公钥基础设施PKI教程.pptVIP

公钥基础设施PKI ;内容;　 ;　 ; 　;独特性 “信物”的部分或全部体现在注册中，同样，“信物”的部分或全部体现在证明方所持有的证件中。“信物”的综合特证是唯一的。有别于其它主体的特征。身份特征的分粒度按业务性质可以不同，在敌友识别系统中，只识别敌友双方即可，有的系统则要识别到具体的人，如身份证号或用户名等。;一体性 证明方必须具有主体和证件的一体性证据。如照片或人脑中的口令等，将证明主体和证件结合成一体化。用于一体性证明的技术有两种，一种是基于主体的生物特征，另一种是基于主体的逻辑特征。在信息系统中往往采用逻辑特征值，如口令或密钥参数。 ; ; ;验证过程： a) 用户插卡，卡中的内容输进PC机中。 EK1（K2）； EK2（R）； b) PC计算： DK1（Ek1(k2)) = k2 DK2(R)=R; c) 用户敲入口令WPa； d) PC计算EK2（R?WPa）; 将结果送SVR； e) SVR计算EK2（R?WPa）；将结果进行比较。 f) 如果认证通过，将EK2（NEW R）发回a的ID卡 中。;公开密钥基础设施PKI;公开密钥基础设施PKI ;PKI提供的基本服务;PKI的应用考虑;密钥对的用法;PKI之动机;PKI基本组成 ;PKI基本组成;PKI基本组成;PKI基本组成;PKI基本组成;PKI基本组成;PKI中的证书;X.509证书格式;X.509证书格式(续);PKI的运行;PKI的运行;PKI中密钥和证书的管理 ;密钥生命周期;PKI: 初始化阶段;终端实体的初始化;颁发阶段 ;撤消阶段 ;PKI中证书的撤消;CA(Certificate Authority);密钥备份和恢复;CA密钥更新;CA信任关系;CA层次结构;CA层次结构的建立;层次结构CA中证书的验证;证书链的验证示例;CA认证模型;CA认证模型; CA 证明链;交叉认证;以用户为中心的信任模型;PKI进展;美国防部PKI;美国防部PKI;PKI的运行：国防部DoD PKI布局;美国联邦政府PKI;美国联邦政府PKI;华盛顿州PKI;华盛顿州PKI;密钥管理;密钥管理;密钥使用举例 DATA HASH（DATA）= H; (H)DA=SIGN E RAN1 （ DATA//SIGN ）=CODE EKA-B(RAN1)=RAN2 发送：（RAN2，CODE）;密钥管理的内容和原则 ;密钥分发 ;封闭式密钥管理 ;静态配置的封闭式密钥管理 ;静态分发：单层星状配置;静态分发：网状配置;动态分发的封闭式密钥管理 ;动态分发：KDC，拉方式 分发协议： 1) a→c：request//n1; 2) c→a：EKA(KS//request//n1//EKB(KS,IDA)) 3) a→b：EKB(KS,IDA) 这样a,b双方都有相同的密钥KS。 验证协议： 4) b→a：EKS(N2) 5) a→b：EKS(fN2), 其中f是简单函数，是加1等简单变换。;KDC; 动态分发：KDC，推方式 分发协议： 1）a→b：a,EKA(EMa); 2) b→c：EKA(EMa) 3）c→b：EKB(KS,a ,EMb), EKA(KS,b,EMa) 4）b→a：EKA(KS,b,EMa) ;KDC;组合公钥技术; 组合公钥 (以椭圆曲线为例) 公式：y2=x3+ax+b mod p; 参数: T={a,b,G,n,p}; 私钥：sk=r; 公钥：pk=rG; 设：h层组合运算； ;组合因子表 私钥因子(必威体育官网网址） 公钥因子（公布） r11 r21 r31 … rh1 r11G r21G r31G … rh1G r12 r22 r32 … rh2 r12G r22G r32G … rh2G r13 r23 r33 … rh3 r13G r23G r33G … rh3G … … … … … …