認(rèn)證密鑰協(xié)商協(xié)議的設(shè)計與分析.pdf

1、認(rèn)證密鑰協(xié)商協(xié)議是密碼學(xué)領(lǐng)域一個重要的研究方向，它是指存在主動攻擊者的情況下，兩方或多方用戶通過一定的方式產(chǎn)生一個秘密值，從而實現(xiàn)相互間的安全通信。衡量協(xié)議性能有兩個重要參數(shù)：效率和安全性。其中，效率是指運行協(xié)議的計算開銷和通信開銷。在現(xiàn)代密碼學(xué)中，可證安全是保證協(xié)議安全的一種方式?？勺C安全包括指定攻擊者能力和目標(biāo)的安全模型，以及一個或多個困難性假設(shè)；安全規(guī)約證明表明，如果攻擊者攻破協(xié)議，則可以解決相應(yīng)的困難性問題。然而，協(xié)議很難同時具

2、有高效和可證安全的特性，在較強(qiáng)的安全模型中設(shè)計高效的、緊安全規(guī)約證明的協(xié)議是具有挑戰(zhàn)意義的工作。本文對可證安全的認(rèn)證密鑰協(xié)商協(xié)議進(jìn)行了深入的研究，并取得了如下一些成果：
　　 1．對標(biāo)準(zhǔn)模型下可證明安全的基于口令兩方認(rèn)證密鑰協(xié)商協(xié)議進(jìn)行安全分析，指出該協(xié)議易受反射攻擊。本文同時給出了一個改進(jìn)方案，該方案不僅彌補(bǔ)了原方案的缺陷，而且改善了協(xié)議的性能。并基于DDH假設(shè)，在標(biāo)準(zhǔn)模型中證明了協(xié)議的安全性。結(jié)果表明，改進(jìn)后的協(xié)議還具有完美

3、前向安全特性。
　　 2．利用橢園曲線加法群構(gòu)造了兩個基于身份的認(rèn)證密鑰協(xié)商協(xié)議，并在擴(kuò)展的Canetti-Krawczyk(eCK)模型中證明了協(xié)議的安全性。協(xié)議一采用LaMacchia,Lauter和Mityagin提出的NAXOS方法，協(xié)議的安全證明十分簡潔并且實現(xiàn)了緊的安全規(guī)約。協(xié)議二沒有采用NAXOS方法，即使用戶臨時公鑰的離散對數(shù)泄漏，協(xié)議仍是安全的。兩個協(xié)議提供強(qiáng)安全性，并基于隨機(jī)預(yù)言假設(shè)和GBDH假設(shè)證明了協(xié)議的

4、安全性。
　　 3．基于Cash，Kiltz和Shoup提出的雙Diffie-Hellman問題，提出了兩個無證書兩方認(rèn)證密鑰協(xié)商協(xié)議。為構(gòu)造雙Diffie-Hellman問題的有效的判定預(yù)言，給出了產(chǎn)生部分私鑰的兩種通用方法。第一種方法采用兩個主私鑰和一個哈希函數(shù)；第二種方法采用一個主私鑰和兩個哈希函數(shù)。然后將兩種方法分別應(yīng)用到協(xié)議的設(shè)計中。和其它無證書認(rèn)證密鑰協(xié)商協(xié)議相比，新協(xié)議在消息帶寬相同的情況下，降低了計算復(fù)雜度。并在

5、隨機(jī)預(yù)言模型中不借助于Gap假設(shè)證明了協(xié)議的安全性。
　　 4．構(gòu)造一個只需兩輪通信的認(rèn)證組密鑰協(xié)商協(xié)議，新協(xié)議不需要群組織者，也不要求參與者形成一定的邏輯結(jié)構(gòu)。在協(xié)議運行期間，即使一些用戶發(fā)送的消息丟失，也不影響其它用戶計算出正確的會話密鑰。
　　 5．對兩個基于口令的認(rèn)證組密鑰協(xié)商協(xié)議進(jìn)行安全性分析，結(jié)果表明，由于傳送的消息存在冗余，攻擊者可以發(fā)動相應(yīng)的攻擊。接著基于Burmester和Desmedt的協(xié)議，提出了一