公鑰基礎設施的應用

第6章公鑰根底設施的應用

孟顯勇

清華大學出版社電子商務平安管理與支付PKI(PublicKeyInfrastructure，公鑰根底設施)是一個基于公鑰加密體制的網絡平安認證體系，能夠為所有的網絡應用提供加密和數字簽名等密碼效勞，并為網絡通信實體提供一套完善的基于數字證書的身份認證體系。PKI是利用公鑰加密技術來實現網絡通信的保密性、完整性以及身份可認證性，是電子商務平安技術的核心，主要功能包括數據加密、數字簽名、數據完整性校驗以及網絡通信實體身份認證等。6.1公鑰根底設施概述

6.1.1PKI系統(tǒng)的概念PKI的信任模型是網絡通信實體之間建立信任關系和實現實體身份認證的結構框架，主要描述的是如何在不同認證機構之間建立認證路徑以及如何構建和尋找認證路徑的規(guī)那么，即定義通信實體之間如何建立信任和如何控制信任的相關規(guī)那么，為了便于理解PKI信任模型，下面引入幾個與信任相關的根本概念：·信任。在ITU-T的X.509標準給出的定義中，信任是指實體A認定實體B將嚴格地按A所期待的那樣行動，那么叫A信任B。在這種關系中，A稱為信任者，B稱為被信任者。·信任域。信任域是在一組公共的平安策略控制下相互信任的網絡通信實體所組成的集合，其中公共平安策略是指系統(tǒng)頒發(fā)、管理、驗證和撤銷證書所依據的一系列標準和規(guī)定的集合?！ば湃嗡?。用來度量網絡通信過程中信任者與被信任者之間的信任程度，通常在PKI系統(tǒng)中要借助像認證機構CA這樣的可信第三方來提高認證系統(tǒng)中信任者與被信任者之間的信任水平。6.1公鑰根底設施概述

6.1.2PKI系統(tǒng)的常用信任模型1.嚴格層次信任模型6.1公鑰根底設施概述

6.1.2PKI系統(tǒng)的常用信任模型2.網狀信任模型6.1公鑰根底設施概述

6.1.2PKI系統(tǒng)的常用信任模型3.橋接信任模型6.1公鑰根底設施概述

6.1.2PKI系統(tǒng)的常用信任模型4.以用戶為中心的信任模型在以用戶為中心的信任模型中，由用戶為所信任的其他用戶發(fā)放數字證書，并建立信任關系，因此這種信任模型不需要專門的CA，用戶完全決定與其他用戶之間的信任關系。5.信任列表信任模型信任列表信任模型是利用動態(tài)的二維列表來存儲所有信任的CA的根證書，所信任的CA的類型可以是層次結構、網狀結構或混合結構。6.1公鑰根底設施概述

6.1.2PKI系統(tǒng)的常用信任模型PKI系統(tǒng)中的實體主要包括管理實體、端實體和證書庫。PKI系統(tǒng)通過管理實體、端實體和證書庫來管理和使用證書，負責證書的申請、發(fā)放、管理、存檔和撤銷等。管理實體主要負責證書的申請、發(fā)放以及密鑰對更新等，端實體作為證書的使用者主要利用數字證書驗證實體身份，證書庫主要為用戶存儲和恢復證書，并提供證書撤銷表。這三種實體的主要功能分別是：·管理實體?！ざ藢嶓w。·證書庫。6.1公鑰根底設施概述

6.1.3PKI的運行模型認證機構CA，也稱認證中心，是PKI的核心管理機構，主要負責數字證書的申請、發(fā)放、更新及注銷等。PKI為電子商務交易提供了一個平安的認證平臺，CA作為電子商務系統(tǒng)的可信第三方，為電子交易各參與實體簽發(fā)和管理數字證書，并驗證各交易實體的真實身份。數字證書是網絡通信實體身份認證的主要電子憑證，是實現電子商務平安交易的根底。CA是電子商務交易實體所信賴的具有權威性和公正性的第三方機構，主要功能包括證書發(fā)放、證書更新、證書撤銷和證書驗證等功能，其中最核心的功能是發(fā)放與管理數字證書。CA簽發(fā)數字證書前，首先驗證用戶的真實身份，對通過驗證的用戶提供各項證書效勞。6.1公鑰根底設施概述

6.1.4PKI的核心管理機構數字證書又稱數字憑證、公鑰證書、數字標識，是PKI的核心產品，是應用公鑰加密體制實現網絡通信實體身份認證的電子證明文件。數字證書由權威認證機構CA頒發(fā)，主要內容包含證書持有者的根本信息、密鑰對以及公鑰加密算法等，此外，證書上還附有認證機構的數字簽名。在電子商務交易中，交易雙方可以通過交換數字證書來驗證對方身份的有效性，也可以利用數字證書對交易數據進行加密和解密，以實現交易信息的保密性、完整性和身份可認證性。6.1公鑰根底設施概述

6.1.5PKI的核心產品PKI的標準可以分為兩個局部，一局部是關于PKI的根本協議標準，而另外一局部是關于PKI的應用協議標準。PKI系統(tǒng)幾個較為常用和重要的標準如下：〔1〕PKCS〔PublicKeyCryptographyStandards，公鑰加密標準〕?！?〕X.509標準是由國際電信聯盟ITU制定的數字證書標準?！?〕OCSP〔OnlineCertificationStatusProtocol，在線證書狀態(tài)協議〕?！?〕LDAP〔LightDirectoryAccessProtocol，輕量級目錄訪問協議〕?！?〕WPKI〔WirelessPublicKeyInfrastructure，無線公鑰根底設施〕?！?〕XKMS〔XMLKeyManagementSpecification，XML密鑰管理標準〕。6.2PKI的體系結構與功能

6.2.1PKI的標準政策批準機構策略證書機構認證機構注冊機構驗證機構目錄效勞6.2PKI的體系結構與功能

6.2.2PKI體系的構成要素在PKI體系結構中，有多種成員組織方式，其中最主要的三種方式：第一種是按照日常職能分類的COI(CommunityOfInterest，共同權益)方式；第二種是建立在現有政府或組織機構的管理根底之上的組織化方式；第三種是按照平安級別劃分的擔保等級方式。6.2PKI的體系結構與功能

6.2.3PKI體系結構的組織方式密鑰管理簽名與驗證證書的獲取驗證證書保存證書本地證書的獲取證書撤銷的申請密鑰更新獲取CRL審計證書存檔6.2PKI的體系結構與功能

6.2.4PKI系統(tǒng)的主要功能PKI體系的互通性是指PKI體系中的認證機構之間可以實現暢通的相互的認證。目前，PKI體系的互通性主要指兩種認證方式：交叉認證方式和全球建立的統(tǒng)一根認證方式。6.2PKI的體系結構與功能

6.2.5PKI體系的互通性〔1〕實體身份認證。·實體身份認證。信息系統(tǒng)平安通信過程中，網絡通信實體首先要驗證彼此身份的真實性，然后才能進一步進行平安通信或電子交易。實體身份認證是實現PKI體系中實體身份認證的主要技術措施。·數據來源認證。數據來源認證是鑒別信息發(fā)出實體的身份真實性，明確信息發(fā)送者的身份確實與所聲稱的實體身份一致。數據來源認證是實現PKI體系實體身份認證、抗抵賴機制和支持不可否認機制的技術手段?！?〕數據完整性校驗?！?〕保密性。保密性是指網絡通信數據不被授權以外的網絡通信實體知悉或訪問，是信息平安通信的根本要求，通常需要保密的數據包括：·隱秘的數據存儲于公共存儲媒介中。·數據可能被未授權的訪問者訪問?！る[秘的數據在公共的網絡環(huán)境中傳送?！?〕不可否認性。不可否認性是指網絡通信實體不能否認曾經發(fā)送的電子信息或者簽訂的電子合同，即使簽發(fā)者否認也可以通過電子證據核實。不可否認性是建立網絡誠信體系的根底，PKI系統(tǒng)利用證書的簽名和驗證效勞來實現網絡通信的不可否認性，通信雙方通過保存對方的簽名信息來實現網絡通信的不可否認機制?！?〕公證效勞。公證效勞是指在通信雙方出現糾紛時，PKI體系中的CA充當可信第三方來公證數據、調節(jié)糾紛。在PKI體系中，利用數字證書實現身份認證和平安通信時，CA可以作為權威的、公正的、可信賴的第三方參與公證事務處理，尤其在電子商務交易過程中，交易雙方出現交易糾紛時，需要權威的可信第三方來提供公證效勞。6.2PKI的體系結構與功能

6.2.6PKI提供的平安效勞6.2PKI的體系結構與功能

6.2.7PKI證書的申請過程PKI體系提供的不可否認機制主要有三種類型?！?〕來源的不可否認機制。來源的不可否認機制是指明確掌握信息來源的真實性和有效性，明確特定信息的生成者和生成時間等問題。PKI系統(tǒng)的來源的不可否認機制用于保護信息的接收方，通常通過以下兩種方法實現：·發(fā)送方對發(fā)送的數據進行數字簽名，并添加時間戳，以防重傳攻擊。·可信的第三方對雙方的通信數據進行數字簽名，另外，可信的第三方也可以對信息的摘要值進行數字簽名?！?〕遞送的不可否認機制。遞送的不可否認機制主要是為了證實接收方是否接收到發(fā)送方簽發(fā)的信息，主要內容包括接收方確認收到特定信息和確認接收時間。PKI系統(tǒng)的遞送的不可否認機制可以提供相關證據保護發(fā)送方，實現遞送的不可否認機制有以下方法：·接收方收到信息后向發(fā)送方返回簽名回執(zhí)。·可信的第三方對雙方的通信數據進行數字簽名?！?〕提交的不可否認機制。6.3PKI系統(tǒng)的應用

6.3.1PKI的不可否認機制〔1〕認證機構CA的主要功能如下：·審核申請、簽發(fā)證書、發(fā)布CRL、管理下級機構RA?！な跈嘟⑾录墮C構RA，并頒發(fā)證書?！徍擞蒖A轉交的用戶申請或相關身份證明文件?！へ撠煂⒆C書發(fā)布到目錄效勞器上?！?〕注冊機構RA的主要功能如下：·負責接受與審核本地用戶的證書申請。·維護本地用戶的相關資料。·協助CA發(fā)放由CA簽發(fā)的數字證書?！へ撠煴镜刈C書撤銷表CRL的管理與發(fā)布。6.3PKI系統(tǒng)的應用

6.3.2認證機構的功能與應用CFCA認證系統(tǒng)的主要功能是：·接收用戶的申請數字證書的請求?！徍擞脩舻纳暾埡蜕矸葑C明文件，審核通過后，為用戶簽發(fā)數字證書?！底肿C書的歸檔和備份，負責恢復、更新用戶的數字證書?！徟脩舻淖C書撤銷申請，審批通過后，將證書撤銷信息發(fā)布在證書撤銷表CRL中?！す芾硐聦僬J證機構及其密鑰對。6.3PKI系統(tǒng)的應用

6.3.3中國金融認證中心的功能6.3PKI系統(tǒng)的應用

6.3.4數字證書的申請與使用本章主要介紹了公鑰根底設施的根底知識，主要包括公鑰根底設施的根本概念、公鑰根底設施的信任模型、公鑰根底設施的運行模型、公鑰根底設施的管理機構、公鑰根底設施的體系結構和功能、公鑰根底設施的認證過程以及公鑰根底設施的應用。重點掌握公鑰根底設施的常用信任模型，并熟悉不同信任模型的優(yōu)點和缺點；掌握公鑰根底設施中管理機構的主要功能和相互關系，并重點掌握政策批準機構、策略證書機構、認證機構和注冊機構的根本職能；掌握公鑰根底設施的根本標準及其