認證及密鑰協(xié)商協(xié)議設(shè)計與分析.pdf

1、密碼協(xié)議是兩個或多個參與方之間為完成某個計算任務(wù)而進行的一系列交互過程。利用密碼協(xié)議可以實現(xiàn)會話密鑰協(xié)商/分發(fā)、身份與消息認證、以及安全電子商務(wù)/政務(wù)等目的。密碼協(xié)議是保障網(wǎng)絡(luò)安全最有效的手段之一，是信息與網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。
　　 現(xiàn)實的網(wǎng)絡(luò)環(huán)境是完全開放的，存在各種各樣的攻擊者和攻擊方式，為保證協(xié)議參與者的信息安全，防止攻擊者得到額外信息，需要設(shè)計安全有效的密碼協(xié)議?？勺C明安全理論可以將密碼協(xié)議/方案的安全性規(guī)約到某個密碼學(xué)

2、假設(shè)（例如一類數(shù)學(xué)問題的難解性，或者單向函數(shù)的存在性等），如果密碼學(xué)假設(shè)成立，那么該密碼協(xié)議/方案在當(dāng)前計算條件下是安全的。因此，研究可證明安全的密碼協(xié)議具有很強的現(xiàn)實應(yīng)用背景和實際意義。
　　 本論文圍繞認證及密鑰協(xié)商協(xié)議的設(shè)計及構(gòu)建密碼協(xié)議的支撐理論進行了研究，在密碼協(xié)議/方案的安全性分析、兩方可否認認證協(xié)議的設(shè)計、非對稱群組密鑰協(xié)商協(xié)議的叛逆者追蹤、安全函數(shù)計算的可實現(xiàn)性、多PKG環(huán)境下基于身份簽密方案的設(shè)計及密鑰管理方面

3、做了重點研究，并取得了一些研究成果。
　　 一、密碼協(xié)議/方案的安全性分析
　　 早期的密碼協(xié)議設(shè)計和分析方法是啟發(fā)式方法，由于新的密碼分析技術(shù)的出現(xiàn)是不確定的，而任何新的分析技術(shù)都可能使得密碼協(xié)議被破解，所以啟發(fā)式方法很難確保一個密碼協(xié)議的安全性。在這種情況下，密碼協(xié)議的形式化分析成為研究熱點。所謂形式化方法，指的是分析者通過建立安全模型，用基于計算復(fù)雜性，或者邏輯推理的形式化方法來分析協(xié)議的安全性。本文總結(jié)了密碼協(xié)議

4、安全性分析方法，歸納了計算復(fù)雜性方法中的證明技術(shù);并分別對一個可否認認證協(xié)議、一個兩方認證密鑰協(xié)商協(xié)議和一個多PKG環(huán)境下基于身份的簽密方案進行了安全性分析，分析結(jié)果表明這三個密碼協(xié)議/方案都存在安全缺陷。
　　 二、兩方可否認認證協(xié)議
　　 可否認認證協(xié)議能夠使接收者確信認證者想要對消息m認證，但是接收者R不能向第3方證明消息的來源;同時，消息m的認證者也不能向第3方證明曾經(jīng)向接收者提供了認證的消息m?？煞裾J性強化了密

5、碼協(xié)議的保密特性，并在互聯(lián)網(wǎng)密鑰交換協(xié)議、電子選舉系統(tǒng)、電子商務(wù)系統(tǒng)等許多領(lǐng)域應(yīng)用。Cramer和Shoup于Eurocrypt2002上提出的哈希證明系統(tǒng)作為一個重要的密碼學(xué)組件已成功用于可否認認證協(xié)議的設(shè)計。本文基于可抽取的哈希證明系統(tǒng)，提出了一個新的可否認認證協(xié)議，協(xié)議滿足并發(fā)不可偽造性和受限條件下的可否認性，并且給出了協(xié)議的安全性證明，將協(xié)議的不可偽造性規(guī)約為困難查找問題(如大整數(shù)分解、CDH)，而不是判斷問題(如DDH、DCR

6、)。
　　 三、叛逆者可追蹤的非對稱群組密鑰協(xié)商
　　 群組密鑰協(xié)商作為一種基本的密碼學(xué)任務(wù)，其目標(biāo)在于允許多個用戶在公開的網(wǎng)絡(luò)環(huán)境中建立一個共享密鑰。從應(yīng)用的角度來看，群組密鑰協(xié)商的最終目的在于為多個用戶提供一個秘密的信道。Eurocrypt2009，Wu等人首次提出了非對稱群組密鑰協(xié)商協(xié)議(AsymmetricGroupKeyAgreement,ASGKA)的概念。在非對稱群組密鑰協(xié)商協(xié)議中，群組成員協(xié)商出的不是一個

7、共享的會話密鑰，而是一個共享的加密密鑰。這個加密密鑰可以被敵手訪問，而且對應(yīng)多個不同的解密密鑰，每個用戶都可以計算出一個對應(yīng)該加密密鑰的解密密鑰。ASGKA是一個全新的概念，它留下了很多開放性問題和繼續(xù)研究的思路，例如，叛逆者可追蹤的ASGKA協(xié)議，基于身份的ASGKA協(xié)議。本文提出了一個叛逆者可追蹤的非對稱群組密鑰協(xié)商協(xié)議ASGKAwTT，協(xié)議滿足標(biāo)準模型下可證明安全性，并且對于惡意參與者，即叛逆者，泄露給外部敵手的解密密鑰，群組中的

8、每個成員通過驗證關(guān)于身份的多簽名就可以恢復(fù)出叛逆者的身份信息。
　　 四、多方安全函數(shù)計算的可實現(xiàn)性
　　 Crypt2008，Prabhakaran和Rosulek提出了密碼學(xué)復(fù)雜性的概念，試圖在特定的安全模型下，研究安全多方計算函數(shù)的可實現(xiàn)性，探討安全實現(xiàn)各類功能函數(shù)的復(fù)雜度（難度）及其關(guān)系。密碼學(xué)復(fù)雜性理論的研究，最重要的工作是考察安全多方計算任務(wù)的可實現(xiàn)性。在一個具體的安全模型下，能夠安全實現(xiàn)的所有安全多方計算任

9、務(wù)唯一確定了一個“密碼學(xué)復(fù)雜性類”，稱為可實現(xiàn)類，然而并不是所有的研究對象都能被安全實現(xiàn)?？坍嫼瘮?shù)在特定安全模型下可安全實現(xiàn)的本質(zhì)，有助于劃分函數(shù)復(fù)雜度層次，直觀理解函數(shù)之間復(fù)雜性比較和分類。本文對多方函數(shù)計算可實現(xiàn)性的必要條件進行了分析，通過反例證明了這些必要條件并不是充分條件?；谶@些分析結(jié)果，給出了多方函數(shù)計算可實現(xiàn)性的充要條件，并通過一個新的技術(shù)框架，稱為可分離性(splitiability)，給出了可實現(xiàn)性證明。
　　

10、 五、多PKG環(huán)境下基于身份的簽密方案
　　 簽密能夠在一個合理的邏輯步驟內(nèi)同時完成數(shù)字簽名和公鑰加密兩項功能，而其所花費的代價，要遠遠低于傳統(tǒng)的先簽名后加密的方法，因此它是實現(xiàn)既保密又認證的傳輸信息的較為理想的方法，并作為密碼協(xié)議設(shè)計的有效支撐理論被廣泛研究。多PKG環(huán)境下基于身份的簽密機制能夠很好地解決域間實體的安全認證和保密通訊問題。本文提出了一個新的多PKG環(huán)境下基于身份的簽密方案，方案使用了Waters基于身份加密體制

11、及現(xiàn)有的基于身份簽密體制的構(gòu)造思想，并利用“(0)”運算和抗碰撞Hash函數(shù)消除了簽密密文與明文之間的對應(yīng)關(guān)系，從而保證了方案的語義安全。方案實現(xiàn)了標(biāo)準模型下的可證明CCA安全和存在不可偽造性;且當(dāng)新方案退化為單個PKG環(huán)境時，與其他標(biāo)準模型下的安全方案相比，該方案仍有稍高的效率。
　　 六、AdHoc網(wǎng)絡(luò)密鑰管理方案
　　 密鑰是密碼系統(tǒng)中最機密的信息，密鑰的管理水平直接決定了密碼的應(yīng)用水平。為了增強密碼管理的可靠性，

12、避免單點失效引起安全隱患，通常采用秘密分享/門限技術(shù)來設(shè)計有效的密鑰管理方案。門限技術(shù)的思想是把秘密信息（如密鑰）或者某個敏感計算（如加密）分散在多個用戶中，使得只有達到一定數(shù)量的用戶合作可以重構(gòu)秘密信息或者完成敏感計算，而少于門限數(shù)量的用戶則無法完成。本文提出了一種新的基于門限秘密共享的AdHoc網(wǎng)絡(luò)密鑰管理方案。這個方案最大的特點是，采用了一種完全無交互的基于對稱二元多項式的門限秘密共享機制，從而可以安全、高效地實現(xiàn)動態(tài)節(jié)點加入和惡