（计算机软件与理论专业论文）跨域基于口令认证密钥交换协议的研究.pdf

华南师范大学硕士学位论文 ( 4 ) 通过对现有的跨域c 2 c p a k e 协议的分析提出一个改进的跨域c 2 c p a k e 协议。采取 的技术路线是每个用户先由域内的可信服务器产生两者共享的用户口令，并通过安 全信道传送给用户，同时服务器的后台数据库中存储用户l d 与口令。跨域用户之间 进行密钥协商和通信时，必须先通过服务器的身份验证，服务器对用户的验证是基 于口令的。验证通过后通信用户双方所在域内服务器再协助他们传输临时密钥，用 户借助这个临时密钥进行身份认证，并通过d i f f i e h e l l m a n 方法交换会话密钥。改进 协议步骤简单，被分析具有语义安全性，密钥保密性，口令保密性，同时实现了用 户与服务器以及用户与用户之间的双向认证，且能对抗不可检测离线字典攻击等常 见攻击。文章最后在新的安全模型下使用归约的思想将攻击者成功攻破协议的安全 性归约到某些计算难题上，从而证明协议的安全性。 关键词：跨域认证；v i 令认证；密钥交换；c 2 c p 甜江协议 i v 跨域基于口令认证密钥交换协议的研究 r e s e a r c ho nc r o ss r e a l mc 2 c p a k ep r o t o c o l m a j o r ：c o m p u t e rs o f t w a r ea n dt h e o r y n a m e ：w e i h o n gl i u s u p e r v i s o r ：l i b i nw a n g a b s t r a c t c r o s s - r e a l mp a s s w o r da u t h e n t i c a t e dk e ye x c h a n g ep r o t o c o l s ( c r o s s - r e a l mc 2 c - p a k e p r o t o c o lf o rs h o r t ) h e l pc u s t o m e r sw h ob e l o n gt od i f f e r e n tr e a l m sl i k em o b i l en e t w o r k sa n d f a m i l yn e t w o r k st od i s c u s sa n ds h a r eas e s s i o nk e yb yp a s s w o r dw h i c hs h a r e db e t w e e nu s e r a n ds e r v e ri nar e a l m ，t h u st h e yc a ne s t a b l i s has e c u r ec h a n n e lf o rc o m m u n i c a t i o n t h e r e s e a r c ho nc r o s s r e a l mc 2 c p a k e p r o t o c o li ss i g n i f i c a n ta n dv e r yu r g e n t ，a n di tg r a d u a l l y a r o u s e dg e n e r a li n t e r e s ti nt h ef i e l do fi n f o r m a t i o ns e c u r i t y i ne x i s t i n gl i t e r a t u r e s ，t h e r ea l em a n ye f f e c t i v ec r o s s - r e a l mc 2 c - p a k ep r o t o c o l sb e e n p r o p o s e d ，b u tt h e r ei sn o tap r o v a b l ys e c u r eo n ea th o m ea n da b r o a d t h e r e f o r et od e s i g na p r o v a b l ys e c u r ec r o s s - r e a l mc 2 c - p a k ep r o t o c o lt om e e tt h eu s e r s s e c u r i t yd e m a n do f i n f o r m a t i o nt r a n s m i s s i o ni nd i f f e r e n tr e a l mi s v e r ym e a n i n g f u l w em a i n l yc a r r yo u tt h e f o l l o w i n gr e s e a r c ha f t e ri n - d e p t hs t u d yo nt h er e l a t e dl i t e r a t u r e s ：f i r s t l y ，w ea n a l y z et h e o p e r a t i n ge n v i r o n m e n t , s e c o n d l y , w ep r o p o s ean e ws e c u r i t ym o d e lf o rc 2 c - p a k ep r o t o c o l a n dd e f i n et h ef o r m a ls e c u r i t yo fp r o t o c o l s f i n a l l yw ep r o p o s ean e we f f e c t i v ep r o v a b l y s e c u r ep r o t o c o l ，a n df o r m a l l yp r o v et h en e wp r o t o c o lt ob es e c u r ei nt h en e w s e c u r i t ym o d e l b yr e d u c t i o n o u rm a j o rc o n t r i b u t i o n sa r ea sf o l l o w s ： ( 1 ) w es t u d yt h ea n a l y s i sm e t h o do fp r o v e ns e c u r ep r o t o c 0 1 ap r o t o c o li ss e c u r ei ft h e p r o b a b i l i t yo fa t t a c k e r sb r e a k i n gt h es e c u r i t yo fp r o t o c o lc a nb er e d u c e dt os o m e c o m p u t a t i o n a lp r o b l e m s o n ep r o v e nt e c h n i q u ei sd e f i n i n gas e r i e so fg a m e st or e d u c e a n dd e t e r m i n et h es u c c e s sp r o b a b i l i t yo fa t t a c k e r ( 2 ) c o m b i n i n gw i t ht h eo p e r a t i n ge n v i r o n m e n to fc r o s s r e a l mc 2 c - p a k ep r o t o c o l s ，w e i m p r o v et h es e c u r i t ym o d e lo fc r o s s - r e a l mc 2 c - p a k ep r o t o c o la n dm a k eo u tt h e c o r r e s p o n d i n gd e f i n i t i o no fs e c u r i t y , s e tt h es e c u r i t yc o n d i t i o n s ( 3 ) w ea n a l y z et h ep r o c e s so ft w oc l a s s i c c r o s s - r e a l mc 2 c p a k ep r o t o c o l s ：e c 2 c v 华南师范大学硕士学位论文 p a k e - y bp r o t o c o la n de c 2 c p a k ep r o t o c 0 1 t h e nw ea n a l y z ei t sa d v a n t a g e sa n d d i s a d v a n t a g e s ，a n dd e s c r i b et h ep o s s i b l ec a u s e so fa t t a c k s ( 4 ) b ya n a l y z i n gt h ee x i s t i n gc 2 c p a k ep r o t o c o l ，w ep r o p o s ea l li m p r o v e dc r o s s - r e a l m c 2 c p a k ep r o t o c 0 1 t h es o l u t i o ni nm yp a p e ru s eat r u s t e ds e r v e ri nar e a l mw h i c h g e n e r a t e sa u s e r sp a s s w o r dt h a tw o u l db es h a r e db yt h e mi nt h er e a l m ，t h e ni ts e n dt h e p a s s w o r dt ot h eu s e rt h r o u g has e c u r ec h a n n e l a tt h es a m et i m et h ed a t a b a s eo ft h e s e r v e rs t o r e st h eu s e r si da n dp a s s w o r d u s e r si nc r o s s r e a l mm u s tp a s st h et r u s t e d s e r v e r sa u t h e n t i c a t i o nf i r s t l y , w h i c hi sb a s e do nt h eu s e r sp a s s w o r d t h e n ，t h es e v e r sw i l l h e l p t h e mt r a n s f e rt h et e m p o r a r yk e ya f t e ra u t h e n t i c a t i o no fp a s s w o r d u s e r su s et h e t e m p o r a r yk e yt o a u t h e n t i c a t ee a c ho t h e ra n d e x c h a n g e t h es e s s i o n k e yb y a d i f f i e - h e l l m a n a l g o r i t h m o u ri m p r o v e dp r o t o c o lo w n s s e v e r a ln o t a b l ef e a t u r e s i n c l u d i n gs i m p l i c i t y , s e m a n t i cs e c u r i t y , k e yp r i v a c ya n da u t h e n t i c a t i o nb e t w e e nu s e ra n d s e r v e ra n db e t w e e nu s e ra n du s e r i tc o u l da g a i n s to f f i i n ed i c t i o n a r ya t t a c k sa n do t h e r c o m m o na t t a c k sw h i c ha r eu n a b l et ob ed e t e c t e d f i n a l l y , u n d e rt h en e ws e c u r i t ym o d e l w ep r o v et h es e c u r i t yo fp r o t o c o lb yr e d u c i n gt h ep r o b a b i l i t yo fa t t a c k e rb r e a k i n gt h e p r o t o c o lt os o m ec o m p u t a t i o n a lp r o b l e m s k e yw o r d s ：c r o s s 。r e a l ma u t h e n t i c a t i o n ；p a s s w o r da u t h e n t i c a t i o n ；k e ye x c h a n g e ； c 2 c p a k ep r o t o c o l v i 跨域基于口令认证密钥交换协议的研究 目录 第1 章绪论1 1 1研究背景及意义1 1 2本文的主要工作与章节安排3 1 2 1 主要工作与成果3 1 2 2 本文的章节安排3 第2 章跨域c 2 c - p a k e 协议现状分析5 2 i跨域c 2 c p a k e 协议概述5 2 2跨域c 2 c p a k e 协议理论基础5 2 2 1 口令认证技术5 2 2 2d i 佑e h e l l m a n 方法7 2 2 3 可证明安全9 2 2 4 标准模型、随机预言机模型及理想密码原语模型概述1 0 2 3c 2 c p a k e 协议的2 个安全模型简介1 1 2 4本章小结1 2 第3 章两种跨域c 2 c - p a l 协议的分析1 3 3 1c 2 c p a k e y b 协议1 3 3 1 1c 2 c p a l 江一y b 协议的描述1 5 3 1 2c 2 c p a k e y b 协议的分析1 7 3 2e c 2 c p a k e 协议1 8 3 2 1e c 2 c p a k e 协议的描述1 9 3 2 2e c 2 c p a k e 协议的分析2 0 3 3本章小结2 3 第4 章改进跨域c 2 c p u 江一l w 协议及安全性证明2 4 4 1跨域c 2 c p a k e l w 协议安全模型和安全定义2 4 4 1 1 安全模型2 4 4 1 2 安全定义2 6 4 2改进c 2 c - p a k e - l w 协议的描述3 0 4 3改进c 2 c p a l ( e l w 协议的安全性证明3 4 4 4本章小结4 3 第5 章结束语4 4 5 1论文总结4 4 5 2下一步工作4 6 参考文献4 8 攻读研究生期间发表的论文5 l 致谢5 2 v i i 跨域基于口令认证密钥交换协议的研究与改进 1 1研究背景及意义 第1 章绪论 随着互联网技术的飞速发展和现代通信环境的日益多元化，移动网、家庭网 等各种领域蜂拥而出，网上信息的交互量越来越庞大，并且进行通信的用户可能 不再属于同一个域，于是信息安全问题日益突出，尤其是电子商务等新业务在网 上的应用普及，对信息安全提出了更高的要求。安全问题已成为新网络环境下阻 碍这些新业务发展乃至因特网发展的瓶颈。客户间不能以可信的方式预先共享一 个公钥，也就不能采用现有的客户机服务器模式来建立信道，因此为属于不 同域中的客户间提供一个安全的信道已成为人们的迫切需求。跨域c 2 c - p a k e 协议应运而生，它可为属于移动网、家庭网等不同域中的客户间提供一个安全的 信道，因此成为近年来计算机科学技术领域研究的又一新的热点，其研究意义重 大，并且十分迫切。为了确保通信的安全，通常我们采用加密技术以防非法用户 的窃听。加密的一个重要问题就是可认证密钥的交换技术，它将用户身份认证和 密钥交换相结合，使通信双方既获得会话密钥、又对对方身份进行确认。预先共 享的口令可用来实现认证。一方面可以让服务器验证其身份，另一方面可以在服 务器和客户( 即s e r v e r 和c l i e n t ) 之间建立基于口令的通信会话密钥，而且口令 简单易记，用户端无需保存象公开密钥体制中需要的公开密钥和私有密钥等信 息，免去了这些密钥管理的麻烦，基于这些特点，认证密钥交换协议可基于口令 来实现并且应用到实际当中也简单可行。但跨域客户间不能以可信的方式预先共 享一个口令，因此，只能让客户和他们所在域中的服务器共享口令，借助通信客 户各自所在的域中服务器，来协商和共享会话密钥，从而保证跨域环境下的通信 安全。 但是据我们所知，虽然国内外对跨域c 2 c - p a k e 协议的研究比较多，但目 前还没有一个可证明安全的跨域c 2 c - p a k e 协议，因此设计一个安全的跨域 c 2 c p a k e 协议满足不同域中用户信息传输的安全需求十分有意义。 b y u n 等在文献心1 中首先考虑了跨域的情况并首次提出了一个跨域c 2 c - p a k e 华南师范大学硕士学位论文 协议，该协议设计的目的是使分布在不同域中持有不同口令的2 个用户可以达成 一个共同的会话密钥。然而，这个方案对于来自不同域中恶意服务器的字典攻击 是不安全的1 。2 0 0 4 年，w a n g 等在文献h 1 中指出了对该协议的另外3 个字典攻击， k i m 等在文献畸1 中指出此协议同样受到d e n i n g - s a c c o 攻击并且给出了一个改进的 版本。不幸的是，此改进的方案随后也被指出受到未知密钥分享攻击哺3 。尽管在 文献b 刮中已经提出了抵抗c 2 c p a k e 协议所受到的攻击的若干策略，但是所有这 些方案及其改进版本都是采用传统启发式的安全性分析方法设计的，没有经过形 式化的处理。2 0 0 5 年，a b d a l l a 等首先考虑了单服务器c 2 c - p a k e 协议，定义了 一个相应的安全模型并提出了一个在此模型下被证明是安全的通用协议口1 ，虽 然后来被指出这个通用协议会受到不可检测的在线字典攻击，但是他们的工作对 后续三方以及多方p a k e 协议的进一步研究仍然有重要的指导意义。文献阳1 对文 献n 1 中的安全模型及通用协议进行了改进，给出了一个增强的安全性定义和通用 协议的安全版本。通过对文献陋1 中给出的可证明安全单服务器c 2 c - p a k e 协议进 行扩展，y i ny i n 和l ib a o 于2 0 0 6 在文献旧1 首次给出了一个可证明安全的跨域 c 2 c - p a k e 协议，其安全性在严格定义的形式化安全模型中得到了证明。与此工 作相独立，同时b y u n 等在文献n 伽中也给出了一个可证明安全的跨域c 2 c p a k e 协 议。但是令人遗憾的是，这2 个可证明安全的方案都被指出是不安全的。文献n 分析并给出了对文献图一们中方案的不可检测在线字典攻击，以及对文献阳1 中方案 的未知密钥分享攻击和文献n 们中方案的内部恶意服务器的攻击。文献n 2 1 在文献阳1 的基础上定义了一个适合c 2 c - p a k e 的安全模型，并给出了一个跨域c 2 c - p a k e 协 议的通用构造，此构造的安全性在定义的安全模型中得到了证明，但由于它同样 没考虑内部恶意服务器等的攻击，所以也是不安全的。 针对这一现状，本文在上述文献的基础上，结合协议的运行环境先分析了文 献阻1 们中提出的c 2 c - p a k e 协议，提出了新的c 2 c - p a k e 协议安全模型，并作出了 相应的安全定义，然后结合离散对数高可靠等特点设计了一个新的跨域c 2 c p a k e 协议，该协议步骤简单，被分析具有语义安全性，密钥保密性，口令保密性，同 时实现了用户与服务器以及用户与用户之间的双向认证，且能对抗不可检测在线 字典攻击等常见攻击，最后在新的安全模型下使用归约的思想将攻击者成功攻破 协议的安全性归约到某些计算难题上，从而证明协议的安全性，使得跨域用户间 信息的安全传输成为可能。 跨域基于口令认证密钥交换协议的研究与改进 1 2 本文的主要工作与章节安排 1 2 1 主要工作与成果 本文对跨域基于口令认证的密钥交换协议的设计与分析进行了研究，结合其 应用环境进行分析，并取得如下成果： ( 1 ) 结合跨域c 2 c p a k e 协议的运行环境，改进了跨域c 2 c - p a k e 协议的安全模 型，提出新的安全模型，并作出了相应的安全定义，设定协议的安全条件。 认为协议需具有语义安全性、密钥保密性、口令保密性和用户与服务器以及 用户之间的双向认证才是安全的。 ( 2 ) 通过对现有的跨域c 2 c p a k e 协议的分析提出一个改进的跨域c 2 c p a k e 协议。采取的技术路线是每个用户先由域内的可信服务器产生两者共享的用 户口令，并通过安全信道传送给用户，同时服务器的后台数据库中存储用户 d 与口令。跨域用户之间进行密钥协商和通信时，必须先通过服务器的验证， 服务器对用户设备的验证是基于口令的。验证通过后通信用户双方所在域内 服务器再协助他们传输用户临时密钥，用户借助这个临时密钥进行身份认 证，并通过d i f f i e h c l l m a n 方法交换会话密钥。改进协议步骤简单，被分析 具有语义安全性，密钥保密性，口令保密性，同时实现了用户与服务器以及用 户与用户之间的双向认证，且能对抗不可检测在线字典攻击等常见攻击，文 章最后在新的安全模型下使用归约的思想将攻击者成功攻破协议的安全性 归约到某些计算难题上，从而证明协议的安全性，使得跨域用户间信息的安 全传输成为可能。 1 2 2 本文的章节安排 全文以可证明安全的角度研究协议的设计与分析。 第二章简单介绍了跨域c 2 c - p a k e 协议及该协议的两个安全模型和本文相关 的一些密码学理论基础，包括口令认证技术、对称加密体制、单向散列函数和 d i f f i c h c l l r n a n 方法、可证明安全，这些概念将在后续章节的协议设计或安全证 明中使用。 在第三章中重点对两种经典的跨域c 2 c - p a k e 协议( e c 2 c - p a k e - y b 协议与 e c 2 c p a k e 协议) 进行了分析，描述了它们的运行过程，并对其进行了安全性分 析，分析结果显示e c 2 c p a k e - y b 协议不可抵抗不可检测在线字典攻击和未知密 3 华南师范大学硕士学位论文 钥分享攻击，e c 2 c - p a k e 协议不可抵抗不可检测在线字典攻击和两种内部恶意服 务器攻击，最后分析了造成这些攻击的原因和改进方法。 第四章主要对跨域c 2 c - p a k e 协议的安全模型、安全定义和安全条件进行 形式化的定义。主要内容包括：利用b e l l a r e 在2 0 0 0 年提出的b p r 模型n 4 3 提出 了新的协议安全模型，定义协议参与者和攻击者的能力，并描述三种计算模型： 标准模型、随机预言模型和理想密码原语模型；形式化定义跨域c 2 c - p a k e 协 议的安全条件和对应的形式化定义。改进跨域c 2 c - p a k e 协议的设计和安全证 明。设计一个跨域c 2 c - p a k e 协议，详细阐述了其具体的执行过程。并对其进 行安全证明。 最后是结束语，总结了本文的成果和不足以及下一步的工作。 跨域基于口令认证密钥交换协议的研究与改进 第2 章跨域c 2 c - p a k e 协议现状分析 2 1 跨域c 2 c p a k e 协议概述 基于口令认证的密钥交换协议( 简称c 2 c p a k e 协议) 主要借助用户与服务 器间共享的口令来实现通信用户双方的身份认证，但随着互联网的发展，进行通 信的用户不再属于同一个域，因此不可能再由同一个服务器来保存或共享不同域 内用户的口令，跨域基于口令认证的密钥交换协议( 简称跨域c 2 c p a k e 协议) 应运而生。它主要适用于通信的用户分属不同的两个域，用户借助各自所在域中 服务器和用户间共享的口令来验证消息发送者所声称的身份和某个属性，并依赖 服务器间的私有安全信道在参与协议的实体之间建立共享的会话密钥，产生一条 安全通信信道用于随后的加密、实体认证以及消息认证等密码用途。 2 2跨域c 2 c - p a k e 协议理论基础 2 2 1口令认证技术 口令认证是实现身份认证的一种常见并且简单易行的方式。在网络环境下， 验证双方都是通过网络而非直接交互的，所以身份认证较为复杂，根据指纹等手 段就难以实现。因此目前使用的验证机制大多数是基于用户口令的认证方式，它 也是最广泛应用的身份认证方法。口令认证可以分为两大类：静态口令和动态口 令。 1 静态口令 静态口令认证是最早使用也是最简单的口令认证技术的一种形式，即每个合 法用户都持有一个身份标识符d 和相应的通行口令，服务器将所有合法用户的 i d 和口令保存在口令文件中。当用户访问系统时，输入自己的i d 和口令，服务 器从口令文件中取出相应的d 和口令同登录者提供的i d 和口令相比较，若两者 结果匹配，则认定用户是合法的，否则拒绝访问。 这种认证方式非常简单，但在计算机网络与分布式系统中，以固定口令为基 础的验证方式存在很多明显的问题，主要有： 华南师范大学硕士学位论文 ( 1 ) 网络数据窃听 由于验证信息要通过网络传递，攻击者通过窃听网络数据很容易得到用户名 和口令。 ( 2 ) 截取重放攻击 有的系统会将验证信息进行简单加密后传输，但是由于口令是固定可重用 的，攻击者可以使用截取重放非法访问系统。 ( 3 ) 穷举攻击 这是一种基于字典的攻击，它使用字符串的全集作为字典，如果用户的密码 较短( 小于8 个字符) ，则通过穷举攻击，很容易被破译。 2 动态口令 动态口令，又称为一次性口令( o t p ，o n et i m ep a s s w o r d ) ，是针对静态口 令的不足提出的一种身份认证技术。一次性口令即用户每次登录系统时使用的口 令是变化的，也就是说每个口令只使用一次，这样可以有效地防止网络上被动窃 听者的攻击，而且由于用户口令的不可重用性，网络上的窃听者得到的口令或认 证信息无法再次用于登录，可以防止重放攻击。 o t p 的主要思想：在登录过程中加入不确定因子，使每次登录过程中传送 的信息都不相同，以提高登录过程的安全性。一次性口令的产生因子一般都是采 用双运算因子：其一，为用户的私有密钥，它代表用户身份的识别码，是固定不 变的；其二，为变动因子，即不确定因子。由于不确定因子的变化，产生了口令 的不断变化。采用不同的不确定因子，形成了不同的一次性口令认证技术：基于 时间同步( t i m es y n c h r o n o u s ) 认证技术、基于事件同步( e v e n ts y n c h r o n o u s ) 认证 技术和基于挑战应答方式的非同步( c h a l l e n g e r e s p o n s ea s y n c h r o n o u s ) 认证技 术。 本文结合静态口令和动态口令的优点，使用h a s h 函数将用户口令和一个不 确定因子( 随机数) 相结合，从而实现用户与服务器间的身份认证和密钥协商的 同时，有效地防止网络上被动窃听者的攻击，而且不确定因子( 随机数) 的变化， 使得包含用户口令的h a s h 值不可重用，网络上的窃听者得到包含用户口令的 h a s h 值或认证信息也无法再次用于验证，从而有效地防止重放攻击。 6 跨域基于口令认证密钥交换协议的研究与改进 2 2 2d i f f i e - h e l l m a n 方法 在公钥密码学里，d i f f i e - h e l l m a n 方法是最经典的两方密钥交换方案，得到 了充分的研究和应用，但是越来越多的应用环境需要协议能为更多的用户分配密 钥，以确保通信的保密性和完整性。因此产生了跨域基于口令密钥交换协议，其 目的是以安全、高效的方式为不同域中的用户协商和共享会话密钥。跨域密钥交 换在密码学领域内引起了广泛的关注，一批学者提出了各种各样的方案，这些方 案一般都是基于口令和d i f f i e - h e l l m a n 方法进行的。 1 9 7 6 年，d i f f i e 和h e l l m a n 发表论文n 引，开创了公钥密码体制，对密码学 的研究影响极其深远。公钥密码体制是指在密码系统中存在两个非对称的密钥： 加密密钥( 公钥) 和解密密钥( 私钥) 。 该方法的目的是在公开的网络中为两个用户安全分发共享密钥。其安全性是 建立在计算离散对数问题是困难的这一基础之上。简单而言，离散对数问题可以 定义如下，首先定义素数p 的本原根口，口的幂可以产生1 到p 一1 之间所有的 整数，即：a ( m o d ) p ，口2 ( m o d ) p ，a p 一1 ( m o d ) p 各不相同，它是整数1 到p 一1 的某个排列。对于任意整数b 和素数p 的本 原根a ，可以找到惟一的指数使得b = 口( m o d ) p ( 0 f p 一1 ) ，指数f 称为b 的 以口为底的模p 离散对数，记为d l o g a ，p ( b ) 。对于大整数a 、b ，目前还没有高效的 算法求解其离散对数，因此认为是一个计算难题。 d i f f i e - - h e l l m a n 算法的执行过程如下： 假设两个用户a l i c e 与b o b 要进行密钥共享，先选择一个大素数a ( 比特长 度大于1 2 8 ) ，和q 的本原根口( 口卢) ，作为全局公开量。 a l i c e 随机选择一个秘密x q ) ，计算y a = 萨m o dq ；b o b 也是完成同样 的事情： 独立选择一个随机整数y ( y q ) ) ，并计算y b = a ym o dq 。然后a l i c e 与b o b 交换y a 和y b ，并分别计算k = y b z m o dq ，k = y a y m o dq 由于： k = y b z m o dq = ( a y m o dq ) x r o o dq = a t x y m o dq = z m o dq ) y m o dq 华南师范大学硕上学位论文 = y a y r o o dq 所以a l i c e 与b o b 共享了密钥k d i f f i e h e l l m a n 密钥交换的安全性建立在下述事实之上：d i f f i e - - h e l l m a n 体制的安全性是基于有限域的乘法群中离散对数求解困难性：因为第三者从信道 上窃获y a ，y b ，g 后，求解不出a 和b 值，因而不知道k 。目前对离散对数的攻 击方法主要有s h a n k 的b a b y - - s t e pg i a n t 算法、p o l l a r d 方法、i n d e xc a l c u l a s 算 法以及p o h i g - - h e l l m a n 算法，其中前三种攻击方法都属于穷尽攻击：当使用尽 量大的模p 时，可有效抵御这些攻击。第四类攻击算法采用分而治之的方法，其 有效性依赖于p l 的小素因子，故只要我们选取形如p = 2q + l ( q 为素数) 的 安全素数，即可抵抗p o h i n g - - h e l l m a n 攻击。 针对d i f f i e - h e l l m a n 协议的中间人攻击 假定d a r t h 是攻击者，他能完全控制a l i c e 与b o b 之间的通信信道。 1 ) 为了进行攻击，d a r t h 预先生成两个随机秘密m 和n ，然后计算相应的y c 和 场 2 ) a l i c e 将y a 传递给b o b 。 3 ) d a r t h 截获y a ，将y c 传给b o b 。同时计算k 2 = v a n m o dq 。 4 ) b o b 收到y c ，计算k 1 = y c y m o dq 。 5 ) b o b 将y b 传给a l i c e 。 6 ) d a r t h 截获y b ，将y d 传给a l i c e 。同时计算k 1 = y b m m o dq 。 7 ) a l i c e 收到y d ，计算k 2 = y d x m o dq 。 至此a l i c e 以为自己与b o b 已经共享了密钥k = o t x n r o o dq ，b o b 以为自己 与a l i c e 已经共享了密钥k = 扩m o dq ，但实际上a l i c e 与d a r t h 之间共享了 k 2 ，b o b 与d a r t h 之间共享t k l 。接下来a l i c e 与b o b 之间的通信可能通过以 下方式泄密： 1 ) a l i c e 发了一份加了密的消息c = e ( k 2 ，m ) ； 2 ) d a r t h 截获了该秘密消息，解密，恢复出m ； 3 ) d a r t h 将e ( k 1 ，m ) 或e ( k l ，m ) 发送给b o b ，其中m 是任意的消息。 第( 2 ) 展示了d a r t h 只是简单地窃听通信，而不是改变它。第( 3 ) 展示 a l i c e 发送给b o b 的消息。 计算d i f f i e - h e l l m a n 假设( c d h 假设) ： 8 跨域基于口令认证密钥交换协议的研究与改进 假设g = 是一个素阶循环群，q 是g 的阶，g 是g 的生成元。c d h 假设 认为：给定g x ，9 y ( x ，y 从 0 ，q - 1 中随机选取) 难以计算出g 巧。记概率图灵机 是一个以多项式t 为运行时间的c d h 问题求解器，它能以不小于的优势 a d v e d ( ) 求解c d h 问题。定义解决c d h 问题的优势为： a d v 5 d ( t ) = m a ) d 酗d 1 7 铲 ( ) ) 普遍认为对所有的多项式t ，a d h ( t ) 是可忽略的。 2 2 3可证明安全 由于安全协议的设计还没有一套成熟的理论，所以设计出的协议往往容易出 错，达不到预期的设计要求。这就有必要对安全协议进行安全性分析，来判断它 是否符合设计的要求，能否达到预定的目标。如何设计和组织密码协议中的消息， 以保证密码协议本身的安全，及对密码协议的安全性进行分析，一直是人们研究 的热点。早期的密码协议安全性分析所采用的是非形式化方法，它是根据已知的 各种攻击方法对协议进行攻击，以攻击是否有效来检验密码协议是否安全。而实 际上存在着许多未知的攻击方法，所以非形式化方法只能分析协议中是否存在已 知的缺陷，而不能全面客观地分析密码协议。由于密码协议本身具有的特性使其 适合用形式化方法进行分析，因此使用形式化方法对协议进行分析便应运而生。 目前密码学领域中也比较认可的形式化的设计和分析方法，这一子领域称为可证 明安全，已成为主流的设计方式。 可证明安全的方法的研究思路为：定义协议的安全模型，规范协议参与者的 行为，形式化定义攻击者的能力，进行安全定义，协议安全条件定义，即满足哪 些条件时协议才能被称为是安全的；然后给出一个满足相关安全需求的协议，并 对协议的安全条件进行证明，证明的核心是归约，把攻击者攻破协议的安全性归 约到解决某些计算难题上，因此称被攻击的协议是可证明安全的。 2 0 0 0 年，b e l l a r e ，p o i n t c h e v a l 和r o g a w a y 提出基于口令的认证密钥交换 模型( b p r 模型) n 削，在该模型中，攻击者可以查看协议的传输副本，同时通过 定义一系列的查询以定义攻击者的能力，认为如果攻击者无法得到关于会话密钥 的任何信息，则协议是安全的。b p r 模型对认证密钥交换协议的分析影响深远， 大量的协议分析工作都沿用了b p r 模型。本文继续沿用b p r 模型，定义协议模型 和安全性。在b p r 模型下，可定义一系列概率不可区分的游戏，把攻击者攻破协 9 华南师范大学硕士学位论文 议的安全性归约到解决某些计算难题上，因此攻击者在游戏中获得的优势是可以 忽略的，从而证明被攻击的协议是可证明安全的。本文就是通过改进b p r 模型， 采用可证明安全的方法对协议进行设计和安全性分析。 2 2 4 标准模型、随机预言机模型及理想密码原语模型概述 密码学机制通常基于复杂度假设，这些假设陈述了一些难题，例如不能在多 项式时间内完成的因式分解问题。安全协议往往需要借助h a s h 函数和加解密函 数确保其安全性。在安全性证明时，通常认为它们是从某个函数空间q 中随机选 取的一个函数h 。对于随机选取的函数h ，在不同的计算模型下有不同的内涵。 下文介绍了可证明安全中的三种计算模型： 标准模型( s t a n d a r dm o d e l ) ：仅使用复杂度假设证明安全的机制称为在标 准模型下是安全的。该模型将密码学哈希函数替换为一个真正的随机函数。在该 模型下，所有的h 都被一个常函数所替代。对任意的查询m ，常函数都是返回 一个空串。所以在标准模型下，所有的h 都被忽略。 随机预言机模型( r a n d o mo r a c l em o d e l ) ：标准模型下的安全证明是非常 困难的，因此在很多证明中，密码学原语被替换为理想函数，最常用的技术是随 机预言机模型。随机预言机用于密码学证明中，当没有可实现的函数能够提供证 明中需要的数学性质时，一般会使用随机预言机。与标准模型相对，使用这种方 法证明安全的系统被成为在随机预言机模型下安全。在该模型下，除了对一些特 定的查询总是进行相同的响应外，随机预言机对每一个查询都从输出域中输出一 个( 真正) 随机的响应，随机预言机是一个将每一个可能的查询映射到他输出域 上的随机响应的函数。具体如下： 假设c 是一个字符串集合。在该模型下，h 是从函数簇：( o ，1 ) 一c 中随机 选取的一个函数。这将协议中的h a s h 函数看成是一个公共的随机函数，可利用 以下方法模拟随机预言：维护一张表写，( m ，c ) 是其表项( m 表示某个询问，即预 言的输入；c 为返回值) 如果某个询问或语言的输入m 在随机语言机中存在对应的表项，那么返回 该表项对应的输出c ，如果不存在，则从输出域中输出一个随机的响应c ，并将 ( m ，c ) 添加和保存到表中。 理想密码原语模型( i d e a lc i p h e rm o d e l ) ：假设字符串集合m 和c ，且 1 0 跨域基于口令认证密钥交换协议的研究与改进 m i = fci 。艮：m c 是一个一一映射；d k ( c ) 返回一个值m 使得风( m ) = c 。在 该模型下，h ( e n c r y p t , k ，m ) = 风( m ) ，h ( d e c r y p t , k ，c ) = 氏( c ) 。换而言之，在 理想密码原语模型下，加密函数被理想化为一个一一映射。 2 3c 2 c - p a k e 协议的2 个安全模型简介 在给出跨域c 2 c p a k e 协议之前，首先简要介绍一下单服务器c 2 c p a k e 协议的安全模型和第一个跨域c 2 c _ p u 江协议的安全模型。 单服务器c 2 c - p a k e 协议的安全模型 采用可证明安全理论设计和分析协议是安全协议领域近年来的一个研究热 点，随着协议研究者们愈加认识到基于口令的三方认证密钥交换协议的重要性， 研究可证明安全的c 2 c p a k e 协议也得到了广泛的重视。仅在协议的最后阶段 实现通信方之间的相互认证不能有效的阻止对三方p a k e 协议的不可检测在线 字典攻击，因为在三方的情况下存在内部攻击者，他们可以以合法的身份参与协 议的运行，也可以通过猜测其他用户的口令进而扮演其他用户参与协议。完成与 可信服务器的协议运行后，内部攻击者将以合法身份参与协议运行得到的会话密 钥与扮演其他用户所获得的会话密钥进行比较，进而判断所猜测的口令是否正 确。因此，如果仅是通信双方之间可以实现认证彼此的身份，内部攻击者仍旧能 够通过与可信服务器保持在线交互而猜测出正确的口令，服务器却检测不到这类 攻击。为了解决这一问题，引入了一个新的概念认证安全。 跨域c 2 c - p a k e 协议的安