[工学]信息安全技术chapter7密钥管理和其他公钥密码体制.pptVIP

第七讲 密钥管理和其他公钥密码体制 黄 杰 信息安全研究中心 密钥管理 密钥分配 公钥分配 公钥密码用于传统密码体制的密钥分配 公钥分配方法 公钥的公开发布 公钥可访问目录 公钥认证中心 公钥证书 公开发布 方法简便 缺乏安全性，任何人都可以伪造其他人的公钥 公开可访问目录 类似于电话号码簿 用户注册必须通过安全的认证通信 缺点：一旦攻击者获得管理员的私钥即可以传递伪造的公钥。 公 钥 授 权 公钥证书 通信双方使用证书来交换密钥，而不是通过公钥管理员。 证书包含用户编号和公钥，由证书管理员产生。 CA=EKRauth[T，IDA，KUa] 利用公钥密码分配传统密码体制的密钥 简单的秘密密钥分配 具有保密性和真实性的密钥分配 混合方法 利用公钥密码分配主密钥 利用主密钥实现秘密的会话密钥分配 KDC与每一个用户分别共享一个秘密的主密钥 简单的密钥分配 协议简单 可以抗窃听攻击 容易受中间人攻击 重放截获的消息 对消息进行替换 具有保密性和真实性的密钥分配方法 Diffie-Hellman密钥交换 Diffie-Hellman密钥交换是第一个公钥方案，由Diffie Hellman 于 1976年提出。 该算法仅能完成密钥交换，使得两个用户可以安全地交换密钥，用于后续的通讯过程。 算法的安全性建立在： 求关于素数的模素数幂运算相对容易 计算离散对数非常困难 对于大素数，求离散对数被认为不可行 容易受到中间人攻击 公钥和私钥的产生 密钥的产生 举例说明 三方或多方Diffie-Hellman Shamir的三次传递协议 椭圆曲线密码 RSA算法使用的密钥位数一直在增加，给密钥和信息的存储和处理带来很大的运算量，尤其是对具有大量安全交易的电子商务。 椭圆曲线密码学对RSA提出了挑战，它可以用短得多的密钥得到同样的安全性，尤其适用于计算和存储能力有限的移动终端。例如，我国提出的WLAN安全标准WAPI中的用户认证就采用了椭圆曲线加密。 1985年，Neal Koblitz和Victor Miller 分别独立地提出了椭圆曲线密码体制。 ANSI、IEEE、ISO和NIST都制定了ECC标准草案。 椭圆曲线密码 决定密码效率的因素？ 选择一个公钥体制，需考虑的准则： 功能性 安全性 性能 其他 是否制定了实用的标准 是否有商业化的密码产品 是否有专利保护 几种密钥算法安全级别的比较 回顾：群 群：记为{G, ?}，一个二元运算集合 加法封闭性： a， b ∈G，则 a?b ∈G 加法结合律：a,b,c ∈G,则 a?(b?c)= (a?b)?c 加法单位元：e,a ∈ G，则 a?e = e?a =a 加法逆元：a,a’ ∈ G，则 a?a’= a’?a =e 交换群（Abelian Group） 加法交换律：任意 a, b ∈G,则 a?b ＝ b?a 实数域上的椭圆曲线 椭圆曲线的方程 具有两个变元的三次方程，与计算椭圆周长的方程相似 一般形式（群空间K上的椭圆曲线E）： E: y2+axy+by=x3+cx2+dx+e 其中，系数a, b, c, d和e是实数，x, y在实数集上取值。 实数域上的椭圆曲线 对于椭圆曲线密码算法 曲线的限定形式： y2=x3+ax+b 也即： 其中： 椭圆曲线举例（一） 椭圆曲线举例（二） 椭圆曲线上的运算 加法单位元O：表示无穷远点或零点。若曲线三点在一条直线上,则其和为O O = -O; P+O = P，P为椭圆曲线上任意一点 逆元：一条竖直线与曲线相交于两点P1、P2，可看作与曲线相交的另一点在无穷远点，则 P1+P2=O，于是P1 = -P2. P1与P2的x坐标相同，y坐标相反。 坐标不同的两点P和Q之和：在P和Q间做一条直线与曲线相交于第三点R，则P+Q+R=O，即P+Q=-R 2倍：一个点Q的两倍是，找到它的切线与曲线 的另一个交点S，于是Q+Q=2Q=-S 正整数k乘以椭圆曲线上的点P：k个P之和。 例如：3P=P+P+P 有限域椭圆曲线 椭圆曲线密码使用系数和变量定义在有限域的曲线 通常使用的有两类: 定义在素数域Zp （或GF(p)）上的Ep(a,b) use integers modulo a prime best in software 定义在GF(2n)上的二元曲线E2m(a,b) use polynomials with binary coefficients best in hardware Zp上的椭圆曲线 椭圆曲线方程： x3+ax+b≡ y2 mod p p是素数,且4a3+27b2≠0