認證及密鑰協(xié)商協(xié)議設計與分析.pdf

1、密碼協(xié)議是兩個或多個參與方之間為完成某個計算任務而進行的一系列交互過程。利用密碼協(xié)議可以實現會話密鑰協(xié)商/分發(fā)、身份與消息認證、以及安全電子商務/政務等目的。密碼協(xié)議是保障網絡安全最有效的手段之一，是信息與網絡安全的關鍵技術。
　　 現實的網絡環(huán)境是完全開放的，存在各種各樣的攻擊者和攻擊方式，為保證協(xié)議參與者的信息安全，防止攻擊者得到額外信息，需要設計安全有效的密碼協(xié)議?？勺C明安全理論可以將密碼協(xié)議/方案的安全性規(guī)約到某個密碼學

2、假設（例如一類數學問題的難解性，或者單向函數的存在性等），如果密碼學假設成立，那么該密碼協(xié)議/方案在當前計算條件下是安全的。因此，研究可證明安全的密碼協(xié)議具有很強的現實應用背景和實際意義。
　　 本論文圍繞認證及密鑰協(xié)商協(xié)議的設計及構建密碼協(xié)議的支撐理論進行了研究，在密碼協(xié)議/方案的安全性分析、兩方可否認認證協(xié)議的設計、非對稱群組密鑰協(xié)商協(xié)議的叛逆者追蹤、安全函數計算的可實現性、多PKG環(huán)境下基于身份簽密方案的設計及密鑰管理方面

3、做了重點研究，并取得了一些研究成果。
　　 一、密碼協(xié)議/方案的安全性分析
　　 早期的密碼協(xié)議設計和分析方法是啟發(fā)式方法，由于新的密碼分析技術的出現是不確定的，而任何新的分析技術都可能使得密碼協(xié)議被破解，所以啟發(fā)式方法很難確保一個密碼協(xié)議的安全性。在這種情況下，密碼協(xié)議的形式化分析成為研究熱點。所謂形式化方法，指的是分析者通過建立安全模型，用基于計算復雜性，或者邏輯推理的形式化方法來分析協(xié)議的安全性。本文總結了密碼協(xié)議

4、安全性分析方法，歸納了計算復雜性方法中的證明技術;并分別對一個可否認認證協(xié)議、一個兩方認證密鑰協(xié)商協(xié)議和一個多PKG環(huán)境下基于身份的簽密方案進行了安全性分析，分析結果表明這三個密碼協(xié)議/方案都存在安全缺陷。
　　 二、兩方可否認認證協(xié)議
　　 可否認認證協(xié)議能夠使接收者確信認證者想要對消息m認證，但是接收者R不能向第3方證明消息的來源;同時，消息m的認證者也不能向第3方證明曾經向接收者提供了認證的消息m?？煞裾J性強化了密

5、碼協(xié)議的保密特性，并在互聯(lián)網密鑰交換協(xié)議、電子選舉系統(tǒng)、電子商務系統(tǒng)等許多領域應用。Cramer和Shoup于Eurocrypt2002上提出的哈希證明系統(tǒng)作為一個重要的密碼學組件已成功用于可否認認證協(xié)議的設計。本文基于可抽取的哈希證明系統(tǒng)，提出了一個新的可否認認證協(xié)議，協(xié)議滿足并發(fā)不可偽造性和受限條件下的可否認性，并且給出了協(xié)議的安全性證明，將協(xié)議的不可偽造性規(guī)約為困難查找問題(如大整數分解、CDH)，而不是判斷問題(如DDH、DCR

6、)。
　　 三、叛逆者可追蹤的非對稱群組密鑰協(xié)商
　　 群組密鑰協(xié)商作為一種基本的密碼學任務，其目標在于允許多個用戶在公開的網絡環(huán)境中建立一個共享密鑰。從應用的角度來看，群組密鑰協(xié)商的最終目的在于為多個用戶提供一個秘密的信道。Eurocrypt2009，Wu等人首次提出了非對稱群組密鑰協(xié)商協(xié)議(AsymmetricGroupKeyAgreement,ASGKA)的概念。在非對稱群組密鑰協(xié)商協(xié)議中，群組成員協(xié)商出的不是一個

7、共享的會話密鑰，而是一個共享的加密密鑰。這個加密密鑰可以被敵手訪問，而且對應多個不同的解密密鑰，每個用戶都可以計算出一個對應該加密密鑰的解密密鑰。ASGKA是一個全新的概念，它留下了很多開放性問題和繼續(xù)研究的思路，例如，叛逆者可追蹤的ASGKA協(xié)議，基于身份的ASGKA協(xié)議。本文提出了一個叛逆者可追蹤的非對稱群組密鑰協(xié)商協(xié)議ASGKAwTT，協(xié)議滿足標準模型下可證明安全性，并且對于惡意參與者，即叛逆者，泄露給外部敵手的解密密鑰，群組中的

8、每個成員通過驗證關于身份的多簽名就可以恢復出叛逆者的身份信息。
　　 四、多方安全函數計算的可實現性
　　 Crypt2008，Prabhakaran和Rosulek提出了密碼學復雜性的概念，試圖在特定的安全模型下，研究安全多方計算函數的可實現性，探討安全實現各類功能函數的復雜度（難度）及其關系。密碼學復雜性理論的研究，最重要的工作是考察安全多方計算任務的可實現性。在一個具體的安全模型下，能夠安全實現的所有安全多方計算任

9、務唯一確定了一個“密碼學復雜性類”，稱為可實現類，然而并不是所有的研究對象都能被安全實現。刻畫函數在特定安全模型下可安全實現的本質，有助于劃分函數復雜度層次，直觀理解函數之間復雜性比較和分類。本文對多方函數計算可實現性的必要條件進行了分析，通過反例證明了這些必要條件并不是充分條件?；谶@些分析結果，給出了多方函數計算可實現性的充要條件，并通過一個新的技術框架，稱為可分離性(splitiability)，給出了可實現性證明。
　　

10、 五、多PKG環(huán)境下基于身份的簽密方案
　　 簽密能夠在一個合理的邏輯步驟內同時完成數字簽名和公鑰加密兩項功能，而其所花費的代價，要遠遠低于傳統(tǒng)的先簽名后加密的方法，因此它是實現既保密又認證的傳輸信息的較為理想的方法，并作為密碼協(xié)議設計的有效支撐理論被廣泛研究。多PKG環(huán)境下基于身份的簽密機制能夠很好地解決域間實體的安全認證和保密通訊問題。本文提出了一個新的多PKG環(huán)境下基于身份的簽密方案，方案使用了Waters基于身份加密體制

11、及現有的基于身份簽密體制的構造思想，并利用“(0)”運算和抗碰撞Hash函數消除了簽密密文與明文之間的對應關系，從而保證了方案的語義安全。方案實現了標準模型下的可證明CCA安全和存在不可偽造性;且當新方案退化為單個PKG環(huán)境時，與其他標準模型下的安全方案相比，該方案仍有稍高的效率。
　　 六、AdHoc網絡密鑰管理方案
　　 密鑰是密碼系統(tǒng)中最機密的信息，密鑰的管理水平直接決定了密碼的應用水平。為了增強密碼管理的可靠性，

12、避免單點失效引起安全隱患，通常采用秘密分享/門限技術來設計有效的密鑰管理方案。門限技術的思想是把秘密信息（如密鑰）或者某個敏感計算（如加密）分散在多個用戶中，使得只有達到一定數量的用戶合作可以重構秘密信息或者完成敏感計算，而少于門限數量的用戶則無法完成。本文提出了一種新的基于門限秘密共享的AdHoc網絡密鑰管理方案。這個方案最大的特點是，采用了一種完全無交互的基于對稱二元多項式的門限秘密共享機制，從而可以安全、高效地實現動態(tài)節(jié)點加入和惡