基于认证核的按需自治公钥管理技术研究

ad hoc 网络是一种具有巨大潜在应用价值的重要网络，公钥管理是实现该网络各种安全协议的核心支撑技术。.针对现有ad hoc 网络公钥管理方案存在的可用性、自治性、管理效率以及安全问题，本项目拟充分考虑ad hoc网络分布、自治和资源相对有限等特性，研究建立一种基于认证核的按需自治公钥管理技术。该技术通过认证核保证节点无需任何在线可信第三方的支持，按需自治地管理自己的公钥证书；通过双向安全的密钥对衍生算法实现高效、安全的证书生成与更新；通过单向hash链实现对证书的有效性控制，确保完全分布式环境下证书的有效性验证和及时撤消；预期该技术不仅能够极大降低公钥管理操作中的节点间通信，确保证书管理的可用性，而且能够有效抵御sybil、重放等攻击；使节点的证书管理不仅具有分布、自治性，而且更可靠、高效和安全。.该项目还能够为其它众多分布式开放系统(如对等网)的公钥管理提供关键技术支持。

本项目拟在计算能力较强的ad hoc网络环境下，充分考虑其分布、自治和资源相对有限等特性，研究建立一种基于认证核的按需自治公钥管理技术。使节点的公钥管理不仅具有分布性、自治性，而且更可靠、高效和安全。.项目组围绕课题研究内容开展技术研究，同时结合当前的技术发展，及时对研究内容进行深化和创新。先后取得了以下5项主要技术成果，完成了合同要求。.1）基于可信硬件自治公钥证书管理，利用单向hash链以及认证核确保公钥证书管理分布、自治同时，借助可信计算中TPM信任根功能为证书管理提供可信保证。从而消除sybil攻击，防止节点身份伪造、篡改等攻击。.2）基于角色的自治公钥证书应用，网络节点的公钥证书可以与特定的属性相绑定，代表某种角色，与特定的权限相关联。当节点处于特定角色时，拥有相应的权限，其证书就是有效的；当节点退出该角色时，其权限就应当终止，证书就应该失效。该成果在分布开放环境下利用hash链控制节点证书的有效期，确保用户角色退出时，证书及时失效，达到利用证书管理权限的目的。.3）基于便携式设备的密钥管理， 此成果是项目研究内容的一个扩展。该技术通过智能便携终端对用户的各种密钥和口令进行管理，无需用户的主动参与。将用户从管理大量密钥和口令的繁琐工作中解放出来。Portable Key协议利用智能终端通过蓝牙链路自动管理用户的密钥或口令，其分别包含了密钥管理协议以及密钥的遥控协议。遥控协议用以解决智能便携终端丢失后的密钥管理功能暂停、恢复以及销毁工作。.4）无证书完全自组织的密钥管理及其应用，在自治公钥证书管理基础上，进一步提出了无证书完全自组织的公钥管理，它不需要任何可信第三方的支持。该方案允许一个节点独立建立自己的公、私钥对，并且使用自己的公钥作为身份，无需专门的公钥分发过程。基于此，本项目实现了加解密、数字签名以及签密等应用。.5）增强的公开可验证秘密共享(SPVSS)，在此成果中，我们考虑了移动自组网的另一种应用模式—有特定管理者的自组网模式。该模式下，网络中各节点共享的秘密事实上可以作为网络的密钥。SPVSS扩展了公开可验证秘密共享方案，给出了加强的公开可验证秘密共享(SPVSS)的定义。同时，提出了具体的SPVSS方案。在我们的方案中，参与协议的任意方都能够得到验证，保证了协议的安全性。