2018年標識認證在網絡安全的創新應用.pdf

《2018年標識認證在網絡安全的創新應用.pdf》由會員分享，可在線閱讀，更多相關《2018年標識認證在網絡安全的創新應用.pdf（21頁珍藏版）》請在三個皮匠報告上搜索。

1、標識認證在網絡安全的創新應用目錄一、網絡安全認證體系現狀分析二、標識認證在網絡安全的創新應用一、網絡安全認證體系現狀分析萬物互聯，網絡無界萬物互聯的新時代融合網絡互聯網移動互聯網物聯網泛在網絡無界網絡開放網絡，攻擊泛濫“烏克蘭電網”事件360公司破解特斯拉Gmail、雅虎和賬號泄露1、網絡攻擊行為從以竊取用戶信息、盜取用戶資金為目的傳統互聯網和移動互聯網攻擊，演進為可危及工業設施安全、公共交通安全等的對工控網、車聯網等泛在網絡的攻擊。2、網絡安全事件頻發的大多數原因可歸結于身份認證、訪問控制的問題。捍衛安全，認證為本OSI安全體系架構基于知識因素的身份認證賬號口令基于擁有因素的身份認證短信驗證

2、碼對稱密鑰認證技術PKI簽名認證技術其他簽名認證技術基于固有因素的身份認證人的聲紋、指紋、面紋等設備的設備ID等信息對設備進行認證主要依托對稱密鑰認證技術以及簽名認證技術。新的網絡，新的挑戰傳統網絡節點計算能力強大新型網絡條件下對認證技術提出的挑戰：融合網絡中的短程通信網絡帶寬資源受限；多對多結構導致由中心認證方式轉變為多節點交叉認證；拓撲快速變化要求在節點間可通信范圍內完成認證；規模龐大的節點增加了并發計算的壓力，節點計算能力不均衡需要輕量級的認證服務。身份認證單一網絡中小型規模拓撲相對穩定一對多結構演進新型網絡（如車聯網）節點計算能力不均衡身份認證融合網絡規模龐大拓撲快速變化多對多結構新的

3、網絡，新的挑戰萬物互聯時代，傳統萬物互聯時代，傳統PKIPKI能否獨當泛在網絡下的可信能否獨當泛在網絡下的可信身份認證之大任？認證之大任？RSU231計算消息簽名驗證證書鏈，驗證簽名計算消息簽名計算消息簽名PKI在車聯網應用中的缺陷：1、帶寬占用量大，ETSI標準定義一個環境通知消息DENM數據包消息體長度約40Byte，而單個證書容量基本超過1K，將增加了傳輸報文20倍以上。在大用戶量下，將會造成極大的通信擁堵。2、RSU驗證簽名之前要驗證證書鏈的合法性，大大增加了驗證的時間，RSU需要集中處理眾多車輛的消息，驗證時間加長可能會導致RSU消息處理時間大于消息報文傳輸時間，將會導致大量的消息丟

4、棄。因此，PKI體系不適合在車聯網很多場景下的應用。車聯網等新型網絡場景下的可信身份認證技術何去何從二、標識認證在網絡安全的創新應用標識密碼技術基于身份標識的密碼系統（Identity-Based Cryptograph,簡稱IBC），是一種公鑰密碼體系。標識密碼最主要觀點是系統中不需要證書，使用用戶/設備的標識如電子郵箱地址、手機號碼、設備ID等作為公鑰。用戶的私鑰由密鑰生成中心根據系統主密鑰和用戶標識計算得出。用戶的公鑰由用戶標識唯一確定，從而用戶不需要第三方來保證公鑰的真實性。通過標識密碼技術，無需證書的簽發和交換，極大簡化了公鑰認證和加密的流程。IBC包含PBC和CPK兩種技術體系。密

5、鑰生成中心（KGC）（skKGC）MM|signatureResultpkKGCskIDAliceIDAlice Shamir提出了基于標識的密碼系統的概念；IBC的提出（1984）IBE系統發現（2001）SM9標準發布（2016）Boneh和Franklin發明了基于Weil雙線性對的IBE系統；中國于2016年發布了基于雙線性對技術的“SM9標識密碼算法標準”。CPK體系提出（2003）2003年我國密碼專家南湘浩提出了基于組合公鑰CPK技術的IBC體制標識認證技術CPK密碼體制 大規模 輕體量 去中心 高效率 更簡潔 抗量子 更安全用戶標識hash種子公鑰種子私鑰ECC私鑰公鑰解密/簽

6、名加密驗證/密鑰管理中心地球上有多少顆沙子？10 量級！23CPK即組合公鑰體制，將密鑰生產和管理結合，能夠實現數字簽名和密鑰交換，可以滿足超大規模的標識鑒別、實體鑒別、數據保密需求。密鑰生產管理集中、使用去中心化、可離線認證的特性，尤其適用于物聯網（車聯網）場景。標識認證技術CPK密碼體制 有證書傳遞過程，對網絡環境敏感度高 認證流程復雜，對接和開發成本高 系統間依賴程度高，故障易傳導 信任傳遞使安全性脆弱，存在中間人攻擊 基于標識直接認證，對網絡環境容忍度高 認證流程簡潔高效，對接和開發成本低 系統一手掌握，故障率低 不存在信任傳遞，沒有中間人攻擊B的證書CERTA的證書網絡證書中心終端A

7、終端BCERT1234傳統身份認證流程傳統身份認證流程終端A終端BCPK基于橢圓曲線運算，而SM9基于雙線性對運算，雙線性對計算復雜，因此CPK相比于SM9具有更快的運算速度！標識密碼保障車聯網安全車聯網架構AP/RSUAP/RSUAP/RSUAP/RSU基站基站基站骨干網絡OBU802.16802.11p有線連接車內結構車內結構CAN總線T-BOX車載操作系統OBDECU標識密碼保障車聯網安全車聯網安全威脅序號 攻擊目的攻擊手段安全訴求1享受更好的道路資源通過軟件定義無線電等冒充RSU或者篡改合法RSU向其他車輛發布虛假的交通擁堵、事故等信息，以達到享受更好的道路資源目的。RSU消息的認證性

8、、完整性（車輛對RSU消息的認證）2非授權互聯網接入服務分析AP接入認證的漏洞，達到非授權的AP接入目的，享受免費的互聯網接入服務。車輛消息的認證性（AP對車輛的認證）3犯罪或交通事故逃避責任通過在篡改車輛傳輸過程中的消息或篡改已保存的消息（如位置、時間等信息），制造不在場等證據，已達到逃避責任的目的車輛消息的認證性、完整性、不可否認性（RSU對車輛、車輛對車輛的認證）4擾亂交通可通過冒充RSU等多種手段發布虛假信息以擾亂交通秩序或制造事故車輛、RSU消息的認證性、完整性、不可否認性。標識密碼保障車聯網安全V2V、V2I快速認證RSURSURSUOBU基站骨干網絡車輛A的ID消息數據時間戳簽名

9、值車輛A向車輛B發送的認證數據車輛B的ID消息數據時間戳簽名值車輛B向車輛A發送的認證數據V2V認證認證：車輛A的ID消息數據時間戳簽名值車輛A向RSU發送的認證數據RSU的ID消息數據時間戳簽名值RSU向車輛A發送的認證數據V2I認證認證：基于ID的快速認證，認證速度快（無需驗證書鏈），網絡負載低（無需傳輸證書），解決了車輛和RSU發送消息的認證性、完整性和不可抵賴性。標識密碼保障車聯網安全匿名認證RSURSU密鑰管理中心通過摘要等算法將車輛真實ID映射成多個虛擬ID12將組數據分發給車輛匿名認證3匿名認證匿名認證匿名認證 將真實的VIN號等映射成虛擬ID，通過虛擬ID對應的私鑰簽名，保障了

10、發送消息的匿名性虛擬ID映射 通過給車輛生成多個虛擬ID，車輛簽名時可隨機選擇使用哪個虛擬ID私鑰進行驗簽，避免使用同一ID被追蹤路徑多虛擬ID機制 可將有效期作為匿名ID的一部分構成，驗證方直接判斷匿名ID是否失效短時效的匿名ID 車輛發生消息對其他車輛和RSU是匿名的，但密鑰管理中心保存著真實ID的匹配關系，能夠對簽名主體進行追責?？勺匪葚熑螛俗R密碼保障車聯網安全基于移動預測的快速認證切換AP1AP2遠程認證服務器231車輛A，T時刻，AP1接入中車輛A，T+T時刻，切換AP2AP1及平臺基于標識算法認證車輛身份感知算法預測車輛行為預認證處理，后認證處理。車輛請求AP或平臺認證時，只攜帶標

11、識、簽名值等信息，無需攜帶證書，數據量小，極大減少了DSRC的帶寬資源和傳輸速率的壓力；AP或平臺對車輛身份認證時，只需根據ID計算公鑰，再對簽名進行驗證，而無需驗證證書鏈，極大加快了驗證的效率；基于感知網絡的預測，可提前進行預認證處理，加快了車輛在不同AP切換時的認證速度。標識密碼保障車聯網安全安全性分析算法強度1抗重放攻擊 CPK算法是基于ECC/SM2算法根據ID組合出公鑰，本質上是利用ECC的簽名驗簽原理，因此其算法強度是等價于ECC/SM2算法的強度。2無中間人攻擊 CPK算法直接以用戶ID綁定用戶的公鑰，無需第三方保證公鑰的合法性，無需傳遞證書，不存在信任的傳遞，因此無中間人攻擊。

12、3 V2X通信本身是高速運動狀態下的認證，并且通信距離相對較短，重放攻擊的實施條件較難具備；認證報文中加入時間戳，有效抵抗重放攻擊。標識密碼保障車聯網安全其他應用場景車載終端車載終端TSP平臺路基設施路基設施車內結構車內結構CAN總線T-BOX車載操作系統OBDECU交通設施管理云移動移動終端終端藍牙控制遙控泊車上傳車況固件升級路基信息上傳路基固件升級CPK 安全云藍牙鑰匙藍牙鑰匙密鑰矩陣密鑰矩陣機器指紋機器指紋密鑰管理密鑰管理軟盾軟盾身份認證身份認證密鑰下發密鑰下發軟盾軟盾軟盾軟盾軟盾軟盾軟盾軟盾安全芯片安全芯片安全芯片安全芯片安全芯片安全芯片標識密碼其他創新應用場景標識密碼應用電子郵件金融支付可信計算云計算安全大數據安全工控安全 傳統PKI的應用領域均可使用標識密碼技術進行代替。非對稱加密業務場景中，標識密碼相比于PKI始終是最優選擇。在多對多認證、通信帶寬小、效率要求高等認證場景下，標識密碼技術尤為適用。謝 謝！