群密鑰協(xié)商協(xié)議的分析與設(shè)計(jì).pdf

1、密鑰協(xié)商協(xié)議是密碼學(xué)中一個(gè)重要的基本組成部分，它是指兩方或多方間在不安全的公共數(shù)據(jù)網(wǎng)上通過一定的方法產(chǎn)生一個(gè)共享的會(huì)話密鑰，以實(shí)現(xiàn)相互間的安全通信。因此，安全的密鑰協(xié)商協(xié)議是構(gòu)建安全、復(fù)雜的高層協(xié)議或系統(tǒng)的基礎(chǔ)。 自從兩方認(rèn)證密鑰協(xié)商協(xié)議MQV和HMQV被建議為相關(guān)標(biāo)準(zhǔn)的草案以來，而認(rèn)證群密鑰協(xié)商協(xié)議（AGKA： Authentiacated Group Key Agreement）方面的標(biāo)準(zhǔn)仍在進(jìn)一步討論中，因此，AGKA協(xié)議

2、已成為國(guó)內(nèi)外同行研究的熱點(diǎn)。 本論文首先介紹了群密鑰協(xié)商協(xié)議的應(yīng)用背景，接著對(duì)主要的一些密鑰協(xié)商協(xié)議安全模型進(jìn)行了分析和比較。根據(jù)認(rèn)證密鑰協(xié)商協(xié)議認(rèn)證方式的不同，一般可分為三類：1）基于傳統(tǒng)公鑰密碼體制（PKI/CA）的群密鑰協(xié)商協(xié)議；2）基于身份（ID—Based）的群密鑰協(xié)商協(xié)議；3）基于口令（Password）的群密鑰協(xié)商協(xié)議。最后，對(duì)上述三類協(xié)議從兩個(gè)方面進(jìn)行研究，一是對(duì)已有的AGKA協(xié)議進(jìn)行分析；另一個(gè)設(shè)計(jì)新的AGKA

3、協(xié)議。具體創(chuàng)新工作如下： 在基于傳統(tǒng)公鑰密碼體制（PKI/CA）的群密鑰協(xié)商協(xié)議方面，由于抵抗臨時(shí)秘密信息泄露攻擊是AGKA協(xié)議的一個(gè)重要的安全屬性，旨在AGKA協(xié)議的某次運(yùn)行中，如果某用戶的臨時(shí)秘密信息（如消息對(duì)x，X=gx）中用于計(jì)算會(huì)話密鑰的Diffie—Hellman指數(shù)x）被泄露，則攻擊者不但可以計(jì)算出本次會(huì)話密鑰，而且只要在用戶的簽名私鑰有效期內(nèi)，攻擊者就可能利用該臨時(shí)秘密信息以及與之相應(yīng)的簽名假冒該用戶與其他用戶運(yùn)

4、行AGKA協(xié)議。為克服現(xiàn)有的認(rèn)證群密鑰協(xié)商（AGKA）協(xié)議的不足，在Krawczyk新提出的雙指數(shù)挑戰(zhàn)—應(yīng)答數(shù)字簽名（DCR簽名）和Burmester等提出的群密鑰協(xié)商（GKA）協(xié)議（BD方案）的基礎(chǔ)上，提出了具有常數(shù)輪的高效AGKA協(xié)議．新協(xié)議除具有現(xiàn)有AGKA協(xié)議的安全性外，還具有抗臨時(shí)秘密指數(shù)泄露攻擊能力，效率也有所提高．在分析現(xiàn)有的基于傳統(tǒng)公鑰密碼體制（PKI/CA）的AGKA協(xié)議的安全性、效率中，指出了Abdalla等在TCC

5、2007中提出的群密鑰協(xié)商協(xié)議編譯器不能抵抗假冒攻擊，進(jìn)行了相應(yīng)的改進(jìn)。 在基于身份（ID）的群密鑰協(xié)商協(xié)議方面，現(xiàn)有的大部分基于公鑰的AGKA協(xié)議可分兩類：第一類，認(rèn)證部分是基于PKI/CA，會(huì)話密鑰協(xié)商部分主要用模指數(shù)（或點(diǎn)乘）實(shí)現(xiàn)；第二類，認(rèn)證部分是基于身份（ID）的公鑰體制，會(huì)話密鑰協(xié)商部分主要是用Weil對(duì)或Tate對(duì)實(shí)現(xiàn)。而第一類AGKA協(xié)議存在一個(gè)較顯著問題—公鑰管理問題；第二類AGKA協(xié)議雖然有效地解決了公鑰管理

6、問題，但由于其會(huì)話密鑰協(xié)商部分主要是用雙線性對(duì)（即Weil對(duì)或Tate對(duì)）實(shí)現(xiàn)，故相對(duì)前者其計(jì)算量較大，效率較低。針對(duì)這些不足，設(shè)計(jì)了一個(gè)靜態(tài)的AGKA協(xié)議，該協(xié)議的認(rèn)證部分是基于身份（ID）的公鑰體制，會(huì)話密鑰協(xié)商部分的運(yùn)算主要用模指數(shù)（或點(diǎn)乘）實(shí)現(xiàn)：并在相應(yīng)假設(shè)下證明了該AGKA協(xié)議的安全性。指出了Choi等在PKC2004中的AGKA協(xié)議不能抗外部攻擊，并給出了相應(yīng)的改進(jìn)方案。指出了劉等在ChinaCrypt2007中提出的基于身

7、份的多安全群組群密鑰協(xié)商協(xié)議攻擊者能使得群中用戶在運(yùn)行完該協(xié)議后所產(chǎn)生的會(huì)話密鑰不一致，而且不會(huì)被群中成員發(fā)現(xiàn)；進(jìn)一步指出只要攻擊者能獲得相應(yīng)協(xié)議復(fù)本，便能計(jì)算出會(huì)話密鑰；并在此基礎(chǔ)上，給出了相應(yīng)的改進(jìn)方案。 與基于PKI/CA、基于身份的密鑰協(xié)商協(xié)議需要參與者驗(yàn)證相關(guān)證書和存儲(chǔ)高品質(zhì)的秘密鑰（主密鑰）相比，基于口令的三方密鑰協(xié)商協(xié)議僅需要參與者記住一個(gè)共享的口令，就能構(gòu)造出較高品質(zhì)的會(huì)話密鑰。該類協(xié)議的實(shí)現(xiàn)成本較低，更具有應(yīng)用