密码学 公开密钥管理

PKU概念

Public Key Infrastructure
PKI一般指公钥基础设施。 公钥基础设施是一个包括硬件、软件、人员、策略和规程的集合，用来实现基于公钥密码体制的密钥和证书的产生、管理、存储、分发和撤销等功能。

基于PKI的信任模型

如果一个个体假设CA 能够建立并维持一个准确的“个体-公钥属性”之间的绑定，则他可以信任该CA ，该CA 为可信CA

CA的层次结构

CA的层次结构可以组织成树形，从而进行层次验证，验证的过程就是迭代访问一个点的证书的父CA，并从上往下的完成验证。

与此相对的概念是交叉认证关系，不同层次的CA也可以彼此信任，但签发仍然由树形结构的父子完成。

基于身份的密码学体系IBC

Identify-Based Cryptosystem

IBC 的基本思想：把标识和公钥合成一体，标识本身代表了公钥，无需通过第三方进行标识和公钥的绑定 。 最初的提出是为了解决证书管理的问题

做法：用公钥“receiver-address||current-date”这样发送者无需更新公钥就可以很方便的给其他人发送加密信息，但是接收者如果要解密消息必须更新自己的私钥。于是实现了对密钥的销毁控制。

Managing user credentials：
做法：用receiver-address||current-date||clearance-level 加密消息，只有拥有特定授权等级（clearance ）的用户才能够才能解密消息
提供了解密权限控制

Delegations of decryption keys：
做法：委托人拥有master-key ，委托人 可以根据被委托人的角色，从master-key派生出被委托人的密钥。
这样各个不同角色的被委托人之间无法解密发送给其他角色的被委托人的消息，委托人可以解密任何消息

Forward-secure encryption：
做法：私钥每隔一段时间发生演变
如果某一阶段的密钥泄露了，之前的消息是安全的，但是以后的消息则是不安全的

Key-insulated encryption scheme：
做法：把密钥分成两个部分，每个部分都会每隔一段时间发生演变
只有在同一段时期内，密钥的两个部分同时泄露，之后的密钥才会作废

组合公钥密码 CPK

Combined Public Key
CPK 为大规模分布式应用提供了一种简洁、有效和可扩展的IBC解决方案

如何解决大规模密钥的存储：
正向思维：对大量的密钥进行压缩
逆向思维：由较小的因子矩阵生成大量的密钥
可以看到和DES密码体系的思想有一定共同点

CPK采用椭圆曲线算法作为基本的公钥算法，公私钥通过组合公钥算法从密钥因子矩阵中生成，采用映射算法将标识映射到因子矩阵

ECC复合定理



私钥因子矩阵需要妥善地保存在密钥管理中心，而公钥因子矩阵则可以在公共媒体中公布，也可以保存在专用媒体中直接分发给用户使用。

当组合公钥系统的因子矩阵大小为m*n时，组装出来的密钥量为$m^n$