电子商务信息安全技术密钥管理与PKI体系
曹健
密钥管理与PKI体系
•密钥的结构与分配
•数字证书
•公钥基础设施
密钥的结构与分配
传输介质
（网络信道）
解密算法明文解密密钥K d
明文加密算法加密密钥K e 密文
用户A 用户B 传送给B 的信息
B 收到信息入侵者C
攻击密码分析
密钥的结构与分配
数据安全基于密钥而不是算法的保密
密钥的结构与分配
从密钥管理的途径窃取秘密要比单
纯的破译所花的代价要小得多。

最易渗透原则（Principle of Easiest Penetration ）：一个入侵者总是企图利用任何可能的入侵手段。

这种入侵没必要通过显而易见的手段，也没有必要针对安装有最可靠的防御系统。

威胁（threat ）、弱点（vulnerability ）、控制（control ）
密钥的结构与分配
短板效应/木桶定律(Buckets effect / Cannikin Law ）:一个木桶由许多块木板组成，其最大容量并不取决于桶壁上最长的那块木板，而恰恰受制于桶壁上最短的那块木板。

密钥的结构与分配
•密钥管理是处理密钥自产生到最终销毁的整个过程中的有关问题。

包括了密钥的产生、存储、分配、组织、使用、更换和销毁等内容。

•密钥管理的具体要求：
（1）密钥难以被非法窃取；
（2）在一定条件下窃取了密钥也没用；
（3）密钥的分配和更换过程对用户透明，用户不一定要亲自掌握密钥。

密钥的结构与分配
密钥的分级
•初级密钥（工作密钥）
用于加解密数据的密钥。

•二级密钥（密钥加密密钥）
用于保护初级密钥。

•主密钥（密钥加密密钥）
密钥管理方案中的最高级密钥，用于对二级密钥进行保护。

密钥的结构与分配
密钥的产生
•对称密码体制
密钥本质上是一种随机数或随机序列。

比如，对
于主密钥，应当是高质量的真随机序列；而对于
初级密钥，采用足够随机的伪随机序列就可以了。

•非对称密码体制
本质上是一种单向陷门函数，建立在某一数学难
题之上。

比如，RSA加密体制就是基于数论中的
“大数分解和素数检测”理论
密钥的结构与分配
密钥的存储
•明文形态
主密钥以明文形式存储，存储器必须是高度安全的，通常存储在专用密码装置中。

•密文形态
二级密钥的和初级密钥以密文形式存储。

•分量形态
密码共享（门限法）
密钥的结构与分配
密钥的存储
•秘密共享（门限法）：
将密钥K分成n个小片，由任意t（t>1）个小片可
以得到K，但少于t片就会因为信息短缺而不能确定K。

实质是一种分割秘密的技术，目的是阻止
秘密过于集中，达到分散风险和容忍入侵的目的。

密钥的结构与分配
密钥的分配
密钥分配中心（Key Distribution Center, KDC）：（1）每个节点或用户名需保管与KDC之间使用的密
钥加密密钥；
（2）KDC为每个用户保存互不相同的密钥加密密钥。

（3）用户通信时，向KDC申请，KDC把用密钥加密密钥加密的工作密钥发送给通讯双方。

优点：用户不须保存密钥，工作密钥一次一换，随用随申请、随清洗。

缺点：通信量大。

密钥的结构与分配
密钥的分配
•基于对称密码的密钥分配
密钥的结构与分配
密钥的分配
•公钥的分配
–公开发布
用户将自己的公钥发给所有
其他用户或向某一团体广播。

–公钥动态目录表
目录表的建立、维护以及公钥的分布
由可信的实体和组织承担。

–数字证书（公钥证书）
A
KU a
KU a
……
KU a
KU a
B
KU b
KU b
……
KU b
KU b
公钥目录
A
KU a
B
KU b
数字证书
数字证书
主体身份信息
主体的公钥
颁发者名称
其他信息
颁发者签名
驾驶证
驾驶员身份信息
执照种类（驾驶
能力）
公安局名称
其他信息
公安局盖章
数字证书
数字证书的产生过程
颁发者的计算机用户的计算机
产生密钥
姓名
私钥
公钥
颁发者公钥
颁发者私钥
数字签名
数字证书
数字证书
数字证书
数字证书
数字证书是将证书持有者的身份和其所拥有的公钥进行绑定的文件。

证书文件还包含签发该证书的权威机构认证中心CA （Certificate Authority）对该证书的签名。

用户通过数字证书交换各自公钥，
无须与公钥管理机构联系。

数字证书
数字证书方法满足的条件
–任何通信方可以读取证书并确定证书拥有者的姓名和公钥。

–任何通信方可以验证该证书出自证书管理员，而不是伪造的。

–只有证书管理员才可以产生并更新证书。

–任何通信方可以验证证书的当前性。

数字证书
X.509数字证书
–现实中有各种各样的数字证书，如PGP、SET、IPSec。

–目前应用最广泛的证书格式是国际电信联盟
ITU提出的X.509版本3。

–X.509最早于1988年颁布，1993年和1995年两次修改。

–Internet工程任务组针对X.509在Internet环境的
应用，颁布了一个作为X.509自己的RFC2459。

数字证书
X.509证书的格式和内容
证书格式版本：版本1、版本2或者版本3
证书序列号：本证书的唯一标识
签名算法标识符：本证书使用的数字签名算法
发证者的名称：证书颁发者的可识别名
有效期：证书有效的时间段
主体名称：证书拥有者的可识别名（非空）
主体公钥信息：申请者公钥以及公钥算法信息。

发证者唯一标识符：可选字段，很少使用
主体唯一标识符：可选字段，很少使用
扩展项：密钥和主体的附加属性说明
CA签名：CA对证书的数字签名
公钥基础设施
公钥基础设施（Public Key Infrastructure, PKI）PKI就是创建、管理、存储、分发和撤销基于公钥密码学的公钥证书的方法和策略，以及实现上述方法和策略所需人力、软件和硬件资源的集合。

•PKI提供的核心的安全服务
认证、完整性、机密性
•PKI提供的附加服务
不可否认性、安全通信、安全时间戳、公证
公钥基础设施
证
书
库
密钥
服务器证书颁发机构CA 注册认证
机构RA
PKI 基本组件PKI 系统模型
公钥基础设施
证书权威CA （Certificate Authority）
–即证书管理中心，或称认证权威，是公钥证书
的发行机构。

–CA对公钥进行公证，证明公钥主人身份与公钥的关系（CA用自己的私钥对证书签名）。

–CA可以为用户产生密钥对。

–CA也给自己颁发证书。

公钥基础设施
注册中心RA（Registration Authority）
–专门负责受理用户申请证书。

–对证书申请人的合法性进行认证，并决定是批准或拒绝证书申请，不负责签发证书。

–接收和授权密钥备份和恢复请求。

–接收和授权证书吊销请求。

公钥基础设施
数字证书的签发流程
–用户向CA提交RA的注册批准信息及自己的身份等信息(或者由RA向CA提供)
–CA验证所提交信息的正确性和真实性
–CA为用户产生密钥(或由用户自己产生并提供密钥)，并进行备份
–CA生成证书，并施加签名
–将证书的一个副本交给用户，并存档入库
公钥基础设施
PKI的信任模型
证书用户、证书主体、各个CA之间的证书认证关系称为PKI的信任模型。

–各个国家都建立自己的PKI，一个国家内部再
分别建立不同行业或不同地区的PKI。

–为了实现跨地区、跨行业，甚至跨国际的安全
电子业务，这些不同的PKI之间的互联互通和
相互信任是不可避免的。

公钥基础设施
严格层次信任模型
子CA22
根CA
子CA1子CA2
子CA11子CA12子CA13子CA21
用户11用户12用户13用户21用户22
公钥基础设施
Web信任模型
浏览器厂商在浏览器中内置了多个根CA，它们相互间是平行的，默认为用户信任。

公钥基础设施以用户为中心的信任模型
用户A
A的朋友
A的同事A的父亲
A的哥哥
A哥哥的
朋友
A父亲的
朋友
公钥基础设施
交叉认证信任模型
交叉认证是指两个CA互相为对方的公钥进行数字签名，形成交叉认证证书，使得各自签发的用户证书可以被对方的用户正确校验。

根CA根CA
用户A用户B用户C用户D
互相认证
互相信任
习题
✓简述密钥分配中心的实现原理和特点。

✓什么是PKI系统，它有哪些基本组成部分和信任模型？
✓什么是数字证书？请简述数字证书签发的基本流程。