認(rèn)證和密鑰交換協(xié)議的分析與設(shè)計(jì).pdf

1、隨著現(xiàn)代計(jì)算機(jī)通信技術(shù)的快速發(fā)展和Internet的廣泛應(yīng)用，如何確保信息安全性的問題已經(jīng)引起了社會(huì)的廣泛關(guān)注。信息安全和密碼學(xué)中的一個(gè)核心問題就是保證通信的參與者能在一個(gè)有敵手存在的環(huán)境中進(jìn)行秘密可靠的通信。這個(gè)經(jīng)常通過認(rèn)證和密鑰交換協(xié)議來實(shí)現(xiàn)，該協(xié)議使得參與者們互相認(rèn)證對(duì)方的身份并且生成一個(gè)共享的秘密會(huì)話密鑰。隨后，參與者可以將該會(huì)話密鑰應(yīng)用到已有的技術(shù)中以實(shí)現(xiàn)相互之間的安全通信（比如說，應(yīng)用加密算法、簽名算法以及消息認(rèn)證碼到所有的

2、通信中）。認(rèn)證和密鑰交換協(xié)議也是保證電子商務(wù)和電子政務(wù)安全的基礎(chǔ)組成部分和理論保證。認(rèn)證和密鑰交換協(xié)議的分析和設(shè)計(jì)已經(jīng)成為當(dāng)前信息安全研究的熱點(diǎn)問題。 盡管對(duì)于認(rèn)證技術(shù)有許多較早的出版物，大家公認(rèn)Needham和Schroeder出版在1978年Communications of the ACM雜志上的論文是現(xiàn)代認(rèn)證技術(shù)研究的起始點(diǎn)。自此以后，許多認(rèn)證協(xié)議被提出。對(duì)密鑰交換協(xié)議的研究最早是由Diffie和Hellman在1976

3、年提出的?，F(xiàn)在，已有許多安全有效的密鑰交換協(xié)議出現(xiàn)。 眾所周知，在大多數(shù)的情況下認(rèn)證和密鑰交換都是必須的安全屬性，從而產(chǎn)生了可認(rèn)證密鑰交換（AKE）協(xié)議?？烧J(rèn)證密鑰交換協(xié)議不僅實(shí)現(xiàn)參與者之間的身份認(rèn)證，而且允許參與者計(jì)算共享的會(huì)話密鑰以實(shí)現(xiàn)隨后的安全通信。 目前，研究認(rèn)證和密鑰交換協(xié)議（在本論文中也稱可認(rèn)證密鑰交換協(xié)議）主要有三種方法：分別是計(jì)算復(fù)雜性方法，探索性方法（啟發(fā)式方法）和形式化分析方法。 本文分別利用

4、計(jì)算復(fù)雜性方法和探索性方法對(duì)認(rèn)證和密鑰交換協(xié)議作了一些研究。我們的主要工作集中在認(rèn)證和密鑰交換協(xié)議的以下幾個(gè)方面： 1．標(biāo)準(zhǔn)模型下安全的基于口令的可認(rèn)證密鑰交換協(xié)議 在現(xiàn)實(shí)環(huán)境中，用戶希望選擇容易記憶的口令作為自己的密鑰而不是選擇完全隨機(jī)的口令，因此用戶只生成和共享低熵的口令的環(huán)境應(yīng)用更為廣泛，并且最近該環(huán)境下可認(rèn)證密鑰交換協(xié)議的研究引起了研究者的廣泛關(guān)注。 基于口令環(huán)境下的安全模型是由Halevi和Krawcz

5、yk首先提出的。在他們的模型中需要一個(gè)安全的公鑰基礎(chǔ)設(shè)施（PKI）存在。這是一個(gè)很強(qiáng)的前提，因而我們希望避免使用它。Goldreich和Lindell提出了第一個(gè)不需要任何附加前提的可證明安全協(xié)議。該協(xié)議的安全性基于陷門置換的存在性。但是，他們的協(xié)議非常復(fù)雜從而并不實(shí)用。 最近，Katz，Ostrovsky和Yung提出了一個(gè)有效并實(shí)用的基于口令的可認(rèn)證密鑰交換協(xié)議（KOY）。隨后，Gennaro和Lindell對(duì)KOY協(xié)議進(jìn)行

6、了改進(jìn)（GL）。此外，Gennaro還通過減少協(xié)議的通信帶寬的方式改進(jìn)了KOY協(xié)議和GL協(xié)議的有效性。 在第四章中，我們提出了一個(gè)新的基于口令的可認(rèn)證密鑰交換協(xié)議。新協(xié)議基于Cash，Kiltz和Shoup在2008年歐密會(huì)上提出的孿生確定Diffie-Hellman假定。在Cash等的論文中，他們也提出了一個(gè)基于口令的可認(rèn)證密鑰交換協(xié)議。但是他們協(xié)議的安全性是基于隨機(jī)諭示假定的。普遍認(rèn)為即使隨機(jī)諭示被一個(gè)所有用戶都知道的確定函

7、數(shù)（比如SHA-1）取代，設(shè)計(jì)的協(xié)議仍然是安全的。然而，Canetti，Goldreich和Halevi指出當(dāng)前沒有任何確定的函數(shù)可以取代隨機(jī)諭示。因此，這些協(xié)議的安全性仍然是探索性的。 而我們提出協(xié)議的安全性是在標(biāo)準(zhǔn)模型下證明的。目前，這個(gè)新協(xié)議是第一個(gè)標(biāo)準(zhǔn)模型下基于孿生確定Diffie-Hellman假定可證明安全的基于口令的可認(rèn)證密鑰交換協(xié)議。 除此之外，新提出的協(xié)議在有效性上與以前提出的標(biāo)準(zhǔn)模型下基于口令的可認(rèn)證

8、密鑰交換協(xié)議是可比較的。具體的說，利用Shamir的指數(shù)加速算法，新協(xié)議中每方需要大約7次指數(shù)運(yùn)算。而且，協(xié)議中的一些數(shù)值可以進(jìn)行預(yù)計(jì)算，從而進(jìn)一步改進(jìn)協(xié)議的有效性。 2．隨機(jī)諭示模型下安全有效的可認(rèn)證密鑰交換協(xié)議 2001年，Canetti和Krawzcyk提出了一個(gè)著名的安全模型，被稱為CK模型。隨后，Krawzcyk改進(jìn)了這個(gè)模型以實(shí)現(xiàn)弱的前向安全性（wPFS）。然而，這個(gè)加強(qiáng)的安全模型依然不能包括參與雙方臨時(shí)密鑰

9、暴露攻擊和參與雙方靜態(tài)密鑰暴露攻擊。最近，LaMacchia，Lauter和Mityagin提出了擴(kuò)展的CK模型（eCK），該模型包含了所有上面提到的安全屬性。它被認(rèn)為是目前最強(qiáng)的安全模型。 NAXOS協(xié)議是第一個(gè)將安全性建立在eCK模型之下的可認(rèn)證密鑰交換協(xié)議。該協(xié)議的一個(gè)弱點(diǎn)是每個(gè)參與者需要進(jìn)行4次指數(shù)運(yùn)算。最近，Ustaoglu提出了CMQV協(xié)議，該協(xié)議既有效又安全。但是，CMQV協(xié)議有一個(gè)不緊的安全性證明。 在

10、第三章中，我們提出了CMQV協(xié)議的一個(gè)改進(jìn)版本CMQV+。該新協(xié)議也是一個(gè)基于Diffie-Hellman方法的可認(rèn)證密鑰交換協(xié)議。它滿足如下特性： （i）與NAXOS協(xié)議相比，CMQV+協(xié)議更加有效。因?yàn)镃MQV+協(xié)議的計(jì)算可以利用Shamir的指數(shù)加速算法從而平均減）0．75次指數(shù)運(yùn)算，所以在每次協(xié)議的執(zhí)行過程中，CMQV+協(xié)議只需要進(jìn)行3．25次指數(shù)運(yùn)算，而NAXOS協(xié)議需要4次。 （ii）與CMQV協(xié)議相比，CM

11、QV+協(xié)議在eCK模型下有一個(gè)緊的安全性證明。在CMQV協(xié)議中，模擬器通過與敵手的一次交互無法回答CDH諭示。因此模擬器必須同敵手進(jìn)行新一輪的交互，并且要基于相同輸入，相同拋幣并對(duì)模擬過程進(jìn)行合適的修改。利用分叉引理的證明方法，模擬器對(duì)CDH諭示作出回答。分叉引理的使用導(dǎo)致無法得到一個(gè)緊的安全性歸約。因此，我們對(duì)CMQV協(xié)議進(jìn)行了修改，使得模擬器可以通過一次交互就可以回答CDH諭示。這樣以來，安全性證明就避免使用到分叉引理，從而使得安全

12、性歸約是緊的。 目前，CMQV+協(xié)議是eCK模型下有緊的安全性證明的最有效的可認(rèn)證密鑰交換協(xié)議。 3．遠(yuǎn)程用戶認(rèn)證和密鑰交換協(xié)議的分析和設(shè)計(jì) 當(dāng)前，遠(yuǎn)程用戶認(rèn)證和密鑰交換協(xié)議也成為一個(gè)重要的安全機(jī)制，它使得服務(wù)器和用戶可以在不安全的信道上相互認(rèn)證身份，并且進(jìn)一步保證只有合法的用戶可以訪問到遠(yuǎn)程服務(wù)器提供的資源。 在第五章，我們用探索性方法分析了一個(gè)遠(yuǎn)程用戶認(rèn)證協(xié)議。我們證明了該遠(yuǎn)程用戶認(rèn)證方案是完全可破解

13、的。我們還提出了一個(gè)改進(jìn)方案并給出了安全性分析。 1981年，Lamport提出了第一個(gè)基于口令的遠(yuǎn)程認(rèn)證方案。隨后的幾個(gè)方案在安全性和有效性方面做出了改進(jìn)。Hwang和Li發(fā)現(xiàn)如果口令表被敵手得到，這些方案將部分或者全部被破解。同時(shí)，他們提出了利用智能卡的遠(yuǎn)程用戶認(rèn)證方案來解決這些方案中存在的問題。不久，Chan-Cheng，Shen-Lin-Hwang，Chang-Hwang和Leung等提出了許多方案以增強(qiáng)安全性或者改進(jìn)有

14、效性。2004年，Kumar基于Shen-Lin-Hwang的方案提出了一個(gè)遠(yuǎn)程用戶認(rèn)證方案。新的方案可以同時(shí)抵抗Chan-Cheng和Shen-Lin-Hwang的攻擊。 在2000年，Boneh和Franklin提出了一個(gè)實(shí)用的利用雙線性對(duì)的基于身份的加密方案。自此以后，許多利用雙線性對(duì)的基于身份的密碼方案被提出，比如簽名方案和可認(rèn)證密鑰交換協(xié)議。2006年，Wang和Chai提出了一個(gè)利用雙線性對(duì)的遠(yuǎn)程用戶認(rèn)證方案。

15、 在第五章中，我們首先回顧了Wang-Chai的方案并對(duì)他們的方案進(jìn)行了安全性分析。我們證明Wang-Chai提出的方案完全不能抵抗冒充攻擊。也就是說，一個(gè)敵手在獲得一個(gè)以前的合法登錄消息后（比如通過搭線竊聽的方式），根據(jù)這個(gè)合法的登錄消息可以很容易的偽造出另一個(gè)有效的登錄消息，并通過遠(yuǎn)程服務(wù)器的認(rèn)證，從而冒充合法用戶訪問遠(yuǎn)程服務(wù)器上的資源。 其次，我們基于Wang-Chai的方案提出了一個(gè)基于雙線性對(duì)的遠(yuǎn)程用戶認(rèn)證和密鑰交換