基於認證核的按需自治公鑰管理技術研究

ad hoc 網路是一種具有巨大潛在套用價值的重要網路，公鑰管理是實現該網路各種安全協定的核心支撐技術。.針對現有ad hoc 網路公鑰管理方案存在的可用性、自治性、管理效率以及安全問題，本項目擬充分考慮ad hoc網路分布、自治和資源相對有限等特性，研究建立一種基於認證核的按需自治公鑰管理技術。該技術通過認證核保證節點無需任何線上可信第三方的支持，按需自治地管理自己的公鑰證書；通過雙向安全的密鑰對衍生算法實現高效、安全的證書生成與更新；通過單向hash鏈實現對證書的有效性控制，確保完全分散式環境下證書的有效性驗證和及時撤消；預期該技術不僅能夠極大降低公鑰管理操作中的節點間通信，確保證書管理的可用性，而且能夠有效抵禦sybil、重放等攻擊；使節點的證書管理不僅具有分布、自治性，而且更可靠、高效和安全。.該項目還能夠為其它眾多分散式開放系統(如對等網)的公鑰管理提供關鍵技術支持。

本項目擬在計算能力較強的ad hoc網路環境下，充分考慮其分布、自治和資源相對有限等特性，研究建立一種基於認證核的按需自治公鑰管理技術。使節點的公鑰管理不僅具有分布性、自治性，而且更可靠、高效和安全。 項目組圍繞課題研究內容開展技術研究，同時結合當前的技術發展，及時對研究內容進行深化和創新。先後取得了以下5項主要技術成果，完成了契約要求。 （1）基於可信硬體自治公鑰證書管理，利用單向hash鏈以及認證核確保公鑰證書管理分布、自治同時，藉助可信計算中TPM信任根功能為證書管理提供可信保證。從而消除sybil攻擊，防止節點身份偽造、篡改等攻擊。 （2）基於角色的自治公鑰證書套用，網路節點的公鑰證書可以與特定的屬性相綁定，代表某種角色，與特定的許可權相關聯。當節點處於特定角色時，擁有相應的許可權，其證書就是有效的；當節點退出該角色時，其許可權就應當終止，證書就應該失效。該成果在分布開放環境下利用hash鏈控制節點證書的有效期，確保用戶角色退出時，證書及時失效，達到利用證書管理許可權的目的。（3）基於攜帶型設備的密鑰管理， 此成果是項目研究內容的一個擴展。該技術通過智慧型便攜終端對用戶的各種密鑰和口令進行管理，無需用戶的主動參與。將用戶從管理大量密鑰和口令的繁瑣工作中解放出來。Portable Key協定利用智慧型終端通過藍牙鏈路自動管理用戶的密鑰或口令，其分別包含了密鑰管理協定以及密鑰的遙控協定。遙控協定用以解決智慧型便攜終端丟失後的密鑰管理功能暫停、恢復以及銷毀工作。 （4）無證書完全自組織的密鑰管理及其套用，在自治公鑰證書管理基礎上，進一步提出了無證書完全自組織的公鑰管理，它不需要任何可信第三方的支持。該方案允許一個節點獨立建立自己的公、私鑰對，並且使用自己的公鑰作為身份，無需專門的公鑰分發過程。基於此，本項目實現了加解密、數字簽名以及簽密等套用。 （5）增強的公開可驗證秘密共享(SPVSS)，在此成果中，我們考慮了移動自組網的另一種套用模式—有特定管理者的自組網模式。該模式下，網路中各節點共享的秘密事實上可以作為網路的密鑰。SPVSS擴展了公開可驗證秘密共享方案，給出了加強的公開可驗證秘密共享(SPVSS)的定義。同時，提出了具體的SPVSS方案。在我們的方案中，參與協定的任意方都能夠得到驗證，保證了協定的安全性。