（计算机软件与理论专业论文）基于身份的会议密钥建立协议的研究.pdf

摘要 摘要 随着网络技术的迅速发展，基于群组通信的新型应用不断涌现。在群组通 信中，为了使合法用户能够高效便利地得到授权的服务和信息，而使未授权用 户无法通过窃听截取等手段得到任何服务和信息，一般用会议密钥对通信数据 进行加密。会议密钥的建立是人们在非安全信道上进行安全群组通信的关键。 随着基于群组通信的新型服务的不断增加，会议密钥建立协议的研究不仅在密 码学和信息安全中具有重要的理论意义，在通信网络和各种新兴电子业务中更 具有不可低估的使用价值。 基于会议密钥的建立在群组通信中的重要地位，本文对现有会议密钥建立 协议进行了研究和分析，并提出了两种改进的会议密钥建立协议。本文的主要 工作和创新如下： 首先，基予椭圆曲线上的双线性配对，提出了一种会议密钥分配中心前向 安全的匿名会议密钥分配协议，并分析了该协议的正确性、安全性和执行效率。 分析结果表明，在g a pd i f f i e - h e l l m a n 假设下，该协议可以保证会议参与者的匿 名性与会议密钥分配中心的前向安全性，并可有效地抵抗被动攻击、仿冒攻击 和共谋攻击。 其次，基于椭圆曲线上的双线性配对，利用c h a 和c h c o n 提出的基于身份 的数字签名方案，提出了一种改进的容错会议密钥协商协议，并分析了该协议 的正确性、安全性和执行效率。分析结果表明，在g a pd i f f i e - h e l l m a n 假设下， 任何窃听者均无法得到有关会议密钥的任何信息，且无论存在多少恶意参与者， 诚实参与者都能够协商出共同的会议密钥。与现有协议相比，该协议具有更快 的计算速度。 关键词会议密钥；基于身份：匿名通信 a b s t r a c t w i t ht h er a p i dd e v e l o p m e n to fn e t w o r kt e c h n o l o g y , a v a r i e t yo fn e w a p p l i c a t i o n sb a s e do ng r o u pc o m m u n i c a t i o nc o m ef o r t hc o n s t a n t l y w h e nag r o u po f p e o p l ew a n tt oc o m m u n i c a t es e c u r e l yo v o ra no p o nn e t w o r k , t h e yn e e dac o m l l l o n c o n f e r e n c ek e yt oe n e r y p tt h e i rc o m m u n i c a t i o ni n f o r m a t i o n , i no r d e rt op r e v e n t u n a u t h o r i z e dr i s e r sf r o mg e t t i n ga n yu s e f u li n f o r m a t i o na b o u ta u t h o r i z e ds e r v i c e s n 硷e s t a b l i s h m e n to fc o n f e r e n c ek e yi st h ek e yf o rs p a ：u r ec o m m u n i c a t i o no v e ra l l i n b p 圮u r ec h a n n e l w i t l lt h e d e v e l o p m e n to fn e wa p p l i c a t i o n s b a s e do n g r o u p c o m m u n i c a t i o n , r e s e a r c ho nc o n f e r e n c ek e yp l a y sa ni m p o r t a n tr o l en o to n l yi n t h e o r yo fc r y p t o g r a p h ya n di n f o r m a t i o ns e c u r i t y , b u t a l s oi n p r o m o t i n g t h e d e v e l o p m e n to f c o m m u n i c a t i o nn e t w o r ka n dn e w - e l e c t r o n i ca p p l i c a t i o n s t h i sp a p e rs t u d i e dt h ee x i s t i n gp r o t o c o l so fc o n f f t a n c ek e ye s t a b l i s h m e n t a n d p r o p o s e dt w oi m p r o v e dc o n f e r e n c ek e ye s t a b l i s h m e n tp r o t o c o l s 1 1 l em a i nw o r ka n d i n n o v a t i o no f t h i sp a p e ri n c l u d e ： a t 丘r s lt h i sp a p e rp r o p o s e dan e wa n o n y m o u sc o n f ( ，r a n c ek e yd i s t r i b u t i o n p r o t o c o lw i t ht h ef o r w a r ds e c r e c yo fc o n f e r e n c ek e yd i s t r i b u t i o nc e n t e r u n d e rt h e g a pd i f f i e h e l h n a na s s u m p t i o n , t h ei d e n t i t i e so fc o n f e r e n c ep a r t i c i p a n t s a r c a n o n y m o u st oe a c ho t h e r , a n de v e na n o n y m o u st ou n a r e n d e do n e s f u r t h e r m o r e ，t h e p r o p o s e dp r o t o c o li s8 p 地u r ea g a i n s ti m p e r s o n a t i o na n dc o n s p i r a c ya t t a c k s s e c o n d l y , t h i sp a p e rp r e s e n t e dan e wf a u l t - t o l e r a n tc o n f e r e n c ek e ya g r e e m e n t p r o t o c o lb a s e do nt h ei d e n t i t y - b a s e ds i g n a t u r es c h e m eg i v e nb yc h aa n dc h e o n u n d e rt h eg a pd i f f i e - h e l l m u na s s u m p t i o n , h o n e s tp a r t i c i p a n t sc a na g r e eo na c o m m o nc o n f e r e n c ek e yn om a t t e rh o wm a n yp a r t i c i p a n t sa r em a l i c i o u s ，a n dp a s s i v e a d v e r s a r i e sg e tn oi n f o r m a t i o na b o u tt h ec o n f e r e n c ek e ye s t a b l i s h e db yh o n e s c p a r t i c i p a n t s f u r t h e r m o r e ，t h ep r o t o c o li s e f f i c i e n tc o m p a r e dw i t ht h ee x i s t i n g f a u l t - t o l e r a n tc o n f e r e n c ek e ya g r e e m e n tp r o t o c 0 1 k e y w o r d sc o n f e r e n c ek e y ；i d e n t i t y - b a s e d ；g r o u pc o m m u n i c a t i o n m 独创性声明 本人声明所呈交的论文是我个人在导师指导下进行的研究工作及取得的研 究成果。尽我所知，除了文中特别加以标注和致谢的地方外，论文中不包含其他 人已经发表或撰写过的研究成果，也不包含为获得北京工业大学或其它教育机构 的学位或证书而使用过的材料。与我一同工作的同志对本研究所做的任何贡献均 已在论文中作了明确的说明并表示了谢意。 签名：互亚葡 日期：婴】：2 关于论文使用授权的说明 本人完全了解北京工业大学有关保留、使用学位论文的规定，即：学校有权 保留送交论文的复印件，允许论文被查阅和借阅；学校可以公布论文的全部或部 分内容，可以采用影印、缩印或其他复制手段保存论文。 ( 保密的论文在解密后应遵守此规定) 签名： 王亚而 导师签名： 第1 章绪论 1 1 研究背景与研究意义 第1 章绪论 随着网络技术的迅速发展，远程会议、协同工作等基于群组通信的新型服 务不断涌现，而网络系统的开放性及现有网络协议和软件系统固有的安全缺陷 又使任何一种网络系统都不可避免地存在着一定的安全隐患和风险，使人们在 享受群组通信服务带来的便利和效益的同时，也面临着网络安全方面的巨大挑 战。 在群组通信中，为了使合法用户能够高效便利地得到授权的服务和信息， 而使未授权用户无法通过窃听截取等手段来得到任何服务和信息，一般用对称 密钥对通信数据进行加密，这就要求两个或多个用户在通信前共享一个对称密 钥，该密钥也称为会议密钥【l 】。 1 8 8 3 年k e r c k h o f f s 在文献【2 】中提出了著名的k e r c k h o f f s 原则：密码系统中 的算法即使为密码分析者所知，也对推导出明文或密钥没有帮助，也就是说， 密码系统的安全性并不依赖于加密机制或算法的保密，而是依赖于密钥，密钥 安全是密码系统的关键。对于一个群组通信系统而言，其所应用的密码体制可 以公开，然后一旦会议密钥丢失或出错，不但合法用户不能提取信息，而且可 能使非法用户窃取信息。因此产生会议密钥算法的强度、会议密钥的长度以及 会议密钥的保密和安全管理在安全群组通信中是极为重要的。群组通信的安全 依赖于会议密钥建立以及其他密钥管理手段。基于会议密钥在安全群组通信中 的重要地位，本文将针对会议密钥建立协议进行研究。 在群组通信中应用会议密钥来保证群组通信的安全性源于以下几个方面的 考虑： ( 1 ) 从密钥类型角度而言，会议密钥是一个对称密钥。在实际应用中，由于 非对称加密算法比对称加密算法慢，而且相对于对称密钥密码系统而言，非对 称密钥密码系统对选择明文攻击更脆弱，所以人们一般用对称密钥算法来加密 信息，而用非对称密钥算法来加密密钥。作为对称密钥，会议密钥在群组通信 中的使用，有利的提高了群组通信过程中的计算速度和安全性。 ( 2 ) 从所有者角度而言，会议密钥是通讯群体间共享的一个密钥。假设有1 1 个成员参加群组通信，如果通信群体中的每个成员都与其它用户秘密共享一个 对称密钥，则通信群体中的每个成员都必须保存n - 1 个对称密钥。如果群组成 员要加密一个信息，则要用不同的对称密钥加密n - 1 次，并把n - l 份不同的消 息发送给其它成员。作为通讯群体间共享的密钥，会议密钥在群组通信中的使 用，有利的降低了通讯群体的存储复杂性和计算复杂性。 北京工业大学工学硕士学位论文 ( 3 ) 从时效角度而言，会议密钥是一个短期密钥，有利于： a ) 限制可用于密码分析的经同一固定密钥加密的密文量： b ) 限制在密钥损坏时，数据泄漏的时段和数量； c ) 避免在大量频繁通信过程中，长期存储大量不同密钥，而只需在通 信需要时产生相应的会话密钥即可； m 保持每次通信会话和应用的独立性。 会议密钥的建立是人们试图在非安全信道上进行安全群组通信的关键。随 着基于群组通信服务的不断增加，会议密钥建立的研究不仅在密码学和信息安 全中具有重要的理论意义，在通信网络和各种新兴电子业务中更具有不可低估 的使用价值。本课题研究的目的就在于通过对现有会议密钥建立协议的分析， 设计出安全性更高、计算速度更快、存储量和通信量更小且更加实用的会议密 钥建立协议，为安全的群组通信提供更加坚实的安全基础。 1 2 会议密钥建立协议研究现状 会议密钥建立协议是双方会话密钥建立协议的推广形式。自从1 9 8 2 年 i n g e m a r s s o n 等人在文献【3 】中提出第一个会议密钥分配协议以来，人们针对会议 密钥建立协议已经进行了很多深入的研究。 在会议密钥建立协议研究初期，大多数协议都致力于降低计算复杂性、提 高通信效率、增强会议密钥的保密性及对于不同网络连接的信息效率的研究。 目前，随着会议密钥应用领域的扩大，会议密钥建立协议的研究比较关注协议 的容错性、通信群体的动态性和通信群体成员的匿名性等问题。 ( 1 ) 容错性：会议密钥建立协议除了要有效抵抗被动攻击者通过侦听信道对 数据进行分析，以便获得会议密钥的有用信息外，还要有效的防止恶意攻击者 的主动攻击。由于协议的信息通常是假定在开放的网络中进行传输的，所以合 法用户收到的消息可能被延迟或者篡改，而在非认证信道上，敌手还可能进行 仿冒攻击。会议密钥建立协议应使被动攻击者得不到有关诚实参与者间共享的 会议密钥的任何信息，而无论存在多少恶意的参与者，诚实参与者都能够最终 共享一个会议密钥。文献【和5 】是容错的会议密钥分配协议，文献【6 8 】是建立在 认证广播信道下的容错的会议密钥协商协议，文献【9 】是一个应用于一般网络下 容错的会议密钥协商协议。 ( 2 ) 动态性：大多数会议密钥建立协议仅着眼于会议密钥初始建立，而未对 动态群组通信可能出现的诸多问题加以考虑，如：新成员动态加入群组；群组 成员离开通信组；离开成员返回群组通信等。通讯群体的动态性要求会议密钥 建立协议必须保证会话的前向安全和后向安全。保证会话的前向安全是指被当 第1 章绪论 前会话排除的老用户将无法访问本次会话；保证会话的后向安全是指新加入本 次会话的成员无法恢复出系统之前的通信会话。文献【1 0 】提出的会议密钥分配 协议能够适应通信群体动态性的需求。很好的解决了新成员动态加入群组、老 成员离开群组的问题。 ( 3 ) 匿名性：通常群组通信中往往会涉及个人名誉或其他敏感问题，为了使 与会人员能够不受任何压力做出公正的决定，在某些群组通信中要求与会人员 的身份对于其他群组成员保密，这就要求会议密钥建立协议具有匿名性，即在 会议密钥建立过程中，不能将通讯成员的身份暴露给其他人。文献1 1 1 1 3 3 分别 提出了参与成员匿名的会议密钥分配协议，文献 1 4 】是一个参与者匿名的会议 密钥协商协议。 会议密钥建立的基本方法有三种： a 1 利用安全信道实现； 坊利用数学上求逆的困难性，即各种双钥体制所建立的安全信道实现； c ) 利用物理现象实现，如量子密码分配。 由于通信网络的开放性与动态性特点，通信成员大都连接于存在着各种安 全隐患的非安全信道之上，传统使用安全信道传输分发密钥的方式显然无法适 应今天通信规模不断增大、通信对象更替频繁这一新形式的需求。1 9 7 7 年提出 的公钥体制以及相继出现的秘密共享和多方安全计算等概念成为了人们在非安 全信道之上构架虚拟安全信道的重要构件，实现了在通信网络和各种电子应用 中密钥的高效安全分配。本文第三章与第四章提出的协议，就是利用数学上求 逆的困难性，在基于身份的密码体制所建立的安全信道上实现的。 1 3 基于身份的密码体制研究现状 随着电子商务的迅速发展，信息安全已成为焦点问题之一，尤其是网上支 付和网络银行对信息安全的要求显得更为突出。为了能在因特网上开展安全的 电子商务活动，公开密钥基础设施( p i g ，p u b l i ck e yi n f r a s t r u c t u r e ) 逐步在国 内外得到广泛应用。作为一种技术体系，p k i 为网络应用提供可靠的安全保障， 然而p k i 的实现却面临着诸如证书管理、验证、撤消、域间交叉认证等许多复 杂问题。1 9 8 4 年s h a m i r 在文献1 1 5 中提出了“基于身份的公钥密码系统( i d e n t i t y b a s e dc r y p t o s y s t e m ，i b c ) ”的概念。按照这种思想，在一个i b c 中，人们不是 生成一对随机的公钥私钥，而是由用户选择他的公开可知的身份信息( 如e m a i l 地址、电话号码、门牌号码等) 作为公钥，由通信网络上认定的私钥分发中心 p k g ( p r i v a t ek e yg e n e r a t o r ) 按照这些公开可知的身份信息为该用户提供一个 私钥。当一个用户需要与另一个用户通信时，他只需要知道对方的e m a i l 地址、 北京工业大学工学硕士学位论文 电话号码或门牌号码就可以进行加密通信。i b c 的优势是密钥管理简单，但一 个缺陷是p k g 掌握了用户私钥，这是密钥托管的问题，这一缺陷可通过g e n t r y 等人提出的层次化模型得到一定程度的缓解。作为i b c 的一个分支，2 0 0 1 年 d a nb o n c h 和m a t tf r a n k l i n 设计出第一个安全且实用的i b e ( i d e n t i t y - b a s e d e n c r y p t i o n ) 机制【l 州。随后，许多相关的改进、引申的文章纷纷涌现，使基于身 份的加密及其理论基础和实现工具的研究成为了研究热点。 加密、数字签名是提供信息安全基本需求的保障，也是设计实现一种密码 学机制最重要的因素，解决这两方面的问题成为研究新的密码学机制的主要工 作。在加密方面，h o r w i t z 和l y n n 在文献【1 7 】首先提出了基于身份的层次加密 的概念，随后大量的基于身份的加密方案被提出，如 1 8 2 0 】。在数字签名方面， c h a 和c h c o n 在文献 2 1 】，p a t e r s o n 在文献 2 2 】和h e s s 在文献 2 3 】几乎同时相继 独立地提出了基于身份的签名方案。随后，基于身份的盲签名方案【卅、基于身 份的环签名方案【2 5 1 、基于身份的代理签名方案【2 6 1 、基于身份的代理盲签名方案 叨、基于身份的不可否认签名【2 8 1 、基于身份的群签名方案2 卅等基于身份的数字 签名方案也分别被提出。 从实现角度而言，目前的i b e 机制大多数是在椭圆曲线及r s a 这两个主流 的公钥系统上实现的。一种是基于椭圆曲线上的特殊代数结构，利用群之间双 线性映射性质的方案，其安全性基于g a pd i f f i e - h e l l m a n 假设，本文所提出的方 案就是基于这种假设；另一种是基于r s a ，利用密钥分拆性质的i d e n t i t y b a s e d m e d i m e dr s a ，其基于和r s a 相同的安全性假设。 1 4 研究内容 本文的研究内容主要有： ( 1 ) 分析了国内外会议密钥建立协议的研究现状，了解了基于身份的密码体 制的研究现状； ( 2 ) 对当前匿名会议密钥分配协议进行了深入研究，提出了一种会议密钥分 配中心前向安全的匿名会议密钥分配协议，并分析了该协议的正确性、安全性 和执行效率，并给出了该协议的原型设计； ( 3 ) 对当前容错的会议密钥协商协议进行了深入研究，提出了一种基于身份 的会议密钥协商协议，并分析了该协议的正确性、安全性和执行效率，并给出 了该协议的原型设计。 第1 章绪论 1 5 论文组织结构 本文的组织结构如下： 第一章绪论：介绍了本文的研究背景、研究意义、会议密钥建立协议的发 展现状、基于身份的密码体制的发展现状，及本文所做的主要工作； 第二章相关概念与基础理论：介绍了会议密钥建立协议构建中所涉及的相 关概念与基础理论，主要包括：双线性配对的性质、g d h 假设、会议密钥建立 协议的分类与建立动机、数字签名和哈希函数等； 第三章基于身份的匿名会议密钥分配协议：首先对匿名通信技术与匿名会 议密钥分配协议的研究现状进行了概要介绍，然后提出了一种会议密钥分配中 心前向安全的匿名会议密钥分配协议，并对其从设计思想、具体协议描述、安 全性分析、性能分析和协议原型设计等方面进行了详细阐述： 第四章基于身份的会议密钥协商协议：首先对容错的会议密钥协商协议的 研究现状进行了概要介绍，然后提出了一种基于身份的会议密钥协商协议，并 对其从设计思想、具体协议描述、安全性分析、性能分析和协议原型设计等方 面进行了详细阐述； 最后，对本文的研究内容进行了总结，并对进一步的研究进行了讨论。 第2 章相关概念与基础理论 第2 章相关概念与基础理论 本章将对下文基于身份的会议密钥建立协议中所涉及的相关概念与基础理 论进行介绍。首先，将介绍双线性配对的性质和g a pd i f f i e h e l l m a n 假设，它们 是利用双线性配对构建基于身份的密码体制的基础，然后将详细介绍会议密钥 建立协议的定义、分类及会议密钥协议构建中所涉及的安全特性，最后将对下 文协议中所涉及的数字签名及哈希函数进行概要介绍。 2 1 双线性配对 2 1 1 双线性配对的性质 设g l 为循环加法群，g 2 为循环乘法群，g 1 和g 2 的阶为大素数g 。双线性配 对是指具有下面性质的映射5 ：g i g l g 2 ： ( 1 ) 双线性：对任意的p ，q ，r g 1 ，有 毒( p + 量i 尺) = 每( p ，r ) 毒( q ，r ) ( 2 - 1 ) ( p ，q + r ) = a ( p ，q ) ( 尸，r ) ( 2 - 2 ) ，这两式蕴涵( 卯，6 p ) = a ( p ，尸严= a ( p ，a b p ) = k ( a b p ，p ) ，其中口，6 z ：； ( 2 ) 非退化性：存在p ，q g 1 ，使得( p ，q ) 1 ； ( 3 ) 可计算性：对所有p ，q g t ，存在计算a 妒，q ) 的有效算法。 目前，人们利用双线性配对构造了很多基于身份的密码协议，而能够用在 加密系统上的双线性映射只找到w e i l 配对和t a r e 配对。文献【3 0 q l 】中提出的 计算方法大大提高了计算t a m 配对的速度。k e r i n s 3 2 等人和g - r a b h e r 3 3 等人 提出了利用硬件实现t a t e 配对的方法。在 3 4 - - 3 6 等文献中也都有提到实现w d l 配对和t a m 配对的方法。本文所提出的会议密钥建立协议在原型设计时，都是 利用梅努斯大学密码程序包中的t a m 配对类来实现的，该程序包的详情请参阅 本文的2 4 节。 2 1 2 g d h 假设 公钥密码系统的安全性总是基于一个困难的数学问题，利用双线性配对实 现的基于身份的密码体制基于g d h ( g a pd i f f i e - h e l l m a n ) 假设。下面介绍一些 双线性配对领域范围内的数学问题。 ( 1 ) 计算d i f f i e h e l l m a n 问题( c d h p ) ：给定( 只矿卯) ，其中岛6 乏， 输出a b p 。 ( 2 ) 判定d h 问题( d d h p ) ：给定( p ，a p ，b p ，印) ，其中a , b ，c z ，若 c = a b ( m o d q ) ，输出是，否则输出否。 ( 3 ) g d h 群：一个素数阶群g l 是g d h 群，当存在一个有效的多项式时间 算法在g l 上解决d d h p ，同时不存在多项式时间算法以不可忽略的成功概率解 决c d h p 。 ( 4 ) g a pd i f f i e h e l l m a n 假设：如果d d h p 能够在多项式时间内得到解决， 但不存在多项式时间算法以不可忽略的成功概率解决c d h p 。 ( 5 ) 计算双线性d h 问题( c b d i i p ) ：设g l 为循环加法群，g 2 为循环乘法 群，g l 和g 2 的阶为大素数q ，：g i g i 寸g 2 为一个双线性映射，p 为g l 的生 成元，则( g ， ) 上的c b d h p 是：对于任意a , b , c e z ；，由( p a p b a c p ) 计算 a ( 只p ) 咖。 ( 6 ) 判定双线性d h 问题( d b d h p ) ：设g l 为循环加法群，g 2 为循环乘法 群，g i 和g 2 的阶为大素数q ，5 ：g i g l 专g 2 为一个双线性映射，p 为g 的生 成元，则( 瓯瓯a ) 上的d b d h p 是：对于任意口，6 j c z ；，由( p 口p 6 p ，印) 和向g 2 ， 判断 ( p ，p 广是否成立。 2 1 3 利用双线性配对实现的基于身份的认证系统 在下文构建的协议中，参与者的私钥都是基于身份的认证系统中的p k g ( p r i v a t ek e y g e n e r a t o r ) 来获得的，下面对文献 1 6 1 b o n e h - f r a n k l i n 基于身份 的加密系统进行简单介绍。 b o n e h - f r a n l d i n 基于身份的加密系统是利用w e l l 配对实现的，其主要包括： 系统参数生成、私钥生成、加密和解密三个步骤。 ( 1 ) 系统参数生成：设g i 为循环加法群，g 2 为循环乘法群，g i 和g 2 的阶为 大素数g ，设双线性映射：g l g l g 2 ，哈希函数日4 0 ，l 寸研， 吼：g 2 一 o ，1 “。p k g 任意选取j 艺作为p k g 的私有密钥，并计算p 脚= s p ， p k g 的公共参数为 g l ，g 2 ，a ，p ，凰) ( 2 ) 私钥生成：用户将身份d o ，1 发送给p k g ，则该用户的私钥 芦d = s o , o = s l - i ( 1 0 ) ，公钥q b = 日( z d ) ，p k g 通过安全通道将传送给用户。 ( 3 ) 加密和解密：假设b 要将消息脚 o ，1 “传送给a ，则b 首先选取，2 ：， 并计算铴= o ( q ，d ，) ，u = 胪和y = 所o ( 殇) ，以c = v ) 为消g m 的 签名，则a 利用私钥以。进行解密：y o 马0 ( d 名，u ) ) 。 2 2 会议密钥建立协议 2 2 1 定义与分类 所谓协议就是两个或两个以上的参与者为完成某项特定的任务而采取的一 系列步骤。安全协议与许多通信协议的显著区别在于它使用了密码技术。在协 议中采用密码技术，是防止或检测非法用户对网络进行窃听和欺骗攻击的关键 技术措施。所谓协议是安全的，意味着非法用户不可能从协议中获得比协议自 身所体现出的更多、更有用的信息。因此，一个好的协议应该具有以下特点： ( 1 ) 协议涉及的每一方必须事先知道此协议以及要执行的所有步骤； ( 2 ) 协议涉及的每一方必须同意遵守协议； ( 3 ) 协议必须是非模糊的，对协议的每一步都必须确切定义，力求做到避 免产生误解； ( 4 ) 协议必须是完整的，对每一种可能发生的情况都要作出反应； ( 5 ) 每一步操作要么由一方或多方进行运算，要么是在各方之间进行消息 传递，二者必居其一。 会议密钥建立协议，作为安全协议中的一种，在设计时也要遵循上述规则。 北京工业大学工学硕士学位论文 一般来说，会议密钥建立协议大致可分为两类：一种称为会议密钥分配协 议，即由可信赖中心选择一个会议密钥，然后分发给通信群体中的各个成员， 如 3 7 3 9 ：另一种称为会议密钥协商协议，即密钥的建立是由通信群体中的各 个成员共同协商完成的，如【7 9 】。人们针对会议密钥分配协议的研究较早，会 议密钥分配协议又可分为用交互方式分发会议密钥的协议和使用单向方式实现 会议密钥分发协议两类，交互式协议要求与会者必须同时在场，因而这在实际 使用中是不方便的，单向方式是基于用户身份的会议密钥分发协议。 会议密钥分配协议与会议密钥协商协议相比，前者的优点是算法设计简单， 信息交互量少，但由于会议密钥是由可信赖中心选择的，所以可信赖中心是整 个密钥系统中的单一失效点，容易受到攻击者的集中攻击。而由于后者的会议 密钥是由通信群体中的各个成员共同协商完成的，所以避免了前者单一失效点 的问题，但也正是由于需要各个成员共同参与，所以后者算法设计复杂，信息 交互量大。另外，由于后者的会议密钥只被通信群体中的各个成员所知道，而 前者的会议密钥是由可信赖中心选择的，相对而言，后者具有更高的安全性和 可靠性。 本文的第三章是一种单向方式的会议密钥分配协议，参与者的会议密钥是 由会议主席负责分发的。第四章是一种会议密钥协商协议，各参与者的子密钥 信息是通过会议桥进行汇总和分发的。第三章协议中涉及到的会议主席和第四 章协议中涉及到的会议桥的不同在于：在第三章的会议密钥分配协议中，会议 密钥是由会议主席选定的，会议主席知道参与者间兴享的会议密钥的具体内容， 其是一个可信赖的第三方；而在第四章的会议密钥协商协议中，会议桥并不知 道会议密钥的具体内容，是一个半可信赖的第三方，其只是负责将每个参与者 的子密钥信息汇总起来，然后再分发给各个参与者。 2 2 2 建立动机 会议密钥建立协议最终将使通信各方拥有共享的秘密，这一秘密通常被称 为会议密钥。会话密钥实际上是一个短期密钥，其应用时效并不长。( 如应 用于单次的电信连接或会话中) 。对于短期密钥的应用源于以下几种考虑： ( 1 ) 限制可用于密码分析的经同一固定密钥加密的密文量； ( 2 ) 限制暴露，即限制在密钥损坏时，数据泄露的时段和数量； ( 3 ) 避免在大规模频繁通信过程中，长期存储大量不同密钥，而只需在通信 需要时产生相应的会话密钥即可； ( 4 ) 保持每次通信会话和应用的独立性； ( 5 ) 避免在回话过程中对状态信息的维护。 第2 章相关概念与基础理论 2 2 3 安全威胁 在分析协议的安全时，常用的方法是对协议施加各种可能的攻击来测试其 安全度。密码攻击的目标通常有三种： ( 1 ) 攻击协议中采用的密码算法： ( 2 ) 攻击算法和协议中采用的密码技术； ( 3 ) 攻击协议本身。 本文所建立的协议只考虑对协议自身的攻击，而假设协议中所采用的密码 算法和密码技术均是安全的。 密钥建立协议中的通信实体通常被统一称为参与者。相对于合法用户而言， 假定存在未授权的其他用户，这些未授权用户通常根据不同的具体情形有着不 同的称谓，如：敌手( a d v e r s a r y ，i n t r u d e r ，o p p o n e n t ，e n e m y ) ，攻击者( a t t a c k e r ) ， 窃听者( e a v e s d r o p p e r ) ，仿冒者( i m p e r s o n a t o r ) 。对协议的攻击可分为被动攻击和 主动攻击： ( 1 ) 被动攻击：是指协议外部的实体对协议执行的部分或整体过程实施窃 听。攻击者对协议的窃听并不影响协议的执行，它所能做的是对协议的消息尽 可能地观察，并试图从中获得协议中涉及到各方都要某些消息。他们收集协议 各方之间传递的消息，并对其进行密码分析。 ( 2 ) 主动攻击：是攻击者试图改变协议中的某些消息已达到获取信息、破 坏系统和获得对资源的非授权的访问。他们可能在协议中引入新的消息、删除 消息、更换消息、重发旧消息、干扰信道和修改计算机中存储的信息。 协议信息通常假定通过开放网络进行传输。在开放式网络中，敌手能够完 全控制传输于其中的数据，具有记录、替换、删除、重放消息的能力。合法用 户所收到的信息可能被敌手延迟或被敌手篡改。敌手也有可能雇佣未受怀疑的 已授权用户初始化新协议操作。会议密钥建立协议中敌手可能进行各种尝试： ( 1 ) 利用搭线窃听获得的信息推演会议密钥； ( 2 ) 暗中参与其他用户发起的协议，对协议施加自己的影响，如：替换消息 以使得自己能够推演出会议密钥； ( 3 ) 发起一个或多个协议操作，然后结合来自各方的消息以试图假扮成为通 信的某一方或进行上面的攻击； ( 4 ) 自身无法推演出会议密钥，而欺骗一个合法通信者，使合法者相信敌手 与之共享一个密钥。易受此种攻击的协议是非弹性的。 北京工业大学工学硕士学位论文 2 3 密码学构件 2 3 1 数字签名 数字签名是现实生活中对文件的手写签名的一种电子模拟。一个签名算法 通常应满足以下三个条件： ( 1 ) 签名者事后不能否认自己的签名； ( 2 ) 任何其他人都不能伪造签名，接收者能验证签名； ( 3 ) 当签名者与接收者对签名的真伪发生争执时，仲裁方能解决双方之间 的争执。 数字签名方案普遍都是基于某个公钥密码体制的，签名者用自己的私钥对 消息进行签名，验证人用相应的公钥对签名进行验证。从表面上看，数字签名 与公钥加密是用密钥的顺序不同。实际上，数字签名与公钥加密一样也是单向 门限函数确保其安全性。本质上，大数分解困难问题和离散对数困难问题等各 种计算困难问题的存在是安全的数字签名方案存在的根本。 数字签名方案通常包括三个主要过程：系统的初始化过程、签名产生过程 和签名验证过程。系统的初始化过程产生数字签名方案用到的一切参数；签名 产生过程中，用户利用给定的算法对消息产生签名；签名验证过程中，验证者 利用公开的验证方法对给定消息的签名进行验证，得出签名是否有效的结论。 数字签名的形式化定义是数字签名的一种抽象和概括。数字签名的形式化定义 如下： ( 1 ) 系统的初始化过程：产生签名方案的基本参数( m ，s ，k ，s i g ，v e r ) ，其 中，m 是消息集合，s 是签名集合，k 是密钥( 公钥和私钥) 集合，s 1 g 签名 算法集合，v e r 签名验证算法集合。 ( 2 ) 签名产生过程：对于密钥集合足，相应的签名算法为s i g ke s i g ， s ：m s ，对任意的消息研m ，有j = s 瓴( m ) ，那么j s 为消息m 的签 名，将( m ，s 1 传送到签名验证者。 ( 3 ) 签名验证过程：对于密钥集合k ，有签名验证算法： w ：m s _ t r u e ，f a l s e ( 2 - 3 ) ( x ，j ，) = l 触t r u e , ，y j ，= s 。i g r ( ( x x ) ) ( 2 - 4 ) 第2 章相关概念与基础理论 签名验证者收到( 坍，j ) 后，计算v e r x ( x ，力，若v p 乍以力= t r u e ，签名有效； 否则，签名无效。 另外，文献 2 1 o e ，j c c h a 和j h c h e o n 在g d h 群上构造了一种基于身 份的数字签名方案，该方案简单、高效、而且其安全性也得到了证明。本文所 提出的会议密钥协商算法将用它来完成对消息来源的认证，现对该签名方案进 行简要描述。 设g l 为循环加法群，g 2 为循环乘法群，g 1 和g 2 的阶为大素数q 。设是 g ，g 2 专g 2 的一个双线性映射，单向函数马： o ，1 专q ， 马： o ，1 g i 一艺。c h a 和c h e o n 给出的基于身份的数字签名方案为： ( 1 ) 系统初始化：密钥生成中心p k g 任意选取s z 作为p k g 的私有密钥， 并计算= s p ，其中p 为g i 的一个生成元，p k g 公共参数为 g l ，g 2 ，p ，色局，鸩) ； ( 2 ) 私钥生成：设用户的身份为字符串1 1 3 ，则该用户的公钥q 。= q ( 五d ) ， 密钥s 刍= 媚，( z d ) ，p k g 通过安全通道将芦f d 传送给用户； ( 3 ) 签名：设要签名的消息为膨，签名者随机选取，ez ：，计算u - - 喝。， h = 马( m ，v = ( r + h ) s m ，则关于消息肘的签名为( 以功； ( 4 ) 验证：验证者收到，v ) 后，计算h = ( 眠，q = u + h q ，v ，判断 # ( p ，y ) 和a ( 气。，q ) 是否相等，如果相等，则签名正确，否则签名不正确。 2 3 2 哈希函数 哈希函数又称散列函数、杂凑函数，其可以将任意长度的二进制串映射为 固定长度的二进制串。对任意长度的明文，经由哈希函数可产生固定长度的哈 希值。哈希值可以说是对明文的一种“指纹”或“摘要”。 h a s h 函数可用于数字签名、消息的完整性检测、消息的来源认证检测等方 面。为保证消息的完整性，及时发现消息是否被篡改，可以在消息传输之前先 对消息做h a s h 变换，然后对消息进行传输，对于接收到的消息也做h a s h 变换。 将传输前的消息的h a s h 变换值与接收到的消息的h a s h 变换值作比较，如果两 北京工业大学工学硕士学位论文 者相同，则可以认为消息在传输过程中没有被篡改，否则消息一定被非法篡改 了。 h a s h 函数的安全性是指在现有的计算资源下，找到一个碰撞是不可能的， 即哈希函数是单向函数。 一个密码学上安全的h a s h 函数应具有以下性质： ( 1 ) 公开性：h ( ) 的描述是公开的，其处理过程无需保密； ( 2 ) 单向性：给定x ，计算其散列值h ( x ) 是容易的，但是给定散列值h ( x ) ， 找到x 是计算上不可行的； ( 3 ) h ( ) 的输入可以任意长； ( 4 ) h ( ) 的输出长度固定； ( 5 ) 任意的杂凑函数值x ，要找到一个明文m 与之对应，即x = h ( m ) ，在 计算上是不可行的； ( 6 ) 给定一个明文m ，要找到另一个不同的明文n ，与之具有相同的杂凑函 数值h ( m ) = h ( n ) ，在计算上是不可行的： ( 7 ) 找到任意一对不同的明文n l 和n ，具有相同的杂凑函数值h ( m ) = h ( n ) ， 在计算上是不可行的。 哈希函数是实现有效安全可靠的数字签名和认证的重要工具，是安全认证 协议中的重要模块。目前已经设计出大量的h a s h 函数，如r a b i nh a s h 方案， m e r l d eh a s h 方案、n h a s h 算法、m d 4 算法、m d 5 算法、s h a 等。 2 4 梅努斯大学密码程序库 爱尔兰国立梅努斯大学( n u im a y n o o t h ) 计算机科学系的密码学组开发了 一个开放源代码的i b e 程序包，用j a v a 语言实现了基于椭圆曲线的 b o n e h - f r a n l d i n 方案，由于其采用了面向对象的设计方法，较现有的i b e 程序 包有更好的可读性与可复用性，因此下文所涉及的协议都是利用梅努斯大学的 i b e 程序包模拟实现的。该程序包的类层次结构如图2 1 所示。 在图2 - l 中，我们主要需要使用的类有： ( 1 ) i b e p r o v i d e r ：继承j a v a s e c u r i t y p r o v i d e r ，用于配置i b e 程序包的提供者 的名字、版本号、该提供者及其服务的说明： ( 2 ) i b e s y g e m p a r a m e t e r s ：用于设置和获取i b e 相关的系统参数； 图2 - l1 b e 程序包类层次结构 f i g u r e 2 - 1c l a s sh i e r a r c h yo f l b ep r o g r a mp a c l c a g e 北京工业大学工学硕士学位论文 d a s s j a w l a n g o b j e c t 图2 - 2 单变量多项式程序包类层次结构 f i g u r e 2 - 2c l a s sh i e r a r c h yo f u n i v a t i a b l ep o l y n o m i a lp r o g r a mp a c k a g e 1 6 第2 章相关概念与基础理论 ( 3 ) i b e k e y p a r a m e t e r s ：通过设置身份信息，返回相应的公钥与私钥信息； ( 4 ) m o d i f i e d t a t e p a i r i n g ：提供t a t e 配对相关的计算。 详细的使用方法请渊d o - - 4 1 。 另外，在本文第3 章的算法中还涉及单变量多项式的计算。在下文协议的 原型实现中，使用的是梅努斯大学的单变量多项式算法开发包，其类层次结构 如图2 2 所示。我们主要需要使用的类是b i g p o l y n o m i a l 和b i g m o n o m i a l ，其中 b i g m o n o m i a l 用于生成一个多项式中的一项，而b i g p o l y n o m i a l 用于构造多项式 和求值运算。 2 5 本章小结 本章首先介绍了双线性配对的性质和g d h 假设，它们是利用双线性配对 构建基于身份的密码体制的基础，然后详细介绍了会议密钥的定义、分类及会 议密钥协议构建的安全特性，最后对下文