密钥管理关键技术研究

密钥管理处理密钥自产生到最终销毁的整个过程中的有关问题.从技术上看,密钥管理包括密钥的产生、存储、分配、使用和销毁等方面,其中密钥的存储和分配是最重要的问题.重点研究了密钥托管和密钥分配技术,并给出一种基于NTRU密码体制的密钥分配协议,与传统的基于离散对数的密钥分配协议相比,该协议具有更高的效率.     

基于PTPM的Ad Hoc网络密钥管理应用研究

为了增强Ad Hoc网络节点密钥的安全性,结合组合公钥密码体制,提出一种基于便携式可信平台模块(PTPM)的非对称预分配密钥管理应用方案.该方案通过私钥生成中心为节点预分配主密钥子集及基于时间获得密钥更新的方式,降低了Ad Hoc网络密钥管理中的通信开销;利用PTPM作为节点密钥管理的安全防护基础,保障了预分配密钥的安全性及节点本身的可信性.与同类方案相比,此方案能有效降低通信开销.原型系统实际测试结果表明,该方案为Ad Hoc网络提供了具有硬件支撑的快速密钥管理服务及简单的应用范例.     

自组网中基于簇的预密钥管理方案

自组网是由无线节点组成的不需要固定基站的临时性的计算机通信网络。以提供安全、可靠的保密通信为目标的密钥管理方案和协议的设计是自组网安全中一个重要的研究课题,自组网的多跳通信和资源受限等固有特性使得密钥管理面临许多挑战。该文在基于团的快速分簇算法的基础上,提出了一种基于簇的分层密钥预分配方案。分析表明,相比于传统随机密钥预分配方案,新方案不仅能够提高网络的连通性,而且可以减少节点所需存储空间。     

基于可信模块的云存储用户密钥管理机制研究

云存储为用户提供了方便的在线数据存储服务。但是,云存储服务商并不能完全保障用户隐私数据的安全。目前针对云存储用户隐私数据的保护又缺乏对密钥的保护,本文提出一种基于可信模块的云存储用户密钥管理机制,通过引入可信硬件模块,基于无证书密码学基本原理生成和存储用户密钥信息,建立安全高效的密钥备份和恢复机制,同时,采用数据分割理论提高基于可信硬件模块密钥管理的数据保护效率。文章描述了基于可信模块的密钥管理机制的实现方法,并进行了安全性和效率测试分析,实验表明,该机制具有很好的安全性和数据保护效率。     

UC框架下的三方密钥分配

三方密钥分配密码任务可以作为密钥交换协议中的一个重要子模块。Canetii等提出的任意组合(UC)框架,可以严格地分析协议是否“安全实现其应完成的任务”。文章主要在UC框架下研究三方密钥分配,给出了合适的三方密钥分配理想功能的定义,并且证明了新的三方密钥分配的理想功能所对应的安全性是严格强于传统的AKE安全性的。     

基于等级密钥管理的云外包数据安全共享技术

针对目前云外包数据的全共享以及访问群组等级结构复杂等问题,提出了一种基于线性几何等级密钥管理的云外包数据共享技术.阐述了等级密钥管理原理,同时设计了线性几何等级密钥管理技术方案以及三条规则.对系统构建算法、密钥派生算法以及动态密钥管理进行了详细的设计分析,并对算法进行了实验验证,验证结果表明该方案是安全且相对非常有效的.     

传感器网络密钥传播与进化

针对传感器网络密钥管理问题,提出基于生物机制的轻量级传感器网络密钥传播与进化协议．建立用于分析密钥传播协议安全性的概率模型,提出基于组的密钥传播改进协议．通过与密钥预分配相结合,提出一种安全性能更好的密钥传播协议．再利用密钥进化机制,动态更新共享密钥．分析表明,密钥传播与进化是适用于微型传感器网络的可行的安全与代价之间的折中方案．     

无线网络中安全密钥分配协议研究

安全的无线网络数据传输,不仅需要加密、解密算法,还需要有安全的密钥分配协议的支持。一个密钥分配协议(简称KDP)是将密钥以一种安全、有效的方式分发给消息传递者。没有安全的密钥分配协议,即使使用了强有力的加/解密算法,整个系统也会存在着不安全的因素。常用的加/解密算法或是基于公钥,或是基于私钥(公钥密码系统有较好的安全性,但速度慢;而私钥密码系统速度快,但安全性能差)。本文探讨无线网络中安全密钥分配协议,可提高系统的安全性。     

会话密钥分配协议的分析与设计

阐述并分析了通信网络中常用的两种会话密钥分配协议的安全性能,指出这两种密钥分配协议的不完善和不安全之处。提出了改进的措施,新的协议具有更好的安全性、可靠性和实用性。最后提出评价和设计会话密钥分配协议的几条原则。     

无线传感器网络安全密钥管理方案

讨论了无线传感器网络的安全密钥管理问题,对基于对称密钥系统和非对称密钥系统的密钥分配方案进行了详细的阐述,分析和比较了典型的无线传感器网络安全密钥管理方案的优缺点,从而为未来的无线传感器网络安全密钥管理方案提供了技术支持。     

Authenticated Key Agreement in Group Settings

Group key agreement ( GKA) is a process bywhich all the entities in a group agree on a sharedsecret key. Besides key independence ,i mplicit keyauthenticationis considered as a desired propertyfor apractical group key agreement protocol . Agroup keyagreement protocol provides i mplicit key authentica-tionif each group memberis assuredthat no party outof the group can learn the shared group key[1]. No-table solutions include Refs .[1 -6] . Unfortunately,this requirement is too weakin some cas…     

IBE公钥加密系统的用户私钥分发方案

为了解决基于身份的加密方案(IBE)中的用户身份认证和私钥分发问题，使用公钥证书的概念，提出了一种新的身份认证和私钥分发方案．该方案使用一个可信第三方实现信任转移，增添一个用户公钥用于建立私钥传输的安全信道．新方案不仅大大减少了认证的次数，而且解决了原方案及相关应用都不曾处理的用户私钥安全分发问题．基于IBE，文中还提出了一种加密方案，该方案有一个公钥和两个私钥，两个私钥都可用于解密，其中一个托管到可信第三方，另一个用作不可拒认数字签名．     

利用隐匿的公共密钥实现访问控制

为解决公开的密钥信息容易被攻击者利用的问题。针对一种典型的基于RSA的访问控制方案——Chang scheme,分析了Chang scheme中存在的问题,提出了一种隐匿的公共密钥的产生及分配方案,并在此基础之上,利用改进的Chang scheme实现等级系统中的访问控制。该方法在不增加额外运算模块的前提下,提高了系统的安全性,能有效抑制利用模求幂运算的周期性攻击及重放攻击,并且允许用户自主选择密钥。     

基于身份的跨自治域认证密钥协商协议

当前的跨信任域认证密钥协商协议都对系统参数做了限制假设,这种假设无法满足实际网络需要,为此提出了一种基于身份的跨自治域密钥协商方案,在该方案中各个PKG可以使用完全不同的公开参数以及各自不同的PKG主密钥。在eCK模型下给出了该密钥协商方案的形式化证明,表明该方案在满足基本安全属性的基础上,还具有弱的完美前向安全性、PKG前向安全性、抗密钥泄露伪装攻击以及抗临时密钥泄露攻击等属性。与几种典型的基于身份的跨域认证密钥协商方案性能对比分析表明本方案更加安全高效。     

无证书强代理签名方案的密码学分析及改进

对一种高效无证书强代理签名方案进行了分析,指出该方案对于公钥替换攻击是不安全的. 证明了敌手不仅可以通过替换原始签名者的公钥伪造代理授权,而且可以通过同时替换原始签名者和代理签名者的公钥伪造任意消息的代理签名. 针对这2种公钥替换攻击提出了改进方案,使得改进后的方案克服了原方案的安全缺陷,满足了无证书强代理签名方案的安全性要求.     

投影HFE-体制的安全性分析

针对投影HFE-体制的安全性,提出了一种代数攻击方法,并指出该体制存在着弱密钥.攻击方法的基本思想是利用投影HFE-体制在扩域上的代数结构,并用私钥仿射部分和私钥结构的缺陷寻找大量的线性方程.研究结果表明,该攻击方法在这种弱密钥情况下可以有效地恢复部分私钥.     

基于RSA的强前向安全的数字签名

本文提出了一种基于RSA密码体制的数字签名改进方案,该方案中假设每个签名用户拥有各自的公私钥对,公钥确定后,设置特定的私钥进化算法,同时加入扰乱因子以增加签名内容的混乱性,加入时间戳来保证即使签名密钥泄露,攻击者也无法伪造当前时间段的签名以及其前后的签名,从而提高签名密钥的安全性。理论分析表明,该方案中私钥进化算法满足前向安全性和后向安全性,因此签名方案也满足前后向安全性。     

基于身份别名的加入辅助认证方的IBE方案

用户如何向PKG证明自己的身份以及PKG如何安全地将用户的私钥送到用户的手中是IBE系统面临的两大技术问题。本文通过加入辅助认证方(TA)的方式实现信任转移,解决密钥托管的问题。用户的私钥由用户和PKG共同产生,通过引入身份别名,方便了私钥更新。分析表明,该方案在保证安全性的同时,解决了部署IBE系统所遇到的问题,明显扩大了IBE系统的可应用范围。     

基于CDS结构的动态安全组播密钥协商方案

提出了一个应用椭圆曲线密码体制在基于CDS结构的动态安全组播中进行密钥协商的方案．首先采用CDS分组算法对组播组成员进行区域划分,然后应用椭圆曲线密码体制进行各个子组及整个大的组播组的密钥协商．采用CDS结构增加了灵活性,避免了单点故障的产生,提高了组播系统的健壮性．应用椭圆曲线密码体制,有效地减少了密钥程度和密码算法的计算量．具体分析了各个子组和整个大的组播组的密钥协商过程,以及在组成员动态变化时密钥的更新过程,结果表明,所提方案在降低计算和通信代价方面取得了较好的效果,而且满足组播密钥协商的各种安全要求．