公钥分发技术PPT课件

《公钥分发技术PPT课件》由会员分享，可在线阅读，更多相关《公钥分发技术PPT课件（26页珍藏版）》请在装配图网上搜索。

1、 公钥分发技术.公钥分配技术公钥分配技术 涉及公钥密码技术的协议通常在描述的时候通常假定恰当部分的可信的公钥已经获得。这样便允许在一般情况下以各种不同的方式获取这些秘钥。分配公钥过程具有保证机制或可验证公钥完整性的方案主要包括以下的几种：1.点到点的通过可靠信道传输 通过相关用户之间的个人交流或直接的信道 获取其他相关用户的公共秘钥，并由秘钥来源方保证其真实性与完整性。这种方法在操作不太频繁（如用户的注册），或小型的封闭系统中较为实用。另一种相关的方法是通过一非可靠的信道传输公钥及相关信息。并通过连接一个独立的，低带宽的可靠通道获得其哈希值，由哈希值对这些消息进行认证。这种方法的缺点主要有：使

2、用的不方便；在未保证通信安全的情况下便非自动的对新的用户提出其公共秘钥申请；可靠信道的花费。2.直接连接到一个可靠的公共文件(公钥记录表)首先建立一个保证完整性的公共数据库，将每个系统用户的名字与公钥保存在其中。该公钥登记工作由一可信的用户完成。用户直接由记录获得秘钥。在被动攻击下通过非安全信道远程访问记录是可行的。但当存在主动攻击者时远程访问需要有安全的通道。3.使用可靠的在线服务器。由一个可靠的在线服务器起到上面公共文件的作用来保管秘钥，响应（单个地）请求后发送签名后的公钥。这种方法的保密性是不需要特别保证的。发送请求的用户保存有服务器的签名副本。可以以之对传输的可靠性进行验证。这个方案的

3、缺点在于：服务器必须始终在线；服务器有可能成为瓶颈；通信连接必须同时由该可靠的服务器与计划中的通信方两方共同确定。4.使用离线服务器和证书。用户A 联系一个离线的可靠用户作为认证中心 certification authority(CA),用来记录他的公钥并获取CA的签名验证公钥（允许验证其它用户的证书）。CA 通过将A的公钥捆绑在一信息串上验证A，从而创建证书，用户们通过交换证书或由公共目录提取获得真正的公钥。5.使用系统本身公共参数隐式的可靠性保证。其中包含基于身份的系统以及包含隐式验证的系统，通过算法设计,更改公共向量将导致可发现的结果，即在密码技术无折衷的失败产生。下面分类具体论述：基

4、于身份的系统（基于身份的系统（ID-based systems）基于身份的系统与通常的公钥密码系统相类似，涉及一个私人的传输与一个公共的传输，但使用者并不象前面拥有隐藏的公钥，而是由用户公开可用的身份识别信息代替。用户的任意公开的可用的信息只要能够唯一的非否认确认该用户的均可作为标识信息。定义定义 基于身份的密码系统是一个非对称的系统。其中实体的标识信息起到了公钥的作用。由可信中心T将之作为输入信息由其计算实体的私钥。当完成计算后，T通过一个安全的信道将实体的私钥传送给该实体。该秘钥并不完全由实体的标识信息计算，但其中必须包含一些仅为T所知的特权信息（T的秘钥）。这样对于防止伪造是必需的，其实

5、质是只有T可由给出的标识信息计算出可用的私钥。而相应的公共的可用的系统数据必须同时包含在加密传输中，类似于在基于证书的系统中认证权威的公钥。有时候，除了优先权IDA附加的系统定义的数据DA也要与用户A相联系。这样的系统已不再是“纯粹的”基于身份识别的了。同样，也不是单纯的DA 或IDA 验证了。隐式验证的公钥系统隐式验证的公钥系统 （Implicitly-certified public keys）另一种变异的公钥系统的是利用隐式验证公钥的非对称系统，这里外在于用户的公钥是存在的。外在于用户的公钥是存在的，但公钥必须重建（依原样的）而不是象基于每个基于验证的系统通过公钥证书传递。带有隐式验证公

6、钥的系统可以这样设计：1.实体的公钥可由公共数据重建（被其他用户）(这基本取代了证书的作用)。2.用来重建公钥的公共数据有：(a)与可靠用户相关的公共数据。(b)使用实体的标识。(c)每个用户的公共附加数据3.公钥重建的完整性是不能直接验证的。但一个“正确的”公钥只能从公钥的原作者处的公共数据重新获得。对于重建公钥的检验，系统设计中必须满足：1.变更一个用户的标识或变更公共数据将导致重 获的秘钥不被服务器接受，但不会导致加密数据 的爆光。2.对手由任意的用户的公钥均无法计算一用户对 应于公钥的私钥或构建用户身份的匹配信息。对应于某一私钥的公共数据是可计算的。重建公钥就是通过这样构造进行隐式验证

7、的。隐式公钥认证的分类隐式公钥认证的分类1.基于身份的公钥(第一类).每一个实体A的私钥由可信的用户T基于A的身份信息和T的私钥计算。这同时是A用户特有的并经过T校正的重建用公共数据中的一个函数。A的私钥由T安全的传送给A。2.自我验证的公钥(第二类)。每一个实体A自己计算它的私钥和相应的公钥。A的用于重建的公共数据，A的身份信息和T的私钥由T计算。由于第三方具有通向用户私钥的入口，第一类方法需要对第三方有更多的信任。作为与第二种情况的不同，后者根据秘钥受实体本身的限制强调了“自我验证”中的“自我”。公钥分配技术的对比公钥分配技术的对比 图13.7中对非对称签名系统的分类做了说明，对比公钥密码

8、系统（具有显式的公钥），基于身份的系统（公钥是用户身份信息）与隐式公钥认证系统（显式的公钥由用户的公共数据重建）.主要的不同有：基于证书的公钥系统具有显式的公钥，基于身份的系统则没有；在隐式系统中系统中的明确公钥由重建得到。公钥系统中的显式公钥(图 13.7(a)被替代为（a）基于身份验证的系统(图13.7(b)中的三元组 其中 是A的身份信息串，是附加的公共数据（由T定义并与 的和A的私钥相关。由可靠权威T 的可靠公钥(或系统参数)构成。(b)隐式公钥系统(图13.7(c)中的三元组。这时，显式的公钥 由这些信息重建。用于重建的公共数据 在这里起到了图13.7(b)中 的作用。),(TAAP

9、IDDAIDADAIDTP),(TAAPIDRTPARAD2.在基于证书的系统中公钥的真实性可以(切必须能)被明确的验证,但在基于身份的系统和隐式验证的系统中则不然(也不必)。3.在基于证书的公钥系统与隐式验证系统中的自我公钥验证中，可心中心不需知道用户的私钥。而在基于身份的系统和隐式验证系统中的基于身份验证中需要知道。4.与基于身份的系统类似，隐式验证系统的公钥依赖于实体的身份信息，感觉上也是“基于身份的”。然而，基于身份的系统避免了显式完整的公钥，而隐式验证的系统并不限制使用者计算出公钥。5.对比隐式公钥认证中的两类，可见其在用于重建的公共数据和私钥的关系上有所不同。(a)第一类:一个用户

10、的私钥作为一个用于重建的公共数据的函数。该公钥由可心中心计算。(b)第二类:用于重建的公共数据是由用户的公钥计算的函数，相应的私钥由用户自己产生。.6.在所有三种方案中。均在某些时段上使用了在某种程度上可靠的第三方用来建立连接。在完全未曾蒙面或除了系统参数毫无共享的用户之间传递信任。2.秘钥使用的控制技术秘钥使用的控制技术秘钥分离与秘钥强制使用秘钥分离与秘钥强制使用 密码技术中的秘钥信息应同时包括秘钥的限定属性和其它操作上的使用信息。包括例如秘钥拥有者，有效期，预定的使用，秘钥鉴定者等信息。秘钥的分离与不当使用的威胁秘钥的分离与不当使用的威胁 在一个简单的秘钥管理系统中，秘钥相关信息例如被授权

11、的应用被通过上下文推断出。为了达到附加的澄清与控制功能，特别显式指定的授权使用信息可伴随秘钥分配与认证，在使用其间，尝试的使用是得到授权的。如果控制信息是受到操纵的，就将它以一种保证真实性与完整行的方法将其与秘钥捆绑在一起。秘钥的分离原则是指不同用途的秘钥应当分离。秘钥的误用的威胁可通过技术手段来解决，保证秘钥只被用于在秘钥生成时便授权的使用范围内。秘钥使用上的限制可由程序上的技术,物理保护，或下面讨论的密码技术进行。对称秘钥使用的控制技术对称秘钥使用的控制技术 下面主要讨论的是控制向量的使用，为了讲清其发展过程，秘钥标记，秘钥变码与秘钥公证也将被提到。(i)秘钥标记和秘钥变码秘钥标记和秘钥变

12、码 秘钥标记Key tag提供了一种简单的方法用来制定秘钥允许的使用。一个秘钥标记是一个位向量或一个伴随着秘钥于其整个生存期的构造的域。秘钥标记通过加密与秘钥捆绑在一起，仅当该秘钥解密时才以明文形式出现.一个早期的分离秘钥的方法是通过非安全的参数与函数由一个单独的基本秘钥base key取得秘钥结果秘钥被称为秘钥变码 key variants或源秘钥 derived keys。在这里，一种令秘钥不同的方法是秘钥偏移 key offsetting，依靠一个秘钥加密秘钥K，K的值每次使用时都会基于一个计数器变更，该计数器每次使用完后都会增加。这将防止加密秘钥的重复。变更的秘钥 被用于加密其他秘钥。

13、接受者同样变更K去加密会话秘钥.(ii)公证公证 秘钥公证是一种预防秘钥被替换的技术，主要通过请求与秘钥相关的用户的身份的明确说明实现。秘钥的验证通过利用这些身份改变一个秘钥加密秘钥进行验证。其中真实身份一定要详细说明来恰当的恢复被保护的秘钥。该秘钥被称为将要利用这些身份处理的。在所有的秘钥协议中，都需要阻止秘钥被替换。公证需要合适的控制信息来恢复秘钥，并提供对隐式验证的公钥提供类似的保护。基本的技术(简单的公钥公证)包含一个可信的服务器，或一个分享该秘钥的用户,使用一个秘钥加密秘钥K加密会话秘钥S。令源用户为 i 接收的用户为 j,则可表示为。这里假定 i与j为系统中实体的唯一标识。用户要想

14、恢复S便必须共享K并明确地以正确地次序了解i与j，否则将恢复随机秘钥。这里假定第三方准确的鉴定用户的身份，并提供一个仅能由这些用户恢复的会话秘钥。(iii)控制向量控制向量 相对于秘钥公证可以被看作是一个秘钥鉴定的机制，控制向量利用将秘钥标记与简单的秘钥公证机制相结合的方法提供了一个控制秘钥使用的方法。与每个秘钥相联系的秘钥S 是一个控制向量C，其中包含一个数据域定义了对这个秘钥的使用授权。类似于秘钥标记，该数据域在一秘钥加密秘钥加密（）之前便和S捆扎在了一起。SECK 像正确地秘钥解密秘钥一样，秘钥解密也需要恰当的指定控制向量。若结合值不正确，则一个伪造的秘钥的恢复对于对手是无用的。在秘钥S

15、一生成便将控制向量C通过加密与之捆绑起来。阻止非授权的对C的操作,假定只有获得授权的用户具有秘钥加密秘钥K的入口。通过利用一个或几个C的域将公证封装进C，已知用来说明身份。与存取控制的标准模式相比，一个控制向量可能被用来说明某人的身份()和特权()关于某秘钥的使用信息()。.iSjiA,jK 当用于一个具体的密码的操作时，控制向量像被保护的秘钥一样输入。然后检验请求操作是否依照控制向量执行，如果是这样，则用控制向量解密秘钥。若控制向量与被保护的秘钥上捆绑的信息不匹配（或K不正确），则恢复的秘钥 是假的。这里的安全性依靠假设检验与使用是分离的，且在可靠子系统中完成。若控制信息C与秘钥K相差很小，可以在配对之前先使用一抗碰撞哈希函数。这样便允许控制信息的长度任意，这样我们可以用一个128位的秘钥K和一个输出为128位的哈希函数加密S。SS SEChK