認(rèn)證及密鑰協(xié)商協(xié)議設(shè)計與分析.pdf

1、密碼協(xié)議是兩個或多個參與方之間為完成某個計算任務(wù)而進(jìn)行的一系列交互過程。利用密碼協(xié)議可以實(shí)現(xiàn)會話密鑰協(xié)商/分發(fā)、身份與消息認(rèn)證、以及安全電子商務(wù)/政務(wù)等目的。密碼協(xié)議是保障網(wǎng)絡(luò)安全最有效的手段之一，是信息與網(wǎng)絡(luò)安全的關(guān)鍵技術(shù)。
　　 現(xiàn)實(shí)的網(wǎng)絡(luò)環(huán)境是完全開放的，存在各種各樣的攻擊者和攻擊方式，為保證協(xié)議參與者的信息安全，防止攻擊者得到額外信息，需要設(shè)計安全有效的密碼協(xié)議?？勺C明安全理論可以將密碼協(xié)議/方案的安全性規(guī)約到某個密碼學(xué)

2、假設(shè)（例如一類數(shù)學(xué)問題的難解性，或者單向函數(shù)的存在性等），如果密碼學(xué)假設(shè)成立，那么該密碼協(xié)議/方案在當(dāng)前計算條件下是安全的。因此，研究可證明安全的密碼協(xié)議具有很強(qiáng)的現(xiàn)實(shí)應(yīng)用背景和實(shí)際意義。
　　 本論文圍繞認(rèn)證及密鑰協(xié)商協(xié)議的設(shè)計及構(gòu)建密碼協(xié)議的支撐理論進(jìn)行了研究，在密碼協(xié)議/方案的安全性分析、兩方可否認(rèn)認(rèn)證協(xié)議的設(shè)計、非對稱群組密鑰協(xié)商協(xié)議的叛逆者追蹤、安全函數(shù)計算的可實(shí)現(xiàn)性、多PKG環(huán)境下基于身份簽密方案的設(shè)計及密鑰管理方面

3、做了重點(diǎn)研究，并取得了一些研究成果。
　　 一、密碼協(xié)議/方案的安全性分析
　　 早期的密碼協(xié)議設(shè)計和分析方法是啟發(fā)式方法，由于新的密碼分析技術(shù)的出現(xiàn)是不確定的，而任何新的分析技術(shù)都可能使得密碼協(xié)議被破解，所以啟發(fā)式方法很難確保一個密碼協(xié)議的安全性。在這種情況下，密碼協(xié)議的形式化分析成為研究熱點(diǎn)。所謂形式化方法，指的是分析者通過建立安全模型，用基于計算復(fù)雜性，或者邏輯推理的形式化方法來分析協(xié)議的安全性。本文總結(jié)了密碼協(xié)議

4、安全性分析方法，歸納了計算復(fù)雜性方法中的證明技術(shù);并分別對一個可否認(rèn)認(rèn)證協(xié)議、一個兩方認(rèn)證密鑰協(xié)商協(xié)議和一個多PKG環(huán)境下基于身份的簽密方案進(jìn)行了安全性分析，分析結(jié)果表明這三個密碼協(xié)議/方案都存在安全缺陷。
　　 二、兩方可否認(rèn)認(rèn)證協(xié)議
　　 可否認(rèn)認(rèn)證協(xié)議能夠使接收者確信認(rèn)證者想要對消息m認(rèn)證，但是接收者R不能向第3方證明消息的來源;同時，消息m的認(rèn)證者也不能向第3方證明曾經(jīng)向接收者提供了認(rèn)證的消息m?？煞裾J(rèn)性強(qiáng)化了密

5、碼協(xié)議的保密特性，并在互聯(lián)網(wǎng)密鑰交換協(xié)議、電子選舉系統(tǒng)、電子商務(wù)系統(tǒng)等許多領(lǐng)域應(yīng)用。Cramer和Shoup于Eurocrypt2002上提出的哈希證明系統(tǒng)作為一個重要的密碼學(xué)組件已成功用于可否認(rèn)認(rèn)證協(xié)議的設(shè)計。本文基于可抽取的哈希證明系統(tǒng)，提出了一個新的可否認(rèn)認(rèn)證協(xié)議，協(xié)議滿足并發(fā)不可偽造性和受限條件下的可否認(rèn)性，并且給出了協(xié)議的安全性證明，將協(xié)議的不可偽造性規(guī)約為困難查找問題(如大整數(shù)分解、CDH)，而不是判斷問題(如DDH、DCR

6、)。
　　 三、叛逆者可追蹤的非對稱群組密鑰協(xié)商
　　 群組密鑰協(xié)商作為一種基本的密碼學(xué)任務(wù)，其目標(biāo)在于允許多個用戶在公開的網(wǎng)絡(luò)環(huán)境中建立一個共享密鑰。從應(yīng)用的角度來看，群組密鑰協(xié)商的最終目的在于為多個用戶提供一個秘密的信道。Eurocrypt2009，Wu等人首次提出了非對稱群組密鑰協(xié)商協(xié)議(AsymmetricGroupKeyAgreement,ASGKA)的概念。在非對稱群組密鑰協(xié)商協(xié)議中，群組成員協(xié)商出的不是一個

7、共享的會話密鑰，而是一個共享的加密密鑰。這個加密密鑰可以被敵手訪問，而且對應(yīng)多個不同的解密密鑰，每個用戶都可以計算出一個對應(yīng)該加密密鑰的解密密鑰。ASGKA是一個全新的概念，它留下了很多開放性問題和繼續(xù)研究的思路，例如，叛逆者可追蹤的ASGKA協(xié)議，基于身份的ASGKA協(xié)議。本文提出了一個叛逆者可追蹤的非對稱群組密鑰協(xié)商協(xié)議ASGKAwTT，協(xié)議滿足標(biāo)準(zhǔn)模型下可證明安全性，并且對于惡意參與者，即叛逆者，泄露給外部敵手的解密密鑰，群組中的

8、每個成員通過驗(yàn)證關(guān)于身份的多簽名就可以恢復(fù)出叛逆者的身份信息。
　　 四、多方安全函數(shù)計算的可實(shí)現(xiàn)性
　　 Crypt2008，Prabhakaran和Rosulek提出了密碼學(xué)復(fù)雜性的概念，試圖在特定的安全模型下，研究安全多方計算函數(shù)的可實(shí)現(xiàn)性，探討安全實(shí)現(xiàn)各類功能函數(shù)的復(fù)雜度（難度）及其關(guān)系。密碼學(xué)復(fù)雜性理論的研究，最重要的工作是考察安全多方計算任務(wù)的可實(shí)現(xiàn)性。在一個具體的安全模型下，能夠安全實(shí)現(xiàn)的所有安全多方計算任

9、務(wù)唯一確定了一個“密碼學(xué)復(fù)雜性類”，稱為可實(shí)現(xiàn)類，然而并不是所有的研究對象都能被安全實(shí)現(xiàn)。刻畫函數(shù)在特定安全模型下可安全實(shí)現(xiàn)的本質(zhì)，有助于劃分函數(shù)復(fù)雜度層次，直觀理解函數(shù)之間復(fù)雜性比較和分類。本文對多方函數(shù)計算可實(shí)現(xiàn)性的必要條件進(jìn)行了分析，通過反例證明了這些必要條件并不是充分條件?；谶@些分析結(jié)果，給出了多方函數(shù)計算可實(shí)現(xiàn)性的充要條件，并通過一個新的技術(shù)框架，稱為可分離性(splitiability)，給出了可實(shí)現(xiàn)性證明。
　　

10、 五、多PKG環(huán)境下基于身份的簽密方案
　　 簽密能夠在一個合理的邏輯步驟內(nèi)同時完成數(shù)字簽名和公鑰加密兩項(xiàng)功能，而其所花費(fèi)的代價，要遠(yuǎn)遠(yuǎn)低于傳統(tǒng)的先簽名后加密的方法，因此它是實(shí)現(xiàn)既保密又認(rèn)證的傳輸信息的較為理想的方法，并作為密碼協(xié)議設(shè)計的有效支撐理論被廣泛研究。多PKG環(huán)境下基于身份的簽密機(jī)制能夠很好地解決域間實(shí)體的安全認(rèn)證和保密通訊問題。本文提出了一個新的多PKG環(huán)境下基于身份的簽密方案，方案使用了Waters基于身份加密體制

11、及現(xiàn)有的基于身份簽密體制的構(gòu)造思想，并利用“(0)”運(yùn)算和抗碰撞Hash函數(shù)消除了簽密密文與明文之間的對應(yīng)關(guān)系，從而保證了方案的語義安全。方案實(shí)現(xiàn)了標(biāo)準(zhǔn)模型下的可證明CCA安全和存在不可偽造性;且當(dāng)新方案退化為單個PKG環(huán)境時，與其他標(biāo)準(zhǔn)模型下的安全方案相比，該方案仍有稍高的效率。
　　 六、AdHoc網(wǎng)絡(luò)密鑰管理方案
　　 密鑰是密碼系統(tǒng)中最機(jī)密的信息，密鑰的管理水平直接決定了密碼的應(yīng)用水平。為了增強(qiáng)密碼管理的可靠性，

12、避免單點(diǎn)失效引起安全隱患，通常采用秘密分享/門限技術(shù)來設(shè)計有效的密鑰管理方案。門限技術(shù)的思想是把秘密信息（如密鑰）或者某個敏感計算（如加密）分散在多個用戶中，使得只有達(dá)到一定數(shù)量的用戶合作可以重構(gòu)秘密信息或者完成敏感計算，而少于門限數(shù)量的用戶則無法完成。本文提出了一種新的基于門限秘密共享的AdHoc網(wǎng)絡(luò)密鑰管理方案。這個方案最大的特點(diǎn)是，采用了一種完全無交互的基于對稱二元多項(xiàng)式的門限秘密共享機(jī)制，從而可以安全、高效地實(shí)現(xiàn)動態(tài)節(jié)點(diǎn)加入和惡