認證密鑰協(xié)商協(xié)議的分析與設計.pdf

1、密鑰協(xié)商協(xié)議是保證參與者在開放的網(wǎng)絡中實現(xiàn)安全通信的一種重要手段。通過密鑰協(xié)商協(xié)議獲得的臨時會話密鑰，參與者們可以加密本次通信中的后續(xù)會話，從而實現(xiàn)安全的會話過程。這種密鑰建立方式公平、簡單，且參與各方無需信任其它參與者，有著較強的實用性，受到了學者們的廣泛關注，也在工業(yè)界得到了大量的應用。
　　密鑰協(xié)商的目的是在不可靠的通信環(huán)境下實現(xiàn)參與者的安全會話，在這種環(huán)境下，存在著多種多樣的攻擊方式，從而決定了分析與設計密鑰協(xié)商協(xié)議的復雜

2、性。目前，可證明安全理論是保證協(xié)議實現(xiàn)有條件安全的重要手段。在既定的安全目標下，可證明安全理論將協(xié)議的安全性歸約于數(shù)學問題的難解性。如果這些數(shù)學問題的難解性被公認是成立的，那么就可以保證協(xié)議的安全性。
　　本文圍繞認證密鑰協(xié)商協(xié)議的分析與設計展開研究，分別從雙方、三方和多方三個方面對安全協(xié)議的設計、現(xiàn)有協(xié)議的分析以及協(xié)議所依托的安全模型改進進行了較深入的討論，完成了以下七方面的工作：
　　1）總結了設計安全協(xié)議的基本原則，指

3、出合理的安全目標是設計安全協(xié)議的首要條件。在此基礎上，歸納了認證密鑰協(xié)商協(xié)議應實現(xiàn)的基本安全目標。
　　2）設計了兩個新的雙方認證密鑰協(xié)商協(xié)議，并在eCK模型下進行了嚴格的形式化證明。eCK模型是目前用于雙方認證密鑰協(xié)商協(xié)議的模型中，賦予敵手最強攻擊能力的安全模型。與已有的在CK模型或eCK模型下安全的雙方協(xié)議相比，新協(xié)議的安全假設基于CDH問題，明顯弱于比較對象使用的DDH問題或GDH問題。
　　3）基于口令的協(xié)議是密鑰協(xié)

4、商的一個重要分支，而在三方口令認證密鑰協(xié)商的安全模型中，INDOCRYPT2008上日本學者K. Yoneyama基于eCK模型構造的3eCK模型是目前賦予敵手最強的攻擊能力的安全模型。基于這一理論，我們提出了一個在該模型下安全的三方口令認證密鑰協(xié)商協(xié)議，新協(xié)議是首個基于CDH安全假設的三方口令協(xié)議，在證明過程中，首次使用了在EUROCRYPT2008上提出的陷門測試技術，利用該技術，可以為模擬者解決CDH問題構造一個判定預言，而這一判

5、定預言并不需要對應的離散對數(shù)。
　　4） GBG模型是目前針對多方認證密鑰協(xié)商協(xié)議的賦予敵手最強攻擊能力的安全模型，但我們發(fā)現(xiàn)，GBG模型中并沒有包含臨時私鑰泄露攻擊。我們首先利用這一攻擊對在GBG模型下可證明安全的BGS協(xié)議進行安全性分析，之后指出GBG模型的缺點并提出了擴展后的GBG模型，在新模型下對改進的BGS協(xié)議進行了嚴格的形式化論證。
　　5）分析了寬帶數(shù)字內(nèi)容保護規(guī)范中的密鑰協(xié)商協(xié)議，指出該協(xié)議不能抵抗未知密鑰共

6、享攻擊和冒充攻擊，也不具備前向安全性和密鑰確認的性質(zhì)?；谶@些發(fā)現(xiàn)，我們提出了一個改進的協(xié)議版本，新協(xié)議在計算量有微小增加的前提下彌補了這些安全漏洞。
　　6）2008年，我國臺灣學著T. Chen等人提出了一種三方口令認證密鑰協(xié)商協(xié)議，該協(xié)議最大的優(yōu)點是服務器不需要保存參與者的口令，從而降低了服務器成為攻擊對象的危險性，協(xié)議僅需要三輪即可實現(xiàn)參與者雙方的密鑰協(xié)商目標，計算量消耗也相對較低。但如果該協(xié)議中的VA和VB丟失，敵手可以