0 章 绪论第 0 章 绪论

§0.1 What’s PKI?§0.1 What’s PKI?

PKIPKI，， Short for Public Key Infrastructure.Short for Public Key Infrastructure.

PKIPKI 正在快速地演进中，从不同的角度出发，有不正在快速地演进中，从不同的角度出发，有不同的定义同的定义 ..

PKIPKI 是一个用公钥概念和技术来实施和提供安全服是一个用公钥概念和技术来实施和提供安全服务的具有普适性的安全基础设施务的具有普适性的安全基础设施 ..

PKI 的组成

§0.2 PKI 基础§0.2 PKI 基础 公钥密钥学公钥密钥学 (Public Key Cryptography)(Public Key Cryptography)

公钥密码学解决的核心问题是密钥分发公钥密码学解决的核心问题是密钥分发 ..

目录服务目录服务 (Directory Services)(Directory Services)

目录服务的目的是建立全局目录服务的目的是建立全局 // 局部统一的命令方局部统一的命令方案案 ..

数字证书数字证书 (Digital Certificate)(Digital Certificate)

密码学与信息安全密码学与信息安全 信息的私密性信息的私密性 (Privacy)(Privacy)

对称加密对称加密 信息的完整性信息的完整性 (Integrity)(Integrity)

数字签名数字签名 信息的源发鉴别信息的源发鉴别 (Authentication)(Authentication)

数字签名数字签名 信息的防抵赖性信息的防抵赖性 (Non-Reputation)(Non-Reputation)

数字签名　＋　时间戳数字签名　＋　时间戳

§0.3 PKI 的由来§0.3 PKI 的由来 信任管理信任管理

从根本上讲，从根本上讲， PKIPKI 是表示和管理信任关系的工具是表示和管理信任关系的工具 ;;

数字化、电子化社会的基础之一数字化、电子化社会的基础之一

在数字化社会中，实体间建立信任关系的关键是能彼此确在数字化社会中，实体间建立信任关系的关键是能彼此确定对方的身份；定对方的身份；

互联网困境互联网困境

§0.4 PKI 进展§0.4 PKI 进展 标准化进展标准化进展

IETF PKIXIETF PKIX、、 SPKI WorkgroupSPKI Workgroup；； NISTNIST，， DOT DOT (Department of the Treasury)(Department of the Treasury) ；； TOG (The Open TOG (The Open Group)Group)；； and others (include WAPForum, etc)and others (include WAPForum, etc)

产品与工程产品与工程From Pilot Projects to Practices, Various Vendors From Pilot Projects to Practices, Various Vendors and Productsand Products

PKIPKI 应用应用MS Outlook/Netscape Messanger (S/MIME), MS Outlook/Netscape Messanger (S/MIME), IE/Navigator (SSL/TLS), PGPIE/Navigator (SSL/TLS), PGP

PKI – Queensland’s Toad?PKI – Queensland’s Toad?

第 1 章 密码学第 1 章 密码学

§1.1 密码学的历史与发展§1.1 密码学的历史与发展 密码学的演进密码学的演进

单表代替－单表代替－ >> 多表代替－多表代替－ >> 机械密机械密 (( 恩格玛恩格玛 ))－－ >> 现代密码现代密码学学 (( 对称与非对称密码体制对称与非对称密码体制 ))－－ >> 量子密码学量子密码学

密码编码学和密码分析学密码编码学和密码分析学 应用领域应用领域

军事，外交，商业，个人通信，古文化研究等军事，外交，商业，个人通信，古文化研究等

§1.2 传统密码学§1.2 传统密码学 历史悠久，最古老与最现代的密码学历史悠久，最古老与最现代的密码学 基本特点：加密和解密采用同一个密钥基本特点：加密和解密采用同一个密钥

let let CC = Cipher text, = Cipher text, PP = Plain text, = Plain text, kk is key, E()/D() is key, E()/D() is the encryption/decryption function, thenis the encryption/decryption function, then

CC=E(=E(PP, , kk), ), PP=D(=D(CC, , kk))

基本技术基本技术

替换替换 // 置换和移位置换和移位

DESDES

DESDES 是第一个得到广泛应用的密码算法；是第一个得到广泛应用的密码算法； DESDES 是一种分组加密算法，输入的明文为是一种分组加密算法，输入的明文为 6464 位，位，

密钥为密钥为 5656 位，生成的密文为位，生成的密文为 6464 位；位； DESDES 是一种对称密码算法，源于是一种对称密码算法，源于 LuciferLucifer 算法，其算法，其

中采用了中采用了 FeistelFeistel 网络网络 (Feistel Network)(Feistel Network) ，即，即

DESDES 已经过时，基本上认为不再安全；已经过时，基本上认为不再安全；

http://dir.yahoo.com/Computers_and_Internet/Security_anhttp://dir.yahoo.com/Computers_and_Internet/Security_and_Encryption/RSA/RSA_Secret_Key_Challenged_Encryption/RSA/RSA_Secret_Key_Challenge/

),( 11

1

iiii

ii

KRfLR

RL

IDEAIDEA

Xuejia LaiXuejia Lai和和 James MasseyJames Massey 提出；提出； IDEAIDEA 是对称、分组密码算法，输入明文为是对称、分组密码算法，输入明文为 6464 位位

，密钥为，密钥为 128128 位，生成的密文为位，生成的密文为 6464 位；位； IDEAIDEA 是一种相对较新的算法，虽有坚实的理论基是一种相对较新的算法，虽有坚实的理论基

础，但仍应谨慎使用础，但仍应谨慎使用 (( 尽管该算法已被证明可对抗尽管该算法已被证明可对抗差分分析和线性分析差分分析和线性分析 )) ；；

IDEAIDEA 是一种专利算法是一种专利算法 (( 在欧洲和美国在欧洲和美国 )) ，专利由，专利由Ascom-Tech AGAscom-Tech AG 拥有拥有 ;;

PGPPGP 中已实现了中已实现了 IDEAIDEA ；；

RC 系列RC 系列 RCRC 系列是系列是 Ron RivestRon Rivest为为 RSARSA 公司设计的一系列公司设计的一系列

密码密码：： RC1从未被公开，以致于许多人们称其只出现在 Rivest的记事本上；

RC2是变长密钥加密密法； (RC3在设计过程中在RSADSI内被攻破 );

RC4是 Rivest在 1987年设计的变长密钥的序列密码； RC5是 Rivest在 1994年设计的分组长、密钥长的迭代轮数都可变的分组迭代密码算法；

DES(56),RC5-32/12/5, RC5-32/12/6,RC-32/12/7DES(56),RC5-32/12/5, RC5-32/12/6,RC-32/12/7 已已分别在分别在 19971997 年被破译；年被破译；

AES Candidate和 RijndealAES Candidate和 Rijndeal

AESAES 评选过程评选过程 最后的最后的 55 个候选算法：个候选算法： Mars, RC6, Rijndael, Mars, RC6, Rijndael,

Serpent, and TwofishSerpent, and Twofish

RijndaelRijndael 算法的原型是算法的原型是 SquareSquare 算法，其设计策略算法，其设计策略是宽轨迹策略是宽轨迹策略 (Wide Trail Strategy)(Wide Trail Strategy) ，以针对差分，以针对差分分析和线性分析；分析和线性分析；

RijndaelRijndael 是迭代分组密码，其分组长度和密钥长度是迭代分组密码，其分组长度和密钥长度都是可变的；为了满足都是可变的；为了满足 AESAES 的要求，分组长度为的要求，分组长度为128bit128bit ，密码长度为，密码长度为 128/192/256bit128/192/256bit ，相应的轮数，相应的轮数rr为为 10/12/1410/12/14 。。

SummarySummary

DESDES 是应用最广泛的对称密码算法是应用最广泛的对称密码算法 (( 由于计算能力由于计算能力的快速进展，的快速进展， DESDES 已不在被认为是安全的已不在被认为是安全的 )) ；；

IDEAIDEA 在欧洲应用较多；在欧洲应用较多； RCRC 系列密码算法的使用也较广系列密码算法的使用也较广 (( 已随着已随着 SSLSSL 传遍传遍

全球全球 ););

AESAES将是未来最主要，最常用的对称密码算法；将是未来最主要，最常用的对称密码算法；

§1.3 公钥密码学§1.3 公钥密码学 Whitefield DiffieWhitefield Diffie，，Martin HellmanMartin Hellman，，《《 New New

Directions in CryptographyDirections in Cryptography 》》 ,1976,1976

公钥密码学的出现使大规模的安全通信得以实现 公钥密码学的出现使大规模的安全通信得以实现 – – 解决了密钥分发问题；解决了密钥分发问题；

公钥密码学还可用于另外一些应用：数字签名、防公钥密码学还可用于另外一些应用：数字签名、防抵赖等；抵赖等；

公钥密码体制的基本原理 公钥密码体制的基本原理 – – 陷门单向函数陷门单向函数(troopdoor one-way function)(troopdoor one-way function)

RSARSA

Ron Rivest, Adi ShamirRon Rivest, Adi Shamir和和 Len AdlemanLen Adleman于于 19771977 年年研制并于研制并于 19781978 年首次发表；年首次发表；

RSARSA 是一种分组密码，其理论基础是一种特殊的可是一种分组密码，其理论基础是一种特殊的可逆模幂运算，其安全性基于分解大整数的困难性；逆模幂运算，其安全性基于分解大整数的困难性；

RSARSA既可用于加密，又可用于数字签名，已得到广既可用于加密，又可用于数字签名，已得到广泛采用；泛采用；

RSARSA 已被许多标准化组织已被许多标准化组织 ((如如 ISOISO、、 ITUITU、、 IETFIETF和和 SWIFTSWIFT等等 ))接纳；接纳；

RSA-155(512 bit), RSA-140RSA-155(512 bit), RSA-140于于 19991999 年分别被分解；年分别被分解；

RSA (cont.)RSA (cont.)

设设 nn 是两个不同奇素数之积，即是两个不同奇素数之积，即 nn = = pqpq ，，计算其欧拉函数计算其欧拉函数值值 Φ(n)=(p-1)(q-1)Φ(n)=(p-1)(q-1)..

随机选一整数随机选一整数 ee,1≤e<,1≤e<Φ(n), (Φ(n),e)=1.Φ(n), (Φ(n),e)=1.

因而在模因而在模 Φ(n)Φ(n)下下 ,,ee 有逆元有逆元

取公钥为取公钥为 nn,,ee,,秘密钥为秘密钥为 d.d.((pp,,qq 不再需要，应该被舍弃，不再需要，应该被舍弃，但绝不可泄露但绝不可泄露 ))

定义加密变换为定义加密变换为 解密变换为解密变换为

)mod(1 ned

ne

k ZxnxxE ,mod)(

nd

k ZynyyD ,mod)(

DH/DSADH/DSA

Diffie-Hellman(DH)Diffie-Hellman(DH) 是第一个公钥算法，其安全性是第一个公钥算法，其安全性基于在有限域中计算离散对数的难度；基于在有限域中计算离散对数的难度；

DHDH 可用于密钥分发，但不能用于加可用于密钥分发，但不能用于加 // 解密报文；解密报文； DHDH 算法已得到广泛应用，并为许多标准化组织算法已得到广泛应用，并为许多标准化组织

(IETF(IETF等等 ))接纳；接纳； DSADSA是是 NISTNIST于于 19911991 年提出的数字签名标准年提出的数字签名标准

(DSS),(DSS), 该标准于该标准于 19941994年年 55月月 1919日被颁布；日被颁布； DSADSA是是 SchnorrSchnorr和和 ElgemalElgemal 签名算法的变型签名算法的变型 ,DSA,DSA只能用于数字签名不能用于加密；只能用于数字签名不能用于加密；

ElgemalElgemal

ElgemalElgemal于于 19851985 年基于离散对数问题提出了一个年基于离散对数问题提出了一个既可用于数字签名又可用于加密的密码体制；既可用于数字签名又可用于加密的密码体制； (( 此此数字签名方案的一个修改被数字签名方案的一个修改被 NISTNIST 采纳为数字签名采纳为数字签名标准标准 DSS)DSS)

Elgemal,SchnorrElgemal,Schnorr和和 DSADSA 签名算法都非常类似。事签名算法都非常类似。事实上，它们仅仅是基于离散对数问题的一般数字签实上，它们仅仅是基于离散对数问题的一般数字签名的三个例子。名的三个例子。

SummarySummary

RSARSA 是最易于实现的；是最易于实现的； ElgemalElgemal 算法更适合于加密；算法更适合于加密； DSADSA 对数字签名是极好的，并且对数字签名是极好的，并且 DSADSA无专利费，可以随意无专利费，可以随意获取；获取；

Diffie-HellmanDiffie-Hellman 是最容易的密钥交换算法；是最容易的密钥交换算法；

§1.4 单向杂凑 (Hash)函数§1.4 单向杂凑 (Hash)函数 杂凑杂凑 (Hash)(Hash) 函数是将任意长的数字串函数是将任意长的数字串MM映射成一映射成一

个较短的定长输出数字串个较短的定长输出数字串 HH 的函数，我们关心的的函数，我们关心的通常是单向杂凑函数；通常是单向杂凑函数；

强单向杂凑与弱单向杂凑 强单向杂凑与弱单向杂凑 – – ((无碰撞性无碰撞性 collision-collision-free)free) ；；

单向杂凑函数的设计理论单向杂凑函数的设计理论 杂凑函数除了可用于数字签名方案之外，还可用于杂凑函数除了可用于数字签名方案之外，还可用于

其它方面，诸如消息的完整性检测、消息的起源认其它方面，诸如消息的完整性检测、消息的起源认证检测等证检测等

常见的攻击方法常见的攻击方法

MD 系列MD 系列 Ron RivestRon Rivest 设计的系列杂凑函数系列设计的系列杂凑函数系列 ::

MD4[Rivest 1990, 1992, 1995; RFC1320]

MD5是MD4的改进型 [RFC1321]

MD2[RFC1319],已被 Rogier等于 1995年攻破 较早被标准化组织较早被标准化组织 IETFIETF接纳，并已获得广泛应用接纳，并已获得广泛应用 安全性介绍安全性介绍

SHA和 SHA-1SHA和 SHA-1

NISTNIST和和 NSANSA 为配合为配合 DSSDSS 的使用，设计了安全杂的使用，设计了安全杂凑标准凑标准 (SHS)(SHS) ，其算法为，其算法为 SHA[FIPS PUB 180]SHA[FIPS PUB 180] ，，修改的版本被称为修改的版本被称为 SHA-1[FIPS PUB 180-1]SHA-1[FIPS PUB 180-1]

SHA/SHA-1SHA/SHA-1 采用了与采用了与 MD4MD4 相似的设计准则，其相似的设计准则，其结构也类似于结构也类似于 MD4MD4 ，但其输出为，但其输出为 160bit160bit

目前还没有针对目前还没有针对 SHASHA 有效的攻击有效的攻击

RIPE-MDRIPE-MD

欧共体的欧共体的 RIPE[RACE 1992]RIPE[RACE 1992] 计划下开发的杂凑算计划下开发的杂凑算法，为法，为 MD4MD4 的变型，是针对已知的密码攻击而设的变型，是针对已知的密码攻击而设计的，杂凑值为计的，杂凑值为 128bit;128bit;

RIPE-MDRIPE-MD 的改进型为的改进型为 RIPEMD-160RIPEMD-160 ；；

HMACHMAC

HMACHMAC 是利用散列函数计算报文鉴别码值是利用散列函数计算报文鉴别码值HMACHMAC 能够证明嵌入散列函数提供的安全性能够证明嵌入散列函数提供的安全性有某些合理的密码分析强度有某些合理的密码分析强度

SHA与MD4和MD5 的比较SHA与MD4和MD5 的比较

MD4MD4 SHASHA MD5MD5

HashHash值值 128bit128bit 160bit160bit 128bit128bit

分组处理长分组处理长 512bit512bit 512bit512bit 512bit512bit

基本字长基本字长 32bit32bit 32bit32bit 32bit32bit

步数步数 48(3*16)48(3*16) 80(4*20)80(4*20) 64(4*16)64(4*16)

消息长消息长 ≤≤2^64bit2^64bit 2^64bit2^64bit 不限不限基本逻辑函数基本逻辑函数 33 3(3(第第 2,42,4轮相轮相

同同 ))44

常数个数常数个数 33 44 6464

速度速度 约为约为 MD4MD4的的3/43/4

约为约为 MD4MD4的的 1/71/7

§1.5 各种算法的特点§1.5 各种算法的特点 对称密码算法对称密码算法加加 // 解密速度快，但密钥分发问题严重解密速度快，但密钥分发问题严重

非对称密码算法非对称密码算法加加 // 解密速度较慢，但无密钥分发问题解密速度较慢，但无密钥分发问题

杂凑函数杂凑函数

计算速度快，结果长度统一计算速度快，结果长度统一

§1.6 进一步的读物§1.6 进一步的读物 Bruce Schneier,Bruce Schneier,《《 Applied Cryptography: Protocols, Applied Cryptography: Protocols,

algorithms and source code in Calgorithms and source code in C》》 ,1996,1996 Simon Singh,Simon Singh,《《 The Code BookThe Code Book》》 ,1999,1999 冯登国，裴定一冯登国，裴定一 ,,《《密码学导引密码学导引》》 ,,科学出版社科学出版社 , 1999, 1999 王育民，刘建伟王育民，刘建伟 ,,《《通信网的安全 通信网的安全 -- -- 理论与技术理论与技术》》 ,,西安西安

电子科技大学出版社电子科技大学出版社 , 1999, 1999 梁晋，施仁，王育民等梁晋，施仁，王育民等 ,,《《电子商务核心技术 电子商务核心技术 – – 安全电子安全电子易协议的理论与设计易协议的理论与设计》》 ,2000,2000

William StallingsWilliam Stallings 著，杨明，胥光辉，齐望东等译著，杨明，胥光辉，齐望东等译 ,,《《密码密码编码学与网络安全：原理与实践编码学与网络安全：原理与实践 (( 第二版第二版 ))》》 ,, 电子工业出电子工业出版社，版社， 20012001

第 2 章 X.500 目录服务和数字证书第 2 章 X.500 目录服务和数字证书

§2.1 概述§2.1 概述 证书和证书吊销列表证书和证书吊销列表 (CRL)(CRL) 的存储的存储 ((主要针对主要针对

X.509X.509 格式来说格式来说 ) ) 是是 X.500X.500 和目录服务标准的和目录服务标准的主题主题

§2.2 X.500 目录服务§2.2 X.500 目录服务 X.500, ITU-T Recommendation: The Directory – X.500, ITU-T Recommendation: The Directory –

Overview of Concepts and Models.Overview of Concepts and Models.

X.500X.500 目录服务是一个高度复杂的信息存储机制，目录服务是一个高度复杂的信息存储机制，包括客户机包括客户机 -- 目录服务器访问协议、服务器目录服务器访问协议、服务器 -- 服务服务器通信协议、完全或部分的目录数据复制、服务器器通信协议、完全或部分的目录数据复制、服务器链对查询的响应、复杂搜寻的过滤功能等链对查询的响应、复杂搜寻的过滤功能等 ..

X.500X.500对对 PKIPKI 的重要性的重要性 ..

§2.3 X.509 数字证书§2.3 X.509 数字证书 X.509, ITU-T Recommendation: Information X.509, ITU-T Recommendation: Information

Technology – Open System Interconnection – The Technology – Open System Interconnection – The Directory: Authentication FrameworkDirectory: Authentication Framework

X.509X.509是是 X.500X.500 标准系列的一部分，在标准系列的一部分，在 PKIPKI 的发展的发展中，中， X.509X.509起到了无可比拟的作用起到了无可比拟的作用 ..

X.509X.509 定义并标准化了一个通用的、灵活的证书格定义并标准化了一个通用的、灵活的证书格式式 ..

X.509X.509 的实用性来源于它为的实用性来源于它为 X.509 v3X.509 v3和和 X.509 v2 X.509 v2 CRLCRL 定义的强有力的扩展机制定义的强有力的扩展机制 ..

§2.4 LDAP协议§2.4 LDAP协议 LDAP, Lightweight Directory Access Protocol.LDAP, Lightweight Directory Access Protocol.

LDAPLDAP 的发展的发展LDAP v1, v2, v3, ldapbis, ldapext, ldupLDAP v1, v2, v3, ldapbis, ldapext, ldup

第 3 章 PKI及其构件第 3 章 PKI及其构件

§3.1 综述§3.1 综述 PKIPKI 是生成、管理、存储、分发和吊销基于公钥是生成、管理、存储、分发和吊销基于公钥

密码学的公钥证书所需要的硬件、软件、人员、策密码学的公钥证书所需要的硬件、软件、人员、策略和规程的总和。略和规程的总和。

PKIPKI 的构件，的构件， PKIPKI 的安全策略的安全策略

§3.2 PKI构件§3.2 PKI构件 A PKI includes the following components:A PKI includes the following components:

CA, RA, Directory, EE, PKI-enabled Applications, CA, RA, Directory, EE, PKI-enabled Applications, Certificate Status CheckingCertificate Status Checking

PKIPKI构件及证书生命周期构件及证书生命周期 ((接下页接下页 ))

PKI构件与证书生命周期 (接上页 )PKI构件与证书生命周期 (接上页 )

PKI 实体PKI 实体

常见的信任模型常见的信任模型

VeriSign PKI层次图VeriSign PKI层次图

§3.3 PKI运作与 CPS§3.3 PKI运作与 CPS

CPSCPS是是 CACA 在发行公钥证书时使用的实践在发行公钥证书时使用的实践(practice, (practice, 惯例惯例 )) 的声明，统率的声明，统率 PKIPKI 的整体运作的整体运作

RFC2527 - Certificate Policy and Certification RFC2527 - Certificate Policy and Certification Practices FrameworkPractices Framework

VeriSign, Entrust, DoD PKI, SHECA, CFCA etc.VeriSign, Entrust, DoD PKI, SHECA, CFCA etc.

VeriSign CPS处于中心角色VeriSign CPS处于中心角色

§3.4 PMI与 TSA§3.4 PMI与 TSA

PMI, PMI, 即即 Privilege Management Infrastructure, Privilege Management Infrastructure, 在在ANSI, ITU X.509ANSI, ITU X.509和和 IETF PKIXIETF PKIX 中都有定义中都有定义

特权管理服务特权管理服务 (PKI Based)(PKI Based) 依赖于策略，所谓策略依赖于策略，所谓策略就是将实体、组和角色与相应的特权进行映射就是将实体、组和角色与相应的特权进行映射 ((如如 列出实体名称或角色被允许还是禁止的权限列出实体名称或角色被允许还是禁止的权限 ).).

TSA, TSA, 即即 Time Stamp Authority[RFC3162, Time-Time Stamp Authority[RFC3162, Time-Stamp Protocol]Stamp Protocol]

TSATSA 是一个产生时间戳记号的可信第三方，该时是一个产生时间戳记号的可信第三方，该时间戳记号用以显示数据在特定时间前已存在间戳记号用以显示数据在特定时间前已存在 ..

特权管理基础设施机制特权管理基础设施机制 实现特权管理基础设施实现特权管理基础设施 (PMI)(PMI) 有很多机制，有很多机制，大致可以分为三类：大致可以分为三类：

基于基于 KerberosKerberos 基于策略服务器基于策略服务器 基于属性证书基于属性证书原理原理 对称密码技术对称密码技术 有一个中心服务器有一个中心服务器 , , 创建、创建、

维护和验证身份、组和角色维护和验证身份、组和角色ACAC，， PKIPKI

优点优点 性能诱人性能诱人 控制高度集中，单点管理控制高度集中，单点管理 完全分布处理，具完全分布处理，具有失败拒绝的优点有失败拒绝的优点

缺点缺点 不便于密钥管理，不便于密钥管理，单点失败单点失败

容易成为通信的瓶颈容易成为通信的瓶颈 性能不高性能不高 (( 原因是原因是基于公钥的操作基于公钥的操作 ))

适用环境适用环境 有大量的实时事务有大量的实时事务处理环境中的授权处理环境中的授权

是地理上在一起的实体环境是地理上在一起的实体环境的最好选择，有很强的中心的最好选择，有很强的中心管理控制功能管理控制功能

是需要支持不可否是需要支持不可否认服务的授权的最认服务的授权的最佳选择佳选择

其它其它 RFC1510, RFC1510, 实现有实现有DCE, SESAMEDCE, SESAME

第 4 章 PKI 实践 – 技术问题 第 4 章 PKI 实践 – 技术问题

§4.1 数字证书§4.1 数字证书 证书与数字证书证书与数字证书

Loren M. Kohnfelder, 1978 (bachelor thesis)Loren M. Kohnfelder, 1978 (bachelor thesis) 数字证书的用途数字证书的用途

Authentication, Authorization and Authority Authentication, Authorization and Authority DelegationDelegation

常见的数字证书格式常见的数字证书格式X.509, PGP, SDSI/SPKI, X9.59(AADS), AC, X.509, PGP, SDSI/SPKI, X9.59(AADS), AC, OthersOthers

X.509 数字证书 (VeriSign)X.509 数字证书 (VeriSign)

§4.2 证书验证与证书生命周期§4.2 证书验证与证书生命周期 证书有效性或可用性验证证书有效性或可用性验证 密钥密钥 //证书生命周期证书生命周期

初始化阶段：终端实体注册初始化阶段：终端实体注册 ->-> 密钥对产生密钥对产生 ->-> 证证书创建和密钥书创建和密钥 //证书分发，证书分发，密钥备份证书分发，证书分发，密钥备份

颁发阶段：证书检索，证书验证，密钥恢复，密钥颁发阶段：证书检索，证书验证，密钥恢复，密钥更新更新

取消阶段：证书过期，证书恢复，证书吊销，密钥取消阶段：证书过期，证书恢复，证书吊销，密钥历史，密钥档案历史，密钥档案

Cert Lifecycle in VeriSign CPSCert Lifecycle in VeriSign CPS

§4.3 交叉认证§4.3 交叉认证 交叉认证是把以前无关的交叉认证是把以前无关的 CACA连接在一起的机制连接在一起的机制 交叉认证可以是单向的，也可以是双向的交叉认证可以是单向的，也可以是双向的 不同的交叉认证信任模型不同的交叉认证信任模型

Subordinated HierarchySubordinated Hierarchy，， Cross-certified Cross-certified MeshMesh，， HybridHybrid，， Bridge CABridge CA，， Trust Lists etc.Trust Lists etc.

域内交叉认证，域外交叉认证域内交叉认证，域外交叉认证 约束约束

名字约束，策略约束，路径长度约束名字约束，策略约束，路径长度约束

§4.4 标准化 (PKIX 文档概况 )§4.4 标准化 (PKIX 文档概况 )

概貌概貌 (Profiles) – RFC2459(Profiles) – RFC2459

运作协议 运作协议 – – RFC2559, RFC2560, RFC2585, etc.RFC2559, RFC2560, RFC2585, etc.

管理协议 管理协议 – – RFC2510, RFC2511, RFC2797, etc.RFC2510, RFC2511, RFC2797, etc.

策略概要策略概要 (Policy Outline) – RFC2527(Policy Outline) – RFC2527

时间戳、数据验证和数据认证服务 时间戳、数据验证和数据认证服务 – – RFC3029, RFC3029, RFC3161RFC3161

Time-Stamp, Data Verification, and Data Time-Stamp, Data Verification, and Data Certification ServicesCertification Services

§4.5 互操作§4.5 互操作 MISPC, Minimum Interoperability Specifications for MISPC, Minimum Interoperability Specifications for

PKI Components  PKI Components 

http://csrc.nist.gov/pki/mispc/welcome.html

PKI Forum PKI Forum

http://www.pkiforum.org/

第 5 章 PKI 实践 – 非技术问题第 5 章 PKI 实践 – 非技术问题

§5.1 CP与 CPS§5.1 CP与 CPS

CP, Certificate PolicyCP, Certificate Policy

定义了一个用户对其它用户数字证书信任的程度定义了一个用户对其它用户数字证书信任的程度 CPS, Certification Practice StatementCPS, Certification Practice Statement

人们与组织根据人们与组织根据 CACA的的 CPSCPS 来确定他们对该来确定他们对该 CACA的信任程度的信任程度

RFC 2527RFC 2527

Internet X.509 Public Key Infrastructure Internet X.509 Public Key Infrastructure Certificate Policy and Certification Practices Certificate Policy and Certification Practices FrameworkFramework

PKI 的安全策略 Certification Practice StatementCertification Practice Statement

证书政策证书政策 责任与其它法律考虑责任与其它法律考虑

§5.2 运作考虑§5.2 运作考虑 客户端软件客户端软件 在线需求与离线运作在线需求与离线运作 物理安全物理安全 硬件部件硬件部件 用户密钥的威胁用户密钥的威胁 灾难恢复灾难恢复

§5.3 PKI涉及到的法律问题§5.3 PKI涉及到的法律问题 数字签名的法律状况数字签名的法律状况 PKIPKI 的法律框架的法律框架

许可权，角色与责任，私有许可权，角色与责任，私有 PKI(PKI(企业企业 PKI)PKI)

密码管理政策与法规密码管理政策与法规 (( 不同的密码管理政策不同的密码管理政策 ))

第 6 章 PKI 应用第 6 章 PKI 应用

§6.1 SSL/TLS§6.1 SSL/TLS

由由 NetscapeNetscape，， IETF TLSIETF TLS 工作组开发工作组开发 SSL/TLSSSL/TLS 在源和目的实体间建立了一条安全通道在源和目的实体间建立了一条安全通道 (( 在传输在传输层之上层之上 )) ，提供基于证书的认证、信息完整性和数据保密，提供基于证书的认证、信息完整性和数据保密性性

SSLSSL 体系结构：体系结构： SSLSSL协议栈协议栈

IPIP

TCPTCP

SSLSSL 记录协议记录协议

SSLSSL 握手握手协议协议

SSLSSL 修改修改密文协议密文协议

SSLSSL 告警告警协议协议

HTTPHTTP协议协议

§6.2 S/MIME & PGP§6.2 S/MIME & PGP

PGP, Phil Zimmerman, 1991PGP, Phil Zimmerman, 1991 PGP的操作描述、加密密钥和密钥环、公开密钥管理 RFC2440，

S/MIMES/MIME RFC822 -> MIME -> S/MIME v2, v3 S/MIME的功能 S/MIME证书的处理 S/MIME增强的安全服务

Signed receipt， Security Label和 Security mailing list.

§6.3 IPSec§6.3 IPSec

IPIP层的安全包括了层的安全包括了 33 个功能域：鉴别、机密性和个功能域：鉴别、机密性和密钥管理密钥管理

IPSecIPSec 的重要概念的重要概念鉴别报头鉴别报头 ((AH), AH), 封装安全有效负载封装安全有效负载 ((ESP), ESP), 传输模传输模式式 , , 隧道模式隧道模式 , , 安全关连安全关连 ((SA), SA), 安全关连组安全关连组 ((SA SA Bundle), ISAKMP.Bundle), ISAKMP.

IPSecIPSec，， IPv6IPv6将使互联网将使互联网 ((尤其是网络安全尤其是网络安全 )) 发生发生巨大变化巨大变化

IPSec(Cont.)IPSec(Cont.)

IPSecIPSec 安全服务安全服务

IPSecIPSec 密钥管理密钥管理人工，自动，人工，自动， ISAKMP/OakleyISAKMP/Oakley

AHAH ESP(ESP( 只加密只加密 )) ESP(ESP( 加密并鉴别加密并鉴别 ))

访问控制访问控制 ** ** **

无连接完整性无连接完整性 ** **

数据源的鉴别数据源的鉴别 ** **

拒绝重放的分组拒绝重放的分组 ** ** **

机密性机密性 ** **

有限的通信量的机密性有限的通信量的机密性 ** **

体系结构体系结构

ESPESP协议协议 AHAH协议协议

DOIDOI

密钥管理密钥管理

加密算法加密算法 鉴别算法鉴别算法

IPSec 文档结构概况IPSec 文档结构概况

§6.4 SET§6.4 SET

19961996 年年 22月，月， IBM, Microsoft, Netscape, RSA, IBM, Microsoft, Netscape, RSA, TerisaTerisa和和 VeriSignVeriSign 开发了开发了 SET v1(SET v1( 针对针对MasterCardMasterCard和和 VisaVisa 安全标准的需要而出现的安全标准的需要而出现的

SETSET 是开放的、设计用来保护是开放的、设计用来保护 InternetInternet 上信用卡上信用卡交易的加密和安全规范交易的加密和安全规范

从本质上，从本质上， SETSET 提供了三种服务：提供了三种服务： 在交易涉及的各方之间提供安全的通信信道 通过使用 X.509 v3数字证书来提供信任。 保证机密性，因为信息只是在必要的时候、必要的地方才对交易各方可用

交易过程：购买请求、支付认可和支付获取交易过程：购买请求、支付认可和支付获取

§6.5 时间戳服务§6.5 时间戳服务 RFC3161 (TSP, Time Stamp Protocol)RFC3161 (TSP, Time Stamp Protocol) 时间戳也是一种安全服务 － 可信第三方时间戳权时间戳也是一种安全服务 － 可信第三方时间戳权威威 ((TSA, Time Stamp Authority)TSA, Time Stamp Authority) 签名某信息，为签名某信息，为此信息在特定时间前存在提供证据此信息在特定时间前存在提供证据

数字签名 ＋ 时间戳 可提供不可否认服务数字签名 ＋ 时间戳 可提供不可否认服务 TDA(Temporal Data Authority)TDA(Temporal Data Authority)

§6.6 DVCS§6.6 DVCS

RFC3029, Data Validation and Certification RFC3029, Data Validation and Certification ServiceService

DVCSDVCS 是验证提交给它的特定数据的正确性的可信是验证提交给它的特定数据的正确性的可信第三方第三方

第 7 章 PKI厂商、产品及实现第 7 章 PKI厂商、产品及实现

§7.1 著名的 PKI厂商§7.1 著名的 PKI厂商 VeriSign (VeriSign (http://www.verisign.com/))

Entrust (Entrust (http://www.entrust.com/))

Baltimore (Baltimore (http://www.baltimore.com/))

RSA Security (RSA Security (http://www.rsasecurity.com/))

Differences between Enterprise CA And Trade CADifferences between Enterprise CA And Trade CA

Enterprise CA is a model that your company hold Enterprise CA is a model that your company hold everything of PKI including CA, RA, Directory Server etc.everything of PKI including CA, RA, Directory Server etc.

EntrustEntrust，， BaltimoreBaltimore，， RSA Security, InfoSec, JIT, Koal RSA Security, InfoSec, JIT, Koal and NetFront etc.and NetFront etc.

Trade CA is another model that a trusted third party (often Trade CA is another model that a trusted third party (often are PKI vendors) will manage every thing for you, but are PKI vendors) will manage every thing for you, but maybe you can control the user enrollment process. maybe you can control the user enrollment process.

Verisign, CFCA, CTCAVerisign, CFCA, CTCA

The selection between them will base on a lot things, such as The selection between them will base on a lot things, such as trust relationship, the control you have on the end users etctrust relationship, the control you have on the end users etc

§7.2 著名的 PKI 实现 (open source)§7.2 著名的 PKI 实现 (open source)

OpenCA Project (OpenCA Project (http://www.openca.org/))

OSCAR PKI Project (OSCAR PKI Project (http://oscar.dstc.qut.edu.au/))

Jonah PKIX (Jonah PKIX (http://web.mit.edu/pfl/))

pyCA (pyCA (http://www.pyca.de/))

Mozilla Open Source PKI ProjectMozilla Open Source PKI Project

http://www.mozilla.org/projects/security/pki/

§7.2 著名的密码算法 Toolkit§7.2 著名的密码算法 Toolkit

OpenSSL Project (Open Source)OpenSSL Project (Open Source)

http://www.openssl.org/

CDSA (Open Source)CDSA (Open Source)

http://developer.intel.com/ial/security/

RSA BSAFE (Commercial Version)RSA BSAFE (Commercial Version)

http://www.rsasecurity.com/products/bsafe/index.html

第 8 章 标准化进展第 8 章 标准化进展

§8.1 概述§8.1 概述 ITUITU 系列标准系列标准 IETF PKIX, SPKI etc.IETF PKIX, SPKI etc.

SETSET

PKCSPKCS

其它其它

第 9 章 传统 PKI 的不足第 9 章 传统 PKI 的不足

第 10 章 PKI 的新进展第 10 章 PKI 的新进展

附录 1 信任模型附录 1 信任模型

附录 2 术语表附录 2 术语表

附录 3 参考文献附录 3 参考文献

附录 4 国内的 PKI 发展情况附录 4 国内的 PKI 发展情况

致谢 !致谢 !

Arthur Jin (who remind me to add RC2/RC4)Arthur Jin (who remind me to add RC2/RC4)

Chorus Li (who remind me to add something about Chorus Li (who remind me to add something about domestic PKI vendors)domestic PKI vendors)

Yongtian Zhang (who spent time to review the Yongtian Zhang (who spent time to review the outline and give me his important comments)outline and give me his important comments)

Frank Lau, Richard Wei, WHIZ Labs, & AKA etc.Frank Lau, Richard Wei, WHIZ Labs, & AKA etc.

Any Questions or

Comments?

Any Questions or

Comments?