1、密鑰管理技術(shù)介紹,撰稿人：荊繼武、武傳坤、林璟鏘 報告人：武傳坤 （信息安全國家重點實驗室）,密碼學(xué)與信息安全,密碼學(xué)，信息安全技術(shù)的基礎(chǔ) 機密性加密算法 存儲加密 通信加密 數(shù)據(jù)完整性MAC 身份鑒別和密鑰協(xié)商 身份鑒別的同時，協(xié)商Session Key；以進行后續(xù)的安全通信,密鑰管理密鑰的安全性,應(yīng)用密碼學(xué)的重要基礎(chǔ)前提 密鑰Key的安全性 密鑰安全的2個方面 可用：要參加通信的實體之間，能夠共享密鑰 秘密：除合法通信實體能之外，其他無法知道Key 密鑰管理技術(shù) 圍繞上述2個方面 針對各種不同的應(yīng)用環(huán)境,提綱密鑰管理技術(shù),國際進展 典型的密鑰管理技術(shù) 密鑰協(xié)商和密鑰分發(fā) 秘密分享 無線網(wǎng)絡(luò)

2、密鑰管理 WSN密鑰管理 MANET密鑰管理 PKI技術(shù),密鑰協(xié)商,通過不安全的信道 雙方進行通信，共享相同的Session Key 攻擊者不知道Session Key 經(jīng)典的DH協(xié)議1 同時可進行身份鑒別 如MQV協(xié)議5,密鑰協(xié)商協(xié)議,DH協(xié)議1 離散對數(shù)難題 但是，存在著中間人攻擊問題 MQV協(xié)議5 改進DH協(xié)議，加入了身份鑒別功能 防止中間人攻擊問題 IEEE P1363標(biāo)準(zhǔn) 其它DH協(xié)議的改進6-11 7改進MQV協(xié)議，提供可證明安全性,密鑰分發(fā),由管理中心來協(xié)助負責(zé)或協(xié)助用戶來建立共享密鑰 近年的相關(guān)進展 無條件安全密鑰分發(fā)的模型文獻12 帶鑒別功能的密鑰分發(fā)協(xié)議13, 14 輕量級

3、密鑰分發(fā)協(xié)議15 適用于無線環(huán)境 結(jié)合IBE算法密鑰分發(fā)協(xié)議16,群組密鑰管理,實現(xiàn)多用戶之間的密鑰共享 重點難題：用戶組動態(tài)變化時的前向/后向安全性 組播加密 密鑰樹管理方案（經(jīng)典的LKH方案17） 減少密鑰更新的代價 近年相關(guān)研究18-24 用戶分組25-27 減少成員變化所影響的合法成員范圍 混合結(jié)構(gòu)（密鑰樹和用戶分組）28 其它，容錯問題29、更新過程中的信息泄露30 廣播加密31-33,提綱密鑰管理技術(shù),典型的密鑰管理技術(shù) 密鑰協(xié)商和密鑰分發(fā) 秘密分享 無線網(wǎng)絡(luò)密鑰管理 WSN密鑰管理 MANET密鑰管理 PKI技術(shù),秘密分享,對于秘密信息的保管、使用上的安全方案 將秘密信息S，拆分

4、給n個用戶 例如，密鑰就是典型的秘密信息 每一個用戶掌握了一部分數(shù)據(jù)，稱為share 大于或等于k個用戶合作，就能夠恢復(fù)得到S 少于k個用戶合作，不能恢復(fù)得到S 至少需要k個用戶合作，稱為（k, n）門限方案,經(jīng)典Shamir秘密分享方案34,通過多項式曲線的坐標(biāo)，來實現(xiàn)秘密分享 對于機密信息S，拆分者生成有限域GF(p)上的（k-1）次多項式 F(x) = S+a1x+a2x2+ak-1xk-1，S作為多項式的常數(shù)項 根據(jù)曲線上的任意k個點坐標(biāo)(x,y)，可以恢復(fù)完整的曲線 如果只得到k-1個點坐標(biāo)(x,y)，則可以得到q個滿足條件的多項式曲線，對確定S的值毫無幫助,秘密拆分和合成,每一個用

5、戶，得到曲線上的任意某一個點坐標(biāo)(x, F(x) 當(dāng)有k個用戶合作時 就能夠恢復(fù)得到唯一確定的曲線，自然也能得到其常數(shù)項S 另外，使用LaGrange插值公式能夠快速地計算常數(shù)項S,秘密分享容錯的機密性/可用性,秘密分享方案實現(xiàn) 容錯的存儲或者傳輸 攻擊者部分的參與者不能危及秘密S 也可以將信息分開傳輸，攻擊部分信道，不會危及秘密S 提供機密性 容錯的可用性 丟失部分的子秘密，秘密S仍然可恢復(fù) 只要剩余的share數(shù)量不小于門限值k。,秘密分享的近年來研究進展,相關(guān)研究進展較多35-63 如下幾個方面的特性 基于訪問結(jié)構(gòu)Access Structure 可驗證的秘密分享方案VSS Verifi

6、able Secret Sharing 相關(guān)通信協(xié)議和攻擊 視覺秘密分享,基于訪問結(jié)構(gòu)Access Structure,以若干個用戶子集（稱為Access Structure）來表示可以恢復(fù)秘密的用戶組合 并不是簡單地用數(shù)量k表示 只要是合法的用戶子集來合作即可恢復(fù)秘密信息 使用訪問結(jié)構(gòu)，能夠更靈活地定義有權(quán)恢復(fù)秘密信息的用戶群 (k, n)方案和加權(quán)秘密分享方案都可以視為它的特例 近年來，相關(guān)的研究成果比較多35-44,可驗證秘密分享Verifiable Secret Sharing,Shamir秘密分享方案中，并沒有考慮惡意用戶 提供錯誤的子秘密、導(dǎo)致恢復(fù)出錯誤結(jié)果的問題 相應(yīng)的解決方案稱

7、為可驗證的秘密分享方案VSS 防止恢復(fù)得到錯誤結(jié)果 判斷各用戶提供的子秘密是否正確，避免惡意用戶以錯誤的子秘密與合法用戶合作、并在恢復(fù)過程中獲知其它用戶的子秘密 近年來的相關(guān)研究 同步環(huán)境中的高效率VSS方案45 抵抗多個惡意用戶合謀的解決方案46 支持多重秘密和多重門限的訪問結(jié)構(gòu)VSS方案47 基于訪問結(jié)構(gòu)VSS方案48,相關(guān)通信協(xié)議和攻擊,設(shè)計相應(yīng)的通信協(xié)議，從而支持在網(wǎng)絡(luò)用戶之間進行秘密分享49-52 文獻58從博弈論的角度來討論了秘密分享過程中的相關(guān)攻擊,秘密分享視覺秘密分享,視覺秘密分享Visual Secret Sharing 將一幅秘密圖片分解為n幅份額圖片 份額圖片可能是接近白

8、噪聲的隨機圖片，也可能是有意義的不同圖片 滿足一定門限的其中部分份額圖片疊加在一起就可以恢復(fù)出原始秘密圖片 少于門限的份額圖片則不能恢復(fù)原始秘密圖片，也不能得到關(guān)于原始秘密圖片的任何信息 相關(guān)研究進展59-63,提綱密鑰管理技術(shù),典型的密鑰管理技術(shù) 密鑰協(xié)商和密鑰分發(fā) 秘密分享 無線網(wǎng)絡(luò)密鑰管理 WSN密鑰管理 MANET密鑰管理 PKI技術(shù),無線網(wǎng)絡(luò)密鑰管理技術(shù),特點 一般都具有較大規(guī)模用戶 缺少公共服務(wù)或基礎(chǔ)設(shè)施的支持 無線自組網(wǎng)絡(luò)Mobile Ad hoc Network（MANET） 更多地考慮用戶的動態(tài)性、傳輸路徑的動態(tài)性等 無線傳感器網(wǎng)絡(luò)Wireless Sensor Networ

9、k (WSN) 更多地考慮節(jié)點的資源受限，如計算能力、存儲容量、傳輸距離受限、且易于損壞和被攻擊等,WSN密鑰管理,計算資源受限，通常采取預(yù)先分發(fā)共享對稱密鑰的思路 解決問題 提高連通性，盡可能使任意2節(jié)點都能密鑰協(xié)商 減少存儲需求 近年來的研究熱門,WSN密鑰管理的近年進展,隨機分發(fā)，E-G密鑰管理方案64 改進方案65, 66 相關(guān)的攻擊67 有先驗知識的管理方案 在部署傳感器時，可以大致地控制其位置 也大概確定了其鄰居節(jié)點 利用傳感器分布的先驗知識，可以更有效地分發(fā)共享密鑰，改善網(wǎng)絡(luò)連通性，降低節(jié)點的密鑰存儲量 基于組的方案68 基于部署知識的方案69, 70 基于位置的方案71, 72

10、,MANET密鑰管理,重要問題就是討論當(dāng)成員變化（加入、離開）時的通信密鑰更新 與組密鑰管理有一定的類似之處 但是更多考慮無線環(huán)境的傳輸效率、節(jié)點的處理能力，需要設(shè)計輕量級的方案76-81,提綱密鑰管理技術(shù),典型的密鑰管理技術(shù) 密鑰協(xié)商和密鑰分發(fā) 秘密分享 無線網(wǎng)絡(luò)密鑰管理 WSN密鑰管理 MANET密鑰管理 PKI技術(shù),PKI系統(tǒng),由可信第三方CA簽發(fā)證書，證明用戶的公鑰信息 其它用戶都通過證書驗證公鑰信息的真實性 近年來的相關(guān)進展，如下幾個方面 入侵容忍CA系統(tǒng) 證書撤銷 系統(tǒng)結(jié)構(gòu) 隱私保護 與IBE算法的結(jié)合,入侵容忍CA,基于門限簽名、分布式 多個節(jié)點共同掌握CA私鑰、合作簽發(fā)證書 I

11、TTC系統(tǒng)84 系統(tǒng)85 COCA系統(tǒng)86 ARECA系統(tǒng)87 對入侵容忍分布式CA系統(tǒng)的評估比較方案88,證書撤銷,一直以來都是PKI技術(shù)研究的重要內(nèi)容 近年來的方案 SEM結(jié)構(gòu)89, 90 用戶私鑰拆分、在SEM上禁用“用戶的拆分私鑰”，實現(xiàn)撤銷 推廣到IBE算法91 CRL簽發(fā)策略92 分布式OCSP系統(tǒng)94 克服拒絕服務(wù)式攻擊隱患,PKI系統(tǒng)結(jié)構(gòu),標(biāo)準(zhǔn)化已經(jīng)進行多年，相對而言，進展較少 Nested證書和NPKI95 Nested證書，即為另一張證書而簽發(fā)的證書 Nested證書的主體是另一張證書 NCA簽發(fā)Nested證書，形成NPKI，對現(xiàn)有PKI的補充 減少依賴方證書驗證過程的計

12、算量，從公鑰計算量級減少為HASH計算量級 Self-Escrowed PKI 96 提供標(biāo)準(zhǔn)的PKI功能的同時，具備恢復(fù)用戶私鑰的能力 相關(guān)概念提出較早97，96設(shè)計更高效算法,PKI中的隱私保護,各種不同的證書框架，控制身份隱私信息的傳播 文獻98-100 撤銷過程的隱私保護 當(dāng)證書依賴方下載CRL或向OCSP服務(wù)器查詢證書撤銷狀態(tài)時，也就一定程度地暴露了二者之間存在交易關(guān)系 解決方案101, 102,IBE算法與PKI的結(jié)合,希望結(jié)合二者的優(yōu)點 IBE，沒有證書 PKI，沒有密鑰托管 基于證書的加密（Certificate-Based Encryption，CBE）106 各種改進算法1

13、07-109 無證書公鑰密碼算法（Certificateless Public Key Cryptography，CL-PKC）110 各種改進算法111-114 115證明了可由CL-PKC方案來構(gòu)建CBE方案，二者可相互轉(zhuǎn)化,國內(nèi)的相關(guān)研究進展,密鑰協(xié)商和密鑰分發(fā) 秘密分享 無線網(wǎng)絡(luò)密鑰管理 PKI技術(shù),密鑰協(xié)商和密鑰分發(fā),總體而言，不夠活躍 密鑰協(xié)商 對基于標(biāo)識的RYY密鑰協(xié)商協(xié)議121的改進方案122 提高安全性 基于標(biāo)識的密鑰協(xié)商和鑒別協(xié)議123 基于Weil對的密鑰協(xié)商協(xié)議124，同時支持密鑰協(xié)商和身份鑒別 基于口令的群鑒別和密鑰協(xié)商協(xié)議125 密鑰分發(fā) 雙重分布的密鑰分發(fā)方案12

14、7 改進了Daza等提出的分布式密鑰分發(fā)方案126、引入時間分布性 文獻128給出了Daza方案的安全性證明 組密鑰管理 基于公鑰算法的廣播加密方案129 Grid環(huán)境的分層式組密鑰管理130,秘密分享,國內(nèi)的研究較活躍 相關(guān)成果 可驗證的秘密分享方案131-138 多重秘密分享方案134, 137-140 無可信分發(fā)中心的方案131, 141, 142 成員變化時的重新分發(fā)或再分發(fā)（Proactive Secret Sharing）135, 141 各種不同原理的秘密分享方案 基于代數(shù)幾何的方案54、基于MSP的訪問結(jié)構(gòu)方案36、基于布爾運算的方案56、基于視覺密碼的方案59, 63、線性秘

15、密分享方案（Linear Secret Sharing Schemes）57，和結(jié)合IBE算法的多重秘密分享方案143、基于雙線性變換的方案144、基于圖的攻擊結(jié)構(gòu)的方案145、加權(quán)秘密分享方案146,無線網(wǎng)絡(luò)密鑰管理,研究較活躍，成果較多 但是仍然缺乏重要的技術(shù)創(chuàng)新思路 密鑰預(yù)分發(fā)方案147-153 基于門限密碼學(xué)方案的分布式密鑰管理154-159 適用于無線網(wǎng)絡(luò)的組密鑰管理方案（通常都是針對簇狀網(wǎng)絡(luò)結(jié)構(gòu)）160-162 基于公鑰密碼算法或者IBE算法的密鑰協(xié)商163, 164 165對WSN的密鑰管理技術(shù)給出較好的綜述總結(jié),PKI技術(shù),近年來，相關(guān)研究成果不多 入侵容忍的分布式CA方案和評

16、估87, 88, 166, 167 證書撤銷問題的相關(guān)研究92, 168, 169 客戶端的信任錨管理170 PKI系統(tǒng)中的密鑰托管方案171 分布式信任模型研究172,國際特點總結(jié),理論性問題的研究始終沒有停止，研究成果不斷出現(xiàn) 各種傳統(tǒng)的理論問題，如密鑰協(xié)商協(xié)議、秘密分享等，仍然在不斷地向前發(fā)展，并沒有很明顯的衰退或中斷 面向應(yīng)用的密鑰管理研究也同樣繁榮，成果層出不窮 在應(yīng)用場景相對較新的無線環(huán)境和無線傳感器網(wǎng)絡(luò)上，研究成果非常豐富 研究時間已經(jīng)較長的PKI技術(shù)和組密鑰管理，由于其具有非常廣泛的應(yīng)用價值，同樣也有新的技術(shù)進步 可以預(yù)見，隨著信息技術(shù)的繼續(xù)發(fā)展和人們多樣化的需求變化，將來還會

17、出現(xiàn)新的應(yīng)用性的密鑰管理技術(shù) 密鑰管理技術(shù)始終都與新的密碼學(xué)技術(shù)和安全需求同步發(fā)展 隨著IBE算法和隱私保護的研究大量興起，密鑰管理和PKI技術(shù)研究也在做相應(yīng)的調(diào)整，并加入了新的研究內(nèi)容,研究進展比較分析,從學(xué)術(shù)論文的發(fā)表來看，國內(nèi)的密鑰管理和PKI研究水平落后于國外，在國際重要期刊和學(xué)術(shù)會議上發(fā)表成果不多 可能的原因 密碼技術(shù)的敏感性，不見得所有的研究成果都會被公開發(fā)表 研究成果有可能會以專利形式發(fā)表，含有更多的潛在應(yīng)用價值（雖然其理論創(chuàng)新性不一定很高） 由于本技術(shù)報告篇幅和精力所限，我們并不能保證全面地收集所有的學(xué)術(shù)論文,與國際相比的不足之處,理論性問題的研究深度不夠、重視不足 如密鑰分發(fā)

18、和密鑰協(xié)商、秘密分享等，缺少有影響的革新性方案發(fā)表，已有的成果大都是改進型的工作，少有在國際重要期刊和會議上發(fā)表被廣泛引用的成果 在應(yīng)用驅(qū)動型的技術(shù)研究方面，如無線網(wǎng)絡(luò)密鑰管理和PKI技術(shù)等，國內(nèi)研究還是較為活躍，而且在國際國內(nèi)學(xué)術(shù)期刊和學(xué)術(shù)會議上都有論文發(fā)表 雖然在某些特定的技術(shù)點上有突破，并在高檔次的國際學(xué)術(shù)期刊和學(xué)術(shù)會議上發(fā)表 沒能造成大的影響，未能引導(dǎo)國際性的技術(shù)研究方向 在應(yīng)用性的研究成果中，多數(shù)是依托特定應(yīng)用背景提出問題，然后采用某種特殊方法給出解決方案 少有對方案的實際應(yīng)用效果給出客觀數(shù)據(jù)，多數(shù)文章仍然只是停留在理論分析或者仿真上 實際應(yīng)用程度比不上國際同行,幾點建議,加強學(xué)術(shù)界與產(chǎn)業(yè)界的聯(lián)系和結(jié)合 例如，MANET和