密钥管理和PKI技术.ppt

密钥管理技术介绍 撰稿人：荆继武、武传坤、林璟锵 报告人：武传坤 （信息安全国家重点实验室） 密码学与信息安全 密码学，信息安全技术的基础 机密性——加密算法 存储加密 通信加密 数据完整性——MAC 身份鉴别和密钥协商 身份鉴别的同时，协商Session Key；以进行后续的安全通信 密钥管理——密钥的安全性 应用密码学的重要基础前提 密钥Key的安全性 密钥安全的2个方面 可用：要参加通信的实体之间，能够共享密钥 秘密：除合法通信实体能之外，其他无法知道Key 密钥管理技术 围绕上述2个方面 针对各种不同的应用环境 提纲——密钥管理技术 国际进展 典型的密钥管理技术 密钥协商和密钥分发 秘密分享 无线网络密钥管理 WSN密钥管理 MANET密钥管理 PKI技术 密钥协商 通过不安全的信道 双方进行通信，共享相同的Session Key 攻击者不知道Session Key 经典的DH协议[1] 同时可进行身份鉴别 如MQV协议[5] 密钥协商协议 DH协议[1] 离散对数难题 但是，存在着中间人攻击问题 MQV协议[5] 改进DH协议，加入了身份鉴别功能 防止中间人攻击问题 IEEE P1363标准 其它DH协议的改进[6-11] [7]改进MQV协议，提供可证明安全性 密钥分发 由管理中心来协助负责或协助用户来建立共享密钥 近年的相关进展 无条件安全密钥分发的模型文献[12] 带鉴别功能的密钥分发协议[13, 14] 轻量级密钥分发协议[15] 适用于无线环境 结合IBE算法密钥分发协议[16] 群组密钥管理 实现多用户之间的密钥共享 重点难题：用户组动态变化时的前向/后向安全性 组播加密 密钥树管理方案（经典的LKH方案[17]） 减少密钥更新的代价 近年相关研究[18-24] 用户分组[25-27] 减少成员变化所影响的合法成员范围 混合结构（密钥树和用户分组）[28] 其它，容错问题[29]、更新过程中的信息泄露[30] 广播加密[31-33] 提纲——密钥管理技术 典型的密钥管理技术 密钥协商和密钥分发 秘密分享 无线网络密钥管理 WSN密钥管理 MANET密钥管理 PKI技术 秘密分享 对于秘密信息的保管、使用上的安全方案 将秘密信息S，拆分给n个用户 例如，密钥就是典型的秘密信息 每一个用户掌握了一部分数据，称为share 大于或等于k个用户合作，就能够恢复得到S 少于k个用户合作，不能恢复得到S 至少需要k个用户合作，称为（k, n）门限方案 经典Shamir秘密分享方案[34] 通过多项式曲线的坐标，来实现秘密分享 对于机密信息S，拆分者生成有限域GF(p)上的（k-1）次多项式 F(x) = S+a1x+a2x2+…+ak-1xk-1，S作为多项式的常数项 根据曲线上的任意k个点坐标(x,y)，可以恢复完整的曲线 如果只得到k-1个点坐标(x,y)，则可以得到q个满足条件的多项式曲线，对确定S的值毫无帮助 秘密拆分和合成 每一个用户，得到曲线上的任意某一个点坐标(x, F(x)) 当有k个用户合作时 就能够恢复得到唯一确定的曲线，自然也能得到其常数项S 另外，使用LaGrange插值公式能够快速地计算常数项S 秘密分享——容错的机密性/可用性 秘密分享方案实现 容错的存储或者传输 攻击者部分的参与者不能危及秘密S 也可以将信息分开传输，攻击部分信道，不会危及秘密S 提供机密性 容错的可用性 丢失部分的子秘密，秘密S仍然可恢复 只要剩余的share数量不小于门限值k。 秘密分享的近年来研究进展 相关研究进展较多[35-63] 如下几个方面的特性 基于访问结构Access Structure 可验证的秘密分享方案VSS Verifiable Secret Sharing 相关通信协议和攻击 视觉秘密分享 基于访问结构Access Structure 以若干个用户子集（称为Access Structure）来表示可以恢复秘密的用户组合 并不是简单地用数量k表示 只要是合法的用户子集来合作即可恢复秘密信息 使用访问结构，能够更灵活地定义有权恢复秘密信息的用户群 (k, n)方案和加权秘密分享方案都可以视为它的特例 近年来，相关的研究成果比较多[35-44] 可验证秘密分享Verifiable Secret Sharing Shamir秘密分享方案中，并没有考虑恶意用户 提供错误的子秘密、导致恢复出错误结果的问题 相应的解决方案称为可验证的秘密分享方案VSS 防止恢复得到错误结果 判断各用户提供的子秘密是否正确，避免恶意用户以错误的子秘密与合法用户合作、并在恢复过程中获知其它用户的子秘密 近年来的相关研究 同步环境中的高效率VSS方案[45] 抵抗多个恶意用户合谋的解决方案[46] 支持多重秘密和多重门限的