認證和密鑰交換協(xié)議的分析與設計.pdf

1、隨著現(xiàn)代計算機通信技術的快速發(fā)展和Internet的廣泛應用，如何確保信息安全性的問題已經引起了社會的廣泛關注。信息安全和密碼學中的一個核心問題就是保證通信的參與者能在一個有敵手存在的環(huán)境中進行秘密可靠的通信。這個經常通過認證和密鑰交換協(xié)議來實現(xiàn)，該協(xié)議使得參與者們互相認證對方的身份并且生成一個共享的秘密會話密鑰。隨后，參與者可以將該會話密鑰應用到已有的技術中以實現(xiàn)相互之間的安全通信（比如說，應用加密算法、簽名算法以及消息認證碼到所有的

2、通信中）。認證和密鑰交換協(xié)議也是保證電子商務和電子政務安全的基礎組成部分和理論保證。認證和密鑰交換協(xié)議的分析和設計已經成為當前信息安全研究的熱點問題。 盡管對于認證技術有許多較早的出版物，大家公認Needham和Schroeder出版在1978年Communications of the ACM雜志上的論文是現(xiàn)代認證技術研究的起始點。自此以后，許多認證協(xié)議被提出。對密鑰交換協(xié)議的研究最早是由Diffie和Hellman在1976

3、年提出的?，F(xiàn)在，已有許多安全有效的密鑰交換協(xié)議出現(xiàn)。 眾所周知，在大多數(shù)的情況下認證和密鑰交換都是必須的安全屬性，從而產生了可認證密鑰交換（AKE）協(xié)議。可認證密鑰交換協(xié)議不僅實現(xiàn)參與者之間的身份認證，而且允許參與者計算共享的會話密鑰以實現(xiàn)隨后的安全通信。 目前，研究認證和密鑰交換協(xié)議（在本論文中也稱可認證密鑰交換協(xié)議）主要有三種方法：分別是計算復雜性方法，探索性方法（啟發(fā)式方法）和形式化分析方法。 本文分別利用

4、計算復雜性方法和探索性方法對認證和密鑰交換協(xié)議作了一些研究。我們的主要工作集中在認證和密鑰交換協(xié)議的以下幾個方面： 1．標準模型下安全的基于口令的可認證密鑰交換協(xié)議 在現(xiàn)實環(huán)境中，用戶希望選擇容易記憶的口令作為自己的密鑰而不是選擇完全隨機的口令，因此用戶只生成和共享低熵的口令的環(huán)境應用更為廣泛，并且最近該環(huán)境下可認證密鑰交換協(xié)議的研究引起了研究者的廣泛關注。 基于口令環(huán)境下的安全模型是由Halevi和Krawcz

5、yk首先提出的。在他們的模型中需要一個安全的公鑰基礎設施（PKI）存在。這是一個很強的前提，因而我們希望避免使用它。Goldreich和Lindell提出了第一個不需要任何附加前提的可證明安全協(xié)議。該協(xié)議的安全性基于陷門置換的存在性。但是，他們的協(xié)議非常復雜從而并不實用。 最近，Katz，Ostrovsky和Yung提出了一個有效并實用的基于口令的可認證密鑰交換協(xié)議（KOY）。隨后，Gennaro和Lindell對KOY協(xié)議進行

6、了改進（GL）。此外，Gennaro還通過減少協(xié)議的通信帶寬的方式改進了KOY協(xié)議和GL協(xié)議的有效性。 在第四章中，我們提出了一個新的基于口令的可認證密鑰交換協(xié)議。新協(xié)議基于Cash，Kiltz和Shoup在2008年歐密會上提出的孿生確定Diffie-Hellman假定。在Cash等的論文中，他們也提出了一個基于口令的可認證密鑰交換協(xié)議。但是他們協(xié)議的安全性是基于隨機諭示假定的。普遍認為即使隨機諭示被一個所有用戶都知道的確定函

7、數(shù)（比如SHA-1）取代，設計的協(xié)議仍然是安全的。然而，Canetti，Goldreich和Halevi指出當前沒有任何確定的函數(shù)可以取代隨機諭示。因此，這些協(xié)議的安全性仍然是探索性的。 而我們提出協(xié)議的安全性是在標準模型下證明的。目前，這個新協(xié)議是第一個標準模型下基于孿生確定Diffie-Hellman假定可證明安全的基于口令的可認證密鑰交換協(xié)議。 除此之外，新提出的協(xié)議在有效性上與以前提出的標準模型下基于口令的可認證

8、密鑰交換協(xié)議是可比較的。具體的說，利用Shamir的指數(shù)加速算法，新協(xié)議中每方需要大約7次指數(shù)運算。而且，協(xié)議中的一些數(shù)值可以進行預計算，從而進一步改進協(xié)議的有效性。 2．隨機諭示模型下安全有效的可認證密鑰交換協(xié)議 2001年，Canetti和Krawzcyk提出了一個著名的安全模型，被稱為CK模型。隨后，Krawzcyk改進了這個模型以實現(xiàn)弱的前向安全性（wPFS）。然而，這個加強的安全模型依然不能包括參與雙方臨時密鑰

9、暴露攻擊和參與雙方靜態(tài)密鑰暴露攻擊。最近，LaMacchia，Lauter和Mityagin提出了擴展的CK模型（eCK），該模型包含了所有上面提到的安全屬性。它被認為是目前最強的安全模型。 NAXOS協(xié)議是第一個將安全性建立在eCK模型之下的可認證密鑰交換協(xié)議。該協(xié)議的一個弱點是每個參與者需要進行4次指數(shù)運算。最近，Ustaoglu提出了CMQV協(xié)議，該協(xié)議既有效又安全。但是，CMQV協(xié)議有一個不緊的安全性證明。 在

10、第三章中，我們提出了CMQV協(xié)議的一個改進版本CMQV+。該新協(xié)議也是一個基于Diffie-Hellman方法的可認證密鑰交換協(xié)議。它滿足如下特性： （i）與NAXOS協(xié)議相比，CMQV+協(xié)議更加有效。因為CMQV+協(xié)議的計算可以利用Shamir的指數(shù)加速算法從而平均減）0．75次指數(shù)運算，所以在每次協(xié)議的執(zhí)行過程中，CMQV+協(xié)議只需要進行3．25次指數(shù)運算，而NAXOS協(xié)議需要4次。 （ii）與CMQV協(xié)議相比，CM

11、QV+協(xié)議在eCK模型下有一個緊的安全性證明。在CMQV協(xié)議中，模擬器通過與敵手的一次交互無法回答CDH諭示。因此模擬器必須同敵手進行新一輪的交互，并且要基于相同輸入，相同拋幣并對模擬過程進行合適的修改。利用分叉引理的證明方法，模擬器對CDH諭示作出回答。分叉引理的使用導致無法得到一個緊的安全性歸約。因此，我們對CMQV協(xié)議進行了修改，使得模擬器可以通過一次交互就可以回答CDH諭示。這樣以來，安全性證明就避免使用到分叉引理，從而使得安全

12、性歸約是緊的。 目前，CMQV+協(xié)議是eCK模型下有緊的安全性證明的最有效的可認證密鑰交換協(xié)議。 3．遠程用戶認證和密鑰交換協(xié)議的分析和設計 當前，遠程用戶認證和密鑰交換協(xié)議也成為一個重要的安全機制，它使得服務器和用戶可以在不安全的信道上相互認證身份，并且進一步保證只有合法的用戶可以訪問到遠程服務器提供的資源。 在第五章，我們用探索性方法分析了一個遠程用戶認證協(xié)議。我們證明了該遠程用戶認證方案是完全可破解

13、的。我們還提出了一個改進方案并給出了安全性分析。 1981年，Lamport提出了第一個基于口令的遠程認證方案。隨后的幾個方案在安全性和有效性方面做出了改進。Hwang和Li發(fā)現(xiàn)如果口令表被敵手得到，這些方案將部分或者全部被破解。同時，他們提出了利用智能卡的遠程用戶認證方案來解決這些方案中存在的問題。不久，Chan-Cheng，Shen-Lin-Hwang，Chang-Hwang和Leung等提出了許多方案以增強安全性或者改進有

14、效性。2004年，Kumar基于Shen-Lin-Hwang的方案提出了一個遠程用戶認證方案。新的方案可以同時抵抗Chan-Cheng和Shen-Lin-Hwang的攻擊。 在2000年，Boneh和Franklin提出了一個實用的利用雙線性對的基于身份的加密方案。自此以后，許多利用雙線性對的基于身份的密碼方案被提出，比如簽名方案和可認證密鑰交換協(xié)議。2006年，Wang和Chai提出了一個利用雙線性對的遠程用戶認證方案。

15、 在第五章中，我們首先回顧了Wang-Chai的方案并對他們的方案進行了安全性分析。我們證明Wang-Chai提出的方案完全不能抵抗冒充攻擊。也就是說，一個敵手在獲得一個以前的合法登錄消息后（比如通過搭線竊聽的方式），根據(jù)這個合法的登錄消息可以很容易的偽造出另一個有效的登錄消息，并通過遠程服務器的認證，從而冒充合法用戶訪問遠程服務器上的資源。 其次，我們基于Wang-Chai的方案提出了一個基于雙線性對的遠程用戶認證和密鑰交換