密钥管理和PKI技术
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
其它用户都通过证书验证公钥信息的真实性
近年来的相关进展,如下几个方面
入侵容忍CA系统 证书撤销 系统结构 隐私保护 与IBE算法的结合
入侵容忍CA
基于门限签名、分布式 多个节点共同掌握CA私钥、合作签发证书
ITTC系统[84] 系统[85] COCA系统[86] ARECA系统[87] 对入侵容忍分布式CA系统的评估比较方案[88]
密钥管理技术介绍
撰稿人:荆继武、武传坤、林璟锵
报告人:武传坤 (信息安全国家重点实验室)
密码学与信息安全
密码学,信息安全技术的基础
机密性——加密算法
存储加密 通信加密
数据完整性——MAC 身份鉴别和密钥协商
身份鉴别的同时,协商Session Key;以进行后续 的安全通信
密钥管理——密钥的安全性
应用密码学的重要基础前提
密钥Key的安全性 密钥安全的2个方面
可用:要参加通信的实体之间,能够共享密钥 秘密:除合法通信实体能之外,其他无法知道Key
密钥管理技术
围绕上述2个方面 针对各种不同的应用环境
提纲——密钥管理技术
国际进展 典型的密钥管理技术
无条件安全密钥分发的模型文献[12] 带鉴别功能的密钥分发协议[13, 14] 轻量级密钥分发协议[15]
适用于无线环境
结合IBE算法密钥分发协议[16]
群组密钥管理
实现多用户之间的密钥共享
重点难题:用户组动态变化时的前向/后向安全性
组播加密
密钥树管理方案(经典的LKH方案[17]) 减少密钥更新的代价 近年相关研究[18-24] 用户分组[25-27] 减少成员变化所影响的合法成员范围 混合结构(密钥树和用户分组)[28] 其它,容错问题[29]、更新过程中的信息泄露[30]
防止恢复得到错误结果 判断各用户提供的子秘密是否正确,避免恶意用户以错 误的子秘密与合法用户合作、并在恢复过程中获知其它 用户的子秘密
近年来的相关研究
同步环境中的高效率VSS方案[45] 抵抗多个恶意用户合谋的解决方案[46] 支持多重秘密和多重门限的访问结构VSS方案[47] 基于访问结构VSS方案[48]
(k, n)方案和加权秘密分享方案都可以视为它的特例
近年来,相关的研究成果比较多[35-44]
可验证秘密分享 Verifiable Secret Sharing
Shamir秘密分享方案中,并没有考虑恶意用户
提供错误的子秘密、导致恢复出错误结果的问题
相应的解决方案称为可验证的秘密分享方案VSS
广播加密[31-33]
提纲——密钥管理技术
典型的密钥管理技术
密钥协商和密钥分发 秘密分享 无线网络密钥管理
WSN密钥管理 MANET密钥管理
PKI技术
秘密分享
对于秘密信息的保管、使用上的安全方案 将秘密信息S,拆分给n个用户
例如,密钥就是典型的秘密信息
WSN密钥管理
计算资源受限,通常采取预先分发共享对称 密钥的思路 解决问题
提高连通性,尽可能使任意2节点都能密钥协商 减少存储需求
近年来的研究热门
WSN密钥管理的近年进展
随机分发,E-G密钥管理方案[64]
改进方案[65, 66] 相关的攻击[67]
有先验知识的管理方案
无线网络密钥管理
研究较活跃,成果较多 但是仍然缺乏重要的技术创新思路
密钥预分发方案[147-153] 基于门限密码学方案的分布式密钥管理[154-159] 适用于无线网络的组密钥管理方案(通常都是针对簇状 网络结构)[160-162] 基于公钥密码算法或者IBE算法的密钥协商[163, 164] [165]对WSN的密钥管理技术给出较好的综述总结
F(x) = S+a1x+a2x2+…+ak-1xk-1,S作 为多项式的常数项 根据曲线上的任意k个点坐标(x,y),可以恢复 完整的曲线 如果只得到k-1个点坐标(x,y),则可以得到q个 满足条件的多项式曲线,对确定S的值毫无帮助
秘密拆分和合成
每一个用户,得到曲线上的任意某一个点坐 标(x, F(x)) 当有k个用户合作时
各种改进算法[111-114] [115]证明了可由CL-PKC方案来构建CBE方案,二者可相 互转化
国内的相关研究进展
密钥协商和密钥分发 秘密分享 无线网络密钥管理 PKI技术
密钥协商和密钥分发
总体而言,不够活跃 密钥协商
对基于标识的RYY密钥协商协议[121]的改进方案[122]
满足一定门限的其中部分份额图片叠加在一起 就可以恢复出原始秘密图片 少于门限的份额图片则不能恢复原始秘密图片, 也不能得到关于原始秘密图片的任何信息
相关研究进展[59-63]
提纲——密钥管理技术
典型的密钥管理技术
密钥协商和密钥分发 秘密分享 无线网络密钥管理
WSN密钥管理 MANET密钥管理
相关通信协议和攻击 视觉秘密分享
基于访问结构Access Structure
以若干个用户子集(称为Access Structure)来表 示可以恢复秘密的用户组合
并不是简单地用数量k表示
只要是合法的用户子集来合作即可恢复秘密信息 使用访问结构,能够更灵活地定义有权恢复秘密信 息的用户群
提高安全性
基于标识的密钥协商和鉴别协议[123] 基于Weil对的密钥协商协议[124],同时支持密钥协商和身份鉴别 基于口令的群鉴别和密钥协商协议[125] 双重分布的密钥分发方案[127]
改进了Daza等提出的分布式密Fra Baidu bibliotek分发方案[126]、引入时间分布性
密钥分发
文献[128]给出了Daza方案的安全性证明 基于公钥算法的广播加密方案[129] Grid环境的分层式组密钥管理[130]
每一个用户掌握了一部分数据,称为share 大于或等于k个用户合作,就能够恢复得到S
少于k个用户合作,不能恢复得到S 至少需要k个用户合作,称为(k, n)门限方案
经典Shamir秘密分享方案[34]
通过多项式曲线的坐标,来实现秘密分享 对于机密信息S,拆分者生成有限域GF(p)上 的(k-1)次多项式
丢失部分的子秘密,秘密S仍然可恢复
只要剩余的share数量不小于门限值k。
秘密分享的近年来研究进展
相关研究进展较多[35-63] 如下几个方面的特性
基于访问结构Access Structure 可验证的秘密分享方案VSS
Verifiable Secret Sharing
PKI中的隐私保护
各种不同的证书框架,控制身份隐私信息的 传播
文献[98-100]
撤销过程的隐私保护
当证书依赖方下载CRL或向OCSP服务器查询证书 撤销状态时,也就一定程度地暴露了二者之间 存在交易关系 解决方案[101, 102]
IBE算法与PKI的结合
希望结合二者的优点
相关通信协议和攻击
设计相应的通信协议,从而支持在网络用户 之间进行秘密分享[49-52] 文献[58]从博弈论的角度来讨论了秘密分享 过程中的相关攻击
秘密分享——视觉秘密分享
视觉秘密分享Visual Secret Sharing
将一幅秘密图片分解为n幅份额图片
份额图片可能是接近白噪声的随机图片,也可能是 有意义的不同图片
证书撤销
一直以来都是PKI技术研究的重要内容 近年来的方案
SEM结构[89, 90]
用户私钥拆分、在SEM上禁用“用户的拆分私钥”, 实现撤销 推广到IBE算法[91]
CRL签发策略[92] 分布式OCSP系统[94]
克服拒绝服务式攻击隐患
PKI系统结构
标准化已经进行多年,相对而言,进展较少 Nested证书和NPKI[95]
PKI技术
无线网络密钥管理技术
特点
一般都具有较大规模用户 缺少公共服务或基础设施的支持
无线自组网络Mobile Ad hoc Network(MANET)
更多地考虑用户的动态性、传输路径的动态性等
无线传感器网络Wireless Sensor Network (WSN)
更多地考虑节点的资源受限,如计算能力、存储容量、 传输距离受限、且易于损坏和被攻击等
组密钥管理
秘密分享
国内的研究较活跃 相关成果 可验证的秘密分享方案[131-138] 多重秘密分享方案[134, 137-140] 无可信分发中心的方案[131, 141, 142] 成员变化时的重新分发或再分发(Proactive Secret Sharing) [135, 141] 各种不同原理的秘密分享方案 基于代数几何的方案[54]、基于MSP的访问结构方案[36]、基 于布尔运算的方案[56]、基于视觉密码的方案[59, 63]、线性 秘密分享方案(Linear Secret Sharing Schemes)[57],和 结合IBE算法的多重秘密分享方案[143]、基于双线性变换的方 案[144]、基于图的攻击结构的方案[145]、加权秘密分享方案 [146]
在部署传感器时,可以大致地控制其位臵 也大概确定了其邻居节点
利用传感器分布的先验知识,可以更有效地分发共 享密钥,改善网络连通性,降低节点的密钥存储量
基于组的方案[68] 基于部署知识的方案[69, 70] 基于位臵的方案[71, 72]
MANET密钥管理
重要问题就是讨论当成员变化(加入、离开) 时的通信密钥更新
与组密钥管理有一定的类似之处 但是更多考虑无线环境的传输效率、节点的处 理能力,需要设计轻量级的方案[76-81]
提纲——密钥管理技术
典型的密钥管理技术
密钥协商和密钥分发 秘密分享 无线网络密钥管理
WSN密钥管理 MANET密钥管理
PKI技术
PKI系统
由可信第三方—CA签发证书,证明用户的公 钥信息
IBE,没有证书 PKI,没有密钥托管
基于证书的加密(Certificate-Based Encryption, CBE)[106]
各种改进算法[107-109]
无证书公钥密码算法(Certificateless Public Key Cryptography,CL-PKC)[110]
Nested证书,即为另一张证书而签发的证书 Nested证书的主体是另一张证书 NCA签发Nested证书,形成NPKI,对现有PKI的补充 减少依赖方证书验证过程的计算量,从公钥计算量级减 少为HASH计算量级
Self-Escrowed PKI [96]
提供标准的PKI功能的同时,具备恢复用户私钥的能力 相关概念提出较早[97],[96]设计更高效算法
密钥协商和密钥分发 秘密分享 无线网络密钥管理
WSN密钥管理 MANET密钥管理
PKI技术
密钥协商
通过不安全的信道 双方进行通信,共享相同的Session Key
攻击者不知道Session Key 经典的DH协议[1]
同时可进行身份鉴别
如MQV协议[5]
密钥协商协议
DH协议[1]
离散对数难题 但是,存在着中间人攻击问题
MQV协议[5]
改进DH协议,加入了身份鉴别功能
防止中间人攻击问题
IEEE P1363标准
其它DH协议的改进[6-11]
[7]改进MQV协议,提供可证明安全性
密钥分发
由管理中心来协助负责或协助用户来建立共 享密钥 近年的相关进展
就能够恢复得到唯一确定的曲线,自然也能得 到其常数项S 另外,使用LaGrange插值公式能够快速地计算 常数项S
秘密分享——容错的机密性/可用性
秘密分享方案实现
容错的存储或者传输
攻击者部分的参与者不能危及秘密S
也可以将信息分开传输,攻击部分信道,不会危及 秘密S
提供机密性 容错的可用性
近年来的相关进展,如下几个方面
入侵容忍CA系统 证书撤销 系统结构 隐私保护 与IBE算法的结合
入侵容忍CA
基于门限签名、分布式 多个节点共同掌握CA私钥、合作签发证书
ITTC系统[84] 系统[85] COCA系统[86] ARECA系统[87] 对入侵容忍分布式CA系统的评估比较方案[88]
密钥管理技术介绍
撰稿人:荆继武、武传坤、林璟锵
报告人:武传坤 (信息安全国家重点实验室)
密码学与信息安全
密码学,信息安全技术的基础
机密性——加密算法
存储加密 通信加密
数据完整性——MAC 身份鉴别和密钥协商
身份鉴别的同时,协商Session Key;以进行后续 的安全通信
密钥管理——密钥的安全性
应用密码学的重要基础前提
密钥Key的安全性 密钥安全的2个方面
可用:要参加通信的实体之间,能够共享密钥 秘密:除合法通信实体能之外,其他无法知道Key
密钥管理技术
围绕上述2个方面 针对各种不同的应用环境
提纲——密钥管理技术
国际进展 典型的密钥管理技术
无条件安全密钥分发的模型文献[12] 带鉴别功能的密钥分发协议[13, 14] 轻量级密钥分发协议[15]
适用于无线环境
结合IBE算法密钥分发协议[16]
群组密钥管理
实现多用户之间的密钥共享
重点难题:用户组动态变化时的前向/后向安全性
组播加密
密钥树管理方案(经典的LKH方案[17]) 减少密钥更新的代价 近年相关研究[18-24] 用户分组[25-27] 减少成员变化所影响的合法成员范围 混合结构(密钥树和用户分组)[28] 其它,容错问题[29]、更新过程中的信息泄露[30]
防止恢复得到错误结果 判断各用户提供的子秘密是否正确,避免恶意用户以错 误的子秘密与合法用户合作、并在恢复过程中获知其它 用户的子秘密
近年来的相关研究
同步环境中的高效率VSS方案[45] 抵抗多个恶意用户合谋的解决方案[46] 支持多重秘密和多重门限的访问结构VSS方案[47] 基于访问结构VSS方案[48]
(k, n)方案和加权秘密分享方案都可以视为它的特例
近年来,相关的研究成果比较多[35-44]
可验证秘密分享 Verifiable Secret Sharing
Shamir秘密分享方案中,并没有考虑恶意用户
提供错误的子秘密、导致恢复出错误结果的问题
相应的解决方案称为可验证的秘密分享方案VSS
广播加密[31-33]
提纲——密钥管理技术
典型的密钥管理技术
密钥协商和密钥分发 秘密分享 无线网络密钥管理
WSN密钥管理 MANET密钥管理
PKI技术
秘密分享
对于秘密信息的保管、使用上的安全方案 将秘密信息S,拆分给n个用户
例如,密钥就是典型的秘密信息
WSN密钥管理
计算资源受限,通常采取预先分发共享对称 密钥的思路 解决问题
提高连通性,尽可能使任意2节点都能密钥协商 减少存储需求
近年来的研究热门
WSN密钥管理的近年进展
随机分发,E-G密钥管理方案[64]
改进方案[65, 66] 相关的攻击[67]
有先验知识的管理方案
无线网络密钥管理
研究较活跃,成果较多 但是仍然缺乏重要的技术创新思路
密钥预分发方案[147-153] 基于门限密码学方案的分布式密钥管理[154-159] 适用于无线网络的组密钥管理方案(通常都是针对簇状 网络结构)[160-162] 基于公钥密码算法或者IBE算法的密钥协商[163, 164] [165]对WSN的密钥管理技术给出较好的综述总结
F(x) = S+a1x+a2x2+…+ak-1xk-1,S作 为多项式的常数项 根据曲线上的任意k个点坐标(x,y),可以恢复 完整的曲线 如果只得到k-1个点坐标(x,y),则可以得到q个 满足条件的多项式曲线,对确定S的值毫无帮助
秘密拆分和合成
每一个用户,得到曲线上的任意某一个点坐 标(x, F(x)) 当有k个用户合作时
各种改进算法[111-114] [115]证明了可由CL-PKC方案来构建CBE方案,二者可相 互转化
国内的相关研究进展
密钥协商和密钥分发 秘密分享 无线网络密钥管理 PKI技术
密钥协商和密钥分发
总体而言,不够活跃 密钥协商
对基于标识的RYY密钥协商协议[121]的改进方案[122]
满足一定门限的其中部分份额图片叠加在一起 就可以恢复出原始秘密图片 少于门限的份额图片则不能恢复原始秘密图片, 也不能得到关于原始秘密图片的任何信息
相关研究进展[59-63]
提纲——密钥管理技术
典型的密钥管理技术
密钥协商和密钥分发 秘密分享 无线网络密钥管理
WSN密钥管理 MANET密钥管理
相关通信协议和攻击 视觉秘密分享
基于访问结构Access Structure
以若干个用户子集(称为Access Structure)来表 示可以恢复秘密的用户组合
并不是简单地用数量k表示
只要是合法的用户子集来合作即可恢复秘密信息 使用访问结构,能够更灵活地定义有权恢复秘密信 息的用户群
提高安全性
基于标识的密钥协商和鉴别协议[123] 基于Weil对的密钥协商协议[124],同时支持密钥协商和身份鉴别 基于口令的群鉴别和密钥协商协议[125] 双重分布的密钥分发方案[127]
改进了Daza等提出的分布式密Fra Baidu bibliotek分发方案[126]、引入时间分布性
密钥分发
文献[128]给出了Daza方案的安全性证明 基于公钥算法的广播加密方案[129] Grid环境的分层式组密钥管理[130]
每一个用户掌握了一部分数据,称为share 大于或等于k个用户合作,就能够恢复得到S
少于k个用户合作,不能恢复得到S 至少需要k个用户合作,称为(k, n)门限方案
经典Shamir秘密分享方案[34]
通过多项式曲线的坐标,来实现秘密分享 对于机密信息S,拆分者生成有限域GF(p)上 的(k-1)次多项式
丢失部分的子秘密,秘密S仍然可恢复
只要剩余的share数量不小于门限值k。
秘密分享的近年来研究进展
相关研究进展较多[35-63] 如下几个方面的特性
基于访问结构Access Structure 可验证的秘密分享方案VSS
Verifiable Secret Sharing
PKI中的隐私保护
各种不同的证书框架,控制身份隐私信息的 传播
文献[98-100]
撤销过程的隐私保护
当证书依赖方下载CRL或向OCSP服务器查询证书 撤销状态时,也就一定程度地暴露了二者之间 存在交易关系 解决方案[101, 102]
IBE算法与PKI的结合
希望结合二者的优点
相关通信协议和攻击
设计相应的通信协议,从而支持在网络用户 之间进行秘密分享[49-52] 文献[58]从博弈论的角度来讨论了秘密分享 过程中的相关攻击
秘密分享——视觉秘密分享
视觉秘密分享Visual Secret Sharing
将一幅秘密图片分解为n幅份额图片
份额图片可能是接近白噪声的随机图片,也可能是 有意义的不同图片
证书撤销
一直以来都是PKI技术研究的重要内容 近年来的方案
SEM结构[89, 90]
用户私钥拆分、在SEM上禁用“用户的拆分私钥”, 实现撤销 推广到IBE算法[91]
CRL签发策略[92] 分布式OCSP系统[94]
克服拒绝服务式攻击隐患
PKI系统结构
标准化已经进行多年,相对而言,进展较少 Nested证书和NPKI[95]
PKI技术
无线网络密钥管理技术
特点
一般都具有较大规模用户 缺少公共服务或基础设施的支持
无线自组网络Mobile Ad hoc Network(MANET)
更多地考虑用户的动态性、传输路径的动态性等
无线传感器网络Wireless Sensor Network (WSN)
更多地考虑节点的资源受限,如计算能力、存储容量、 传输距离受限、且易于损坏和被攻击等
组密钥管理
秘密分享
国内的研究较活跃 相关成果 可验证的秘密分享方案[131-138] 多重秘密分享方案[134, 137-140] 无可信分发中心的方案[131, 141, 142] 成员变化时的重新分发或再分发(Proactive Secret Sharing) [135, 141] 各种不同原理的秘密分享方案 基于代数几何的方案[54]、基于MSP的访问结构方案[36]、基 于布尔运算的方案[56]、基于视觉密码的方案[59, 63]、线性 秘密分享方案(Linear Secret Sharing Schemes)[57],和 结合IBE算法的多重秘密分享方案[143]、基于双线性变换的方 案[144]、基于图的攻击结构的方案[145]、加权秘密分享方案 [146]
在部署传感器时,可以大致地控制其位臵 也大概确定了其邻居节点
利用传感器分布的先验知识,可以更有效地分发共 享密钥,改善网络连通性,降低节点的密钥存储量
基于组的方案[68] 基于部署知识的方案[69, 70] 基于位臵的方案[71, 72]
MANET密钥管理
重要问题就是讨论当成员变化(加入、离开) 时的通信密钥更新
与组密钥管理有一定的类似之处 但是更多考虑无线环境的传输效率、节点的处 理能力,需要设计轻量级的方案[76-81]
提纲——密钥管理技术
典型的密钥管理技术
密钥协商和密钥分发 秘密分享 无线网络密钥管理
WSN密钥管理 MANET密钥管理
PKI技术
PKI系统
由可信第三方—CA签发证书,证明用户的公 钥信息
IBE,没有证书 PKI,没有密钥托管
基于证书的加密(Certificate-Based Encryption, CBE)[106]
各种改进算法[107-109]
无证书公钥密码算法(Certificateless Public Key Cryptography,CL-PKC)[110]
Nested证书,即为另一张证书而签发的证书 Nested证书的主体是另一张证书 NCA签发Nested证书,形成NPKI,对现有PKI的补充 减少依赖方证书验证过程的计算量,从公钥计算量级减 少为HASH计算量级
Self-Escrowed PKI [96]
提供标准的PKI功能的同时,具备恢复用户私钥的能力 相关概念提出较早[97],[96]设计更高效算法
密钥协商和密钥分发 秘密分享 无线网络密钥管理
WSN密钥管理 MANET密钥管理
PKI技术
密钥协商
通过不安全的信道 双方进行通信,共享相同的Session Key
攻击者不知道Session Key 经典的DH协议[1]
同时可进行身份鉴别
如MQV协议[5]
密钥协商协议
DH协议[1]
离散对数难题 但是,存在着中间人攻击问题
MQV协议[5]
改进DH协议,加入了身份鉴别功能
防止中间人攻击问题
IEEE P1363标准
其它DH协议的改进[6-11]
[7]改进MQV协议,提供可证明安全性
密钥分发
由管理中心来协助负责或协助用户来建立共 享密钥 近年的相关进展
就能够恢复得到唯一确定的曲线,自然也能得 到其常数项S 另外,使用LaGrange插值公式能够快速地计算 常数项S
秘密分享——容错的机密性/可用性
秘密分享方案实现
容错的存储或者传输
攻击者部分的参与者不能危及秘密S
也可以将信息分开传输,攻击部分信道,不会危及 秘密S
提供机密性 容错的可用性