房利國(guó),王 銀,蔣 濤,段俊紅,劉 蘊(yùn)

(中國(guó)電子科技集團(tuán)公司第三十研究所,四川成都610041)

基于CPK的密鑰管理系統(tǒng)設(shè)計(jì)*

房利國(guó),王 銀,蔣 濤,段俊紅,劉 蘊(yùn)

(中國(guó)電子科技集團(tuán)公司第三十研究所,四川成都610041)

密鑰管理過(guò)程中,在保證安全性的前提下減少通信雙方的交互步驟、交互數(shù)據(jù)量,以及通信實(shí)體的運(yùn)算量是人們期望達(dá)到的目標(biāo)。對(duì)于此問(wèn)題,組合公鑰(CPK)可以提供比較有效的解決途徑。簡(jiǎn)單介紹CPK的基本原理,總結(jié)設(shè)計(jì)基于CPK的密鑰管理系統(tǒng)應(yīng)關(guān)注的CPK要素和需注意的事項(xiàng),給出一個(gè)基于CPK的密鑰管理系統(tǒng)實(shí)例,描述其工作流程,并重點(diǎn)分析設(shè)計(jì)基于CPK的密鑰管理系統(tǒng)會(huì)遇到的幾個(gè)安全問(wèn)題。

組合公鑰 密鑰管理系統(tǒng) 安全性 密鑰生產(chǎn) 密鑰分發(fā)

0 引 言

在基于公鑰密碼體制的密鑰管理系統(tǒng)中,密鑰管理過(guò)程主要涉及認(rèn)證和數(shù)據(jù)保密兩方面內(nèi)容。對(duì)于認(rèn)證,一般依靠鑒別協(xié)議和數(shù)字簽名技術(shù)實(shí)現(xiàn)[1];對(duì)于數(shù)據(jù)保密,主要依靠密鑰交換和加密技術(shù)實(shí)現(xiàn)[1]。

在鑒別協(xié)議和密鑰交換過(guò)程中,一般需要首先交換和驗(yàn)證公鑰證書(shū),這一操作一方面增加了通信雙方的交互步驟和交互數(shù)據(jù)量,另一方面也增加了通信實(shí)體的運(yùn)算量。

對(duì)于上述問(wèn)題,組合公鑰(CPK)可以提供比較有效的解決途徑。下面將簡(jiǎn)單介紹CPK,總結(jié)基于CPK設(shè)計(jì)密鑰管理系統(tǒng)應(yīng)關(guān)注的CPK要素和需注意的事項(xiàng),給出一個(gè)基于CPK設(shè)計(jì)的密鑰管理系統(tǒng)實(shí)例,并重點(diǎn)分析基于CPK設(shè)計(jì)密鑰管理系統(tǒng)會(huì)遇到的幾個(gè)安全問(wèn)題。

1 CPK簡(jiǎn)介

CPK是2003年由我國(guó)的南湘浩教授提出的,并于2013年發(fā)布了V8.0版本,利用基于身份標(biāo)識(shí)的CPK技術(shù),可以在本地一次性查找用戶(hù)公鑰,滿(mǎn)足了驗(yàn)證的簡(jiǎn)便性和管理的有效性,其安全性基于離散對(duì)數(shù)的難解性,可信度高,且不需要第三方的證明,不需要在線數(shù)據(jù)庫(kù)的支持,只要很少的參數(shù)就能管理大量的密鑰,整個(gè)認(rèn)證過(guò)程可以在芯片級(jí)實(shí)現(xiàn),極大地提高了運(yùn)行的效率,并降低了成本[2]。國(guó)內(nèi)外專(zhuān)家對(duì)CPK給予了高度評(píng)價(jià)。國(guó)內(nèi)專(zhuān)家認(rèn)為: CPK“解決了基于標(biāo)識(shí)的密鑰管理難題”、“實(shí)現(xiàn)了無(wú)第三方和非在線認(rèn)證”、“具有重大創(chuàng)新意義和廣闊應(yīng)用前景”。國(guó)外專(zhuān)家評(píng)價(jià):“CPK算法將基于標(biāo)識(shí)的加密向前推進(jìn)了一大步,它創(chuàng)造了一種易懂、易行、易普及的系統(tǒng),能夠提供公鑰和基于標(biāo)識(shí)的密碼體制夢(mèng)寐以求的所有好處?！盵3]

1.1 基本原理

關(guān)于CPK原理的詳細(xì)闡述參見(jiàn)文獻(xiàn)[4],下面簡(jiǎn)要描述一下CPK的基本工作原理。

在基于ECC的CPK體制中,利用ECC所具有的復(fù)合特性進(jìn)行密鑰生產(chǎn),ECC的復(fù)合特性是指:任意多對(duì)私鑰之和與對(duì)應(yīng)的公鑰之和構(gòu)成新的公私鑰對(duì)[4]。

CPK系統(tǒng)中,密鑰的生產(chǎn)、分發(fā)和使用流程如下:

(1)構(gòu)造密鑰矩陣

首先生產(chǎn)一定數(shù)量的ECC公私鑰對(duì),然后用其作為密鑰因子構(gòu)造兩個(gè)維數(shù)相同的密鑰矩陣(私鑰矩陣和公鑰矩陣)。私鑰矩陣和公鑰矩陣中相同位置的私鑰和公鑰一一對(duì)應(yīng)(是由一對(duì)公私鑰對(duì)拆分而成的)。

(2)密鑰生產(chǎn)

在基于CPK的密鑰管理系統(tǒng)中,根據(jù)實(shí)體標(biāo)識(shí)進(jìn)行密鑰生產(chǎn),各實(shí)體實(shí)際使用的密鑰都根據(jù)密鑰矩陣產(chǎn)生。當(dāng)需要產(chǎn)生某一實(shí)體的密鑰時(shí),通過(guò)特定的映射算法(可采用雜湊算法)對(duì)實(shí)體標(biāo)識(shí)做運(yùn)算,然后再對(duì)運(yùn)算結(jié)果做置換操作,根據(jù)置換結(jié)果選取密鑰矩陣中不同位置的多個(gè)密鑰,最后將選取的多個(gè)密鑰進(jìn)行組合(相加),即可得到對(duì)應(yīng)于該實(shí)體標(biāo)識(shí)的密鑰。

(3)密鑰分發(fā)和存儲(chǔ)

在實(shí)際的密鑰管理系統(tǒng)中,出于安全考慮,密鑰矩陣離線產(chǎn)生。當(dāng)申請(qǐng)密鑰時(shí),提交實(shí)體標(biāo)識(shí)給密鑰管理系統(tǒng),密鑰管理系統(tǒng)根據(jù)實(shí)體標(biāo)識(shí)計(jì)算實(shí)體的私鑰,然后將該實(shí)體的私鑰以及全網(wǎng)相同的公鑰矩陣分發(fā)給該實(shí)體。每個(gè)實(shí)體都只存儲(chǔ)自己的私鑰,同時(shí)存儲(chǔ)全網(wǎng)統(tǒng)一的公鑰矩陣。

(4)密鑰使用

當(dāng)一個(gè)實(shí)體需要跟其它實(shí)體進(jìn)行通信時(shí),只需根據(jù)對(duì)方的實(shí)體標(biāo)識(shí)在本地的公鑰矩陣中計(jì)算出對(duì)方的公鑰,即可使用該公鑰進(jìn)行后續(xù)操作。

1.2 CPK中的要素

基于CPK構(gòu)建密鑰管理系統(tǒng)時(shí),需關(guān)注CPK中的如下幾個(gè)要素:

1)私鑰矩陣:用于產(chǎn)生實(shí)體的私鑰。

2)公鑰矩陣:用于產(chǎn)生實(shí)體的公鑰。

3)映射算法:一般為雜湊算法,用于對(duì)實(shí)體標(biāo)識(shí)做雜湊運(yùn)算,運(yùn)算結(jié)果作為置換表的輸入。

4)映射算法密鑰:映射算法的運(yùn)行參數(shù)。

5)置換表:用于對(duì)映射結(jié)果進(jìn)行置換,根據(jù)置換結(jié)果在私鑰矩陣和公鑰矩陣中選擇元素,組合產(chǎn)生實(shí)體的私鑰和公鑰。

1.3 CPK中各要素的使用要求

CPK中的各要素在使用時(shí),應(yīng)滿(mǎn)足以下使用要求:

1)出于安全性考慮,私鑰矩陣和公鑰矩陣需離線產(chǎn)生。

2)私鑰矩陣僅存儲(chǔ)在密鑰管理系統(tǒng)中,實(shí)體端僅存儲(chǔ)本實(shí)體的私鑰,私鑰需作為秘密參數(shù)存儲(chǔ)和使用。

3)公鑰矩陣分發(fā)到每一個(gè)實(shí)體,若設(shè)計(jì)傳統(tǒng)的密鑰管理系統(tǒng),公鑰矩陣可公開(kāi);若設(shè)計(jì)能抵御量子攻擊的密鑰管理系統(tǒng),公鑰矩陣也需作為秘密參數(shù)存儲(chǔ)和使用[4]。

4)映射算法、映射算法密鑰、置換表等需作為秘密參數(shù)存儲(chǔ)和使用。

1.4 CPK的優(yōu)點(diǎn)

組合公鑰從技術(shù)上解決了密鑰管理中的幾大難題:

(1)解決了密鑰的規(guī)?；a(chǎn)及管理難題[5]

在密鑰管理系統(tǒng)中,密鑰通過(guò)密鑰矩陣產(chǎn)生,產(chǎn)生效率將大大提高。同時(shí),不再需要維護(hù)很多組公鑰,只需維護(hù)好實(shí)體的標(biāo)識(shí)即可。

(2)解決了密鑰的大規(guī)模存儲(chǔ)難題[5]

密鑰通過(guò)密鑰矩陣產(chǎn)生,在密鑰管理系統(tǒng)中不需要存儲(chǔ)每個(gè)實(shí)體的公鑰,在實(shí)體端也不需要存儲(chǔ)每個(gè)互通實(shí)體的公鑰。

(3)解決了需可信第三方提供身份認(rèn)證支持的問(wèn)題[5]

每個(gè)實(shí)體都有全網(wǎng)統(tǒng)一的公鑰矩陣,互通實(shí)體的公鑰在本地通過(guò)對(duì)端實(shí)體標(biāo)識(shí)計(jì)算得到,不再需要從網(wǎng)上傳遞,因此,不需要可信第三方證明對(duì)端實(shí)體與其公鑰的綁定關(guān)系。

(4)降低了資源消耗

在基于CPK構(gòu)建的系統(tǒng)中,當(dāng)需要進(jìn)行認(rèn)證和密鑰交換時(shí),不需要在線交換公鑰證書(shū),也不需要驗(yàn)證公鑰證書(shū),從而可以減少通信雙方的交互步驟、交互數(shù)據(jù)量和運(yùn)算量。

2 密鑰管理系統(tǒng)設(shè)計(jì)實(shí)例

2.1 系統(tǒng)組成

密鑰管理系統(tǒng)由密鑰生產(chǎn)中心和密鑰管理中心兩部分組成。

密鑰生產(chǎn)中心:離線運(yùn)行,負(fù)責(zé)產(chǎn)生各CPK參數(shù)和各種密鑰,創(chuàng)建和維護(hù)系統(tǒng)中的通信實(shí)體信息(含標(biāo)識(shí)信息),并將密鑰和參數(shù)離線分發(fā)給密鑰管理中心和通信實(shí)體。

密鑰管理中心:在線運(yùn)行,處理通信實(shí)體的在線注冊(cè)申請(qǐng),并為通信實(shí)體在線分發(fā)和更換各CPK參數(shù)和密鑰。

2.2 密鑰生產(chǎn)和分發(fā)

密鑰管理系統(tǒng)為通信實(shí)體生產(chǎn)和分發(fā)密鑰的流程如圖1所示。

圖1 密鑰生產(chǎn)和分發(fā)流程Fig.1 Key production and distribution flow

密鑰生產(chǎn)和分發(fā)流程:

1)密鑰生產(chǎn)中心產(chǎn)生系統(tǒng)統(tǒng)一的私鑰矩陣、公鑰矩陣、映射算法密鑰和置換表,并為通信實(shí)體創(chuàng)建實(shí)體信息,規(guī)劃實(shí)體ID,產(chǎn)生每實(shí)體唯一的保護(hù)密鑰,使用實(shí)體ID和私鑰矩陣產(chǎn)生實(shí)體的私鑰。然后將ID(n個(gè))、保護(hù)密鑰(n個(gè))、私鑰(n個(gè))、公鑰矩陣、映射算法密鑰和置換表離線遞送給密鑰管理中心;將ID和保護(hù)密鑰離線分發(fā)給通信實(shí)體。

2)通信實(shí)體開(kāi)機(jī)工作后,首先讀取ID和保護(hù)密鑰,然后向密鑰管理中心發(fā)出在線注冊(cè)請(qǐng)求(包含ID等信息)。

3)密鑰管理中心接收到通信實(shí)體的在線注冊(cè)請(qǐng)求后,對(duì)通信實(shí)體進(jìn)行身份認(rèn)證,認(rèn)證通過(guò)則用保護(hù)密鑰加密私鑰、公鑰矩陣、映射算法密鑰和置換表,以及通信實(shí)體正常工作所需的其它配置信息,然后將上述數(shù)據(jù)在線分發(fā)給通信實(shí)體。

4)通信實(shí)體接收到密鑰管理中心在線分發(fā)的數(shù)據(jù)后,使用保護(hù)密鑰解密數(shù)據(jù),即可得到通信實(shí)體正常工作所需要的私鑰、公鑰矩陣、映射算法密鑰和置換表,以及其它配置信息。

2.3 特點(diǎn)和應(yīng)用性簡(jiǎn)析

根據(jù)CPK的原理可知,基于CPK的密鑰管理系統(tǒng)有如下特點(diǎn):

1)密鑰產(chǎn)生高效,降低了對(duì)密鑰生產(chǎn)中心的計(jì)算性能要求。

CPK公鑰和私鑰都通過(guò)密鑰矩陣產(chǎn)生,CPK私鑰的產(chǎn)生過(guò)程僅涉及整數(shù)加法運(yùn)算;CPK公鑰的產(chǎn)生過(guò)程僅涉及點(diǎn)加運(yùn)算,不涉及費(fèi)時(shí)的點(diǎn)乘運(yùn)算,因此,和傳統(tǒng)的基于公鑰密碼體制的密鑰管理系統(tǒng)相比,密鑰產(chǎn)生效率將大大提高,從而降低了對(duì)密鑰生產(chǎn)中心的計(jì)算性能要求,使得密鑰生產(chǎn)中心不必專(zhuān)門(mén)配備高性能硬件設(shè)備,降低了建設(shè)成本。

2)節(jié)約密鑰存儲(chǔ)空間,降低了對(duì)密鑰管理系統(tǒng)的存儲(chǔ)容量要求。

CPK公鑰和私鑰都通過(guò)密鑰矩陣產(chǎn)生,在密鑰生產(chǎn)中心不需要存儲(chǔ)每個(gè)實(shí)體的公鑰和私鑰,在密鑰管理中心不需要存儲(chǔ)每個(gè)實(shí)體的公鑰,因此,和傳統(tǒng)的基于公鑰密碼體制的密鑰管理系統(tǒng)相比,密鑰存儲(chǔ)空間將大大縮小,從而降低了對(duì)密鑰管理系統(tǒng)的存儲(chǔ)容量要求,使得密鑰生產(chǎn)中心和密鑰管理中心(特別是密鑰生產(chǎn)中心)無(wú)須配備大容量存儲(chǔ)設(shè)備,降低了建設(shè)成本。

3)密鑰更換不便,對(duì)密鑰管理系統(tǒng)的密鑰更換設(shè)計(jì)提出了較高要求。

由于CPK是基于標(biāo)識(shí)工作的,因此,當(dāng)CPK的幾個(gè)要素(密鑰矩陣、映射算法、映射算法密鑰和置換表)固定不變時(shí),相同的實(shí)體標(biāo)識(shí)將映射到相同的密鑰。若想更換密鑰只有更改實(shí)體標(biāo)識(shí)或者全網(wǎng)更換一個(gè)或幾個(gè)CPK要素,因此,基于CPK的密鑰管理系統(tǒng)和其它基于標(biāo)識(shí)的系統(tǒng)一樣,存在密鑰更換不便問(wèn)題,從而對(duì)密鑰管理系統(tǒng)的密鑰更換設(shè)計(jì)提出了較高要求。

因?yàn)橛猩鲜鎏攸c(diǎn),所以基于CPK的密鑰管理系統(tǒng)適合在標(biāo)識(shí)易于設(shè)計(jì)、用戶(hù)量大、密鑰產(chǎn)生性能要求高的系統(tǒng)中應(yīng)用。同時(shí),為解決密鑰更換不便問(wèn)題,可以在設(shè)計(jì)實(shí)體標(biāo)識(shí)時(shí)進(jìn)行專(zhuān)門(mén)考慮,如:在標(biāo)識(shí)中加入時(shí)間段因子等。

3 安全性分析

CPK的安全性分析參見(jiàn)文獻(xiàn)[4],本節(jié)重點(diǎn)探討以下幾個(gè)使用CPK設(shè)計(jì)密鑰管理系統(tǒng)會(huì)面臨的安全問(wèn)題。

3.1 密鑰碰撞問(wèn)題

CPK中的密鑰產(chǎn)生是通過(guò)首先在密鑰矩陣?yán)镞x取多個(gè)密鑰,然后將選取的多個(gè)密鑰相加得到真正使用的密鑰。

不難看出,這種密鑰產(chǎn)生方式不能完全排除以下情況:雖然兩次選擇的密鑰并不相同,但密鑰相加的結(jié)果卻相同,從而造成密鑰碰撞問(wèn)題。

在實(shí)際應(yīng)用中,只要保證密鑰矩陣的規(guī)模不過(guò)小,則發(fā)生密鑰碰撞的概率是很低的,完全可以滿(mǎn)足工程應(yīng)用的需要(其實(shí)在傳統(tǒng)的密碼系統(tǒng)中,隨機(jī)產(chǎn)生私鑰也存在密鑰碰撞的可能,只不過(guò)概率極低)。

此外,也有人對(duì)密鑰矩陣的優(yōu)化設(shè)計(jì)進(jìn)行研究,提出了可以完全避免密鑰碰撞的設(shè)計(jì)方案,例如文獻(xiàn)[6]中描述的方法。

3.2 共謀攻擊問(wèn)題

關(guān)于CPK的共謀攻擊是指:從理論上講,由于實(shí)體的私鑰是私鑰矩陣中隨機(jī)整數(shù)的線性組合,如果能夠獲得n個(gè)私鑰(n是私鑰矩陣的維數(shù)),并能夠列出線性方程,且求出方程的解,那么私鑰矩陣是可以破解的[4]。

但在實(shí)際應(yīng)用中,先不說(shuō)列方程和解方程的難度,即便只是獲取大量私鑰這一先決條件,也是一件不可能完成的任務(wù)。更何況,在實(shí)際的密碼系統(tǒng)中,若有大量私鑰泄露,早已實(shí)施全系統(tǒng)密鑰更換。因此,我們可以認(rèn)為在CPK的工程應(yīng)用中,共謀攻擊是無(wú)法成功實(shí)施的。

文獻(xiàn)[4]提出了幾種抵御共謀攻擊的技術(shù)手段,此外,也有完全避免共謀攻擊的方法,例如采用維數(shù)足夠大的密鑰矩陣(超過(guò)系統(tǒng)中實(shí)際使用的私鑰的數(shù)量),但這樣做不能充分發(fā)揮CPK的長(zhǎng)處,不是最優(yōu)的應(yīng)用方案。

3.3 密鑰空間問(wèn)題

在CPK系統(tǒng)中,基本思想是使用一定規(guī)模的密鑰矩陣,獲得對(duì)應(yīng)用系統(tǒng)來(lái)說(shuō)足夠大的密鑰空間。

在傳統(tǒng)密碼系統(tǒng)中,私鑰是隨機(jī)產(chǎn)生的,密鑰空間可以看成僅受密鑰長(zhǎng)度限制。對(duì)比這種情況, CPK的確是縮小了密鑰的選取空間(當(dāng)密鑰矩陣確定以后)。

但所有密碼系統(tǒng)的設(shè)計(jì)都是在理論安全性與工程實(shí)現(xiàn)易用性/可用性之間尋找平衡點(diǎn)。因此,我們應(yīng)該關(guān)注的是密鑰空間縮小對(duì)系統(tǒng)的安全性是否會(huì)產(chǎn)生實(shí)際影響,影響有多大。

反觀傳統(tǒng)密碼系統(tǒng)在產(chǎn)生密鑰過(guò)程中所使用的隨機(jī)性檢測(cè)技術(shù),當(dāng)要求實(shí)際使用的密鑰必須滿(mǎn)足某些隨機(jī)性檢測(cè)標(biāo)準(zhǔn)時(shí),事實(shí)上也在人為縮小密鑰空間。更何況使用密鑰矩陣產(chǎn)生密鑰,只是知道密鑰的總量不會(huì)超過(guò)某一個(gè)值,并不知道密鑰的具體值是在哪個(gè)固定的范圍內(nèi),對(duì)窮舉攻擊來(lái)說(shuō)并沒(méi)有減少要嘗試的密鑰的個(gè)數(shù)。

4 結(jié) 語(yǔ)

CPK從發(fā)布到現(xiàn)在已有十余年時(shí)間,在這期間,CPK本身得到了不斷完善,其應(yīng)用也越來(lái)越廣泛,但對(duì)于其安全性的疑慮也一直存在。這里重點(diǎn)探討了如何設(shè)計(jì)基于CPK的密鑰管理系統(tǒng),并對(duì)設(shè)計(jì)基于CPK的密鑰管理系統(tǒng)過(guò)程中涉及到的幾個(gè)安全性問(wèn)題進(jìn)行了初步分析,得出了這些安全問(wèn)題不會(huì)影響工程應(yīng)用的結(jié)論。后續(xù)將對(duì)基于CPK設(shè)計(jì)的密鑰管理系統(tǒng)的環(huán)境適應(yīng)性、可擴(kuò)展性等問(wèn)題進(jìn)行研究。

[1] 關(guān)志,南湘浩.數(shù)字簽名與密鑰交換機(jī)制的討論[J].信息安全與通信保密,2008(03):46-47.

GUAN Zhi,NAN Xiang-hao.Discussing of Digital Signature and Key Exchange Mechanism[J].Information Security and Communications Privacy,2008(3):46-47.

[2] 趙遠(yuǎn),馬宇馳,鄧依群,等.一種新的安全電子商務(wù)協(xié)議CPK-SET[J].通信技術(shù),2010(08):178-180.

ZHAO Yuan,MA Yuchi,DENG Yi-qun,et al.A Secure Electronic Transaction Protocol Based on CPK[J].Communications Technology,2010(8):178-180.

[3] 趙建國(guó).組合公鑰(CPK)技術(shù)的創(chuàng)新實(shí)踐[J].信息安全與通信保密,2012(05):55-57.

ZHAO Jian-guo.Innovative Practice of CPK Technology [J].Information Security and Communications Privacy, 2012(5):55-57.

[4] 南湘浩.CPK組合公鑰體制(v8.0)[J].信息安全與通信保密,2013(03):39-41,44.

NAN Xiang-hao.Briefing of Combination Public Key System(CPK)V8.0[J].Information Security and Communications Privacy,2013(3):39-41,44.

[5] 崔杰克.基于CPK的認(rèn)證及密鑰管理技術(shù)研究[D].哈爾濱:哈爾濱工業(yè)大學(xué),2010.

CUI Jie-ke.Authentication and Key Management Based on CPK[D].Harbin:Harbin Institute of Technology, 2010.

[6] 榮昆,李益發(fā).CPK種子矩陣的優(yōu)化設(shè)計(jì)方案[J].計(jì)算機(jī)工程與應(yīng)用,2006(24):120-121.

RONG Kun,LI Yi-fa.A Optimized Scheme of the CPK Seed Matrix.Computer Engineering and Applications [J],2006(24):120-121.

FANG Li-guo(1977-),male,M.Sci., senior engineer,majoring in information security,communications security technology,computer application.

王 銀(1978—),男,學(xué)士,工程師,主要研究方向?yàn)樾畔踩?、通信安全技術(shù);

WANG Yin(1978-),male,B.Sci.,engineer,majoring in information security,communications security technology.

蔣 濤(1979—),男,學(xué)士,工程師,主要研究方向?yàn)橘|(zhì)量與可靠性技術(shù)、信息安全;

JIANG Tao(1979-),male,B.Sci.,engineer,majoring in quality and reliability technology,information security.

段俊紅(1984—),男,學(xué)士,工程師,主要研究方向?yàn)榍度胧较到y(tǒng)、通信安全技術(shù);

DUAN Jun-hong(1984-),male,B.Sci.,engineer,majoring in embedded system,communications security technology.

劉 蘊(yùn)(1981—),女,碩士,工程師,主要研究方向?yàn)樾畔踩?/p>

LIU Yun(1981-),female,M.Sci.,engineer,majoring in information security.

Design on CPK-based Key Management System

FANG Li-guo,WANG Yin,JIANG Tao,DUAN Jun-hong,LIU Yun
(NO.30 Institute of CETC,Chengdu Sichuan 610041;China)

In the process of key management,under the precondition of guaranteeing the security,it is expected to achieve the goal that reducing round trips,total bandwidth and communication entity’s computation.Aiming at this problem,combined public key(CPK)is proposed to provide effective means.This paper introduces the fundamental of CPK briefly,summarizes the CPK elements and points out that it should be paid much attention on designing CPK-based key management system.Then the paper gives a CPK-based key management system demonstration,describes its working flow,and analyzes several security questions that might be faced in designing CPK-based key management.

combined public key;key management system;security;key production;key distribution

TP309.7

A

1002-0802(2014)08-0968-05

10.3969/j.issn.1002-0802.2014.08.026

房利國(guó)(1977—),男,碩士,高級(jí)工程師,主要研究方向?yàn)樾畔踩⑼ㄐ虐踩夹g(shù)、計(jì)算機(jī)應(yīng)用;

2014-06-05;

2014-07-04 Received date：2014-06-05;Revised date：2014-07-04