公钥基础设施PKI教程文件.ppt

公钥基础设施PKI 内容 认证逻辑 公开密钥基础设施PKI 密钥管理 组合公钥技术 认证逻辑 认证逻辑 　 信任逻辑：对主体的认证，对照方法判别 注册性，双边性，独有性，一体性，主从性 　 相信逻辑：对客体的认证，推理方法判别 （BAN逻辑，NRL逻辑，NCP逻辑） 可解性，无重性，占有性 主体认证 在信息系统中，主体认证在主体之间进行。一个主体对另一个主体进行识别（identify），验明身份（proof of identity）。主体分为验证方和证明方。 　 共有性 共有性强调验证方和证明方具有相同意义的“信物”。过去简单用：“你有什么，你知道什么，你是什么”来定义身份认证的依据。得出你是谁的结论。按着共有性原则，应解释为：“你有的我也有，你知道的我也知道，你是什么的叙述跟我掌握的一样”。“我有，我知道，我是什么”应在注册中体现。 独特性 “信物”的部分或全部体现在注册中，同样，“信物”的部分或全部体现在证明方所持有的证件中。“信物”的综合特证是唯一的。有别于其它主体的特征。身份特征的分粒度按业务性质可以不同，在敌友识别系统中，只识别敌友双方即可，有的系统则要识别到具体的人，如身份证号或用户名等。 一体性 证明方必须具有主体和证件的一体性证据。如照片或人脑中的口令等，将证明主体和证件结合成一体化。用于一体性证明的技术有两种，一种是基于主体的生物特征，另一种是基于主体的逻辑特征。在信息系统中往往采用逻辑特征值，如口令或密钥参数。 1）生物特征 最能够提供一体性证据的是主体固有的生物特征。现有生物特征技术大致如下： 类别 存储量 验证方式 判别 准确度 指纹特征 4kB 接触型 几秒 有误判 视网膜特征 2kB 接触型 几秒 较准确 虹膜特征 256B 非接触型 1秒 非常准确 脸部特征和 声音特征 16kB 非接触型 几秒 较准确 其中，基于脸部特征的一体性验证，还具有可恢复脸部图象的功能，这种功能为事发后的跟踪追查提供有力的证据。 逻辑特征 逻辑特征是利用参数，如口令或密钥，作为主体身份的特征来进行认证的技术。认证一般通过一种协议来实现。 主从性 验证主体和证明主体构成主从关系。主从关系以登记，发证的形式体现。主体间互相认证，表面看起来是平等关系，但A方验证B方时，A方是主主体，而B方是从主体，而B方验证A方时，B方成为主主体，A方成为从主体。就一个主体的验证过程来说，不会形成平等关系。主从性指的是直接的从属关系，而不是间接的从属关系。从属关系规定了发证的合法性和有效域。一个系统只能对自己管辖的主体发证，而一个主体的证件只能在所属系统范围内有效。从安全理论的角度，这种关系是单层的，而不能是多层的。 主体认证协议 口令认证协议 一个客户A主机（PC）要登录到服务器（SVR）。 必备条件： A: 具有SVR 配发的ID卡。做管辖性证据； 具有用户名和口令，提供一体性证据； 具有SVR分发的参数R，提供当次性证据； PC： 具有加密算法和加密功能；具有密钥k1; SVR：ID卡合法性验证，验证其管辖性；用户A的用 户名(或用户标识PIN)和口令，用于一体性检 验；发给A的随机参数，用于当次性和管辖性 验证；密钥k1和 k2以及加解密功能。 身份（标识）认证示意 KEY1 KEY1， KEY2 R ， PWA PC SVR EKEY1(KEY2) EKEY2(R)