公钥基础设施PKI 唐文 北京大学信息学院 软件工程研究所 － 信息安全研究室

Presentation on theme: "公钥基础设施PKI 唐文 北京大学信息学院 软件工程研究所 － 信息安全研究室"— Presentation transcript:

1 公钥基础设施PKI 唐文 北京大学信息学院 软件工程研究所 － 信息安全研究室

2 内容 认证逻辑 公开密钥基础设施PKI 密钥管理 组合公钥技术 2018年12月8日

3 认证逻辑

4 认证逻辑 信任逻辑：对主体的认证，对照方法判别 注册性，双边性，独有性，一体性，主从性 相信逻辑：对客体的认证，推理方法判别
　 信任逻辑：对主体的认证，对照方法判别 注册性，双边性，独有性，一体性，主从性 相信逻辑：对客体的认证，推理方法判别 （BAN逻辑，NRL逻辑，NCP逻辑） 可解性，无重性，占有性

5 主体认证 在信息系统中，主体认证在主体之间进行。一个主体对另一个主体进行识别（identify），验明身份（proof of identity）。主体分为验证方和证明方。

6 主体认证的依据 主体认证必须具有某种“信物”，如：合同，协议，照片，证件，ID卡或身份证等。这种“信物”特征应记录在案。发证方是主主体，领证方是从主体。而主体和证件具有一体性。因此，主体认证必须满足注册性，共有性，独特性，一体性，主从性。

7 注册性 证明方主体特征应是预先设置或约定的，这就是注册。因为证明通常以对照的方法进行，没有参照物，就无法比较，也就是无法得到证明。很显然，不注册就没有判别的依据。因此注册中包括判别所需的所有有关内容。注册性决定了一个验证主体管辖的证明方是有边界的。而不是无限的。注册性是主体认证和客体认证的主要区别点。

8 共有性 共有性强调验证方和证明方具有相同意义的“信物”。过去简单用：“你有什么，你知道什么，你是什么”来定义身份认证的依据。得出你是谁的结论。按着共有性原则，应解释为：“你有的我也有，你知道的我也知道，你是什么的叙述跟我掌握的一样”。“我有，我知道，我是什么”应在注册中体现。

9 独特性 “信物”的部分或全部体现在注册中，同样，“信物”的部分或全部体现在证明方所持有的证件中。“信物”的综合特证是唯一的。有别于其它主体的特征。身份特征的分粒度按业务性质可以不同，在敌友识别系统中，只识别敌友双方即可，有的系统则要识别到具体的人，如身份证号或用户名等。

10 一体性 证明方必须具有主体和证件的一体性证据。如照片或人脑中的口令等，将证明主体和证件结合成一体化。用于一体性证明的技术有两种，一种是基于主体的生物特征，另一种是基于主体的逻辑特征。在信息系统中往往采用逻辑特征值，如口令或密钥参数。

11 最能够提供一体性证据的是主体固有的生物特征。现有生物特征技术大致如下：
1）生物特征 最能够提供一体性证据的是主体固有的生物特征。现有生物特征技术大致如下： 类别 存储量 验证方式 判别 准确度 指纹特征 4kB 接触型 几秒 有误判 视网膜特征 2kB 接触型 几秒 较准确 虹膜特征 B 非接触型 秒 非常准确 脸部特征和 声音特征 16kB 非接触型 几秒 较准确 其中，基于脸部特征的一体性验证，还具有可恢复脸部图象的功能，这种功能为事发后的跟踪追查提供有力的证据。

12 逻辑特征 逻辑特征是利用参数，如口令或密钥，作为主体身份的特征来进行认证的技术。认证一般通过一种协议来实现。

13 主从性 验证主体和证明主体构成主从关系。主从关系以登记，发证的形式体现。主体间互相认证，表面看起来是平等关系，但A方验证B方时，A方是主主体，而B方是从主体，而B方验证A方时，B方成为主主体，A方成为从主体。就一个主体的验证过程来说，不会形成平等关系。主从性指的是直接的从属关系，而不是间接的从属关系。从属关系规定了发证的合法性和有效域。一个系统只能对自己管辖的主体发证，而一个主体的证件只能在所属系统范围内有效。从安全理论的角度，这种关系是单层的，而不能是多层的。

14 主体认证协议 口令认证协议 一个客户A主机（PC）要登录到服务器（SVR）。 必备条件： A: 具有SVR 配发的ID卡。做管辖性证据；
具有用户名和口令，提供一体性证据； 具有SVR分发的参数R，提供当次性证据； PC： 具有加密算法和加密功能；具有密钥k1; SVR：ID卡合法性验证，验证其管辖性；用户A的用 户名(或用户标识PIN)和口令，用于一体性检 验；发给A的随机参数，用于当次性和管辖性 验证；密钥k1和 k2以及加解密功能。

15 身份（标识）认证示意 KEY1 KEY1， KEY2 R ， PWA PC SVR EKEY1(KEY2) EKEY2(R) 用户（PWA)
ID卡

16 验证过程： a) 用户插卡，卡中的内容输进PC机中。 EK1（K2）； EK2（R）； b) PC计算： DK1（Ek1(k2)) = k2 DK2(R)=R; c) 用户敲入口令WPa； d) PC计算EK2（RWPa）; 将结果送SVR； e) SVR计算EK2（RWPa）；将结果进行比较。 f) 如果认证通过，将EK2（NEW R）发回a的ID卡 中。

17 公开密钥基础设施PKI

18 公开密钥基础设施PKI 1976年Diffie和Hellman在《密码新方向》中提出了著名的D-H密钥交换协议，标志着公钥密码体制的出现。 Diffie和Hellman第一次提出了不基于秘密信道的密钥分发，这就是D-H协议的重大意义所在。 PKI（Public Key Infrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。 2018年12月8日

19 PKI提供的基本服务 认证 完整性 保密性 不可否认 采用数字签名技术，签名作用于相应的数据之上 PKI采用了两种技术
被认证的数据 —— 数据源认证服务 用户发送的远程请求 —— 身份认证服务 远程设备生成的challenge信息 —— 身份认证 完整性 PKI采用了两种技术 数字签名：既可以是实体认证，也可以是数据完整性 MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5 保密性 用公钥分发随机密钥，然后用随机密钥对数据加密 不可否认 发送方的不可否认 —— 数字签名 接受方的不可否认 —— 收条 + 数字签名 2018年12月8日

20 PKI的应用考虑 在提供前面四项服务的同时，还必须考虑 性能 在线和离线模型 证书中所支持算法的通用性 个体命名
尽量少用公钥加解密操作，在实用中，往往结合对称密码技术，避免对大量数据作加解密操作 除非需要数据来源认证才使用签名技术，否则就使用MAC或者HMAC实现数据完整性检验 在线和离线模型 签名的验证可以在离线情况下完成 用公钥实现保密性也可以在离线情况下完成 离线模式的问题：无法获得最新的证书注销信息 证书中所支持算法的通用性 在提供实际的服务之前，必须协商到一致的算法 个体命名 如何命名一个安全个体，取决于CA的命名登记管理工作 2018年12月8日

21 密钥对的用法 用于加密的密钥对 用公钥加密 用私钥解密 用私钥签名 用公钥验证 用于签名的密钥对 2018年12月8日

22 PKI之动机 公钥技术 方案：引入证书(certificate) 如何提供数字签名功能 如何实现不可否认服务 公钥和身份如何建立联系
为什么要相信这是某个人的公钥 公钥如何管理 方案：引入证书(certificate) 通过证书把公钥和身份关联起来 2018年12月8日

23 PKI基本组成 PKI由以下几个基本部分组成： 公钥证书 证书作废列表（CRL） 策略管理机构（PMA） 认证机构（CA） 注册机构（RA）
证书管理机构（CMA） 证书存档(Repository) 署名用户（Subscriber） 依赖方(Relying party) 最终用户（End User） 2018年12月8日

24 PKI基本组成 公钥证书 由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。
证书作废列表（CRL） 作废证书列单，通常由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换姓名时，需要将原有证书作废。 策略管理机构（PMA） 监督证书策略的产生和更新，管理PKI证书策略。 2018年12月8日

25 PKI基本组成 注册机构（RA） 互联网定义：一个可选PKI实体（与CA分开），不对数字证书或证书作废列单（CRL）签名，而负责记录和验证部分或所有有关信息（特别是主体的身份），这些信息用于CA发行证书和CLR以及证书管理中。RA在当地可设置分支机构LRA。 PKIX用语：一个可选PKI实体与CA分开，RA的功能随情况而不同，但是可以包括身份认证和用户名分配，密钥生成和密钥对归档，密码模件分发及作废报告管理。 国防部定义：对CA负责当地用户身份（标识）识别的人。 2018年12月8日

26 PKI基本组成 认证机构（CA） 互联网定义：一个可信实体，发放和作废公钥证书，并对各作废证书列表签名。
国防部定义：一个授权产生，签名，发放公钥证书的实体。CA全面负责证书发行和管理（即，注册进程控制，身份标识和认证进程，证书制造进程，证书公布和作废及密钥的更换）。CA还全面负责CA服务和CA运行。 联邦政府定义：被一个或多个用户所信任发放和管理X.509公钥证书和作废证书的机构。 2018年12月8日

27 PKI基本组成 证书管理机构（CMA） 证书存档(Repository) 署名用户（Subscriber）
将CA和RA合起来称CMA(certificate management authority)。 证书存档(Repository) 一个电子站点，存放证书和作废证书列表（CRL），CA在用证书和作废证书。 署名用户（Subscriber） 署名用户是作为主体署名证书并依据策略使用证书和相应密钥的实体。 2018年12月8日

28 PKI基本组成 依赖方(Relying party) 最终用户（End User）
一个接收包括证书和签名信息的人或机构，利用证书提供的公钥验证其有效性，与持证人建立保密通信，接收方处于依赖的地位。 最终用户（End User） 署名用户和依赖方的统称，也称末端实体（End-entity）,可以是人，也可以是机器，如路由器，或计算机中运行的进程，如防火墙。 2018年12月8日

29 PKI中的证书 证书(certificate)，有时候简称为cert PKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一
证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性 一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途 签名证书和加密证书分开 最常用的证书格式为X.509 v3 2018年12月8日

30 X.509证书格式 版本1、2、3 序列号 在CA内部唯一 签名算法标识符 指该证书中的签名算法 签发人名字 CA的名字 有效时间
起始和终止时间 个体名字 2018年12月8日

31 X.509证书格式(续) 个体的公钥信息 算法 参数 密钥 签发人唯一标识符 个体唯一标识符 扩展域 签名 2018年12月8日

32 PKI的运行 X509标准PKIX 1）署名用户向证明机构（CA）提出数字证书申请； 2）CA验明署名用户身份，并签发数字证书；
4）署名用户对电子信件数字签名作为发送认证，确保信件完整性，不可否认性，并发送给依赖方。 5）依赖方接收信件，用署名用户的公钥验证数字签名，并到证书库查明署名用户证书的状态和有效性； 6）证书库返回证书检查结果； 2018年12月8日

33 PKI的运行 证书机构 CA 证书库 3 5 6 1 2 4 署名用户 依赖方 2018年12月8日

34 PKI中密钥和证书的管理 密钥/证书生命周期管理的各个阶段： 初始化阶段 颁发阶段 取消阶段 证书过期 证书撤销 2018年12月8日

35 密钥生命周期 密钥产生 证书签发 Bob 证书检验 密钥更新 密钥使用 Bob 密钥过期 2018年12月8日

36 PKI: 初始化阶段 在终端实体能够使用PKI支持的服务之前，它们必须初始化以进入PKI。初始化由以下几步组成： ① 终端实体注册。
② 密钥对产生。 ③ 证书创建和密钥/证书分发。 ④ 证书分发。 ⑤ 密钥备份。 2018年12月8日

37 终端实体的初始化 8.证书响应 7.证书请求 4.注册建立请求 5.注册建立结果 6.注册结果 3.注册表格提交 2.注册表格应答 终端
RA CA 1.注册表格请求 2018年12月8日

38 颁发阶段 一旦私钥和公钥证书已经产生并适当地分发，密钥/证书生命周期管理的颁发阶段即开始。这个阶段包括：
① 证书检索——远程资料库的证书检索。 ② 证书验证——确定一个证书的有效性（包括证书路径的验证）。 ③ 密钥恢复——当不能正常访问密钥资料时，从CA或信任第三方处恢复。 ④ 密钥更新——当一个合法的密钥对将过期时，进行新的公/私钥的自动产生和相应证书的颁发。 2018年12月8日

39 撤消阶段 密钥/证书生命周期管理以取消阶段来结束。此阶段包括如下内容： ① 证书过期——证书生命周期的自然结束。
② 证书撤销——宣布一个合法证书（及其相关私有密钥）不再有效。 ③ 密钥历史——维持一个有关密钥资料的记录（一般是关于终端实体的），以便被过期的密钥资料所加密的数据能够被解密。 ④ 密钥档案——出于对密钥历史恢复、审计和解决争议的考虑所进行的密钥资料的安全第三方储存。 2018年12月8日

40 PKI中证书的撤消 2.证书撤销 响应 证书撤销 请求 2.证书撤销响应 1.证书撤销请求 RA CA 带外请求 终端 实体
OR 2018年12月8日

41 CA(Certificate Authority)
职责 接受用户的请求 (由RA负责对用户的身份信息进行验证) 用自己的私钥签发证书 提供证书查询 接受证书注销请求 提供证书注销表 各个组件和功能示意图 健壮的数据 库系统 无缝的目录接口 CA硬件 管理和运 行平台 安全的审计 密钥 PKI 2018年12月8日

42  密钥备份和恢复 Help!! Password?? RA 最终用户 PKI 授权恢 复密钥 进一步授权 (# 可定制)
新的签名密钥对 和证书 加密密钥的历史 2018年12月8日

43 CA密钥历史保证对于 最终用户和其他的PKI 是透明的
保证透明性 CA 最终用户 Apr 1999 Mar 1999 May 1999 Jun 1999 Feb 1999 Jul 1999 Aug 1999 Jan 1999 Sep 1998 Nov 1998 Oct 1998 Dec 1998 用于验证的CA公钥 用于签名的CA私钥 新的CA签名 密钥对 CA密钥历史保证对于 最终用户和其他的PKI 是透明的 2018年12月8日

44 CA信任关系 当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？ 信任难以度量，总是与风险联系在一起 可信CA
如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA 信任模型 基于层次结构的信任模型 交叉认证 以用户为中心的信任模型 2018年12月8日

45 CA层次结构 对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成 它可以建立一个CA层次结构 根CA 中间CA
2018年12月8日

46 CA层次结构的建立 根CA具有一个自签名的证书 根CA依次对它下面的CA进行签名 层次结构中叶子节点上的CA用于对安全个体进行签名
在每个节点CA上，需要保存两种cert (1) Forward Certificates: 其他CA发给它的certs (2) Reverse Certificates: 它发给其他CA的certs 2018年12月8日

47 层次结构CA中证书的验证 假设个体A看到B的一个证书 B的证书中含有签发该证书的CA的信息 沿着层次树往上找，可以构成一条证书链，直到根证书
验证过程： 沿相反的方向，从根证书开始，依次往下验证每一个证书中的签名。其中，根证书是自签名的，用它自己的公钥进行验证 一直到验证B的证书中的签名 如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥 问题：证书链如何获得？ 2018年12月8日

48 证书链的验证示例 2018年12月8日

49 CA认证模型 如果用户 i和j都属于CA111，那么i和j之间的密钥交换，只需要持有CA111开具的证明书就可以，即：对用户 i和j的公钥PKi 和PKj分别盖章，如(Pki)ca111, (Pkj)ca111,那么用户i和j就能证明密钥是对方的密钥。 2018年12月8日

50 CA认证模型 如果用户j的证明书是CA122开具的，那么情况就复杂了，各自具有：
i方：(Pki)ca111 , (CA111)CA11, (CA11)CA1 j方：(Pkj)ca122 , (CA122)CA12, (CA12)CA1 这就形成了层层证明的证明链（ certification chain）。这里，符号(CA11)CA1是CA1对C11的公钥盖章，只是证明本公钥是C11的。 2018年12月8日

51 （PKI）CA11，（PKCA11）CA1，（PKCA1）CA （PKJ）CA21，（PKCA21）CA2，（PKCA2）CA
个人证书 个人证书 个人证书 个人证书 i j （PKI）CA11，（PKCA11）CA1，（PKCA1）CA （PKJ）CA21，（PKCA21）CA2，（PKCA2）CA

52 交叉认证 两个不同的CA层次结构之间可以建立信任关系 交叉认证可以分为 交叉认证的约束 单向交叉认证 双向交叉认证
一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书 双向交叉认证 交叉认证可以分为 域内交叉认证(同一个层次结构内部) 域间交叉认证(不同的层次结构之间) 交叉认证的约束 名字约束 路径长度约束 策略约束 2018年12月8日

53 以用户为中心的信任模型 对于每一个用户而言，应该建立各种信任关系，这种信任关系可以被扩展 例子：用户的浏览器配置 2018年12月8日

54 PKI进展 美国防部进展 美国国防部1999年3月开始酝酿国防PKI之事，并制订了国防部PKI行程图和DoD X509证书策略，于1999年10月和12月分别公布，计划于2002年完工。 DoD PKI的目标是：提供或支持：1）标准化的；2）多用途和多进程；3）国防部和联邦政府，盟国，商业伙伴之间的安全互操作性；4）数字签名和密钥交换;5)商业化的；6）联邦信息进程标准FIFS相关要求。 DoD PKI采用集中式证书管理和分散式注册，采用共同的进程和部件，以节省经费和资源。 2018年12月8日

55 美国防部PKI DoD PKI 互相证明 联邦/盟国 PKI 根CA 根CA 外部CA CA DoD CA 集中式 分散式 （将来） NSA
地区网站 集中式 分散式 地区注册机构 注册工作站 国防部用户 2018年12月8日

56 美国防部PKI PKI是美国防部密钥管理构架KMI（Key Management Infrastructure）的重要组成部分。KMI密钥管理构架，包括传统的密钥管理系统，电子密钥管理系统（EKMS）以及物理产品（如密码本和认证器）。KMI负责提供密钥产品，包括对称密钥和非对称密钥，为军事，情报，政府，盟国，合同企业，商务伙伴提供密码服务。 PKI先在非密系统中试点，测试，选型. 美国防部的PKI的研发，将遵循国防部层次化安全等级。美国防部指定国家安全局（NSA）和国防信息系统局（DISA）负责实施DoD PKI,为国防部网络应用提供用户不可否认，数据保密，加密和数字签名等服务。 2018年12月8日

57 PKI的运行：国防部DoD PKI布局 根CA 当地注册 注册机构 身份CA 邮件CA 身份/邮件目录 密钥托管 LRA RA ID CA
ROOT CA 当地注册 注册机构 身份CA 邮件CA 身份/邮件目录 密钥托管 LRA RA ID CA CA 目录 托管 M/S CLIENT LOTUS NESCAPE NOVELL ACTIVE NESCAPE M/S SERVER CLIENT CLIENT NDS DIRECTORY LDAP v3 PROTOCOL DNS MAIL SISCO SISCO SNIFFER SERVER SERVER ROUTER ROUTERR 2018年12月8日

58 美国联邦政府PKI 美国联邦政府成立了联邦PKI促进委员会，并在整个联邦政府中已批准了50多个与PKI 相关的试点。2000年12月公布了联邦搭桥证明机构（FBCA）的X.509证书策略。本策略并非定稿，仍是草稿或听取意见稿。 FBCA支持联邦政府PKI中同等实体之间的互操作。FBCA只向属于主管CA的各CA签发证书，FBCA或与FBCA互操作的各CA向运行FBCA的个人签发证书。FBCA向部局主管CA签发证书起信任的转移作用。 FBCA的最终目标是支持联邦和非联邦实体之间的互操作。但目前的版本还不能通过FBCA建立联邦机构和政府外机构的互操作。 FBCA将采用“集线器”式的非层次化工作方式。 2018年12月8日

59 美国联邦政府PKI FBCA 主管CA 主管CA CA CA CA CA 个人 个人 个人 个人 2018年12月8日

60 华盛顿州PKI 在华盛顿州法律下制定的PKI策略，允许发放CA许可证，不在华盛顿州的署名用户和依赖方可以获得或使用本策略下发放的证书，可以在华盛顿州外进行交易，应用，通信，除非被联邦法律禁止。得到许可的CA，对其雇佣人员必须通过背景安全检查和测试，如证书管理知识，包括证书发放，证书系统运行，以及CA运行机制的采用和安全策略的建立。 2018年12月8日

61 华盛顿州PKI 华盛顿洲PKI用于： a) PKI拟支持数字签名，加密，访问控制等应用。
b)政府机构内各司局，部，单位和/或组织间的通信和交易； c)政府机构，公众组织，私人组织和/或个人， 与政府活动相关的通信和交易； 本策略下的证书支持： 1）数字签名； 2）加密和认证电子通信； 3）提供身份证据，支持依赖方所建立的访问控制，防止非授权的计算机系统，电子信息和文件的访问。 2018年12月8日

62 密钥管理

63 密钥管理 密钥管理是密码系统中最重要，同时也是最薄弱的环节，密钥的泄漏将直接导致整个密码系统的失效。密钥管理是密码算法，鉴别逻辑，VPN等的技术的基础，密钥的重要性随着信息安全技术的发展越显突出。 重要性：逻辑隔离技术之一 　　　　　　重要的认证参数 　　管理体制：集中，分散 分发体制：静态，动态 层次化的密钥管理结构。在较大的信息系统中，密钥按其作用分为三种：将用于数据加密的密钥称三级密钥；保护三级密钥的密钥称二级密钥，也称密钥加密密钥；保护二级密钥的密钥称一级密钥，也称密钥保护密钥或主密钥，主密钥构成了整个密钥管理系统的关键。 2018年12月8日

64 密钥使用举例 DATA HASH（DATA）= H; (H)DA=SIGN E RAN1 （ DATA//SIGN ）=CODE
EKA-B(RAN1)=RAN2 发送：（RAN2，CODE）

65 密钥管理的内容和原则 在密钥管理体制中，密钥整个生存周期中要涉及到密钥的生产、验证、分发、交换、存储、更换、销毁等多个方面 。
密钥分发和交换技术是整个密钥管理技术中最关键，最核心的技术。 2018年12月8日

66 密钥分发 密钥分发可分为两种形式，静态分发和动态分发。密钥分发方式与密钥生产方式相关，也与密钥存储技术相关。
静态分发是由中心以脱线方式预分配的技术，采用“面对面”的分发方式，是属于秘密通道的传递方式之一。静态分发方式只有在集中式机制下才能存在，其前提条件是必须解决所分发密钥的存储问题。 动态分发是“请求-分发”的在线分发技术。密钥分发可以采用密钥证书的形式，密钥传递和密钥鉴别同时进行，其协议安全性需要证明。有中心的KMC或无中心的CA机制都可采用。在KMC中通常采用即用即发方式，无需解决密钥存放问题，但要解决密钥传递的秘密通道问题。而在CA中密钥的存放问题和密钥获取得的问题都需要解决。 2018年12月8日

67 封闭式密钥管理 封闭式密钥管理的密钥分发的类型
封闭式密钥管理一直是密钥管理的主导方式，适用于各种专用网。专用网一般指处理专门业务的封闭网。专用网的密钥管理一般采用集中式密钥管理中心（KMC）实现，密钥由密钥管理中心统一编制，统一生产，统一配发使用。 物理分发：又称静态分发，密钥的生产和配发在KMC内部进行，KMC一般离线工作。在KMC体制中，静态分发是密钥管理的基础。 封闭式密钥管理的密钥分发的类型 电子分发：又称动态分发，往往是在静态分发的基础上实现的。动态分发是近年来发展出的新技术，最初由KMC体制发展，现在延伸到开放网的CA、PKI技术中。 2018年12月8日

68 静态配置的封闭式密钥管理 静态配置的封闭式密钥管理是一种事先进行预配置的密钥管理。在密钥管理中心（KMC）和各所属用户之间建立信任关系的基础上，密钥统一由KMC生成、分发、更换的集中式（centralized）的管理体制。 点对点配置 单层星形配置 多层星形配置 网状配置 2018年12月8日

69 静态分发：单层星状配置 中心 K1 K2 K3 Kn T1, K1 T2, K2 T3, K3 TN, Kn 2018年12月8日

70 静态分发：网状配置 A B D C 2018年12月8日 KA-B KA-C KA-D KB-A KB-C KB-D
KC-A KC-B KC-D D KD-A KD-B KD-C C 2018年12月8日

71 动态分发的封闭式密钥管理 动态分发的封闭式密钥管理是在静态分发技术基础上发展起来的新技术。专用网的动态分发一般采用集中式，即KMC下的动态分发。动态分发可以基于单钥体制实现，也可以基于双钥体制实现；而动态分发的密钥类型可以是单密钥，也可以是双密钥。 基于单钥的单钥分发 基于单钥的双钥分发 基于双钥的单钥分发 2018年12月8日

72 动态分发：KDC，拉方式 分发协议： 1) a→c：request//n1;
2) c→a：EKA(KS//request//n1//EKB(KS,IDA)) 3) a→b：EKB(KS,IDA) 这样a,b双方都有相同的密钥KS。 验证协议： 4) b→a：EKS(N2) 5) a→b：EKS(fN2), 其中f是简单函数，是加1等简单变换。

73 2。EKA(KS//request//n1//EKB(KS,IDA))
KDC 1。request//n1 2。EKA(KS//request//n1//EKB(KS,IDA)) A B 3。EKB(KS,IDA) 4。EKS(N2) 5。EKS(fN2) 2018年12月8日

74 动态分发：KDC，推方式 分发协议： 1）a→b：a,EKA(EMa); 2) b→c：EKA(EMa)
3）c→b：EKB(KS,a ,EMb), EKA(KS,b,EMa) 4）b→a：EKA(KS,b,EMa)

75 KDC B A 3。EKB(KS,a ,EMb), EKA(KS,b,EMa) 2。EKA(EMa) 1。a,EKA(EMa)
2018年12月8日

76 组合公钥技术

77 组合公钥 (以椭圆曲线为例) 公式：y2=x3+ax+b mod p; 参数: T={a,b,G,n,p}; 私钥：sk=r;
公钥：pk=rG; 设：h层组合运算；

78 组合因子表 私钥因子(保密） 公钥因子（公布） r11 r21 r31 … rh1 r11G r21G r31G … rh1G
私钥因子(保密） 公钥因子（公布） r11 r21 r31 … rh r11G r21G r31G … rh1G r12 r22 r32 … rh r12G r22G r32G … rh2G r13 r23 r33 … rh r13G r23G r33G … rh3G … … … … … … r1m r2m r3m … rhm r1mG r2mG r3mG … rhmG

79 名称可以是互联网定义的用户名，也可以是单位名称，个人身份证号，银行帐号，IP地址，设备名，电话号码等。
名称映射 名称可以是互联网定义的用户名，也可以是单位名称，个人身份证号，银行帐号，IP地址，设备名，电话号码等。 EKEY1（用户名） mod m = map1; EKEY2（用户名） mod m = map2; … … … EKEYh（用户名） mod m = maph;

80 公钥计算：通过对方名称映射值和公钥因子，计算
密钥计算 设：A名称的三次映射值分别为i，j和k， 私钥计算：通过映射值和私钥因子计算 (r1i+r2j+r3k)mod n=RA，将RA作为A的私钥； 公钥计算：通过对方名称映射值和公钥因子，计算 (r1iG+r2jG+r3kG) mod p = GA，将GA作为A的公钥； 这样私钥RA和公钥GA刚好对应。有了公私钥对。

81 密钥存储 如果将p定义为256-bit（32B）， 则一个公钥占512-bit（64B）， 分h层(如3层)处理，设每一层为m(如1000)， 则要存储的公钥因子共h×m(3×1000)， 只需要192KB的空间， 却能组合成10003个公钥。

82 密钥因子存储量 20B 64=26 16=24 210= 1k 1*40= 40kB (26)16=296 =1028
密钥长度 每层因子数 层次数 总因子量 因子存储量 公钥量 20B = = = 1k *40= 40kB (26)16=296 =1028 20B = = = 2k *40= 80kB (27)16=2112=1033 20B = = = 4k *40=160kB (28)16=2128=1038 40B = = = 1k *80= 80kB (26)16=2 96=1028 40B = = = 2k *80=160kB (27)16=2112=1033 40B = = = 4k 4*80=320kB (28)16=2128=1038 40B = = = 2k 2*80=160kB (26)32=2192=1057 40B = = = 4k 4*80=320kB (27)32=2224=1067 40B = = = 8k 8*80=640kB (28)32=2256=1077 2018年12月8日

83 密钥存储形式 CA证书 CA证书 SMART卡 CA证书 存储片 存储片 CPU CA证书 公钥因子 公钥因子 软盘 公钥因子
2018年12月8日

84 组合公钥的体系结构 公钥因子表库 有效名字库 作废名字库 操作事务 终端实体 发布有效名字 名字管理中心 发布作废名字 管理事务
密钥管理中心 管理实体 管理事务 2018年12月8日

85 组合公钥运行 保密网 私钥因子表 公钥因子表 公钥因子 公钥因子 公钥因子 密钥管理中心 名称管理 名称管理 名称管理 名称1 名称2
私钥证书 私钥证书 私钥证书 名称 私钥 名称 私钥 名称 私钥 公钥因子 公钥因子 公钥因子 2018年12月8日

86 私钥分发过程 1） 署名用户：向名称管理中心面对面提出申请； 2） 名称管理中心：注册，并通过保密网向密钥中心提出申请；保留用户的所有曾用名称和在用名称；防止名称用重；防止不同名称享有相同的映射值； 3） 密钥管理中心：计算私钥，通过保密网发回用户私钥; 4） 名称管理中心：将私钥写入ID卡中，面对面地发给署名用户；

87 密钥更换 密钥变更方法有三种： 个别更换：一个申请名称的个别性更换密钥，必须更换申请名称，重新领取私钥证书。
定期更换：比如一年一次，只在中心进行，不影响用户私钥证书，购买或下载公钥因子就可以。 统一更换：比如五年一次，中心的私钥因子表和申请名称的私钥证书统一更换。 2018年12月8日

88 r1m+a, r2m+b, r3m+c, r1mG’ r2mG’ r3mG’
私钥因子 公钥因子 r11+a, r21+b, r31+c, r11G’ r21G’ r31G’ r12+a, r22+b, r32+c, r12G’ r22G’ r32G’ r13+a, r23+b, r33+c, r13G’ r23G’ r33G’ … … … … … … r1m+a, r2m+b, r3m+c, r1mG’ r2mG’ r3mG’ (a + b + c) mod n = 0; 2018年12月8日

89 谢谢！