公钥基础设施pki唐文北京大学信息学院软件工程研究所 - 信...【共享精品-ppt】

公钥基础设施PKI唐文北京大学信息学院软件工程研究所 信息安全研究室,,Wednesday, January 10, 2018,2,内容,认证逻辑公开密钥基础设施PKI 密钥管理组合公钥技术,认证逻辑,认证逻辑 信任逻辑：对主体的认证，对照方法判别 注册性，双边性，独有性，一体性，主从性 相信逻辑：对客体的认证，推理方法判别 （BAN逻辑，NRL逻辑，NCP逻辑） 可解性，无重性，占有性,主体认证 在信息系统中，主体认证在主体之间进行。一个主体对另一个主体进行识别（identify），验明身份（proof of identity）。主体分为验证方和证明方。,主体认证的依据 主体认证必须具有某种“信物”，如：合同，协议，照片，证件，ID卡或身份证等。这种“信物”特征应记录在案。发证方是主主体，领证方是从主体。而主体和证件具有一体性。因此，主体认证必须满足注册性，共有性，独特性，一体性，主从性。,注册性 证明方主体特征应是预先设置或约定的，这就是注册。因为证明通常以对照的方法进行，没有参照物，就无法比较，也就是无法得到证明。很显然，不注册就没有判别的依据。因此注册中包括判别所需的所有有关内容。注册性决定了一个验证主体管辖的证明方是有边界的。而不是无限的。注册性是主体认证和客体认证的主要区别点。,共有性 共有性强调验证方和证明方具有相同意义的“信物”。过去简单用：“你有什么，你知道什么，你是什么”来定义身份认证的依据。得出你是谁的结论。按着共有性原则，应解释为：“你有的我也有，你知道的我也知道，你是什么的叙述跟我掌握的一样”。“我有，我知道，我是什么”应在注册中体现。,独特性 “信物”的部分或全部体现在注册中，同样，“信物”的部分或全部体现在证明方所持有的证件中。“信物”的综合特证是唯一的。有别于其它主体的特征。身份特征的分粒度按业务性质可以不同，在敌友识别系统中，只识别敌友双方即可，有的系统则要识别到具体的人，如身份证号或用户名等。,一体性 证明方必须具有主体和证件的一体性证据。如照片或人脑中的口令等，将证明主体和证件结合成一体化。用于一体性证明的技术有两种，一种是基于主体的生物特征，另一种是基于主体的逻辑特征。在信息系统中往往采用逻辑特征值，如口令或密钥参数。,1）生物特征 最能够提供一体性证据的是主体固有的生物特征。现有生物特征技术大致如下：,类别 存储量 验证方式 判别 准确度指纹特征 4kB 接触型 几秒 有误判视网膜特征 2kB 接触型 几秒 较准确虹膜特征 256B 非接触型 1秒 非常准确脸部特征和声音特征 16kB 非接触型 几秒 较准确,其中，基于脸部特征的一体性验证，还具有可恢复脸部图象的功能，这种功能为事发后的跟踪追查提供有力的证据。,逻辑特征 逻辑特征是利用参数，如口令或密钥，作为主体身份的特征来进行认证的技术。认证一般通过一种协议来实现。,主从性 验证主体和证明主体构成主从关系。主从关系以登记，发证的形式体现。主体间互相认证，表面看起来是平等关系，但A方验证B方时，A方是主主体，而B方是从主体，而B方验证A方时，B方成为主主体，A方成为从主体。就一个主体的验证过程来说，不会形成平等关系。主从性指的是直接的从属关系，而不是间接的从属关系。从属关系规定了发证的合法性和有效域。一个系统只能对自己管辖的主体发证，而一个主体的证件只能在所属系统范围内有效。从安全理论的角度，这种关系是单层的，而不能是多层的。,主体认证协议口令认证协议 一个客户A主机（PC）要登录到服务器（SVR）。必备条件： A: 具有SVR 配发的ID卡。做管辖性证据； 具有用户名和口令，提供一体性证据； 具有SVR分发的参数R，提供当次性证据；PC： 具有加密算法和加密功能；具有密钥k1;SVR：ID卡合法性验证，验证其管辖性；用户A的用 户名(或用户标识PIN)和口令，用于一体性检 验；发给A的随机参数，用于当次性和管辖性 验证；密钥k1和 k2以及加解密功能。,身份（标识）认证示意,KEY1 KEY1， KEY2 R ， PWA PC SVREKEY1(KEY2)EKEY2(R) 用户（PWA),ID卡,验证过程：a)用户插卡，卡中的内容输进PC机中。 EK1（K2）； EK2（R）；b)PC计算： DK1（Ek1(k2) = k2 DK2(R)=R;c)用户敲入口令WPa；d)PC计算EK2（RWPa）; 将结果送SVR；e)SVR计算EK2（RWPa）；将结果进行比较。f)如果认证通过，将EK2（NEW R）发回a的ID卡 中。,公开密钥基础设施PKI,Wednesday, January 10, 2018,18,公开密钥基础设施PKI,1976年Diffie和Hellman在密码新方向中提出了著名的D-H密钥交换协议，标志着公钥密码体制的出现。 Diffie和Hellman第一次提出了不基于秘密信道的密钥分发，这就是D-H协议的重大意义所在。PKI（Public Key Infrastructure）是一个用公钥概念与技术来实施和提供安全服务的具有普适性的安全基础设施。PKI公钥基础设施的主要任务是在开放环境中为开放性业务提供数字签名服务。,Wednesday, January 10, 2018,19,PKI提供的基本服务,认证采用数字签名技术，签名作用于相应的数据之上被认证的数据 数据源认证服务用户发送的远程请求 身份认证服务远程设备生成的challenge信息 身份认证完整性PKI采用了两种技术数字签名：既可以是实体认证，也可以是数据完整性MAC(消息认证码)：如DES-CBC-MAC或者HMAC-MD5保密性用公钥分发随机密钥，然后用随机密钥对数据加密不可否认发送方的不可否认 数字签名接受方的不可否认 收条 + 数字签名,Wednesday, January 10, 2018,20,PKI的应用考虑,在提供前面四项服务的同时，还必须考虑性能尽量少用公钥加解密操作，在实用中，往往结合对称密码技术，避免对大量数据作加解密操作除非需要数据来源认证才使用签名技术，否则就使用MAC或者HMAC实现数据完整性检验在线和离线模型签名的验证可以在离线情况下完成用公钥实现保密性也可以在离线情况下完成离线模式的问题：无法获得最新的证书注销信息证书中所支持算法的通用性在提供实际的服务之前，必须协商到一致的算法个体命名如何命名一个安全个体，取决于CA的命名登记管理工作,Wednesday, January 10, 2018,21,密钥对的用法,用于加密的密钥对,用公钥加密,用私钥解密,Wednesday, January 10, 2018,22,PKI之动机,公钥技术如何提供数字签名功能如何实现不可否认服务公钥和身份如何建立联系为什么要相信这是某个人的公钥公钥如何管理方案：引入证书(certificate)通过证书把公钥和身份关联起来,Wednesday, January 10, 2018,23,PKI基本组成,PKI由以下几个基本部分组成： 公钥证书 证书作废列表（CRL） 策略管理机构（PMA） 认证机构（CA） 注册机构（RA） 证书管理机构（CMA） 证书存档(Repository) 署名用户（Subscriber） 依赖方(Relying party) 最终用户（End User）,Wednesday, January 10, 2018,24,PKI基本组成,公钥证书 由可信实体签名的电子记录，记录将公钥和密钥（公私钥对）所有者的身份捆绑在一起。公钥证书是PKI的基本部件。 证书作废列表（CRL） 作废证书列单，通常由同一个发证实体签名。当公钥的所有者丢失私钥，或者改换姓名时，需要将原有证书作废。 策略管理机构（PMA） 监督证书策略的产生和更新，管理PKI证书策略。,Wednesday, January 10, 2018,25,PKI基本组成,注册机构（RA）互联网定义：一个可选PKI实体（与CA分开），不对数字证书或证书作废列单（CRL）签名，而负责记录和验证部分或所有有关信息（特别是主体的身份），这些信息用于CA发行证书和CLR以及证书管理中。RA在当地可设置分支机构LRA。PKIX用语：一个可选PKI实体与CA分开，RA的功能随情况而不同，但是可以包括身份认证和用户名分配，密钥生成和密钥对归档，密码模件分发及作废报告管理。国防部定义：对CA负责当地用户身份（标识）识别的人。,Wednesday, January 10, 2018,26,PKI基本组成,认证机构（CA）互联网定义：一个可信实体，发放和作废公钥证书，并对各作废证书列表签名。国防部定义：一个授权产生，签名，发放公钥证书的实体。CA全面负责证书发行和管理（即，注册进程控制，身份标识和认证进程，证书制造进程，证书公布和作废及密钥的更换）。CA还全面负责CA服务和CA运行。联邦政府定义：被一个或多个用户所信任发放和管理X.509公钥证书和作废证书的机构。,Wednesday, January 10, 2018,27,PKI基本组成,证书管理机构（CMA） 将CA和RA合起来称CMA(certificate management authority)。 证书存档(Repository) 一个电子站点，存放证书和作废证书列表（CRL），CA在用证书和作废证书。 署名用户（Subscriber） 署名用户是作为主体署名证书并依据策略使用证书和相应密钥的实体。,Wednesday, January 10, 2018,28,PKI基本组成,依赖方(Relying party) 一个接收包括证书和签名信息的人或机构，利用证书提供的公钥验证其有效性，与持证人建立保密通信，接收方处于依赖的地位。最终用户（End User） 署名用户和依赖方的统称，也称末端实体（End-entity）,可以是人，也可以是机器，如路由器，或计算机中运行的进程，如防火墙。,Wednesday, January 10, 2018,29,PKI中的证书,证书(certificate)，有时候简称为certPKI适用于异构环境中，所以证书的格式在所使用的范围内必须统一证书是一个机构颁发给一个安全个体的证明，所以证书的权威性取决于该机构的权威性一个证书中，最重要的信息是个体名字、个体的公钥、机构的签名、算法和用途签名证书和加密证书分开最常用的证书格式为X.509 v3,Wednesday, January 10, 2018,30,X.509证书格式,版本1、2、3序列号在CA内部唯一签名算法标识符指该证书中的签名算法签发人名字CA的名字有效时间起始和终止时间个体名字,Wednesday, January 10, 2018,31,X.509证书格式(续),个体的公钥信息算法参数密钥签发人唯一标识符个体唯一标识符扩展域签名,Wednesday, January 10, 2018,32,PKI的运行,X509标准PKIX1）署名用户向证明机构（CA）提出数字证书申请；2）CA验明署名用户身份，并签发数字证书；3）CA将证书公布到证书库中；4）署名用户对电子信件数字签名作为发送认证，确保信件完整性，不可否认性，并发送给依赖方。5）依赖方接收信件，用署名用户的公钥验证数字签名，并到证书库查明署名用户证书的状态和有效性；6）证书库返回证书检查结果；,Wednesday, January 10, 2018,33,PKI的运行,证书机构 CA,证书库,署名用户,依赖方,3,1,2,4,6,5,Wednesday, January 10, 2018,34,PKI中密钥和证书的管理,密钥/证书生命周期管理的各个阶段：初始化阶段 颁发阶段 取消阶段 证书过期 证书撤销,Wednesday, January 10, 2018,35,密钥生命周期,Wednesday, January 10, 2018,36,PKI: 初始化阶段,在终端实体能够使用PKI支持的服务之前，它们必须初始化以进入PKI。初始化由以下几步组成： 终端实体注册。 密钥对产生。 证书创建和密钥/证书分发。 证书分发。 密钥备份。,Wednesday, January 10, 2018,37,终端实体的初始化,Wednesday, January 10, 2018,38,颁发阶段,一旦私钥和公钥证书已经产生并适当地分发，密钥/证书生命周期管理的颁发阶段即开始。这个阶段包括： 证书检索远程资料库的证书检索。 证书验证确定一个证书的有效性（包括证书路径的验证）。 密钥恢复当不能正常访问密钥资料时，从CA或信任第三方处恢复。 密钥更新当一个合法的密钥对将过期时，进行新的公/私钥的自动产生和相应证书的颁发。,Wednesday, January 10, 2018,39,撤消阶段,密钥/证书生命周期管理以取消阶段来结束。此阶段包括如下内容： 证书过期证书生命周期的自然结束。 证书撤销宣布一个合法证书（及其相关私有密钥）不再有效。 密钥历史维持一个有关密钥资料的记录（一般是关于终端实体的），以便被过期的密钥资料所加密的数据能够被解密。 密钥档案出于对密钥历史恢复、审计和解决争议的考虑所进行的密钥资料的安全第三方储存。,Wednesday, January 10, 2018,40,PKI中证书的撤消,Wednesday, January 10, 2018,41,CA(Certificate Authority),职责接受用户的请求(由RA负责对用户的身份信息进行验证)用自己的私钥签发证书提供证书查询接受证书注销请求提供证书注销表各个组件和功能示意图,Wednesday, January 10, 2018,42,密钥备份和恢复,进一步授权(# 可定制),授权恢复密钥,加密密钥的历史,新的签名密钥对和证书,Password?,Help!,Wednesday, January 10, 2018,43,CA密钥更新,保证透明性,Sep1998,Oct1998,Nov1998,Dec1998,Jan1999,Feb1999,Mar1999,Apr1999,May1999,Jun1999,Jul1999,Aug1999,CA密钥历史保证对于最终用户和其他的PKI是透明的,新的CA签名密钥对,Wednesday, January 10, 2018,44,CA信任关系,当一个安全个体看到另一个安全个体出示的证书时，他是否信任此证书？信任难以度量，总是与风险联系在一起可信CA如果一个个体假设CA能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA，该CA为可信CA信任模型基于层次结构的信任模型交叉认证以用户为中心的信任模型,Wednesday, January 10, 2018,45,CA层次结构,对于一个运行CA的大型权威机构而言，签发证书的工作不能仅仅由一个CA来完成它可以建立一个CA层次结构,Wednesday, January 10, 2018,46,CA层次结构的建立,根CA具有一个自签名的证书根CA依次对它下面的CA进行签名层次结构中叶子节点上的CA用于对安全个体进行签名对于个体而言，它需要信任根CA，中间的CA可以不必关心(透明的)；同时它的证书是由底层的CA签发的在CA的机构中，要维护这棵树在每个节点CA上，需要保存两种cert(1) Forward Certificates: 其他CA发给它的certs(2) Reverse Certificates: 它发给其他CA的certs,Wednesday, January 10, 2018,47,层次结构CA中证书的验证,假设个体A看到B的一个证书B的证书中含有签发该证书的CA的信息沿着层次树往上找，可以构成一条证书链，直到根证书验证过程：沿相反的方向，从根证书开始，依次往下验证每一个证书中的签名。其中，根证书是自签名的，用它自己的公钥进行验证一直到验证B的证书中的签名如果所有的签名验证都通过，则A可以确定所有的证书都是正确的，如果他信任根CA，则他可以相信B的证书和公钥问题：证书链如何获得？,Wednesday, January 10, 2018,48,证书链的验证示例,Wednesday, January 10, 2018,49,CA认证模型,如果用户 i和j都属于CA111，那么i和j之间的密钥交换，只需要持有CA111开具的证明书就可以，即：对用户 i和j的公钥PKi 和PKj分别盖章，如(Pki)ca111, (Pkj)ca111,那么用户i和j就能证明密钥是对方的密钥。,Wednesday, January 10, 2018,50,CA认证模型,如果用户j的证明书是CA122开具的，那么情况就复杂了，各自具有： i方：(Pki)ca111 , (CA111)CA11, (CA11)CA1 j方：(Pkj)ca122 , (CA122)CA12, (CA12)CA1 这就形成了层层证明的证明链（ certification chain）。这里，符号(CA11)CA1是CA1对C11的公钥盖章，只是证明本公钥是C11的。,CA 证明链,CA,CA1,CA2,CA11,CA12,CA21,CA22,个人证书,个人证书,个人证书,个人证书,（PKI）CA11，（PKCA11）CA1，（PKCA1）CA（PKJ）CA21，（PKCA21）CA2，（PKCA2）CA,i,j,Wednesday, January 10, 2018,52,交叉认证,两个不同的CA层次结构之间可以建立信任关系单向交叉认证一个CA可以承认另一个CA在一定名字空间范围内的所有被授权签发的证书双向交叉认证交叉认证可以分为域内交叉认证(同一个层次结构内部)域间交叉认证(不同的层次结构之间)交叉认证的约束名字约束路径长度约束策略约束,Wednesday, January 10, 2018,53,以用户为中心的信任模型,对于每一个用户而言，应该建立各种信任关系，这种信任关系可以被扩展例子：用户的浏览器配置,Wednesday, January 10, 2018,54,PKI进展,美国防部进展 美国国防部1999年3月开始酝酿国防PKI之事，并制订了国防部PKI行程图和DoD X509证书策略，于1999年10月和12月分别公布，计划于2002年完工。 DoD PKI的目标是：提供或支持：1）标准化的；2）多用途和多进程；3）国防部和联邦政府，盟国，商业伙伴之间的安全互操作性；4）数字签名和密钥交换;5)商业化的；6）联邦信息进程标准FIFS相关要求。 DoD PKI采用集中式证书管理和分散式注册，采用共同的进程和部件，以节省经费和资源。,Wednesday, January 10, 2018,55,美国防部PKI,DoD PKI,根CA,互相证明,联邦/盟国 PKI,根CA,CA,DoD CA,地区网站,NSA,集中式分散式,外部CA,（将来）,地区注册机构,国防部用户,注册工作站,Wednesday, January 10, 2018,56,美国防部PKI,PKI是美国防部密钥管理构架KMI（Key Management Infrastructure）的重要组成部分。KMI密钥管理构架，包括传统的密钥管理系统，电子密钥管理系统（EKMS）以及物理产品（如密码本和认证器）。KMI负责提供密钥产品，包括对称密钥和非对称密钥，为军事，情报，政府，盟国，合同企业，商务伙伴提供密码服务。 PKI先在非密系统中试点，测试，选型. 美国防部的PKI的研发，将遵循国防部层次化安全等级。美国防部指定国家安全局（NSA）和国防信息系统局（DISA）负责实施DoD PKI,为国防部网络应用提供用户不可否认，数据保密，加密和数字签名等服务。,Wednesday, January 10, 2018,57,PKI的运行：国防部DoD PKI布局,ROOT CA,LRA,RA,ID CA,CA,目录,托管,根CA,当地注册 注册机构 身份CA 邮件CA 身份/邮件目录 密钥托管,M/S CLIENT LOTUS NESCAPE NOVELL ACTIVE NESCAPEM/S SERVER CLIENT CLIENT NDS DIRECTORY LDAP v3,PROTOCOL DNS MAIL SISCO SISCO SNIFFER SERVER SERVER ROUTER ROUTERR,Wednesday, January 10, 2018,58,美国联邦政府PKI,美国联邦政府成立了联邦PKI促进委员会，并在整个联邦政府中已批准了50多个与PKI相关的试点。2000年12月公布了联邦搭桥证明机构（FBCA）的X.509证书策略。本策略并非定稿，仍是草稿或听取意见稿。 FBCA支持联邦政府PKI中同等实体之间的互操作。FBCA只向属于主管CA的各CA签发证书，FBCA或与FBCA互操作的各CA向运行FBCA的个人签发证书。FBCA向部局主管CA签发证书起信任的转移作用。 FBCA的最终目标是支持联邦和非联邦实体之间的互操作。但目前的版本还不能通过FBCA建立联邦机构和政府外机构的互操作。 FBCA将采用“集线器”式的非层次化工作方式。,Wednesday, January 10, 2018,59,美国联邦政府PKI,FBCA,主管CA,主管CA,CA,CA,CA,CA,个人,个人,个人,个人,Wednesday, January 10, 2018,60,华盛顿州PKI,在华盛顿州法律下制定的PKI策略，允许发放CA许可证，不在华盛顿州的署名用户和依赖方可以获得或使用本策略下发放的证书，可以在华盛顿州外进行交易，应用，通信，除非被联邦法律禁止。得到许可的CA，对其雇佣人员必须通过背景安全检查和测试，如证书管理知识，包括证书发放，证书系统运行，以及CA运行机制的采用和安全策略的建立。,Wednesday, January 10, 2018,61,华盛顿州PKI,华盛顿洲PKI用于： a) PKI拟支持数字签名，加密，访问控制等应用。 b)政府机构内各司局，部，单位和/或组织间的通信和交易； c)政府机构，公众组织，私人组织和/或个人， 与政府活动相关的通信和交易；本策略下的证书支持： 1）数字签名； 2）加密和认证电子通信； 3）提供身份证据，支持依赖方所建立的访问控制，防止非授权的计算机系统，电子信息和文件的访问。,密钥管理,Wednesday, January 10, 2018,63,密钥管理,密钥管理是密码系统中最重要，同时也是最薄弱的环节，密钥的泄漏将直接导致整个密码系统的失效。密钥管理是密码算法，鉴别逻辑，VPN等的技术的基础，密钥的重要性随着信息安全技术的发展越显突出。 重要性：逻辑隔离技术之一重要的认证参数管理体制：集中，分散 分发体制：静态，动态层次化的密钥管理结构。在较大的信息系统中，密钥按其作用分为三种：将用于数据加密的密钥称三级密钥；保护三级密钥的密钥称二级密钥，也称密钥加密密钥；保护二级密钥的密钥称一级密钥，也称密钥保护密钥或主密钥，主密钥构成了整个密钥管理系统的关键。,密钥使用举例 DATA HASH（DATA）= H; (H)DA=SIGN E RAN1 （ DATA/SIGN ）=CODE EKA-B(RAN1)=RAN2 发送：（RAN2，CODE）,Wednesday, January 10, 2018,65,密钥管理的内容和原则,在密钥管理体制中，密钥整个生存周期中要涉及到密钥的生产、验证、分发、交换、存储、更换、销毁等多个方面 。密钥分发和交换技术是整个密钥管理技术中最关键，最核心的技术。,Wednesday, January 10, 2018,66,密钥分发,密钥分发可分为两种形式，静态分发和动态分发。密钥分发方式与密钥生产方式相关，也与密钥存储技术相关。 静态分发是由中心以脱线方式预分配的技术，采用“面对面”的分发方式，是属于秘密通道的传递方式之一。静态分发方式只有在集中式机制下才能存在，其前提条件是必须解决所分发密钥的存储问题。动态分发是“请求-分发”的在线分发技术。密钥分发可以采用密钥证书的形式，密钥传递和密钥鉴别同时进行，其协议安全性需要证明。有中心的KMC或无中心的CA机制都可采用。在KMC中通常采用即用即发方式，无需解决密钥存放问题，但要解决密钥传递的秘密通道问题。而在CA中密钥的存放问题和密钥获取得的问题都需要解决。,Wednesday, January 10, 2018,67,封闭式密钥管理,封闭式密钥管理一直是密钥管理的主导方式，适用于各种专用网。专用网一般指处理专门业务的封闭网。专用网的密钥管理一般采用集中式密钥管理中心（KMC）实现，密钥由密钥管理中心统一编制，统一生产，统一配发使用。 物理分发：又称静态分发，密钥的生产和配发在KMC内部进行，KMC一般离线工作。在KMC体制中，静态分发是密钥管理的基础。 封闭式密钥管理的密钥分发的类型电子分发：又称动态分发，往往是在静态分发的基础上实现的。动态分发是近年来发展出的新技术，最初由KMC体制发展，现在延伸到开放网的CA、PKI技术中。,Wednesday, January 10, 2018,68,静态配置的封闭式密钥管理,静态配置的封闭式密钥管理是一种事先进行预配置的密钥管理。在密钥管理中心（KMC）和各所属用户之间建立信任关系的基础上，密钥统一由KMC生成、分发、更换的集中式（centralized）的管理体制。 点对点配置 单层星形配置 多层星形配置 网状配置,Wednesday, January 10, 2018,69,静态分发：单层星状配置,中心,K1K2K3Kn,T2, K2,T3, K3,TN, Kn,T1, K1,Wednesday, January 10, 2018,70,静态分发：网状配置,C,B,D,A,KA-BKA-CKA-D,KC-AKC-BKC-D,KD-AKD-BKD-C,KB-AKB-CKB-D,Wednesday, January 10, 2018,71,动态分发的封闭式密钥管理,动态分发的封闭式密钥管理是在静态分发技术基础上发展起来的新技术。专用网的动态分发一般采用集中式，即KMC下的动态分发。动态分发可以基于单钥体制实现，也可以基于双钥体制实现；而动态分发的密钥类型可以是单密钥，也可以是双密钥。 基于单钥的单钥分发 基于单钥的双钥分发 基于双钥的单钥分发,动态分发：KDC，拉方式分发协议：1) ac：request/n1;2) ca：EKA(KS/request/n1/EKB(KS,IDA)3) ab：EKB(KS,IDA) 这样a,b双方都有相同的密钥KS。验证协议：4) ba：EKS(N2)5) ab：EKS(fN2), 其中f是简单函数，是加1等简单变换。,Wednesday, January 10, 2018,73,KDC,A,B,1。request/n1,2。EKA(KS/request/n1/EKB(KS,IDA),3。EKB(KS,IDA),4。EKS(N2),5。EKS(fN2),动态分发：KDC，推方式分发协议： 1）ab：a,EKA(EMa); 2) bc：EKA(EMa) 3）cb：EKB(KS,a ,EMb), EKA(KS,b,EMa) 4）ba：EKA(KS,b,EMa),Wednesday, January 10, 2018,75,KDC,A,B,1。a,EKA(EMa),4。EKA(KS,b,EMa),2。EKA(EMa),3。EKB(KS,a ,EMb), EKA(KS,b,EMa),组合公钥技术,组合公钥(以椭圆曲线为例) 公式：y2=x3+ax+b mod p; 参数: T=a,b,G,n,p; 私钥：sk=r; 公钥：pk=rG; 设：h层组合运算；,组合因子表 私钥因子(保密） 公钥因子（公布） r11 r21 r31 rh1 r11G r21G r31G rh1G r12 r22 r32 rh2 r12G r22G r32G rh2G r13 r23 r33 rh3 r13G r23G r33G rh3G r1m r2m r3m rhm r1mG r2mG r3mG rhmG,名称映射名称可以是互联网定义的用户名，也可以是单位名称，个人身份证号，银行帐号，IP地址，设备名，电话号码等。 EKEY1（用户名） mod m = map1; EKEY2（用户名） mod m = map2; EKEYh（用户名） mod m = maph;,密钥计算 设：A名称的三次映射值分别为i，j和k， 私钥计算：通过映射值和私钥因子计算 (r1i+r2j+r3k)mod n=RA，将RA作为A的私钥；公钥计算：通过对方名称映射值和公钥因子，计算 (r1iG+r2jG+r3kG) mod p = GA，将GA作为A的公钥；这样私钥RA和公钥GA刚好对应。有了公私钥对。,密钥存储 如果将p定义为256-bit（32B），则一个公钥占512-bit（64B），分h层(如3层)处理，设每一层为m(如1000)，则要存储的公钥因子共hm(31000)，只需要192KB的空间，却能组合成10003个公钥。,Wednesday, January 10, 2018,82,密钥长度 每层因子数 层次