崔永泉第六讲IBE与CPK系统

1第6讲IBE与CPK华中科技大学计算机学院信息安全研究室21IBE——基于标识的公钥密码系统2CPK——基于组合公钥的密码系统第6讲IBE与CPK31.基于标识的公钥密码系统1.1背景与概念1.2IBE公钥密码体制1.3CPK公钥密码体制1.4公钥基础设施41.1背景与概念-4-5CA服务器RA服务器CA中心RA中心应用系统发布系统LDAP服务器数据库终端用户图示说明：表示连接关系表示请求服务KMCLRA受理终端LRA受理终端...应用服务器OCSP服务器6PKI的不足之处1.1PKI的安全性依赖于层次CA和在线证书库层次化CA机构可以扩充密钥数量，但导致了机构膨胀和信任关系的退化第三方的法律地位问题（谁适合充当第三方？）在线证书库使得通信量增大PKI的体制决定了它不适合大规模应用环境7PKI的不足之处PKI的层次化CA结构使每次认证过程都需要追溯到根CA，每一个证书的合法性都要得到上级CA直至根CA的确认。8美国国防部《PKI路线图》（第5版）中指出：将来能否得到PKI所需要的通信带宽仍是一个问题。PKI的这种矛盾是其技术体制固有的特性决定的。PKI采用个人生产密钥的分散式管理模式，在这样的模式下只能采用第三方证明的手段来保证证书的合法性，由此引发了一系列难以逾越的难题。9基于标识的公钥密码体制（IBE）Shamir的动机是为了在电子邮件系统中简化证书的管理。当Alice发送一封邮件给Bob(bob@company.com)，她只需要简单地用Bob的邮件地址bob@company.com作为加密密钥来加密邮件信息，而不需要通过目录服务去获取Bob的公钥证书。当Bob收到加密的邮件，Bob和可信的第三方PKG(PrivateKeyGenerator)取得联系，获取自己的私钥（如果Bob已经获取了和bob@company.com对应的私钥就不需要再获取了），就可以解密邮件了。10基于标识的公钥密码体制（IBE）一个安全的IBE加密体制应该满足以下几个条件：(1)用户i的标识可以直接作为公钥（或者通过简单的映射变为公钥），因而，任何人都可以利用该公钥向用户i发送加密的信息，而不需要在目录服务中查找；(2)只有PKG能够计算用户i的私钥，其他任何人都不能计算（包括用户i在PKG给他分发私钥之前也不能计算）。RSA不能用作IBE加密体制，这是因为RSA的公钥通常可以描述为(n,e)，其中n是两个大素数的乘积，e是加密密钥，e虽然可以取作用户的标识，但是对不同的用户而言，n是必须不同的。所以向用户i发送加密信息的时候，仅知道标识是不够的，还必须通过目录服务去查找n。11IBE与PKI的比较IBEPKI公钥就是用户的标识（身份证号码，Email地址等），不需在线认证公钥存在于用户证书中，需要通过目录服务和证书签名验证证书合法性密钥生成中心PKG集中分发用户私钥，但不参与认证过程证书库始终在线运行，且参与每次认证过程PKG不需要保存用户私钥，可以由用户标识临时计算，维护成本低中心需保存用户私钥，以便在用户遗失的情况下能够解密以前加密的内容，维护成本高既然无在线运行的中心，不存在瓶颈，适合大规模应用CA中心是系统的瓶颈，不适合大规模应用12更重要的一点将保密与访问控制完美结合在一起。131.2IBE公钥密码体制-13-14数字签名传统签名的基本特点:能与被签的文件在物理上不可分割签名者不能否认自己的签名签名不能被伪造容易被验证数字签名是传统签名的数字化,基本要求:能与所签文件“绑定”签名者不能否认自己的签名签名不能被伪造容易被自动验证15IBE签名（参数、公钥）16计算私钥17签名和验证18IBE公钥加密1212121112121ˆ:[][]1,,,,,[],ˆˆˆ(,)(,)(,),ˆˆˆ(,)(,)(,).ˆ(2)(,)1,[].ˆˆ(3)(,)(,),,[].(4)ˆ(,)1,[];ˆ(meEmEmuSSSTTTEmeSSTeSTeSTeSTTeSTeSTeSSSEmeSTeTSSTEmeSTSEmTOe具有性质：（）双线性：恒等性：交错性：非退化性：deg(),)1,[];(5)ˆˆ(,)(,)STTEmSOeSTeST与自同态相容性：设是非零自同态，则（）（）19202122IBE密钥管理弱点232CPK——基于组合公钥的密码系统现有的认证技术CPK的数学原理CPK的特点分析基于CPK的应用国家组合公钥基础设施结束语241.现有的认证技术1）PKI技术PKI技术，它采用证书管理公钥，通过第三方的可信任机构——认证中心CA(CertificateAuthority)，把用户的公钥和用户的其他标识信息（如名称、e-mail、身份证号等）捆绑在一起，在Internet上验证用户的身份。存在的问题：在规模化密钥管理上，PKI用层次化CA机构的数量来扩大密钥管理的规模，导致了机构膨胀和信任关系退化的问题；PKI用第三方证明的方式解决标识和密钥的捆绑，导致第三方的法律地位和通信量增大的问题。美国国防部《PKI路线图》（第5版）中指出：将来能否得到PKI所需要的通信带宽仍是一个问题。251.现有的认证技术2）IBE技术1984年，Shamir证明了标识认证算法的存在性。出现了基于身份的密码系统的概念，其主要观点是，使用用户的标识如姓名、IP地址、电子邮件地址等作为公钥。用户的私钥通过一个被称作私钥生成器PKG(PrivateKeyGenerator)的可信任第三方进行计算得到，但PKG除了生成私钥外，并不总是参与加密的过程。2001年，美国DanBoneh和MatthewFranklin利用Weil的组对理论，实现了将标识作为公钥，不通过第三方的标识认证算法。不需要第三方在线参与，简化认证。存在的问题：但该方法要保留大量用户参数，仍需在线参数库的支持。261.现有的认证技术3）CPK技术CPK(CombinedPublicKey)组合算法在l999年由我国密码学家南湘浩教授提出，2003年公布，2006年获得中国专利，也是不依赖第三方，将标识作为公钥的标识认证算法。CPK算法也是基于组合公钥的IBE算法，不需要第三方证明的层次化CA机构链，又因为只需保留少量共用参数而不需要数据库(LDAP)的支持，而且就地能够获得所需公钥。共用参数使用组合矩阵存储，存储空间需要的少，其运行效率高，处理能量大，进而大大扩展了其应用范围。272.CPK的数学原理1）ECC（EllipticCurvesCryptography，椭圆曲线密码）也属于公开密钥算法。原理如下:y2=x3+ax+b代表曲线方程，选择小于p(p为将近200位的大素数)的非负整数a、b，使得4a3+27b2≠0(modp)则满足下列方程的所有点(x,y)，其中x,y属于0到p-1间的整数，并将这条椭圆曲线记为Ep(a,b)。282.CPK的数学原理1）ECC密码－－－－考虑如下等式：K=kG[其中K,G为Ep(a,b)上的点，k为小于n（n是点G的阶）的整数，不难发现，给定k和G，根据加法法则，计算K很容易；但给定K和G，求k就相对困难了。这就是椭圆曲线加密算法采用的难题。点G称为基点（basepoint），k（kn，n为基点G的阶）称为私有密钥（privtekey），K称为公开密钥（publickey)。292.CPK的数学原理2）从ECC算法中选取群S适当选取Ep(a，b)中的元素G作为生成元，称为基点，由基点G=(x,y)的所有倍点构成Ep(a，b)的子群S。设n是满足nG=O的最小整数，则该子群S的阶为n。选择基点G时，应保证n是⋯个大素数。即：S={G，2G，3G，⋯，(n-1)G，nG}＝｛(x1，y1)，(x2，y2)，(x3，y3)，⋯，(xn-1，yn-1)，(xn，yn)}显然，S中的元素(xk，yk)与该点对应的倍数值k，恰好构成公、私钥对，公开T=(a，b，G，n，p)和公钥(xk，yk)，要求出其对G的倍数值k(即离散对数)是很困难的。302.CPK的数学原理3）选取公钥私钥矩阵S={G，2G，3G，⋯，(n-1)G，nG}从S中选择32×３２＝1024个元素。组成一个矩阵。PSK位置上的元素Ri,j=ｋＧSSK中对应位置上的元素就是ri,j=k构成一个公私钥对。312.CPK的数学原理４）个体公私钥对的计算对一个给定的个体标识首先用哈希算法sha2求摘要，得到160bit的中间值，然后使用ROWKEY加密得到160bit。•将160bit分成32个列，每一列有5bit二进制的数。•5bit对应从每一列32个元素中选择一个元素。•从每一列都选择一个元素，最后得到32个元素，它们的分别记为：(i0，i1，i2，⋯，i31);•将从32列中选出的32个元素求和得到PK和私钥SK322.CPK的数学原理5）矩阵组合思想总结总结：公钥和私钥矩阵为32×32矩阵，并规定每列从32行中任取一个元素进行组合，则最多可生成公私钥对3232=2160=l048个公私钥对。CPK的中心思想之一是：由规模很小的“矩阵通过组合生产出数量极为庞大的公私钥对”，达到密钥管理的规模化目的。333.CPK的特点分析公钥空间104848KB标识空间1011组合算法映射算法(rij)(Rij)公钥矩阵10^48密钥空间，接近应用无限需求，因此就解决了密钥的规模化问题。34标识性实现了无需第三方证明的离线认证不需要在线数据库3.CPK的特点分析•组合性–解决了规模化密钥管理问题–可达成芯片级实现353.CPK的特点分析1)CPK的优势－－－PKI、IBE和CPK的综合性对比名称公布CA密钥存储进程认证处理能力认证方式可行性相对成本PKI1996需要目录库级不适应103在线很差100IBE2001不需要目录库级不适应103在线较差50CPK2005不需要芯片级可以1048脱线很好5363.CPK的特点分析2)CPK的存在的问题•合谋攻击：CPK公钥实际上只有S×t个，是以种子矩阵的形式存放的．假定有m个私钥已经泄露，则可建立m个关于私钥因子r的线性方程．当mS×t时，一般难以求出r的准确解．但当得到s×t个线性无关的方程时，方程的解即所有的私钥因子可全部求出．•矩阵大小为32×32=l024时(50KB)，可抗l000个共谋，•矩阵大小为256X32=8l92时(400KB)，可抗8000个共谋，•4096X32=l3l072时(6．3MB)，可以抗击l0万用户的共谋。私钥保护：靠硬件保护，在芯片上作特殊的硬件措施，在逻辑上给每一个芯片设置随机数和活性参数。密钥变更：密钥是集中统一生成的，为个别用户更换私钥，很难处理。374.CPK的应用前景可信交易如：电子银行(ATM、POS)、电子票据、电子印章、电子钱包、电子公文可信连接如：电信网络、信息网络的基础协议、手机、认证网关可信计算如：可信计算验证模块设计、标签防伪如：名牌、车牌、门票、证件、票据、钞票、货物、海关、税务384.CPK的应用前景CPK认证技术CPK芯片CPK中间件指纹数字证书可信设备安全手机RFID防伪汽车防盗可信局域网电子支付门禁可信网络电子商务电子政务数字家庭可信计算版权保护CPK认证系统防疫系统等级保护系统内网管理系统电子身份证……CPK产业链39中国信息安全产业正在开展：国家组合公钥基础设施（NCI）就是可信平台体系结构建设的基础内容之一。国家组合公钥基础设施（NCI）计划。国家组合公钥基础设施（NCI）理念的形成标志着中国信息化自主发展的重要里程碑，并作为替代PKI的计划。5.国家组合公钥基础设施40中国信息安全产业正在开展：在可信计算平台（TCP）------------面向计算机系列可信网络平台（TNP）--------------面向信息基础设施可信应用平台（TAP）--------------面向综合应用平台建设可信信息