（计算机应用技术专业论文）强安全高效的密钥协商协议.pdf

- - i s t r o n g l y - - s e c u r ea n d e f f i c i e n t k e ya g r e e m e n tp r o t o c o l a 砀e s i si n c o m p u t e rs c i e n c ea n dt e c h n o l o g ye n g i n e e r i n g b y n a m es h i z h ub i a n a d v i s e db y p r o f j i a n d o n gw a n g s u b m i t t e di np a r t i a lf u l f i l l m e n t o ft h er e q u i r e m e n t s f o rt h ed e g r e eo f m a s t e ro fe n g i n e e r i n g d e c e m b e r , 2 0 0 9 一 l 承诺书 本人声明所呈交的硕士学位论文是本人在导师指导下进行的研究 工作及取得的研究成果。除了文中特别加以标注和致谢的地方外，论文 中不包含其他人已经发表或撰写过的研究成果，也不包含为获得南京航 空航天大学或其他教育机构的学位或证书而使用过的材料。 本人授权南京航空航天大学可以将学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存、 汇编学位论文。 ( 保密的学位论文在解密后适用本承诺书) 作者签名：主壁挂 日期：羔qf 旦：三：f 基 南京航窄航天大学硕士学位论文 摘要 密码学是网络安全的基础，但网络安全不能单纯依靠安全的加密算法。密钥协商协议是以 密码学为基础的消息交换协议，其目的是在网络环境中提供各种安全服务。密钥协商协议使得 用户透过不安全的网络协商得到相同的密钥，然后用此密钥采用高效安全的对称加密算法加密 传输的消息报文。安全性和效率是密钥协商协议目前的研究热点。本文的工作内容有： 首先，本文提出一个新的基于公钥基础设施的认证密钥协商协议a k a 1 。和以前协议相比， a k a 1 效率较高，并且在最新的e c k 0 7 模型下是安全的，证明基于随机预言假设和c d h 假设。 我们使用技术基于c a s h ，k i l t z 和s h o u p 最近提出的陷门测试，去掉了一般证明需要的确定预 言机。另外，基于a k a 1 ，提出一轮的变体( 满足只有一个实体在线) 和三轮的变体( 提供密 钥确认属性) ，以满足不同的应用。 其次，本文提出了一个有效的基于身份的认证密钥协商协议i d a k a 1 ，基于随机语言假设 和g a pb i l i n e a rd i f f i e h e l l m a n ( g b d h ) 假设。与以前的协议相比，我们的协议享有直观的设计 原则。由于减少了对运算的个数，我们的协议效率更高，并且在目前较新的模型e c k 0 7 模型下 是安全的。另外，基于i d a k a 1 给出3 消息变体i d a k a - c ，且计算代价与i d a k a 1 相当，提 供密钥确认属性和完美前向安全，应用更加广泛。 另外，针对a k a 1 协议，本文给出其c + + 程序实现，完成了该协议的功能。使得对于建立 连接的服务器和客户端，可以根据需求设定密钥长度，然后协商出一个共同的会话密钥，用此 密钥选择高效安全的对称算法a e s 进行保密通信。在程序中会话密钥的长度为2 0 4 8 比特，2 0 4 8 比特的密钥长度可以满足大部分的应用需求。程序中使用的h a s h 算法为s h a 一2 5 6 。 关键词：认证密钥协商协议，随机预言假设，c d h 假设， g b d h 假设，e c k 0 7 模型 强安全高效的密钥协商协议 a b s t r a c t a l t h o u g hc r y p t o g r a p h yi st h eb a s i so fn e t w o r ks e c u r i t y , t h en e t w o r ks e c u r i t ys h o u l dn o to n l yr e l y o nt h es e c u r i t yo fe n c r y p t i o na l g o r i t h m s k e ya g r e e m e n tp r o t o c o l sb a s e do nc r y p t o g r a p h ya r e m e s s a g ee x c h a n g ep r o t o c o l s ，w h i c ha i m st op r o v i d eav a r i e t yo fs e c u r i t ys e r v i c e si nt h en e t w o r k e n v i r o n m e n t s k e ya g r e e m e n tp r o t o c o l sc a nb eu s e dt oa g r e eo nac o m m o ns e s s i o nk e yb e t w e e n d i f f e r e n tu s e r si nt h ei n s e c u r en e t w o r k t h e nt h es e s s i o nk e yc a nb eu s e dt oe n c r y p tm e s s a g ew i t h e f f i c i e n ts y m m e t r ya l g o r i t h m s e c u r i t ya n de f f i c i e n c yi st h ec u r r e n tr e s e a r c hf o c u so ft h ek e y a g r e e m e n tp r o t o c 0 1 t h em a i nc o n t e n to ft h i st h e s i sa r e f i r s t l y , t h i sp a p e rp r e s e n t san e wa u t h e n t i c a t e dk e ya g r e e m e n tp r o t o c o lb a s eo np k i ，n a m e d a k a 一1 c o m p a r e d 谢t i lp r e v i o u sp r o t o c o l s ，o u rp r o p o s a li sm o r ee f f i c i e n ta n dp r o v e ni nn e w l y e n h a n c e dc a n e t t i k r a w c z y k ( e c k 0 7 ) m o d e lu n d e rt h er a n d o mo r a c l ea s s u m p t i o n ( r o m ) a n dt h e c o m p u t a t i o n a ld i f f i e - h e l l m a n ( c d h ) a s s u m p t i o n w eu s ean e wt e c h n i q u en a m e dt r a p d o o rt e s t , r e c e n t l yp r o p o s e db yc a s h ，k i l t za n ds h o u p ，l e a v i n go u tt h eh e l po ft h ed e c i s i o nd i f f i e h e l l m a n o r a c l e i na d d i t i o n ，w ep r e s e n tao n e - p a s sv a r i a n t ( f o ro n l yo n ee n t i t yo nl i n e ) a n dt h r e e - p a s sv a r i a n t ( p r o v i d i n gk e yc o n f m n a t i o n ) o f a k a lf o rd i f f e r e n ta p p l i c a t i o n s s e c o n d l y , w ep r e s e n ta ne f f i c i e n ti d - b a s e da u t h e n t i c a t e dk e ya g r e e m e n tp r o t o c o l ( r o g r a 1 ) u n d e rt h er a n d o mo r a c l ea s s u m p t i o na n dt h eg a pb i l i n e a rd i 伍e - h e l l m a n ( g b d h ) a s s u m p t i o n c o m p a r e dw i t hp r e v i o u si d - b a s e dp r o t o c o l s ，o u rp r o p o s a le n j o y si n t u i t i v ed e s i g np r i n c i p l e s d u et o t h er e d u c t i o no f p a i r i n go p e r a t i o n s ，o u rp r o p o s a lj sm u c hm o r ee f f i c i e n ta n ds h o w n t ob es e c u r ei nt h e n e w l ye n h a n c e dc a n e t t i k r a w c z y k ( e c k 0 7 ) m o d e l i na d d i t i o n ，w eg i v e a3 - m e s s a g ev a r i a n to f i d a k a 一1 ，c a l l e di d a k a - c ，w h i c hp r o v i d e sk e yc o n f i r m a t i o na n dp e r f e c tf o r w a r ds e c u r i t ya n dm a y b em o r ea p p l i c a b l e m e a n w h i l e ，i t sc o m p u t a t i o n a lc o s ti se s s e n t i a l l yt h es a m ea si d a k a 1 i na d d i t i o n ，t h i sp a p e rp r o v i d e st h ec + + p r o g r a mi m p l e m e n t a t i o nf o rt h ea k a - 1p r o t o c o l ，w h i c h a c h i e v e st h ep r o t o c o lf u n c t i o n s 。a f t e rt h ee s t a b l i s h e dc o n n e c t i o nb e t w e e nt h es e r v e ra n dt h ec l i e n t , t h e yc a nc o n s u l t w i t hac o m m o ns e s s i o nk e ya c c o r d i n gt ot h en e e d e dk e yl e n g t h t h e nt h es e s s i o nk e y c a nb eu s e dt oc a r r yo u ts e c u r ec o m m u n i c a t i o n sw h i te f f i c i e n ta n ds e c u r es y m m e t r i ca l g o r i t h m a e s i no u rp r o g r a mt h ek e yl e n g t hi s2 0 4 8b i t s ，w h i c hm e e tt h en e e do fm o s ta p p l i c a t i o n sa n dt h eh a s h a l g o r i t h mi ss h a 2 5 6 k e y w o r d s ： a u t h e n t i c a t e dk e ya g r e e m e n tp r o t o c o l ，t h er a n d o mo r a c l e a s s u m p t i o n ，t h e c o m p u t a t i o n a ld i f f i e - h e l l m a n ( c d h ) a s s u m p t i o n ，g a pb i l i n e a rd i f f i e h e l l m a n ( g b d h ) a s s u m p t i o n ， e n h a n c e dc a n e t t i k r a w c z y k ( e c k 0 7 ) m o d e l h ，-_-_-_-_-_-i_1_-11 南京航空航天大学硕士学位论文 目录 第一章绪论1 1 1 信息安全与密码学l 1 2 认证密钥协商协议的研究意义及现状2 1 3 本文的贡献4 1 4 本文的内容组织5 第二章背景知识及定义6 2 1 困难性假设6 2 2 陷门测试( t r a p d o o r t e s t ) 7 2 3 密钥协商协议的属性7 2 4 随机预言模型8 2 5 认证密钥协商协议的安全模型9 2 5 1 安全模型的发展概况9 2 5 2e c k 0 7 模型1 0 第三章基于公钥基础设施( p ) 的密钥协商协议1 2 3 1p k ij 拿绍1 2 3 2 新的基于p k i 的密钥协商协议1 3 3 3 新的基于p k i 密钥协商协议的安全证明1 4 3 4 新协议的一轮变体和三轮变体：1 7 3 5 协议的效率和安全性比较1 8 第四章基于身份( i d ) 的认证密钥协商协议一2 0 4 1 基于i d 密码学介绍2 0 4 2 新的基于i d 的密钥协商协议2 0 4 3 新的基于i d 密钥协商协议的安全证明2 1 4 4 新协议的变体协议2 5 4 5 协议的效率和安全性比较2 5 第五章基于p k i 的密钥协商协议的程序实现2 7 5 1 公共参数的选择2 7 5 2 分组密码一2 9 5 3h a s h 函数3 3 5 4 程序实现3 4 5 2 1 服务器程序3 4 5 2 2 客户端程序4 3 第六章总结与展望5 l i i i 强安全高效的密钥协商协议 6 1 论文的主要工作及贡献5 l 6 2 对下一步工作的思考一5 2 参考文献5 3 致谢5 6 在学期间的研究成果及发表的学术论文。5 7 南京航空航天大学硕士学位论文 图表清单 图3 1 本文提出的新的a k a 1 协议1 4 图3 2 一轮的a k a 一2 协议l8 图3 3 三轮的a k a 一3 协议1 8 图4 1 新的i d b a s e d 协议：i d a k a 一1 2 0 图5 1 服务端初始界面3 5 图5 2 服务器与客户端建立t c p 连接3 5 图5 3 服务器与客户端协商密钥参数3 6 图5 4 服务器端产生的大素数g 3 6 图5 5 服务器端产生的大素数p 3 6 图5 6 服务器端产生的生成元g 3 7 图5 7 服务器端产生短期私钥3 7 图5 8 服务器端产生临时短期私钥3 7 图5 9 服务器端产生短期公钥3 7 图5 1 0 服务器产生长期私钥1 一3 8 图5 11 服务器产生长期私钥2 一3 8 图5 1 2 服务器产生长期公钥l 3 8 图5 1 3 服务器产生长期公钥2 一3 8 图5 1 4 服务器端接收到客户端的短期公钥3 9 图5 1 5 服务器端接收到客户端的长期公钥l 一3 9 图5 1 6 服务器端接收到客户端的长期公钥2 3 9 图5 1 7 服务器端接收完客户端会话参数的界面4 0 图5 1 8 服务器端计算会话密钥的h a s h 函数输入4 0 图5 1 9 服务器端计算的会话密钥4 1 图5 2 0 服务器端发送消息到客户端4 l 图5 2 1 服务器端发送的消息经加密处理的结果4 2 图5 2 2 服务器接收到的客户端加密消息4 2 图5 2 3 服务器解密客户端发送的消息4 2 图5 2 4 客户端初始界面4 3 图5 2 5 客户端与服务器建立t c p 连接一4 3 图5 2 6 客户端发送身份和密钥长度4 4 图5 2 7 客户端接收到的大素数p 4 4 图5 2 8 客户端接收到的生成元g 4 4 图5 2 9 客户端接收到的短期公钥4 5 图5 3 0 客户端接收到的长期公钥l 一4 5 图5 3 1 客户端接收到的长期公钥2 4 5 图5 3 2 客户端产生自己的短期私钥4 5 图5 3 3 客户端产生自己的长期私钥4 6 图5 3 4 客户端产生自己的长期公钥4 6 图5 3 5 客户端产生长期私钥1 4 6 v 强安全高效的密钥协商协议 图5 3 6 客户端产生长期私钥2 一 图5 3 7 客户端产生长期公钥1 。 图5 3 8 客户端产生长期公钥2 4 7 图5 3 9 客户端计算会话密钥的h a s h 函数输入4 7 图5 4 0 客户端计算得到的会话密钥4 8 图5 4 l 客户端与服务器端会话参数传输完毕后的界面一4 8 图5 4 2 客户端收到服务器端的加密消息4 8 图5 4 3 客户端解密后的结果4 9 图5 4 4 客户端发送的加密消息4 9 图5 4 5 客户端发送消息后的界面。5 0 表2 1 不同模型攻击者能力的比较。9 表3 1p k i - b a s e d 认证密钥协商协议的比较一1 9 南京航窄航天人学硕士学位论文 i k a a k c k c i p l q c a r o m u k s p p t p f s e c b o f b d e s 注释表 隐式密钥认证 带密钥确认的认证密钥协商 协议 抗密钥泄露模仿攻击 公钥基础设施 认证权威 随机预言模型 抗未知密钥共享 概率多项式时间 完美前向安全 电子密码本模式 输出反馈模式 数据加密标准 a k a d l p w p f s d p k g k k s c r l m a c c b c c 阳 c t r a e s 认证密钥协商协议 离散对数问题 弱的完美前向安全 身份 私钥产生中心 已知密钥安全 证二 5 撤销列表 消息认证码 密码分组链接模式 密码反馈模式 计数模式 高级加密标准 i 南京航窄航天大学硕士学位论文 第一章绪论弟一早珀t 匕 1 1 信息安全与密码学 随着通信与计算机网络技术的快速发展和公众信息系统商业性应用步伐的加快，当前数据 通信和资源共享等网络信息服务功能广泛覆盖于各行各业及各个领域，网络用户来自各个阶层 与部门，人们对网络环境和网络信息资源的依赖程度日益加深，网络信息的安全隐患也越来越 明显的突现出来。大量信息以数字形式存放于计算机系统里，信息的传输则通过公共信道。这 些计算机系统和公共信道在不设防的情况下是很脆弱的，容易受到攻击和破坏，信息的失窃不 容易被发现，而后果可能是极其严重的。因为这些数据对于所有者来说可能是敏感数据( 如个 人的医疗记录、信用卡账号、登录网络的口令，或者企业的战略报告、销售报告等) ，这些数据 在存储和传输过程中都有可能被盗用、暴露、篡改和伪造。除此之外，基于网络的信息交换还 面临着身份认证和防否认等安全需求。 作为数据通信和资源共享的重要平台互联网是一个开发系统，具有资源丰富、高度分 布、广泛开放、动态演化、边界模糊等特点，安全防御能力非常脆弱，而攻击却易于实施，并 且难留痕迹。随着网络技术及其应用的飞速发展，黑客袭击事件不断发生并逐年递增，网络安 全引起了世界各国的普遍关注。由于计算机网络技术的迅速发展，如何保护信息的安全已成为 许多人感兴趣的方向，作为网络安全基础理论之一的密码学引起人们极大关注，吸引着越来越 多的科技人员投入到密码学领域的研究之中。密码技术是实现网络信息安全的核心技术，是保 护数据最重要的工具之一。通过加密变换，将可读的文件变换成不可理解的乱码，从而起到保 护信息和数据的作用。它直接支持机密性、完整性和非否认性。当前信息安全的主流技术和理 论都是基于以算法复杂性理论为特征的现代密码学的。1 9 7 6 年，d i f f i e 和h e l l m a n i i 】在密码学 的新方向一文中提出了公钥密码的思想，开启了现代密码学的新领域。2 0 多年来，公钥密码 获得了巨大的发展，在理论研究方面，为数众多的密码研究人员，甚至包括其他领域的一些研 究人员对公钥密码投入了巨大的精力与热情，发表了大量的研究文献，获得了一整套系统的研 究成果；在实践应用当中，公开密钥密码较好的解决了计算机网络安全的身份认证、数字签名 等问题，推动了电子商务、电子商务、网络金融等一大批网络应用的不断深入、发展。 密码学尽管在网络信息安全中具有举足轻重的作用，但密码学绝不是确保网络安全的惟一 工具，它也不能解决所有的安全问题，同时，密码编码与密码分析是一对矛和盾的关系，它们 在发展中始终处于一种动态的平衡。在网络信息安全领域，除了技术之外，管理也是非常重要 的一个方面，如果密码技术使用不当，或者攻击者绕过了密码技术的使用，就不可能提供真正 的安全性。 强安全高效的密钥协商协议 1 2 认证密钥协商协议的研究意义及现状 密码学中，密钥作为密码变换的参数，通过加密变换操作，可以将明文变为密文，或者通 过解密变换操作，将密文还原成明文。在一个加密算法中，不用担心算法的安全性，即可以认 为算法是公开的，只要保护好密钥就可以了。另外可以使用不同的密钥保护不同的信息，这意 味着当有人攻破了一个密钥时，受威胁的只是这个被攻破密钥所保护的信息，其他的秘密依然 是安全的。由此可见密钥在整个密码算法中处于十分重要的中心地位。 密钥建立协议( k e ye s t a b l i s h m e n tp r o t o c 0 1 ) 是两方或多方之间生成一个共享会话密钥的过 程，而生成的这个会话密钥用以保护后继通信的秘密性和完整性等用途。广义来说，有两类密 钥建立协议：一类是密钥传输协议( k e yt r a n s p o r tp r o t o c 0 1 ) ，这类协议的密钥由一方生成并安 全的输出给其他参与方；另一类是密钥协商协议( k e y a g r e e m e n tp r o t o c 0 1 ) ，由两方或多方的信 息份额共同生成一个会话密钥，且任何一方均不能预先确定最终会话密钥【2 】。如果协议的某一 参与者a 确信除了意定伙伴b 之外，没有其他实体能够获得相同的某个会话密钥，则我们说该 协议提供了( 从b 到a 的) 隐式密钥认证( i m p l i c i tk e ya u t h e n t i c a t i o n ，i k a ) 。认证密钥协商 协议( a u t h e n t i c a t e dk e ya g r e e m e n tp r o t o c o l ，a k a ) 能够同时提供协议参与方之间的双向隐式 密钥认证。进而，若一个认证密钥协商协议能够使得协议的某一参与方a 确信协议的另一参与 方b 确实拥有了某个会话密钥，那么我们说该认证密钥协商协议提供了密钥确认( k e y c o n f i r m a t i o n ) 属性。能提供双向密钥确认属性的认证密钥协商协议，叫做带密钥确认的认证密 钥协商协议( a u t h e n t i c a t e dk e y a g r e e m e n tw i t hk e yc o n f i r m a t i o n ，a k c ) 1 3 1 。 密钥协商协议最先由d i f f i e 和h e l l m a n 【l 】提出。该方案可以使通信双方在一个不需要预先共 享密钥的公共信道里建立一个会话密钥，它的安全性基于有限域上计算离散对数的困难性 ( d i s c r e t el o g a r i t h mp r o b l e m ，d l p ) 。攻击者在得知双方互传的信息中，很难计算出会话密钥， 但此方案为人所诟病的问题是不能抵抗中间人攻击( m a n - i n - t h e m i d d l e a t t a c k ) ，原因在于此协 议并没有提供对通信双方身份的认证，使得第三方的攻击者可以绕过协议的漏洞，从而与各方 各建立一个会话密钥，而协议的参与者浑然不知，这样经由此会话密钥加密的密文，攻击者都 可以解密。在d i f f i e 和h e l l m a n 拉开了现代密码学研究序幕之后，很多科研工作者投入到公钥 密码学的研究领域。基于d h 协议，也提出了很多较高效安全的协议。但多数协议的设计现状 是：基于某种假想给出其安全性论断，一段时间后被发现有安全漏洞，然后对其改进，这个过 程不断进行，这样就不能确信协议的安全性，如果协议广泛应用于实际，也增加了实现代价和 成本。 可证安全性理论提供了很好的解决办法。通过规约，将协议的安全性规约到一个公认的数 学难题上，这样，只要该难题是困难的，相应的协议可被认为是安全的。1 9 9 3 年，b e l l a r e 和 r o g a w a y 开创性的提出第一个密钥协商协议的形式化安全模型b e l l a r e 和r o g a w a y ( b r 9 3 ) 【4 】。 2 南京航空航天大学硕士学位论文 随后，安全模型也成为很多研究者感兴趣的方向。b e l l a r e 和r o g a w a y 扩展了b r 9 3 模型，提出 三方的b r 9 5 模型【5 1 ，并将b r 9 3 中伙伴关系的定义匹配会话( m a t c h i n gc o n v e r s a t i o n s ) 修改为 伙伴函数( p a r t n e rf u n c t i o n ) 。2 0 0 0 年，b e l l a r e ，p o i n t c h e v a l 和r o g a w a y 提出b p r 0 0 模型1 6 j 。 接着基于b r 9 3 ，b e l l a r e ，c a n e t t i 和k r a w c z y k 介绍了一种模型化证明技术1 7 】。后来c a n e t t i 和 k r a w c z y k 发现该证明技术存在缺陷，提出新的c a n e t t i k r a w c z y k 模型( c k 0 1 ) 【8 】。所有这些模 型都基于较强的假设，并且不允许攻击者获得被攻击会话的特定秘密信息，导致很多模型容易 遭受密钥泄露伪装攻击( k e yc o m p r o m i s ei m p e r s o n a t i o nr e s i l i e n c e ，k c i ) 或短期私钥泄露攻击。 k r a w c z y k 后来给出c k 0 1 模型改进的版本【9 1 ，可以抵抗上述两种攻击，同时具有弱的完美前向 安全( w e a kp e r f e c tf o r w a r ds e c u r i t y ，w p f s ) ，但该版本不能抵抗双方短期私钥或双方长期私钥 泄露的攻击。最近，l a m a c c h i a ，l a u t e r 和m i t y a g i n 给出了扩展的c k 0 1 模型e x t e n d e d c a n e t t i k r a w c z y k 模型( e c k 0 7 ) 【l o 】，该模型很好的解决了这些问题，包含了更多的安全属性。 e c k 0 7 模型可以抵抗更多的攻击，目前也提出很多基于e c k 0 7 模型的协议，但大多协议效率相 对较低，所以设计在该模型下高效的协议是本文的目标。 就通常的公钥密码而言，密钥的生成过程始终包含如下步骤：公钥= f ( 私钥) ，其中f 是一 个从私钥空间映射到公钥空间的有效单向函数。由于函数f 的单向性，由私钥计算所得的公钥 总包含一段看似随机的成分，显然需要提供验证主体的公钥和主体的身份信息的相关性，以确 定这个看似随机的公钥确实属于所声称的主体。在实际应用中为了应用公钥密码系统，需要一 个能够简单验证公钥与主体身份相关的验证框架，基于公钥基础设施( p u b l i ck e yi n f r a s t r u c t u r e b a s e d ，p k i b a s e d ) 和基于身份( i d e n t i t i y b a s e d ，d - b a s e d ) 的密码学提供这样的两种认证框架。 在基于公钥基础设施( p k i - b a s e d ) 协议中，用户的公钥通过证二 s 捆绑，用户a 若想知道网 络中用户b 的公钥，可向认证权威( c e r t i f i c a t ea u t h o r i t y ，c a ) 申请，c a 将用户b 的身份及 其公钥等信息组合成的公钥证书返回给a 。自原始的d h 协议被提出后，也出现很多较高效安 全基于p k i 的协议。1 9 9 5 年，l a w 等提出非常著名的m q v 协议【1 l l ，该协议高效并声称抵抗很 多攻击，曾被广泛的标准化。然而，k r a w c z y k 在c k 0 1 模型下对m q v 协议分析发现其很多安 全目标并不能达到，并提出改进的h m q v 协议1 9 ，并在c k 0 1 模型下证明安全。2 0 0 7 年，第一 个e c k 0 7 模型下安全的基于g d h 假设的协议n a x o s 1 0 l 被提出。后来，u s t a o g l u 指出h m q v 协议的一些缺陷，提出基于g d h 假设的c m q v 协议【l2 1 ，并在e c k 0 7 模型下进行安全证明。 j o o y o u n gl e e 等分别提出e c k 0 7 安全的基于g d h 假设的n e t s 协议【13 】和第一个基于c d h 假 设的n a x o s + 协议1 1 4 1 。h u a n g 和c a o 1 5 1 提出e c k 0 7 下安全的基于c d h 假设的协议。最近， w u 等人【1 6 】提出的s m e n 协议，为了达到在线的效率和严谨的规约，需要离线2 指数运算和在 线3 指数运算，而另一个协议s m e n 一为了使得使用长期私钥的风险降到最低，同时又保证一 定的效率和严谨的规约，需要离线2 指数运算和在线4 指数运算，这两个协议都是e c k 0 7 模型 安全的基于g d h 假设的协议。由于c d h 假设比g d h 假设更加标准，设计基于c d h 假设的 3 强安全高效的密钥协商协议 高效安全协议是本文的另一目标。 上面讲的主要是p k i - b a s e d 密钥协商协议的发展情况。1 9 8 4 年，s h a m i r 提出了基于身份的 加密、签名、认证设想【1 7 1 。s h a m i r 的主要观点是：系统中不需要证书，可以使用用户的标识如 姓名、i p 地址、电子邮件地址等作为公钥，用户的私钥通过一个被称作私钥生成器( p r i v a t ek e y g e n e r a t o r ，p k g ) 的可信第三方进行计算得到。基于身份的密码系统使得用户的公钥能够通过 用户的身份信息直接计算出来，不需要保存每个用户的公钥证书，避免了使用证书带来的存储 和管理开销的问题，简化了基于证书的密码系统繁琐的密钥管理过程。在b o n e h 和f r a n k n n 【1 8 】 率先提出双线性配对函数可以应用于以身份码为辨识基础的加密系统后，身份码密码系统的发 展一时蔚为研究的主流，相关研究更是有如雨后春笋一般迅速蓬勃发展，同时也吸引了许多学 者投入双线性配对函数应用的研究。其中，有着所有密码技术核心基石之称的密钥协议技术的 发展更是迅速。而这些研究探讨的方向，最主要的就是如何通过有效率的算法设计，来降低通 讯时所需的计算成本和通讯量，进而完成机密性与安全性的通讯需求。在2 0 0 2 年，s m a r t t l 9 】 设计了第一个两方的基于双线性配对的基于身份认证的密钥协商协议。基于s m a r t 的协议，c h e n 和k u d l a t 2 0 】指出s m a r t 协议不能提供前向安全性，基于s m a r t 协议提出了改进的版本，并给出 了第一个在随机预言模型下的基于身份的密钥协商协议的形式化安全性分析，证明的模型基于 b r 9 3 n 。但是c h e n g t 2 u 指出他们处理泄露( r e v e a l ) 查询的证明中的缺陷，并在较弱的b r 9 3 模型修改版本中纠正了这一错误，而该模型不允许攻击者做泄露( r e v e a l ) 查询。s h i m t 2 2 】提出 了一个基于身份的协议，但不能抵抗中间人攻击。其后，一些变形的安全协议相继被提出。但 大多数，比如m b l 2 3 1 ，是在诸如b r 9 3 t 4 1 的相对较弱的模型下进行安全性分析的。c h o w 和c h 0 0 1 2 4 1 提出了一个新的基于身份认证密钥协商协议。但是，他们的协议无法处理对手对属于t e s t 会话 实体的临时密钥泄露查询。h u a n g 和c a o 2 5 1 提出了一个在e c k 0 7 模型下安全的协议，基于的是 陷门测试技术，需要g 中的两个对运算和三个指数运算。最近，h u 等人提出基于g b d h 假设 和e c k 0 7 模型的基于身份协议e i d a k e 协议【2 6 】，需要两个对运算和两个指数运算。而对运算 相对指数运算耗时更多，如何减少对运算的个数以提高协议的效率，同时保证其较高的安全性 是本文的第二个目标。 1 3 本文的贡献 对于基于公钥基础设施的认证密钥协商协议，基于以前的协议，本文提出基于c d h 假设 e c k 0 7 安全的高效协议。使用的技术基于c a s h ，k i l t z 和s h o u p 最近提出的陷门测试( t r a p d o o r t e s t ) 1 2 7 ，取代一般证明需要的确定预言机。另外，当只有一个实体在线时，为了进行密钥协 商以完成保密通信，我们给出一轮的变体；为了达到完美前向安全( p e r f e c tf o r w a r ds e c u r i t y ， p f s ) 和密钥确认( k e yc o n f i r m a t i o n ) 属性以确定对方确实拥有该密钥，我们增加2 条消息认 证码，得到带密钥确认的三轮变体方案，缺少密钥确认属性可能会导致某种类型的拒绝服务攻 4 南京航窄航天大学硕士学位论文 击( d e n i a lo f s e r v i c e ，d o s ) 。 对于基于身份的认证密钥协商协议，基于以前的协议，本文提出一个基于随机预言模型 ( r a n d o mo r a c l em o d e l ，r o m ) 和g b d h 假设( g a pb i l i n e a rd i f f i e h e l l m a np r o b l e m ) 的高效 认证密钥协商协议。相比以前的基于身份的协议，我们的协议更高效，并且在e c k 0 7 模型下可 证安全。另外，我们给出一个该协议的三消息变体，其提供了密钥确认和完美前向安全，应用 更加广泛，同时其计算成本与原协议基本相当。 另外，针对基于公钥基础设旌的协议，我们使用c + + 程序实现了该协议的思想，建立了单 服务器多客户端程序。使得对于建立连接的服务器与客户端，由客户端向服务器发送身份标识 和密钥长度大小，然后由服务器端根据密钥长度产生大素数及生成元，以及服务器端会话参数， 并将大素数及生成元发送到客户端，客户端产生自己的会话参数，计算会话密钥，并将会话参 数发送到服务器端。服务器端收到客户端会话参数后，计算本连接的会话密钥。然后选用高效 的对称密码算法进行保密通信。程序选择的密钥长度为2 0 4 8 比特，可以满足大部分应用的需求。 使用的对称算法为a e s ，h a s h