收藏
下载资源

信息安全公开密钥管理

上传人:第*** 文档编号:50357945 上传时间:2018-08-07 格式:PPT 页数:49 大小:1.09MB
返回 下载 相关 举报
信息安全公开密钥管理_第1页
第1页 / 共49页
信息安全公开密钥管理_第2页
第2页 / 共49页
信息安全公开密钥管理_第3页
第3页 / 共49页
信息安全公开密钥管理_第4页
第4页 / 共49页
信息安全公开密钥管理_第5页
第5页 / 共49页
点击查看更多>>
资源描述

《信息安全公开密钥管理》由会员分享,可在线阅读,更多相关《信息安全公开密钥管理(49页珍藏版)》请在金锄头文库上搜索。

1、电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处1信息安全信息安全公开密钥管理公开密钥管理本章由王昭主写本章由王昭主写电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处2讨论议题 公开密钥基础设施(PKI) 基于身份的密码学(IBC) 组合公钥密码(CPK)电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处公开密钥基础设施 PKI的概述 数字证书 CA的组成 密钥和证书的生命周期 PKI信任模型 PKI发展中的问题3电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处4PKI的定义 PKI是一个用公

2、钥概念与技术来实施和提供安 全服务的普适性基础设施。 PKIX的定义:是一组建立在公开密钥算法基 础上的硬件、软件、人员和应用程序的集合, 它应具备产生、管理、存储、分发和废止证书 的能力。电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处PKI系统的组成5电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处PKI系统的组成 注册中心RA:分担CA的功能,作为CA和最终用户之 间的接口,增强CA系统的安全性。 CA是证书的签发机构,它是PKI的核心。 证书库是一种网上公共信息库,用于存储CA已签发证 书及公钥、撤销证书及公钥,可供公众进行开放式查

3、询。 密钥和证书管理涉及密钥备份与恢复、自动密钥更新 和建立密钥历史档案。 一个完整的PKI还必须提供良好的应用接口系统 PKI策略的制定 信任模型涉及不同PKI管理的用户交叉认证6电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处公开密钥基础设施 PKI的概述 数字证书 CA的组成 密钥和证书的生命周期 PKI信任模型 PKI发展中的问题7电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处8PKI中的证书 证书(certificate),有时候简称为cert PKI适用于异构环境中,所以证书的格式在所使 用的范围内必须统一 证书是一个机构颁发给

4、一个安全个体的证明,所 以证书的权威性取决于该机构的权威性 一个证书中,最重要的信息是个体名字、个体的 公钥、机构的签名、算法和用途 签名证书和加密证书分开 最常用的证书格式为X.509 v3电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处9X.509证书格式电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处10X.509证书示意图电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处数字证书的类型 CA证书 服务器证书 个人证书 企业证书 安全电子邮件证书 安全电子交易(SET)证书 代码签名(Object Signing

5、)证书 WAP(Wireless Application Certificate)证书11电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处公开密钥基础设施 PKI的概述 数字证书 CA的组成 密钥和证书的生命周期 PKI信任模型 PKI发展中的问题12电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处CA的组成13电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处公开密钥基础设施 PKI的概述 数字证书 CA的组成 密钥和证书的生命周期 PKI信任模型 PKI发展中的问题14电子工业出版社,信息安全原理与应用,2010.

6、1 版权所有,引用请注明出处密钥和证书的生命周期15电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处公开密钥基础设施 PKI的概述 数字证书 CA的组成 密钥和证书的生命周期 PKI信任模型 PKI发展中的问题16电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处PKI信任模型 PKI信任模型相关概念 PKI信任模型评价 若干PKI信任模型17电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处PKI信任模型相关概念 一般说来,如果一个实体假定另一个实体会严格并准确 地按照它所期望的那样行动,那么它就信任该实体。 信任域,

7、简单来说就是信任的范围。 信任锚就是PKI体系中的信任起点。 在公钥基础设施中,当两个认证机构中的一方给对方的 公开密钥或双方给互相的公开密钥颁发证书时,两者之 间就建立了信任关系。 在一个实体需要确认另一个实体身份时,它先需要确定 信任锚,再由信任锚找出一条到达待确认实体的各个证 书组成的路径,该路径称为信任路径。18电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处PKI信任模型 PKI信任模型相关概念 PKI信任模型评价 若干PKI信任模型19电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处PKI信任模型评价 信任域扩展的灵活度 信任路径

8、的长度 信任路径构建的难易度 信任关系的可靠度 证书管理的难易程度 应用范围和具体实施的难度20电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处PKI信任模型 PKI信任模型相关概念 PKI信任模型评价 若干PKI信任模型21电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处若干PKI信任模型 严格层次结构模型 网状信任模型 混合信任模型 桥CA信任模型 Web模型22电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处严格层次结构模型23电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处网状信任模

9、型24电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处混合信任模型25电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处桥CA信任模型26电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处Web模型27电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处公开密钥基础设施 PKI的概述 数字证书 CA的组成 密钥和证书的生命周期 PKI信任模型 PKI发展中的问题28电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处PKI发展中的问题 证书的使用复杂。 证书撤销问题难以解决,给

10、证书管理增加了难 度。 各个CA的用户之间还存在交叉认证和信任管 理的问题。 PKI部署一般需要包括CA、KMC、LDAP等 部分,部署较为复杂,29电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处30讨论议题 公开密钥基础设施(PKI) 基于身份的密码学(IBC) 组合公钥密码(CPK)电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处IBC IBC的原理 IBC的方案 IBC的实际问题31电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处32Identify-Based Cryptosystem 1984年,Sham

11、ir首先引入了 Identity-Based Cryptosystems (IBC)的概念. IBC的基本思想:把标识和公钥合成一体,标识本身 代表了公钥,无需通过第三方进行标识和公钥的绑定 。最初的提出是为了解决证书管理的问题。 IBC的适用场合:可信系统,比如一个大型的跨国公 司的系统或者拥有多个分支机构的银行系统 但Shamir当时只提出了一个签名方案电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处IBC IBC的原理 IBC的方案 IBC的实际问题33电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处34IBC方案IBC 方案一般分为三

12、步: 生成系统参 数,选定 特权信息为用户生成密 钥信息,并 写入智能卡进行加密 签名等 操作电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处IBE方案基本过程35电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处IBS方案基本过程36电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处IBC IBC的原理 IBC的方案 IBC的实际问题37电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处IBC的实际问题 密钥托管 密钥撤销38电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明

13、出处39Revocation of public keys 做法:用公钥“receiver-address|current-date” 加密消息 这样发送者无需更新私钥就可以很方便的给其 他人发送加密信息,但是接收者如果要解密消 息必须更新自己的私钥。 适用的场合:临时公钥;对未来进行加密。电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处40讨论议题 公开密钥基础设施(PKI) 基于身份的密码学(IBC) 组合公钥密码(CPK)电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处41CPK的思路 如何解决大规模密钥的存储 正向思维:对大量的密钥进

14、行压缩 逆向思维:由较小的因子矩阵生成大量的密 钥 CPK采用椭圆曲线算法作为基本的公钥算法 公私钥通过组合公钥算法从密钥因子矩阵中生 成 采用映射算法将标识映射到因子矩阵电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处42CPK的初始化在CPK中,系统参数包括: 椭圆签名密码参数: E : y2 = x3 + ax +b , G = (x, y)为椭圆曲线上的基点 E ,点的加法 P + Q 及标量乘法P = k G为基本运算 私钥因子矩阵与公钥因子矩阵; 映射算法.电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处43密钥因子矩阵私钥因子矩

15、阵 公钥因子矩阵(保密) (公开)电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处44映射算法 将散列输出调整成长度为190比特的映射序列 YS,以每5比特构成w0,w1,w37的字符串 ,决定被选元素的列坐标与行坐标。 YS = HASH (ID)=w0,w1,w2,w32; w33,w37 w0的值u指示列的起始坐标,以后的列坐标是 在前列坐标加1实现。 w1 - w32依次指示行坐标。 w33- w37指示系统密钥坐标电子工业出版社,信息安全原理与应用,2010.1 版权所有,引用请注明出处45标识密钥的组合计算 标识私钥isk的计算以有限域Zn上的加法实现,设 rwi,(u+i) mod 32表示私钥矩阵s

展开阅读全文
相关资源
相关搜索

当前位置:首页 > 中学教育 > 教学课件 > 初中课件

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号