PKI技术 教学课件 ppt 作者 荆继武 第20讲 IBE与PKI

《PKI技术 教学课件 ppt 作者 荆继武 第20讲 IBE与PKI》由会员分享，可在线阅读，更多相关《PKI技术 教学课件 ppt 作者 荆继武 第20讲 IBE与PKI（56页珍藏版）》请在金锄头文库上搜索。

1、PKI技术,第二十讲 IBE与PKI,2,本讲内容,IBE的引出 IBE的基本原理 IBE的撤销问题 IBE的优势和存在问题 IBE与PKI的比较 IBE与PKI的结合,3,回顾：PKI技术的基本思想,通过数字证书发布公钥 在数字证书中，包含了主体(subject)、主体公钥信息(subjectPublicKeyInfo) 表明了subject与公私钥对的绑定关系，即subject拥有证书中的公钥对应的私钥,4,PKI技术的应用,实体A想和实体B进行通信 实体A获取实体B的数字证书 验证证书的有效性 数字签名 有效期 撤销状态 证书扩展 然后，利用证书中公钥进行加密通信,5,思考,传统PKI技

2、术中，公钥的发布方式 数字证书的方式 加密通信前，对于每一张证书必须： 获取证书、验证证书有效性 需要各种操作（证书链、证书查找、撤销检查） 引入各种组件来支持,6,问题,是否可以避开“数字证书”，采取其它的方式： 从而也避免“证书查找”、“证书验证”操作 问题： 没有证书，如何证明某个公钥是A的，而不是B的,7,Identity-Based Encryption,一种可行的办法： 采用与实体身份相关的信息（电子邮件、手机号码等）作为公钥 知道实体身份，也就知道了公钥 不需要再频繁地获取证书、验证证书来获取公钥 如下图：,8,利用身份信息作为公钥,哈哈，小B的邮箱就是公钥： ,想和小B进行加密

3、通信，可他的公钥是什么呢？,查资料库？太麻烦了 现在不都用身份信息作为公钥嘛,加密通信,9,本讲内容,IBE的引出 IBE的基本原理 IBE的撤销问题 IBE的优势和存在问题 IBE与PKI的比较 IBE与PKI的结合,10,IBE,Identity-Based Encryption，简称IBE，基于身份的加密 最早由Shamir于1984年提出 初衷是简化电子邮件系统中的证书管理 任何一对用户之间能够安全的通信以及在不需要交换私钥和公钥的情况下验证每个人的签名，并且不需要保存密钥目录及第3方服务。 Identity-Based Cryptography，简称IBC，基于身份的密码学,11,I

4、BE工作原理(1),私钥生成器(Private Key Generator,简称为PKG） IBE体系中的核心部分 功能： 在IBE系统初始化时，产生主密钥(Master Key)和公开参数(Public Params)，并公开发布Public Params 根据用户的ID，为用户生成相应的私钥,12,IBE工作原理(2),IBE的系统流程： Step 1:系统初始化。PKG生成主密钥和公开参数，保密主密钥，而公开参数需要公开 Step 2:私钥生成。PKG根据主密钥和用户的ID生成用户的私钥 Step 3:加密消息。用某实体的ID和公开参数计算公钥并加密消息 Step 4:解密消息。实体通过

5、私钥解密,13,IBE工作原理(3),IBE下实体间的通信 实体A想和实体B进行安全通信 根据实体B的ID以及PKG发布的公钥参数，计算出实体B的公钥，加密信息后发送给实体B 如果实体B尚未从PKG获取自己的私钥，就从PKG获取自己的私钥 实体B通过私钥解密实体A发送的信息 如下页图所示,14,IBE工作原理(4),其中，Fun1和Fun2都是公开的函数。,15,IBE工作原理(5),在实体从PKG获取自己私钥的过程中，PKG需要对实体身份进行鉴别： 防止冒充者获取该实体的私钥 私钥只能由相应的实体获取，否则就没有秘密可言,16,IBE的实现(1),Shamir于1984年提出IBE的概念 基

6、于身份的数字签名方案Shamir在1984年就已提出 2001年，Boneh等人利用椭圆曲线的双线性对才得到Shamir意义上的基于身份的加密体制,17,IBE的实现(2)-Boneh方案,Boneh方案的安全性建立在CDH (Computational DiffieHellman) 困难问题的一个变形之上，称为WDH (Weil DiffieHellman) 困难问题 Boneh方案核心:使用了超奇异椭圆曲线上的一个双线性映射 Weil Pairing 具体内容不作详细介绍,18,课内容,IBE的引出 IBE的基本原理 IBE的撤销问题 IBE的优势和存在问题 IBE与PKI的比较 IBE与

7、PKI的结合,19,IBE中的有效期/撤销问题(1),PKI体系中，通过有效期(Validity)标识公私钥对的有效使用期 证书过了有效期就是无效的 签发CRL来使在有效期内发生主体身份变更、密钥泄露等出现问题的证书无效 CRL中的证书（以及对应的密钥对）是无效的 证书出现问题的原因用 Reason Code扩展标识,20,IBE中的有效期/撤销问题(2),IBE中，如何管理公私钥对的有效使用期？ PKI体系中，被撤销的主体是证书 相应地在IBE中，被撤销的主体是身份（ID），但ID通常是不变的，更不能轻易撤销。 身份证不能随便换吧！ 怎么办？,21,IBE中的有效期/撤销问题(3),一种可能

8、的方案： 在公钥的生成中加入时间信息 回顾前面：实体的公钥由实体身份信息和PKG公开参数生成 改用实体身份信息+时间信息+PKG的公开参数生成该实体的公钥 :2008-1-2 相应地，私钥生成的输入参数也有时间信息,22,IBE中的有效期/撤销问题(4),用email|current-year生成公钥 2008年，xyz的公钥由|2008生成 2008年内，xyz都可以正常使用对应的私钥 到2009年，2008年的私钥无效 上述过程，实现了密钥对的有效期 其有效期为1年,23,IBE中的有效期/撤销问题(5),用email|current-date生成公钥 2008-1-1，xyz的公钥由:2

9、008-1-1生成 2008-1-1这天，xyz可以正常使用对应的私钥 2008-1-2，1-1的公私钥对无效 xyz必须从PKG获取1-2的私钥 密钥有效期为1天,24,IBE中的有效期/撤销问题(6),公私钥对的生成过程中，加入时间信息 email|current-year email|current-date 通过对时间细粒度的控制 灵活地设定有效期 安全要求高的，有效期短 安全要求低的，有效期长 若到有效期后，PKG不为实体生成新的私钥 其他实体依然可以用正确的公钥加密信息 消息接收者没有私钥，无法解密 相当于密钥对被撤销了,25,例,在某公司，有自己的PKG，密钥对的有效期为1天 e

10、mail|current-date 员工A每天从PKG获取自己的私钥 处理各种公务 某天，A辞职 私钥需要被撤销 不能再让A解密任何公司相关的业务 让PKG不要再生成A的Email对应的私钥 A没有有效的私钥，也就无法解密最新公钥加密的信息,26,IBE中的有效期/撤销问题(7),上述撤销方案存在的问题： 时间细粒度的控制（与PKI证书有效期类似） 安全要求高的应用，为减轻密钥泄露带来的损失，密钥的有效期会很短 比如一天，甚至更短 增加了PKG的负担： 每次更新 生成各个实体的私钥 各个实体向PKG获取私钥 计算和通信上的负担增加（需要机密性信道）,27,IBE中的撤销问题(8),对上述方案的

11、改进： 一次性获取多个密钥 获得今后N个有效期内的密钥 等第N个密钥过期后，再去获取下一批密钥 同样存在问题： A得到未来N个有效期内的密钥，而他今天就离开了公司 掌握着未来N个有效期内的密钥，一旦做违法的事呢？损失惨重！,28,IBE中的撤销问题(9),加窗的基于ID撤销方案 主要思想是： 在用户和PKG的一次通信中，取得以后各天尽可能多的私钥 易损窗口(Window of Vulnerability, WOV)PKG限制用户一次最多取得的私钥数量 缓存窗口(Window of Cache, WOC)用户 一次最多可取得的私钥数量,29,IBE中的撤销问题(10),加窗的基于ID撤销方案 P

12、KG自主地根据安全需求设定WOV的灵活性 安全和效率之间取得折中 WOV越小，一次获得的私钥就越少，安全性相对较高；反之，则安全性较低 用户自主地根据私钥应用需求设定WOC的灵活性 既适用于高频率使用私钥的用户，又适用于低频率使用私钥的用户,30,本讲内容,IBE的引出 IBE的基本原理 IBE的撤销问题 IBE的优势和存在的问题 IBE与PKI的比较 IBE与PKI的结合,31,IBE的优势和存在的问题(1),IBE的优势 方便地实现了身份信息与公钥的结合 PKI中，证书实现了身份信息和公钥的绑定 IBE中，很容易从身份信息得到公钥 对于用户来说： 不需要再进行证书获取 不需要证书验证 直接

13、从身份信息计算公钥,32,IBE的优势和存在的问题(2),IBE存在的问题 密钥托管问题 PKG掌握着所有实体的密钥，有能力对所有实体间的通信进行监听 对于通信双方来说，通信内容并不完全是秘密的 PKG就是潜在的“监听者”,33,IBE的优势和存在的问题(3),IBE存在的问题 私钥的获取 实体需要定时地、安全地从PKG获取自己的私钥 需要维护每一个实体和PKG的机密性通道 数量太多，维护起来困难 PKG容易受到攻击 一旦PKG被攻破 主密钥(Master Key)泄露 所有实体私钥也就泄露,34,本讲内容,IBE的引出 IBE的基本原理 IBE的撤销问题 IBE的优势和存在问题 IBE与PK

14、I的比较 IBE与PKI的结合,35,IBE与PKI的比较(1),IBE中的公私钥 公钥由公开参数和身份信息生成 不需要以数字证书为载体 私钥由PKG生成 实体需要向PKG请求自己的私钥，或PKG主动为实体传递公钥 PKI中的公私钥 公私钥对由KMC，或者用户自己生成 公钥通过数字证书的方式发布,36,IBE与PKI的比较(2),IBE中的密钥有效期/撤销 在公私钥生成中，加入时间信息来实现密钥的更新 通过PKG停止给某个身份的实体生成私钥，实现对实体密钥的撤销 PKI中的证书有效期/撤销 证书有效期 CA(或CRL Issuer)签发CRL 用户使用证书时查询撤销状态,37,IBE与PKI的

15、比较(3),IBE中对信道的安全要求 有可靠的安全信道保证从PKG传递到实体的私钥不被窃取 保证私钥安全可靠的到达实体 PKI中对信道的要求 公私钥对由订户自己生成 私钥掌握在订户手里 不需要安全信道传输,38,IBE与PKI的比较(4),IBE中PKG主密钥(Master Key)泄露 因为所有私钥通过主密钥生成 掌握了主密钥，也就掌握了所有私钥 主密钥泄露前、泄漏后生成的私钥都可以得到 即与此主密钥相关的私钥都泄露 由这些私钥对应公钥加密的信息是不安全的 包括主密钥泄露前加密通信内容 如下图所示,39,那是五年前,虽然我现在不知道他们通信的内容，但有一天我会解开这些密文的,窃听,40,五年

16、后,小C攻破了PKG,哈哈，我拿到PKG主密钥啦！ 嗯，五年前小A、小B的私钥可以算出来了，也就能把他们通信的密文给解密了。 原来他们在说这个,41,PKI中CA的密钥泄露 CA签发的证书不可信 是CA密钥泄露前签发的，还是被伪造的？ 无法断定 必须撤销CA签发的所有证书 会不会造成用户通信内容的泄露？ 不会 私钥牢牢地掌握在订户自己手里 如下图所示。,42,还是五年前,虽然我现在不知道他们通信的内容，但有一天我会解开这些密文的,窃听,43,五年后,小C攻破了CA,哈哈，我拿到CA密钥啦！ 可我还是不知道五年前小A、小B加密通信时用的私钥啊！ 我还是没办法解开密文,你知，我知！,44,IBE与PKI的比较(5),PKG的公钥参数发布 PKI的根CA证书发布 都需要不可篡改的可靠信道,45,本讲内容,IBE的引出 IBE的基本原理 IBE的撤销问题 IBE的优势和存在问题 IBE与PKI的比较 IBE与PKI的结合,46,IBE与PKI的结合（1）,将I