第6講IBE與CPK華中科技大學(xué)計算機學(xué)院信息安全研究室1第6講IBE與CPK11IBE——基于標(biāo)識的公鑰密碼系統(tǒng)2CPK——基于組合公鑰的密碼系統(tǒng)第6講IBE與CPK21IBE——基于標(biāo)識的公鑰密碼系統(tǒng)第6講IBE與CPK21.基于標(biāo)識的公鑰密碼系統(tǒng)1.1背景與概念1.2IBE公鑰密碼體制1.3CPK公鑰密碼體制1.4公鑰基礎(chǔ)設(shè)施31.基于標(biāo)識的公鑰密碼系統(tǒng)1.1背景與概念31.1背景與概念-4-41.1背景與概念-4-455PKI的不足之處1.1PKI的安全性依賴于層次CA和在線證書庫層次化CA機構(gòu)可以擴充密鑰數(shù)量，但導(dǎo)致了機構(gòu)膨脹和信任關(guān)系的退化第三方的法律地位問題（誰適合充當(dāng)?shù)谌?？）在線證書庫使得通信量增大PKI的體制決定了它不適合大規(guī)模應(yīng)用環(huán)境6PKI的不足之處1.1PKI的安全性依賴于層次CA和在線證PKI的不足之處PKI的層次化CA結(jié)構(gòu)使每次認(rèn)證過程都需要追溯到根CA，每一個證書的合法性都要得到上級CA直至根CA的確認(rèn)。7PKI的不足之處PKI的層次化CA結(jié)構(gòu)使每次認(rèn)證過程都需要追

美國國防部《PKI路線圖》（第5版）中指出：將來能否得到PKI所需要的通信帶寬仍是一個問題。PKI的這種矛盾是其技術(shù)體制固有的特性決定的。

PKI采用個人生產(chǎn)密鑰的分散式管理模式，在這樣的模式下只能采用第三方證明的手段來保證證書的合法性，由此引發(fā)了一系列難以逾越的難題。88基于標(biāo)識的公鑰密碼體制（IBE）Shamir的動機是為了在電子郵件系統(tǒng)中簡化證書的管理。當(dāng)Alice發(fā)送一封郵件給Bob(bob@)，她只需要簡單地用Bob的郵件地址bob@作為加密密鑰來加密郵件信息，而不需要通過目錄服務(wù)去獲取Bob的公鑰證書。當(dāng)Bob收到加密的郵件，Bob和可信的第三方PKG(PrivateKeyGenerator)取得聯(lián)系，獲取自己的私鑰（如果Bob已經(jīng)獲取了和bob@對應(yīng)的私鑰就不需要再獲取了），就可以解密郵件了。9基于標(biāo)識的公鑰密碼體制（IBE）Shamir的動機是為了在電基于標(biāo)識的公鑰密碼體制（IBE）一個安全的IBE加密體制應(yīng)該滿足以下幾個條件：(1)用戶i的標(biāo)識可以直接作為公鑰（或者通過簡單的映射變?yōu)楣€），因而，任何人都可以利用該公鑰向用戶i發(fā)送加密的信息，而不需要在目錄服務(wù)中查找；(2)只有PKG能夠計算用戶i的私鑰，其他任何人都不能計算（包括用戶i在PKG給他分發(fā)私鑰之前也不能計算）。RSA不能用作IBE加密體制，這是因為RSA的公鑰通?？梢悦枋鰹?n,e)，其中n是兩個大素數(shù)的乘積，e是加密密鑰，e雖然可以取作用戶的標(biāo)識，但是對不同的用戶而言，n是必須不同的。所以向用戶i發(fā)送加密信息的時候，僅知道標(biāo)識是不夠的，還必須通過目錄服務(wù)去查找n。10基于標(biāo)識的公鑰密碼體制（IBE）一個安全的IBE加密體制應(yīng)該IBE與PKI的比較IBEPKI公鑰就是用戶的標(biāo)識（身份證號碼，Email地址等），不需在線認(rèn)證公鑰存在于用戶證書中，需要通過目錄服務(wù)和證書簽名驗證證書合法性密鑰生成中心PKG集中分發(fā)用戶私鑰，但不參與認(rèn)證過程證書庫始終在線運行，且參與每次認(rèn)證過程PKG不需要保存用戶私鑰，可以由用戶標(biāo)識臨時計算，維護(hù)成本低中心需保存用戶私鑰，以便在用戶遺失的情況下能夠解密以前加密的內(nèi)容，維護(hù)成本高既然無在線運行的中心，不存在瓶頸，適合大規(guī)模應(yīng)用CA中心是系統(tǒng)的瓶頸，不適合大規(guī)模應(yīng)用11IBE與PKI的比較IBEPKI公鑰就是用戶的標(biāo)識（身份證號更重要的一點將保密與訪問控制完美結(jié)合在一起。12更重要的一點將保密與訪問控制完美結(jié)合在一起。121.2IBE公鑰密碼體制-13-131.2IBE公鑰密碼體制-13-13數(shù)字簽名傳統(tǒng)簽名的基本特點:能與被簽的文件在物理上不可分割簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求:能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被自動驗證14數(shù)字簽名傳統(tǒng)簽名的基本特點:14IBE簽名（參數(shù)、公鑰）15IBE簽名（參數(shù)、公鑰）15計算私鑰16計算私鑰16簽名和驗證17簽名和驗證17

IBE公鑰加密18

IBE公鑰加密18191920202121IBE密鑰管理弱點22IBE密鑰管理弱點222CPK——基于組合公鑰的密碼系統(tǒng)現(xiàn)有的認(rèn)證技術(shù)CPK的數(shù)學(xué)原理CPK的特點分析基于CPK的應(yīng)用國家組合公鑰基礎(chǔ)設(shè)施結(jié)束語232CPK——基于組合公鑰的密碼系統(tǒng)現(xiàn)有的認(rèn)證技術(shù)231.現(xiàn)有的認(rèn)證技術(shù)1）PKI技術(shù)

PKI技術(shù)，它采用證書管理公鑰，通過第三方的可信任機構(gòu)——認(rèn)證中心CA(CertificateAuthority)，把用戶的公鑰和用戶的其他標(biāo)識信息（如名稱、e-mail、身份證號等）捆綁在一起，在Internet上驗證用戶的身份。存在的問題：在規(guī)?；荑€管理上，PKI用層次化CA機構(gòu)的數(shù)量來擴大密鑰管理的規(guī)模，導(dǎo)致了機構(gòu)膨脹和信任關(guān)系退化的問題；PKI用第三方證明的方式解決標(biāo)識和密鑰的捆綁，導(dǎo)致第三方的法律地位和通信量增大的問題。美國國防部《PKI路線圖》（第5版）中指出：將來能否得到PKI所需要的通信帶寬仍是一個問題。

241.現(xiàn)有的認(rèn)證技術(shù)1）PKI技術(shù)241.現(xiàn)有的認(rèn)證技術(shù)2）IBE技術(shù)

1984年，Shamir證明了標(biāo)識認(rèn)證算法的存在性。出現(xiàn)了基于身份的密碼系統(tǒng)的概念，其主要觀點是，使用用戶的標(biāo)識如姓名、IP地址、電子郵件地址等作為公鑰。用戶的私鑰通過一個被稱作私鑰生成器PKG(PrivateKeyGenerator)的可信任第三方進(jìn)行計算得到，但PKG除了生成私鑰外，并不總是參與加密的過程。

2001年，美國DanBoneh和MatthewFranklin利用Weil的組對理論，實現(xiàn)了將標(biāo)識作為公鑰，不通過第三方的標(biāo)識認(rèn)證算法。

不需要第三方在線參與，簡化認(rèn)證。存在的問題：但該方法要保留大量用戶參數(shù)，仍需在線參數(shù)庫的支持。

251.現(xiàn)有的認(rèn)證技術(shù)2）IBE技術(shù)251.現(xiàn)有的認(rèn)證技術(shù)3）CPK技術(shù)

CPK(CombinedPublicKey)組合算法在l999年由我國密碼學(xué)家南湘浩教授提出，2003年公布，2006年獲得中國專利，也是不依賴第三方，將標(biāo)識作為公鑰的標(biāo)識認(rèn)證算法。CPK算法也是基于組合公鑰的IBE算法，不需要第三方證明的層次化CA機構(gòu)鏈，又因為只需保留少量共用參數(shù)而不需要數(shù)據(jù)庫(LDAP)的支持，而且就地能夠獲得所需公鑰。共用參數(shù)使用組合矩陣存儲，存儲空間需要的少，其運行效率高，處理能量大，進(jìn)而大大擴展了其應(yīng)用范圍。261.現(xiàn)有的認(rèn)證技術(shù)3）CPK技術(shù)262.CPK的數(shù)學(xué)原理1）

ECC（EllipticCurvesCryptography，橢圓曲線密碼）也屬于公開密鑰算法。原理如下:y2=x3+ax+b代表曲線方程，選擇小于p(p為將近200位的大素數(shù))的非負(fù)整數(shù)a、b，使得

4a3+27b2≠0(modp)

則滿足下列方程的所有點(x,y)，其中x,y屬于0到p-1間的整數(shù)，并將這條橢圓曲線記為Ep(a,b)。272.CPK的數(shù)學(xué)原理1）ECC（EllipticCurv2.CPK的數(shù)學(xué)原理1）ECC密碼－－－－

考慮如下等式：

K=kG[其中K,G為Ep(a,b)上的點，k為小于n（n是點G的階）的整數(shù)，不難發(fā)現(xiàn)，給定k和G，根據(jù)加法法則，計算K很容易；但給定K和G，求k就相對困難了。

這就是橢圓曲線加密算法采用的難題。

點G稱為基點（basepoint），k（k<n，n為基點G的階）稱為私有密鑰（privtekey），K稱為公開密鑰（publickey)。282.CPK的數(shù)學(xué)原理1）ECC密碼－－－－282.CPK的數(shù)學(xué)原理2）從ECC算法中選取群S適當(dāng)選取Ep(a，b)中的元素G作為生成元，稱為基點，由基點G=(x,y)的所有倍點構(gòu)成Ep(a，b)的子群S。設(shè)n是滿足nG=O的最小整數(shù)，則該子群S的階為n。選擇基點G時，應(yīng)保證n是?個大素數(shù)。即：S={G，2G，3G，?，(n-1)G，nG}＝｛(x1，y1)，(x2，y2)，(x3，y3)，?，(xn-1，yn-1)，(xn，yn)}顯然，S中的元素(xk，yk)與該點對應(yīng)的倍數(shù)值k，恰好構(gòu)成公、私鑰對，公開T=(a，b，G，n，p)和公鑰(xk，yk)，要求出其對G的倍數(shù)值k(即離散對數(shù))是很困難的。292.CPK的數(shù)學(xué)原理2）從ECC算法中選取群S292.CPK的數(shù)學(xué)原理3）選取公鑰私鑰矩陣S={G，2G，3G，?，(n-1)G，nG}從S中選擇32×３２＝1024個元素。組成一個矩陣。PSK位置上的元素Ri,j=ｋＧSSK中對應(yīng)位置上的元素就是ri,j=k構(gòu)成一個公私鑰對。302.CPK的數(shù)學(xué)原理3）選取公鑰私鑰矩陣PSK位置上的元素2.CPK的數(shù)學(xué)原理４）個體公私鑰對的計算對一個給定的個體標(biāo)識首先用哈希算法sha2求摘要，得到160bit的中間值，然后使用ROWKEY加密得到160bit。將160bit分成32個列，每一列有5bit二進(jìn)制的數(shù)。5bit對應(yīng)從每一列32個元素中選擇一個元素。從每一列都選擇一個元素，最后得到32個元素，它們的分別記為：(i0，i1，i2，?，i31);將從32列中選出的32個元素求和得到PK和私鑰SK312.CPK的數(shù)學(xué)原理４）個體公私鑰對的計算312.CPK的數(shù)學(xué)原理5）矩陣組合思想總結(jié)總結(jié)：公鑰和私鑰矩陣為32×32矩陣，并規(guī)定每列從32行中任取一個元素進(jìn)行組合，則最多可生成公私鑰對3232=2160=l048個公私鑰對。CPK的中心思想之一是：由規(guī)模很小的“矩陣通過組合生產(chǎn)出數(shù)量極為龐大的公私鑰對”，達(dá)到密鑰管理的規(guī)?；康?。322.CPK的數(shù)學(xué)原理5）矩陣組合思想總結(jié)323.CPK的特點分析公鑰空間104848KB標(biāo)識空間1011組合算法映射算法(rij)(Rij)公鑰矩陣10^48密鑰空間，接近應(yīng)用無限需求，因此就解決了密鑰的規(guī)?；瘑栴}。333.CPK的特點分析公鑰48KB標(biāo)識空間組合算法映射算法(r標(biāo)識性實現(xiàn)了無需第三方證明的離線認(rèn)證不需要在線數(shù)據(jù)庫3.CPK的特點分析組合性解決了規(guī)?；荑€管理問題可達(dá)成芯片級實現(xiàn)34標(biāo)識性3.CPK的特點分析組合性343.CPK的特點分析1)CPK的優(yōu)勢－－－PKI、IBE和CPK的綜合性對比名稱公布CA密鑰存儲進(jìn)程認(rèn)證處理能力認(rèn)證方式可行性相對成本PKI1996需要目錄庫級不適應(yīng)103在線很差100IBE2001不需要目錄庫級不適應(yīng)103在線較差50CPK2005不需要芯片級可以1048脫線很好5353.CPK的特點分析1)CPK的優(yōu)勢－－－PKI、IBE和C3.CPK的特點分析2)CPK的存在的問題合謀攻擊：CPK公鑰實際上只有S×t個，是以種子矩陣的形式存放的．假定有m個私鑰已經(jīng)泄露，則可建立m個關(guān)于私鑰因子r的線性方程．當(dāng)m<S×t時，一般難以求出r的準(zhǔn)確解．但當(dāng)?shù)玫絪×t個線性無關(guān)的方程時，方程的解即所有的私鑰因子可全部求出．矩陣大小為32×32=l024時(50KB)，可抗l000個共謀，矩陣大小為256X32=8l92時(400KB)，可抗8000個共謀，4096X32=l3l072時(6．3MB)，可以抗擊l0萬用戶的共謀。私鑰保護(hù)：靠硬件保護(hù)，在芯片上作特殊的硬件措施，在邏輯上給每一個芯片設(shè)置隨機數(shù)和活性參數(shù)。

密鑰變更：密鑰是集中統(tǒng)一生成的，為個別用戶更換私鑰，很難處理。

363.CPK的特點分析2)CPK的存在的問題364.CPK的應(yīng)用前景可信交易如：電子銀行(ATM、POS)、電子票據(jù)、電子印章、電子錢包、電子公文可信連接如：電信網(wǎng)絡(luò)、信息網(wǎng)絡(luò)的基礎(chǔ)協(xié)議、手機、認(rèn)證網(wǎng)關(guān)可信計算如：可信計算驗證模塊設(shè)計、標(biāo)簽防偽如：名牌、車牌、門票、證件、票據(jù)、鈔票、貨物、海關(guān)、稅務(wù)374.CPK的應(yīng)用前景可信交易374.CPK的應(yīng)用前景CPK認(rèn)證技術(shù)CPK芯片CPK中間件指紋數(shù)字證書可信設(shè)備安全手機RFID防偽汽車防盜可信局域網(wǎng)電子支付門禁可信網(wǎng)絡(luò)電子商務(wù)電子政務(wù)數(shù)字家庭可信計算版權(quán)保護(hù)CPK認(rèn)證系統(tǒng)防疫系統(tǒng)等級保護(hù)系統(tǒng)內(nèi)網(wǎng)管理系統(tǒng)電子身份證……CPK產(chǎn)業(yè)鏈384.CPK的應(yīng)用前景CPK認(rèn)證技術(shù)CPK芯片CPK中間件指紋中國信息安全產(chǎn)業(yè)正在開展：國家組合公鑰基礎(chǔ)設(shè)施（NCI）就是可信平臺體系結(jié)構(gòu)建設(shè)的基礎(chǔ)內(nèi)容之一。國家組合公鑰基礎(chǔ)設(shè)施（NCI）計劃。國家組合公鑰基礎(chǔ)設(shè)施（NCI）理念的形成標(biāo)志著中國信息化自主發(fā)展的重要里程碑，并作為替代PKI的計劃。5.國家組合公鑰基礎(chǔ)設(shè)施39中國信息安全產(chǎn)業(yè)正在開展：5.國家組合公鑰基礎(chǔ)設(shè)施39中國信息安全產(chǎn)業(yè)正在開展：在可信計算平臺（TCP）------------面向計算機系列可信網(wǎng)絡(luò)平臺（TNP）--------------面向信息基礎(chǔ)設(shè)施可信應(yīng)用平臺（TAP）--------------面向綜合應(yīng)用平臺建設(shè)可信信息交換平臺（TxP）----------面向電子政務(wù)平臺建設(shè)可信管理平臺（TMP）--------------面向管理可信認(rèn)證平臺（TCAP）-------------面向認(rèn)證可信監(jiān)管平臺（TSP）--------------面向監(jiān)管可信數(shù)據(jù)庫訪問管理平臺（TDAMP）--面向共享數(shù)據(jù)工程可信交易平臺（TeCP）-------------面向電子商務(wù)等可信平臺的建設(shè)。5.國家組合公鑰基礎(chǔ)設(shè)施40