面向分布式網絡的跨異構域認證密鑰協(xié)商及加密算法研究.pdf

1、隨著互聯(lián)網在全球范圍內的日益普及，信息化已經蔓延到日常生活中的各個領域，人類已經正式邁進信息時代，并對于信息技術的依賴程度日益增加。
　　在分布式網絡環(huán)境中，僅依靠單一企業(yè)的資源，采用傳統(tǒng)的企業(yè)模式難以滿足市場需求，新的企業(yè)合作模式被越來越多的提出。諸如虛擬企業(yè)、敏捷制造及企業(yè)級即時通信都有助于地理位置上分散的企業(yè)形成聯(lián)盟并實現(xiàn)資源互補。然而，不同的企業(yè)之間會形成眾多相互獨立的信任域，在網絡訪問的過程中，資源的訪問請求不僅來自于本

2、地信任域，也可能來自外地信任域。因此，當本地信任域的用戶訪問外地信任域資源，或外地信任域的用戶訪問本地信任域資源時，就存在跨信任域的身份認證及會話密鑰協(xié)商的問題。
　　此外，隨著云計算逐漸普及，越來越多的敏感數(shù)據被存儲在第三方服務器上并在互聯(lián)網中共享傳播，因此，以加密的形式存儲這些數(shù)據成為了必然的趨勢。然而，用戶缺乏對加密儲存在云服務器端數(shù)據的基本控制以及對云服務提供商的信任。云計算環(huán)境的復雜性、開放性和動態(tài)性以及云計算下用戶需求

3、的多樣性均使得傳統(tǒng)的公鑰密碼體制難以適用，極大的阻礙了云計算的進一步的發(fā)展與推廣應用。學者們急需在傳統(tǒng)的公鑰密碼學算法基礎上做出改進，設計出更好的公鑰密碼體制來保障用戶數(shù)據的完整性與機密性。
　　因此，基于屬性的密碼體制被提出，可以將其看作是基于身份密碼體制的擴展及衍生。一方面，其擴展了身份的概念，將身份看作成一系列屬性特征的集合，增加了對用戶身份的描述性;另一方面，結合訪問結構的概念，用戶屬性集滿足特定約束條件或某種訪問結構時，

4、才能進行解密或簽名等密碼學操作，且可以實現(xiàn)一對多通信，為加密數(shù)據的存取控制提供了新的方向?；趯傩缘拿艽a體制已經成為密碼學的熱點研究領域。然而，目前基于屬性的加密方案普遍無法避免由密鑰克隆、密鑰濫用導致的安全隱患。
　　本文主要對分布式網絡環(huán)境中跨異構域的認證密鑰協(xié)商與抗密鑰克隆、密鑰濫用的基于屬性加密算法進行研究，研究內容為:
　　首先，回顧了數(shù)論與密碼學方面的基礎知識，其中包括雙線性對理論、困難問題假設以及可證明安全的思

5、想，同時對公鑰密碼體制的形式化定義與安全模型進行詳細的描述。
　　其次，在分布式網絡環(huán)境下的企業(yè)級即時通信系統(tǒng)中，針對目前PKI域與IBC域內的用戶與資源無法進行安全通信的問題，提出了一個安全高效的PKI域與IBC域之間的跨異構域認證密鑰協(xié)商方案。本方案利用臨時身份以及訪問授權票據的方法，實現(xiàn)了IBC域用戶訪問PKI域資源時的身份認證與密鑰協(xié)商;通過在訪問資源端以及資源所在域內認證服務器端建立索引賬戶的方式，實現(xiàn)了PKI域用戶訪問

6、IBC域資源的身份認證與密鑰協(xié)商。對方案的正確性進行分析，并在CK模型下證明了方案具備會話密鑰安全性。
　　最后，針對現(xiàn)有抗密鑰克隆、密鑰濫用的基于屬性的加密方案都是從叛逆者追蹤的角度出發(fā)，通過可信第三方追蹤非法用戶并對其實施懲罰可能導致系統(tǒng)的存取策略遭到破壞的問題，提出了一個基于多屬性授權中心的抗密鑰克隆、密鑰濫用的基于屬性的加密方案。通過引進身份授權中心以及屬性安全參數(shù)的概念，保證當用戶的屬性集滿足系統(tǒng)的約束條件，且用戶的屬性