崔永泉第六講IBE與CPK系統(tǒng)課件

第6講IBE與CPK華中科技大學(xué)計(jì)算機(jī)學(xué)院信息安全研究室1第6講IBE與CPK11IBE——基于標(biāo)識(shí)的公鑰密碼系統(tǒng)2CPK——基于組合公鑰的密碼系統(tǒng)第6講IBE與CPK21IBE——基于標(biāo)識(shí)的公鑰密碼系統(tǒng)第6講IBE與CPK21.基于標(biāo)識(shí)的公鑰密碼系統(tǒng)1.1背景與概念1.2IBE公鑰密碼體制1.3CPK公鑰密碼體制1.4公鑰基礎(chǔ)設(shè)施31.基于標(biāo)識(shí)的公鑰密碼系統(tǒng)1.1背景與概念31.1背景與概念-4-41.1背景與概念-4-455PKI的不足之處1.1PKI的安全性依賴于層次CA和在線證書庫層次化CA機(jī)構(gòu)可以擴(kuò)充密鑰數(shù)量，但導(dǎo)致了機(jī)構(gòu)膨脹和信任關(guān)系的退化第三方的法律地位問題（誰適合充當(dāng)?shù)谌剑浚┰诰€證書庫使得通信量增大PKI的體制決定了它不適合大規(guī)模應(yīng)用環(huán)境6PKI的不足之處1.1PKI的安全性依賴于層次CA和在線證PKI的不足之處PKI的層次化CA結(jié)構(gòu)使每次認(rèn)證過程都需要追溯到根CA，每一個(gè)證書的合法性都要得到上級(jí)CA直至根CA的確認(rèn)。7PKI的不足之處PKI的層次化CA結(jié)構(gòu)使每次認(rèn)證過程都需要追

美國國防部《PKI路線圖》（第5版）中指出：將來能否得到PKI所需要的通信帶寬仍是一個(gè)問題。PKI的這種矛盾是其技術(shù)體制固有的特性決定的。

PKI采用個(gè)人生產(chǎn)密鑰的分散式管理模式，在這樣的模式下只能采用第三方證明的手段來保證證書的合法性，由此引發(fā)了一系列難以逾越的難題。88基于標(biāo)識(shí)的公鑰密碼體制（IBE）Shamir的動(dòng)機(jī)是為了在電子郵件系統(tǒng)中簡化證書的管理。當(dāng)Alice發(fā)送一封郵件給Bob(bob@)，她只需要簡單地用Bob的郵件地址bob@作為加密密鑰來加密郵件信息，而不需要通過目錄服務(wù)去獲取Bob的公鑰證書。當(dāng)Bob收到加密的郵件，Bob和可信的第三方PKG(PrivateKeyGenerator)取得聯(lián)系，獲取自己的私鑰（如果Bob已經(jīng)獲取了和bob@對(duì)應(yīng)的私鑰就不需要再獲取了），就可以解密郵件了。9基于標(biāo)識(shí)的公鑰密碼體制（IBE）Shamir的動(dòng)機(jī)是為了在電基于標(biāo)識(shí)的公鑰密碼體制（IBE）一個(gè)安全的IBE加密體制應(yīng)該滿足以下幾個(gè)條件：(1)用戶i的標(biāo)識(shí)可以直接作為公鑰（或者通過簡單的映射變?yōu)楣€），因而，任何人都可以利用該公鑰向用戶i發(fā)送加密的信息，而不需要在目錄服務(wù)中查找；(2)只有PKG能夠計(jì)算用戶i的私鑰，其他任何人都不能計(jì)算（包括用戶i在PKG給他分發(fā)私鑰之前也不能計(jì)算）。RSA不能用作IBE加密體制，這是因?yàn)镽SA的公鑰通?？梢悦枋鰹?n,e)，其中n是兩個(gè)大素?cái)?shù)的乘積，e是加密密鑰，e雖然可以取作用戶的標(biāo)識(shí)，但是對(duì)不同的用戶而言，n是必須不同的。所以向用戶i發(fā)送加密信息的時(shí)候，僅知道標(biāo)識(shí)是不夠的，還必須通過目錄服務(wù)去查找n。10基于標(biāo)識(shí)的公鑰密碼體制（IBE）一個(gè)安全的IBE加密體制應(yīng)該IBE與PKI的比較IBEPKI公鑰就是用戶的標(biāo)識(shí)（身份證號(hào)碼，Email地址等），不需在線認(rèn)證公鑰存在于用戶證書中，需要通過目錄服務(wù)和證書簽名驗(yàn)證證書合法性密鑰生成中心PKG集中分發(fā)用戶私鑰，但不參與認(rèn)證過程證書庫始終在線運(yùn)行，且參與每次認(rèn)證過程PKG不需要保存用戶私鑰，可以由用戶標(biāo)識(shí)臨時(shí)計(jì)算，維護(hù)成本低中心需保存用戶私鑰，以便在用戶遺失的情況下能夠解密以前加密的內(nèi)容，維護(hù)成本高既然無在線運(yùn)行的中心，不存在瓶頸，適合大規(guī)模應(yīng)用CA中心是系統(tǒng)的瓶頸，不適合大規(guī)模應(yīng)用11IBE與PKI的比較IBEPKI公鑰就是用戶的標(biāo)識(shí)（身份證號(hào)更重要的一點(diǎn)將保密與訪問控制完美結(jié)合在一起。12更重要的一點(diǎn)將保密與訪問控制完美結(jié)合在一起。121.2IBE公鑰密碼體制-13-131.2IBE公鑰密碼體制-13-13數(shù)字簽名傳統(tǒng)簽名的基本特點(diǎn):能與被簽的文件在物理上不可分割簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被驗(yàn)證數(shù)字簽名是傳統(tǒng)簽名的數(shù)字化,基本要求:能與所簽文件“綁定”簽名者不能否認(rèn)自己的簽名簽名不能被偽造容易被自動(dòng)驗(yàn)證14數(shù)字簽名傳統(tǒng)簽名的基本特點(diǎn):14IBE簽名（參數(shù)、公鑰）15IBE簽名（參數(shù)、公鑰）15計(jì)算私鑰16計(jì)算私鑰16簽名和驗(yàn)證17簽名和驗(yàn)證17

IBE公鑰加密18

IBE公鑰加密18191920202121IBE密鑰管理弱點(diǎn)22IBE密鑰管理弱點(diǎn)222CPK——基于組合公鑰的密碼系統(tǒng)現(xiàn)有的認(rèn)證技術(shù)CPK的數(shù)學(xué)原理CPK的特點(diǎn)分析基于CPK的應(yīng)用國家組合公鑰基礎(chǔ)設(shè)施結(jié)束語232CPK——基于組合公鑰的密碼系統(tǒng)現(xiàn)有的認(rèn)證技術(shù)231.現(xiàn)有的認(rèn)證技術(shù)1）PKI技術(shù)

PKI技術(shù)，它采用證書管理公鑰，通過第三方的可信任機(jī)構(gòu)——認(rèn)證中心CA(CertificateAuthority)，把用戶的公鑰和用戶的其他標(biāo)識(shí)信息（如名稱、e-mail、身份證號(hào)等）捆綁在一起，在Internet上驗(yàn)證用戶的身份。存在的問題：在規(guī)?；荑€管理上，PKI用層次化CA機(jī)構(gòu)的數(shù)量來擴(kuò)大密鑰管理的規(guī)模，導(dǎo)致了機(jī)構(gòu)膨脹和信任關(guān)系退化的問題；PKI用第三方證明的方式解決標(biāo)識(shí)和密鑰的捆綁，導(dǎo)致第三方的法律地位和通信量增大的問題。美國國防部《PKI路線圖》（第5版）中指出：將來能否得到PKI所需要的通信帶寬仍是一個(gè)問題。

241.現(xiàn)有的認(rèn)證技術(shù)1）PKI技術(shù)241.現(xiàn)有的認(rèn)證技術(shù)2）IBE技術(shù)

1984年，Shamir證明了標(biāo)識(shí)認(rèn)證算法的存在性。出現(xiàn)了基于身份的密碼系統(tǒng)的概念，其主要觀點(diǎn)是，使用用戶的標(biāo)識(shí)如姓名、IP地址、電子郵件地址等作為公鑰。用戶的私鑰通過一個(gè)被稱作私鑰生成器PKG(PrivateKeyGenerator)的可信任第三方進(jìn)行計(jì)算得到，但PKG除了生成私鑰外，并不總是參與加密的過程。

2001年，美國DanBoneh和MatthewFranklin利用Weil的組對(duì)理論，實(shí)現(xiàn)了將標(biāo)識(shí)作為公鑰，不通過第三方的標(biāo)識(shí)認(rèn)證算法。

不需要第三方在線參與，簡化認(rèn)證。存在的問題：但該方法要保留大量用戶參數(shù)，仍需在線參數(shù)庫的支持。

251.現(xiàn)有的認(rèn)證技術(shù)2）IBE技術(shù)251.現(xiàn)有的認(rèn)證技術(shù)3）CPK技術(shù)

CPK(CombinedPublicKey)組合算法在l999年由我國密碼學(xué)家南湘浩教授提出，2003年公布，2006年獲得中國專利，也是不依賴第三方，將標(biāo)識(shí)作為公鑰的標(biāo)識(shí)認(rèn)證算法。CPK算法也是基于組合公鑰的IBE算法，不需要第三方證明的層次化CA機(jī)構(gòu)鏈，又因?yàn)橹恍璞Ａ羯倭抗灿脜?shù)而不需要數(shù)據(jù)庫(LDAP)的支持，而且就地能夠獲得所需公鑰。共用參數(shù)使用組合矩陣存儲(chǔ)，存儲(chǔ)空間需要的少，其運(yùn)行效率高，處理能量大，進(jìn)而大大擴(kuò)展了其應(yīng)用范圍。261.現(xiàn)有的認(rèn)證技術(shù)3）CPK技術(shù)262.CPK的數(shù)學(xué)原理1）

ECC（EllipticCurvesCryptography，橢圓曲線密碼）也屬于公開密鑰算法。原理如下:y2=x3+ax+b代表曲線方程，選擇小于p(p為將近200位的大素?cái)?shù))的非負(fù)整數(shù)a、b，使得

4a3+27b2≠0(modp)

則滿足下列方程的所有點(diǎn)(x,y)，其中x,y屬于0到p-1間的整數(shù)，并將這條橢圓曲線記為Ep(a,b)。272.CPK的數(shù)學(xué)原理1）ECC（EllipticCurv2.CPK的數(shù)學(xué)原理1）ECC密碼－－－－

考慮如下等式：

K=kG[其中K,G為Ep(a,b)上的點(diǎn)，k為小于n（n是點(diǎn)G的階）的整數(shù)，不難發(fā)現(xiàn)，給定k和G，根據(jù)加法法則，計(jì)算K很容易；但給定K和G，求k就相對(duì)困難了。

這就是橢圓曲線加密算法采用的難題。

點(diǎn)G稱為基點(diǎn)（basepoint），k（k<n，n為基點(diǎn)G的階）稱為私有密鑰（privtekey），K稱為公開密鑰（publickey)。282.CPK的數(shù)學(xué)原理1）ECC密碼－－－－282.CPK的數(shù)學(xué)原理2）從ECC算法中選取群S適當(dāng)選取Ep(a，b)中的元素G作為生成元，稱為基點(diǎn)，由基點(diǎn)G=(x,y)的所有倍點(diǎn)構(gòu)成Ep(a，b)的子群S。設(shè)n是滿足nG=O的最小整數(shù)，則該子群S的階為n。選擇基點(diǎn)G時(shí)，應(yīng)保證n是?個(gè)大素?cái)?shù)。即：S={G，2G，3G，?，(n-1)G，nG}＝｛(x1，y1)，(x2，y2)，(x3，y3)，?，(xn-1，yn-1)，(xn，yn)}顯然，S中的元素(xk，yk)與該點(diǎn)對(duì)應(yīng)的倍數(shù)值k，恰好構(gòu)成公、私鑰對(duì)，公開T=(a，b，G，n，p)和公鑰(xk，yk)，要求出其對(duì)G的倍數(shù)值k(即離散對(duì)數(shù))是很困難的。292.CPK的數(shù)學(xué)原理2）從ECC算法中選取群S292.CPK的數(shù)學(xué)原理3）選取公鑰私鑰矩陣S={G，2G，3G，?，(n-1)G，nG}從S中選擇32×３２＝1024個(gè)元素。組成一個(gè)矩陣。PSK位置上的元素Ri,j=ｋＧSSK中對(duì)應(yīng)位置上的元素就是ri,j=k構(gòu)成一個(gè)公私鑰對(duì)。302.CPK的數(shù)學(xué)原理3）選取公鑰私鑰矩陣PSK位置上的元素2.CPK的數(shù)學(xué)原理４）個(gè)體公私鑰對(duì)的計(jì)算對(duì)一個(gè)給定的個(gè)體標(biāo)識(shí)首先用哈希算法sha2求摘要，得到160bit的中間值，然后使用ROWKEY加密得到160bit。將160bit分成32個(gè)列，每一列有5bit二進(jìn)制的數(shù)。5bit對(duì)應(yīng)從每一列32個(gè)元素中選擇一個(gè)元素。從每一列都選擇一個(gè)元素，最后得到32個(gè)元素，它們的分別記為：(i0，i1，i2，?，i31);將從32列中選出的32個(gè)元素求和得到PK和私鑰SK312.CPK的數(shù)學(xué)原理４）個(gè)體公私鑰對(duì)的計(jì)算312.CPK的數(shù)學(xué)原理5）矩陣組合思想總結(jié)總結(jié)：公鑰和私鑰矩陣為32×32矩陣，并規(guī)定每列從32行中任取一個(gè)元素進(jìn)行組合，則最多可生成公私鑰對(duì)3232=2160=l048個(gè)公私鑰對(duì)。CPK的中心思想之一是：由規(guī)模很小的“矩陣通過組合生產(chǎn)出數(shù)量極為龐大的公私鑰對(duì)”，達(dá)到密鑰管理的規(guī)?；康?。322.CPK的數(shù)學(xué)原理5）矩陣組合思想總結(jié)323.CPK的特點(diǎn)分析公鑰空間104848KB標(biāo)識(shí)空間1011組合算法映射算法(rij)(Rij)公鑰矩陣10^48密鑰空間，接近應(yīng)用無限需求，因此就解決了密鑰的規(guī)?；瘑栴}。333.CPK的特點(diǎn)分析公鑰48KB標(biāo)識(shí)空間組合算法映射算法(r標(biāo)識(shí)性實(shí)現(xiàn)了無需第三方證明的離線認(rèn)證不需要在線數(shù)據(jù)庫3.CPK的特點(diǎn)分析組合性解決了規(guī)?；荑€管理問題可達(dá)成芯片級(jí)實(shí)現(xiàn)34標(biāo)識(shí)性3.CPK的特點(diǎn)分析組合性343.CPK的特點(diǎn)分析1)CPK的優(yōu)勢－－－PKI、IBE和CPK的綜合性對(duì)比名稱公布CA密鑰存儲(chǔ)進(jìn)程認(rèn)證處理能力認(rèn)證方式可行性相對(duì)成本PKI1996需要目錄庫級(jí)不適應(yīng)103在線很差100IBE2001不需要目錄庫級(jí)不適應(yīng)103在線較差50CPK2005不需要芯片級(jí)可以1048脫線很好5353.CPK的特點(diǎn)分析1)CPK的優(yōu)勢－－－PKI、IBE和C3.CPK的特點(diǎn)分析2)CPK的存在的問題合謀攻擊：CPK公鑰實(shí)際上只有S×t個(gè)，是以種子矩陣的形式存放的．假定有m個(gè)私鑰已經(jīng)泄露，則可建立m個(gè)關(guān)于私鑰因子r的線性方程．當(dāng)m<S×t時(shí)，一般難以求出r的準(zhǔn)確解．但當(dāng)?shù)玫絪×t個(gè)線性無關(guān)的方程時(shí)，方程的解即所有的私鑰因子可全部求出．矩陣大小為32×32=l024時(shí)(50KB)，可抗l000個(gè)共謀，矩陣大小為256X32=8l92時(shí)(400KB)，可抗8000個(gè)共謀，4096X32=l3l072時(shí)(6．3MB)，可以抗擊l0萬用戶的共謀。私鑰保護(hù)：靠硬件保護(hù)，在芯片上作特殊的硬件措施，在邏輯上給每一個(gè)芯片設(shè)置隨機(jī)數(shù)和活性參數(shù)。

密鑰變更：密鑰是集中統(tǒng)一生成的，為個(gè)別用戶更換私鑰，很難處理。

363.CPK的特點(diǎn)分析2)CPK的存在的問題364.CPK的應(yīng)用前景可信交易如：電子銀行(ATM、POS)、電子票據(jù)、電子印章、電子錢包、電子公文可信連接如：電信網(wǎng)絡(luò)、信息網(wǎng)絡(luò)的基礎(chǔ)協(xié)議、手機(jī)、認(rèn)證網(wǎng)關(guān)可信計(jì)算如：可信計(jì)算驗(yàn)證模塊設(shè)計(jì)、標(biāo)簽防偽如：名牌、車牌、門票、證件、票據(jù)、鈔票、貨物、海關(guān)、稅務(wù)374.CPK的應(yīng)用前景可信交易374.CPK的應(yīng)用前景CPK認(rèn)證技術(shù)CPK芯片CPK中間件指紋數(shù)字證書可信設(shè)備安全手機(jī)RFID防偽汽車防盜可信局域網(wǎng)電子支付門禁可信網(wǎng)絡(luò)電子商務(wù)電子政務(wù)數(shù)字家庭可信計(jì)算版權(quán)保護(hù)CPK認(rèn)證系統(tǒng)防疫系統(tǒng)等級(jí)保護(hù)系統(tǒng)內(nèi)網(wǎng)管理系統(tǒng)電子身份證……CPK產(chǎn)業(yè)鏈384.CPK的應(yīng)用前景CPK認(rèn)證技術(shù)CPK芯片CPK中間件指紋中國信息安全產(chǎn)業(yè)正在開展：國家組合公鑰基礎(chǔ)設(shè)施（NCI）就是可信平臺(tái)體系結(jié)構(gòu)建設(shè)的基礎(chǔ)內(nèi)容之一。國家組合公鑰基礎(chǔ)設(shè)施（NCI）計(jì)劃。國家組合公鑰基礎(chǔ)設(shè)施（NCI）理念的形成標(biāo)志著中國信息化自主發(fā)展的重要里程碑，并作為替代PKI的計(jì)劃。5.國家組合公鑰基礎(chǔ)設(shè)施39中國信息安全產(chǎn)業(yè)正在開展：5.國家組合公鑰基礎(chǔ)設(shè)施39中國信息安全產(chǎn)業(yè)正在開展：在可信計(jì)算平臺(tái)（TCP）------------面向計(jì)算機(jī)系列可信網(wǎng)絡(luò)平臺(tái)（TNP）--------------面向信息基礎(chǔ)設(shè)施可信應(yīng)用平臺(tái)（TAP）--------------面向綜合應(yīng)用平臺(tái)建設(shè)可信信息交換平臺(tái)（TxP）----------面向電子政務(wù)平臺(tái)建設(shè)可信管理平臺(tái)（TMP）--------------面向管理可信認(rèn)證平臺(tái)（TCAP）-------------面向認(rèn)證可信監(jiān)管平臺(tái)（TSP）--------------面向監(jiān)管可信數(shù)據(jù)庫訪問管理平臺(tái)（TDAMP）--面向共享數(shù)據(jù)工程可信交易平臺(tái)（TeCP）-------------面向電子商務(wù)等可信平臺(tái)的建設(shè)。5.國家組合公鑰基礎(chǔ)設(shè)施40