（信息与通信工程专业论文）认证密钥协商协议的研究.pdf

摘要 摘要 在计算机网络技术以及信息技术高速发展的今天，如何保障信息的安全问题， 己经成为当今世界上普遍重视以及关注的一个热门话题。目前，很多信息安全的 保障，都是通过密码学来实现的，而密钥协商就是密码学中一个关键的分支，同 时也是信息安全领域的一个非常重要的研究课题。人们想要在公开信道上进行安 全通信，那么就必须建立一个会话密钥，密钥协商就是这样一种关键技术，因此 对安全的密钥协商协议的研究，不仅具有重要的理论意义，而且也具有不可低估 的实际应用价值。认证密钥协商协议是在一般的密钥协商协议中加入了认证机制 的协议，近年来被广泛应用，具有很多的应用场景以及新的发展和研究方向。 本文对三方认证密钥协商协议和认证组密钥协商协议进行了深入的研究。找 出了一些现有三方及组密钥协商协议的安全漏洞，给出了相应的弥补方案，并基 于有限域上的离散对数难解问题，d h 问题，双线性对等知识，提出了两种新的认 证密钥协商协议。 在三方认证密钥协商协议方面，本文首先就安全性能以及计算开销代价等方 面对目前几种协议进行了详细的分析比较，重点对s 3 p a k e 协议进行了安全分析， 指出该协议具有不能抵抗在线口令猜测攻击这个漏洞，并给出了对其进行在线口 令猜测攻击的具体实现过程，接着，作者在阅读了大量三方密钥协商协议的基础 上，本文提出了一种新的基于c d h 假设的简单三方认证密钥协商协议，并对该协 议进行了安全性及效率分析，验证了所提的新协议可以抵抗各种类型攻击，具有 较强的安全性以及效率。 在认证组密钥协商协议方面，本文同样首先对目前已有的组密钥协商协议进 行了研究，包括t s e n g 的安全组密钥认证协商协议，以及c h o 等人的动态组密钥 协商协议等，分析比较了他们的各种性能，在分析研究之后，指出了c h o 等人的 协议具有不能抵抗重放攻击的安全漏洞，并提出了相应的弥补方案，即可以在传 输的消息中加入时间戳的值，这样就可以抵抗重放攻击。接着，本文提出了一种 基于双线性对的新的组密钥认证协商协议，并分析了该协议的安全性以及计算开 销，证明其能抵抗各种类型的攻击，具有比c h o 等人的协议更实用的优点。 关键词：密钥协商，身份认证，双线性对，安全性，离散对数问题 a b s t r a c t a b s t r a c t n o w a d a y s ，t h ec o m p m e rn e t w o r kt e c h n o l o g ya n dt h ei n f o r m a t i o nt e c h n o l o g yh a v e b e e ng e t t i n gm o r ea n dm o r ei m p o r t a n t h o wt oa s s u r et h ei n f o r m a t i o ns e c u r i t yi so n eo f t h em o s ti m p o r t a n tf i e l d s a tp r e s e n t , m u c hi n f o r m a t i o ns e c u r i t yd e p e n d so nt h e c r y p t o g r a p h y a sab r a n c ho fi t , k e ya g r e e m e mp r o t o c o li sav e r yi m p o r t a n ts u b j e c ti n t h ei n f o r m a t i o ns e c u r i t y p e o p l ew a n tt oc o m m u n i c a t es e c u r e l y 、加n 1e a c ho t h e rt h r o u g h n o n s e c u r i t yc h a n n e l ，t h ee s t a b l i s h m e n to fs e e s i o nk e yi sv e r yc r i t i c a l t h e r e f o r e ， r e s e a r c ho nk e ya g r e e m e m tp r o t o c o li si m p o r t a n tb o t hi nt h e o r ys i g n i f i c a t i o na n d a p p l i c a t i o n a u t h e n t i c a t i e dk e ya g r e e m e n tp r o t o c o li so n ek i n do fk e ya g r e e m e n t p r o t o c o l sw h i c ha d d st h ea u t h e n t i c a t i o nm e c h a n i s mi n t ot h ea g r e e m e n t a u t h e n t i c a t i e d k e ya g r e e m e n tp r o t o c o li sw i d e l yu s e di nr e c e n ty e a r s ，a n di th a sg o tm u c hn e w d e v e l o p m e n t m a n yr e s e a r c h e r sa r ef o c u so nt h es t u d yo fa u t h e n t i c a t e dk e ya g r e e m e n tp r o t o c o l b e t w e e n3p a r t i e s i nt h i sp a p e r , w ef i r s t l yp o i n to u tt h a tt h e r ei saw e a k n e s si n s - 3 p a k e p r o t o c o lp r o p o s e db yl ue ta 1 i n2 0 0 6 ，a n dg i v et h ep r o c e s so fh o w t oa t t a c k t h i sp r o t o c o lw i t ht h eo n l i n eg u e s s i n ga t t a c k t h e n , w ep r o p o s ean e ws i m p l e3p a r t i e s a u t h e n t i c a t e dk e ya g r e e m e n tp r o t o c o lb a s e do nt h ec d hp r o b l e m , a n dp r o v e do u rn e w p r o t o c o lc a nr e s i s ta l lk i n d so fa t t a c k se f f i c i e n t l y t h ea u t h e n t i c a t e dg r o u pk e ya g r e e m e n tp r o t o c o li sa l s oac h a l l e n g i n gt a s k i nt h i s p a p e r , w ef i r s t l yi n t r o d u c et s e n g sa n dc h oe ta l sp r o t o c o l s ，p o i n to u tc h oe ta l s p r o t o c o lc a nn o tr e s i s tt h er e p l a ya t t a c ke f f i c i e n t l y t h e nw es u g g e s tac o u n t e r m e a s u r e t oe n h a n c et h es e c u r i t yo ft h e i rp r o t o c 0 1 l a s t l y , w ep r o p o s ean e wa u t h e n t i c a t e dg r o u p k e ya g r e e m e n tp r o t o c o lb a s e do nt h eb i l i n e a rp a i r i n ga n dp r o v eo u rn e wp r o t o c o lc a l l r e s i s ta 1 1k i n d so fa t t a c k se f f i c i e n t l y k e y w o r d s ： k e y a g r e e m e n t i d a u t h e n t i c a t i o n b i l i n e a r - p a i r i n gs e c u r i t y d i s c r e t e - l o g a r i t h m - p r o b l e m 独创性声明 本人声明所呈交的学位论文是本人在导师指导下进行的研究工 作及取得的研究成果。据我所知，除了文中特别加以标注和致谢的地 方外，论文中不包含其他人已经发表或撰写过的研究成果，也不包含 为获得电子科技大学或其它教育机构的学位或证书而使用过的材料。 与我一同工作的同志对本研究所做的任何贡献均已在论文中作了明 确的说明并表示谢意。 细7 年石j q , z e l 关于论文使用授权的说明 本学位论文作者完全了解电子科技大学有关保留、使用学位论文 的规定，有权保留并向国家有关部门或机构送交论文的复印件和磁 盘，允许论文被查阅和借阅。本人授权电子科技大学可以将学位论文 的全部或部分内容编入有关数据库进行检索，可以采用影印、缩印或 扫描等复制手段保存、汇编学位论文。 ( 保密的学位论文在解密后应遵守此规定) 签名：纽盘导师签名：三靼 日期：砷年石月2 e t 第一章引言 第一章引言 现代社会，信息越来越重要，人们早己进入信息化时代，在人们的日常生活 中，网络已经成为至关重要的的一部分， 息，早己成为当今社会的一个重要特征， 人们便利的利用因特网来获取和交换信 以前的传统的处理事务的方式，已经越 来越多地依赖于计算机以及开放的通信网来实现，因此，信息安全已经成为人们 在当今这个信息空间里面，开展电子业务生存以及寻求发展的重要条件和保证， 而且也已成为普遍关注的热点、前沿课题，对于信息安全学科方面的研究不但具 有重要的理论价值，而且还具有广泛的实际应用价值。作为信息安全科学的理论 基础的现代密码学，不仅为开放网络环境下的信息传输储存提供了安全性保护， 而且还能提供信息的完整性、可认证性、可用性、可控制性以及不可抵赖性保护。 因此可以认为，当前的信息安全大多都是依靠现代密码学来实现的，密码学是的 一种是保护信息安全的关键技术。作为密码学中的一个重要分支，密钥协商协议 是现代密码学中的一种基本要素，它可以提供建立安全通信的方法，是信息安全 研究的一项主要内容，在安全通信领域有着广泛的应用。 1 1 研究背景及意义 现代社会，信息已经占据了越来越重要的地位。作为种宝贵的智力资源， 信息同时也是每个国家最重要的一种战略资源。在日常生活中，信息是一种传播 载体，是一种可被利用的重要资源，人们早已习惯通过各种途径来获取信息。在 现代社会中，信息具有两个最主要的基本特征，那就是公开性和保密性。在通信 以及网络迅速发展的今天，信息安全已经变得至关重要。众所周知，没有完美的 网络协议和软件系统，由于这些安全缺陷的存在，就使得任何一种网络系统都不 可避免地存在各种安全隐患和应用风险。随着通信技术日新月异的快速发展，使 得任何系统都存在可能被已知或未知用户对网络进行非法访问的可能性，很多严 峻的网络安全事件不断发生，这引起了人们普遍关注网络信息的安全问题。 人们依赖计算机网络系统来实现传送、存储和处理信息的作用，正随着网络 技术的发展而不断加强。各种形式层数不穷，例如大家早已熟悉的网上市场、网 上银行、网上电子商务、网上电子政务等。数据、信息乃至资金通过网络传输， 电子科技大学硕七学位论文 己成为当今网络世界不可缺少的主要部分。然而正因为如此，网络信息安全问题 也变得更加突出。作为保护信息安全的重要手段之一，密码技术在实现保密通信 时，关键在于在通信双方之间产生并分配他们之间的会话密钥。只要能够实现通 信各方之间共享一个无条件绝对安全的秘密信息，那么通信者就可以借助于一次 一密体制对一次通信的内容进行加密以后再传输出去，从而实现理论上安全的保 密通信。本文所研究的密钥协商协议，就是这样一种通信方在不安全的网络环境 中产生共享密钥的体制，这种体制是实现安全通信的关键，是现代密码学中的最 最基本的要素。特别是近年来，很多学者将认证机制加入到密钥协商里面，这种 具有认证功能的密钥协商协议，便成为了当今信息安全学科研究的一项重要内容。 在现代密码体制中，密钥的安全十分重要，因为密文的安全就是以密钥的安 全为基础的。因此，要保证通信过程的安全，就必须要保证在加解密过程中所使 用的密钥是绝对安全的 。在通信中，通信的双方或多方生成一个会话密钥的过程 称为密钥建立，密钥建立属于密钥管理的一部分【2 j 。一般来说，密钥建立有密钥传 递和密钥协商两种方法，密钥传递是指通信中的一方，一般是一个具有普遍公信 力的权威机构，单独生成一个密钥，然后再将其发送给其他方，从而达到通信各 方共享一个会话密钥的目的。而密钥协商是指在通信中的各方( 双方或多方) ，均 不能单独的生成或者控制密钥成一个特定值，他们需要通信共同协商出一个共享 的会话密钥，在协商的过程中，每一个参与会话的用户都对会话密钥有所贡献。 每一种密钥协商协议都是需要抵抗各种各样的被动或者主动攻击的，因为大 家都知道，它们总是处于各种不安全的网络环境当中。若攻击者只是单纯的试图 截获别人通信的信息，并不进行恶意的篡改，那么这种攻击就叫做被动攻击。相 反的，若攻击者还对通信的信息进行篡改，那么就称为主动攻击。 许多学者为了设计的协议能抵抗上述的这些攻击，于是就将身份认证机制加 入到了协议的设计中，这样便有认证密钥协商协议。通常所说的隐含密钥认证， 是指一个用户可以确认除了他所认为的另一个用户以外，没有其他用户可以计算 出会话密钥。认证密钥协商协议，即a k ( a u t h e n t i c a t e dk e ya g r e e m e n t ) 协议就是 指向所有的协议参与者都提供了隐含密钥认证的协议。在认证密钥协商协议中， 每一个参与者只知道其他参与者可以计算得到会话密钥，却不能确切知道其他参 与者是否已经通过计算得到了会话密钥。通常所说的密钥确认，是指一个用户可 以确认另一个用户已经通过计算得到了会话密钥，带密钥确认的认证密钥协商协 议，即a k c ( a u t h e n t i c a t e dk e ya g r e e m e n tw i t hk e yc o n f i r m a t i o n ) ，是指向所有协 议参与者提供了密钥确认的认证密钥协商协议1 3 j 。 2 第一章引言 前面已经提过，保障信息的安全关键是要保障密钥的安全，而认证密钥协商 协议是实现这种安全的关键，因此研究其具有至关重要的意义。我们需要保障的 信息不仅包含着人们日常生活中的个人信息，还包括一些重要的商业机密信息， 甚至还可能包括一些涉及国家安全的军事机密信息。因此，对认证密钥协商协议 的研究，对于社会生活，经济发展，乃至国家利益都有举足轻重的关键作用。近 年来，很多学者提出了认证密钥协商协议的方案，关于这方面的研究已经有了大 量的成果。但是，这些成果仍然存在这各种各样的问题，综上所述，对于认证密 钥协商协议的研究，仍具有较大的研究前景。 1 2 国内外研究现状 为了能够让通信系统中的各个参与者实现在一个公开不安全的信道上，通过 通信协商共同建立一个会话所用的会话密钥，密钥协商协议是一种必要的机制。 作为信息安全研究中的一个重要分支，最早是由d i f f i e 和h e l l m a n 于1 9 7 6 年提出 的密钥协商的概念，1 9 7 6 年的d i f f e h e l l m a n 密钥协商协议1 4 j 可以称得上是密码学 上的一个重要成果，也可以说它是现代密码学的一个里程碑。但是，由于 d i m e h e l l m a n 密钥协商协议不提供认证功能，因此容易受到中间人攻击。自此以 后，学术界开始广泛研究密钥协商协议。很长一段时间以后，学者对密钥协商协 议的研究大都局限在在对d i f f i e h e l l m a n 密钥协商协议的相关扩展协议中，后来 出现的协议大都基于有限域上的离散对数难解问题，以及解决d i f i e h e l l m a n 问题 的困难性等方面。 m a t s u m o t o t a k a s h i m a 和i m a i 5 j 在1 9 8 6 年，提出了认证密钥协商协议m t i ， 这些协议是扩展了d i m e h e l l m a n 协议而来的。然而，l a w , m e n e z e s 和v a n s t o n e 【6 j 等却指出了m t i 协议具有漏洞。为此，在1 9 9 8 的时候，他们又提出了一种高效的， 具有可认证功能的密钥协商协议，也就是m q v 协议，不过m q v 协议却并不能实 现未知密钥共享。这里提到的m t i 协议和m q v 协议，都是基于证书模式的密钥 协商协议。 1 9 9 2 年，b e l l o v i n 和m e r r i t 7 】提出了一种基于用户1 2 1 令的两方加密密钥交换协 议( 2 p a k e 协议) ，然而由于2 p a k e 协议只适用于客户一服务器结构，许多 研究者又将其扩展到了适用于客户一服务器一客户结构的基于口令认证的三 方密钥交换协议( 3 蝴协议) 。在3 p a k e 协议中，每个用户都与一个可靠的服 务器共享一个口令，在每次需要进行通信时，通信双方都通过服务器来对对方的 电子科技大学硕士学位论文 身份进行认证，并生成会话密钥。 在1 9 9 8 年的时候，椭圆曲线密码体制开始流行，于是，a y d o s t s l 等人提出了一 种基于椭圆监线密码体制的认证密钥协商协议a s k w a p 协议，这种协议是用 于无线通信的。不久以后，s u nh u n g m i n 等【9 】人却指出a s k w a p 协议没有前向 保密性、不能抵抗伪造攻击以及不具备已知会话密钥安全性等多种安全漏洞。同 时，m a n g i p u d i 等【l o 】也找出了a s k w a j p 协议的安全漏洞，并为了弥补a s k w a p 协议的不足之处，有效地防止中间人攻击，提出了种新的协议，u a p 协议，不 过这种协议却不具有前向保密性以及抵抗密钥泄露的安全性。 2 0 0 0 年，j o u x t j 在受到d i f f i e - h e l i m a n 密钥协商的思想下，提出了简单的三 方密协商协议，这个协议是利用椭圆曲线上双线性对的性质来实现的。j o u x 的协 议是双线性在密码学中的首次应用，是密钥协商协议研究过程中的一个重要突破。 不过j o u x 的协议却被s h i m 1 2j 发现其不能有效抵抗中间人攻击这种攻击方式。 学者s m a r t 1 3 】利用w 西l 对的性质，在2 0 0 2 年提出了一种基于身份的认证密钥 协商协议。在这个协议里面，需要有一个具有普遍公信力的密钥生成中心，密钥 生成中心可以从各种信息中恢复出会话密钥是该协议最大的特点。不过，s h i m 却 发现此协议不具有前向保密性【1 2 】。同样在2 0 0 2 年，学者c h e n 和k u d l a i h 】提出了 一种认证密钥协商协议他们认为这个协议比s m a r t 更有效，此外他们还借助安全模 型，对所提协议的安全性进行了分析。并且在受到s m a r t 的思想影响下，他们还提 出了撤消可信第三方的设想。 2 0 0 2 年，a 1 r i y a m i 和p a t e r s o n l l 5 l 提出了一种三方认证密钥协商协议，他们的 协议思想是最终会话密钥由静态密钥和临时密钥混合而成。但s h i m t l 6 j 指出这个协 议存在安全漏洞，其不能抵抗中间人攻击，若密钥泄露则不能抵抗伪造攻击，以 及不具有己知会话密钥安全的特性。 两年后的2 0 0 4 年，l e e 等人【r 7 】提出了一种三方加密密钥协商协议，这种协议 是不需要公钥技术的，l e e 等人声称他们提出的协议具有多种安全特性，可以抵抗 多种攻击，实现多方认证，并提供完美的前向安全性。同年，学者p o p e s c u ：s 也提 出了一种具有较高安全性以及高效的认证密钥协商协议，但是p o s e s c u 协议却并不 具有能有效抵抗密钥泄露的安全性。 关于基于身份的认证密钥协商协议，d ux i n j u n t l 9 】和c h o i 等人 2 0 】分别于2 0 0 3 年和2 0 0 4 年提出了相关的协议，不过z h a n g 和c h e n 2 l 】却指出了他们所提的协议 会受到伪装攻击，之后d ux i 巧u n t 2 2 j 对其进行了改进，声称解决了此问题。 2 0 0 5 年，w e n 等人1 2 3 1 运用w e i l 对提出了一种基于口令认证的三方密钥加密协 4 第一章引言 议( 3 p a k e 协议) ，并指出他们的协议是具有可证明安全性的。然而n a m 等人【2 4 j 却发现了3 p a k e 协议并不能抵抗中间人攻击的漏洞。 2 0 0 6 年，l u 等人提出了一种基于c c d h 假设【2 5 】的s - 3 p a k e 协议f 2 6 】，他们声 称，这种协议无论在效率上还是在安全性方面，都具有比其他类似协议更优越的 特性。但2 0 0 8 年，c h u n g 等人【2 7 】却指出s - 3 p a k e 协议具有三个漏洞：发起者伪 装攻击、响应者伪装攻击以及中间人攻击，并给出了相应的解决方案。 口令，最大的特点在于简单易记，因此，在许多基于远程访问的分布式网络 系统中，基于口令认证的密钥协商协议被广泛应用。第一个提出口令认证协议的 人是n e e d h 锄【2 8 1 ，不过他的协议容易受到在线口令猜测攻击。为了防止在线口令 猜测或窃听，l a m p o r t 提出了一次性口令机制口9 1 。2 0 0 6 年，由w a n gx i a o f e n g 3 0 】 提出的基于口令的密钥协商方案，具有抗多种攻击的安全特性，可以应用于a dh o e 网。 密钥协商作为现代密码学领域中的一个前沿、热门的研究论题，国内外学者 已经取得了大量成果，不过，它仍然是一个需进一步探讨的重要课题。 1 3 本文的研究工作 本文主要研究了认证密钥协商协议，作者在阅读学习了大量的相关协议之后， 对现有协议的安全漏洞进行了分析，并给出了具体攻击方案以及相应的弥补措施， 此外还分别提出了两种新的认证密钥协商协议三方认证密钥协商协议以及认 证组密钥协商协议。 本文进行的主要研究工作如下： ( 1 ) 分析了l u 等人提出的s 3 p a k e 协议的安全性，指出了该协议不能有效 抵抗在线口令猜测攻击，即当协议发起者a 本身就是攻击者时，那么，a 就 可以通过该协议，对用户b 与服务器s 共享的口令p u b 进行在线口令猜测分 析。并给出了对该协议进行在线口令猜测攻击的具体实施方案。 ( 2 ) 提出了一种新的基于有限域上离散对数难解问题以及c d h 假设的简单 三方认证密钥协商协议。并对该协议的安全性以及效率进行了详细分析，在 新的协议中，每一次密钥协商之前，协议的三方参与者用户彳，b 与服务器s 之 间都要进行相互的身份认证，这样就使得该协议能够有效抵抗各种攻击，具 有较强的安全性。 ( 3 ) 分析了c h o 等人提出的动态组密钥协商协议的安全性，指出该协议具有 电子科技大学硕士学位论文 不能有效抵抗重放攻击的漏洞，即攻击者可以将以前获取的消息重新发送给 服务器，冒充其他用户，向服务器认证自己的身份，由于服务器不能验证消 息的新鲜性，因此，会误以为攻击者就是对应消息的合法用户，那么，攻击 者就成功实施了重放攻击。针对这个漏洞，我们提出可以在消息中加入时间 戳的值，这样就可以保证消息的新鲜性，从而抵抗重放攻击。 ( 4 ) 在c h o 等人协议的启发下，提出了一种新的基于双线性对的认证组密钥 协商协议，该协议可以实现多方认证，而且，最终协商出的会话密钥里的参 数，都是些随机值，因此，该协议能够抵抗多种恶意攻击，具有多种安全 性，并且具有计算开销较小的效率优势。 1 4 本论文章节安排 本文共分为7 章，具体安排如下： 第一章首先对本文的研究背景及意义进行了论述，从而说明研究认证密钥协 商协议的重要性。并对本论文的研究内容及章节安排做了简要介绍。 第二章主要介绍了研究所需要的相关的密码学知识，包括密码体制、数字签 名、哈希函数，一些数学难解问题及假设，以及认证密钥协商协议的相关概念。 第三章介绍了对几种三方认证密钥协商协议的研究，分别对其安全性进行了 详细阐述，并对它们的计算效率进行了比较说明，论证了协议的安全性与计算复 杂性成反比的结论。 第四章主要针对s - 3 p a k e 协议进行了在线口令猜测攻击，然后针对该漏洞， 提出了两种方案，新方案i 和新方案，分析出新方案i 自身存在不能抵抗离线 口令猜测攻击的缺陷，并对新方案进行了详细的安全性分析，论证了其具有很 高的安全性，和可实用性。 第五章介绍了几种非对等网络( 即群组中存在一个高能量结点的网络) 中的 认证组密钥密钥协商协议，并对它们的效率和安全性进行了比较分析。 第六章首先指出了c h o 等人的组密钥协商协议具有不能抵抗重放攻击的漏洞， 并给出了相应的改进措施。最后在c h o 等人协议的启发下提出了一种新的基于双 线性对的认证组密钥协商协议，并对新协议进行了效率和安全性分析，论证了其 具有很高的安全性，和可实用性。 第七章对全文的总结，指出了仍需要研究和解决的问题。 6 第二章密码学基础知识 第二章密码学基础知识 密码学是- - f 古老而又年轻的科学，早在几千年以前的古罗马就有了密码的 运用，但是直到最近3 0 年，密码学才逐渐发展成了一门独立的学科。现代密码学 是信息安全的基础和核心，是最关键的要素，它能保障信息的完整性、保密性和 不可抵赖性等性能。 2 1 密码学概述 1 9 4 9 年，s h a n n o n l 3 l 】发表了保密系统的通信理论，这篇文章成为了密码学坚实 的理论基础，这也标志着密码学成为了- f j 正式的学科。公钥密码学由d i i t i e 和 h e l l m a n 于1 9 7 6 年建立，这种体制的形成，使得密码学可以用于民用、商用通信 系统的信息加密和保护。1 9 7 7 年，d e s 问世，它是美国国家标准局公开征集并公 布实施数据的加密标准。1 9 7 7 年，著名的学者r i v e s t ，s h a m i r 和a d l e m a n 三人，共 同提出了第一个基于公钥思想的举世闻名的密码体制- r s a 体制【3 引。d e s 的颁 布和r s a 体制的提出是现代密码学发展史上的重要里程碑，同时也标志着现代密 码学的诞生。随着计算机网络不断发展和应用，密码学的应用也扩大渗透到了各 个领域，例如目前我们早已熟悉的数字签名、身份认证等技术，都是由密码学派 生出的新技术和应用。 信息安全的核心就是现代密码技术。几乎所有信息安全的要求都是通过现代 密码技术来实现的。密码技术的研究与应用早已成为信息安全技术中一个十分重 要研究领域。保密性和认证性是信息安全性要求的两个方面。保密性指的是攻击 者在不知道密钥的条件下没办法翻译密文的内容。认证性是指在任何不知道密钥 的人绝对不可能构造出一个密文，在这种情况下，只有合法的接收者，使用正确 的密钥，才能解密出一个合法的，并且是可被理解的明文。 根据不同的安全性需求，一般可以把密码技术的应用分为两大类： ( 1 ) 保密系统：采用密码技术以阻止没有授权者或是恶意的攻击者，可以利用 密码分析学等手段，对从公开网络上截获的密文进行分析，从而获取明文或密钥。 ( 2 ) 认证系统：防止密文被删除、篡改或者伪造，从而使得接收者或第三方能 够识别和确认密文的真伪。 7 电子科技大学硕士学位论文 保密性和认证性是信息安全的两个不同方面。在实际应用中，这两种应用通 常是被结合在一起，共同来实现保障信息系统的安全。 除了上面提到的的保密性和认证性以外，信息的安全性需求还有另外一个十 分重要的方面完整性。所谓的完整性，指的是信息系统能够恢复信息和原来 发送信息的一致性，无论是在任何干扰情况下都可以恢复。在实际应用中，为了 保障完整性，通常会使用检错和纠错技术。 下面是一些密码学中的基本概念： 明文：未被加密的消息。 加密：使用加密算法处理明文以隐藏其内容的过程。 密文：明文被加密后得到的消息。 解密：使用解密算法处理密文以恢复明文的过程。 密钥：用于加密及解密算法的数据。 密码算法：用于加密和解密的数学函数。 密码系统：由密码算法以及所有可能的明文，密文和密钥组成。 2 2 密码体制 密码体制是一种模型，这种模型是关于在加密通信过程中所采用的设计思想、 实现方法、主要技术以及算法的。这个模型可以使通信者之间达到安全通信的目 的。如图2 1 所示的密码体制，通信者a l i c e 和b o b 试图在不安全的( 公开的) 信 道上进行安全通信，o s c a r 是攻击者，他试图偷听别人的对话，但是他却不能理解 他们通信的内容。 图2 1 密码体制模型 8 第二章密码学基础知识 密码体制可以定义为一个五元组( m ，c ，ke ，d ) ，满足条件【5 2 】： ( 1 ) m 代表明文消息空间； ( 2 ) c 代表密文消息空间； ( 3 ) k 代表全体密钥空间； ( 4 ) e 代表加密变换的集合； ( 5 ) d 代表解密变换的集合。 密码体制可以分为对称密码体制以及非对称密码体制两大类，若加密密钥和 解密密钥相同，则为对称密码体制，若加密密钥和解密密钥不同，则为非对称密 码体制。 所谓的对称密码体制，就是能够从解密密钥中推算出加密密钥，反过来从加 密密钥中同样也能推算出解密密钥的密码体制。而且在大多数的对称密码体制中， 加密密钥常常是和解密密钥一样的。因此，在这种体制中，通信的双方在试图进 行安全通信之前，都要事先商定一个共享的加解密密钥，这样便能通过这个共享 密钥进行安全通信。 例如a l i c e 试图通过使用对称密码算法，将消息m 加密以后发送给b o b ，那么 他们的通信过程如图2 2 所示。a l i c e 试图跟b o b 进行安全通信，那么a l i c e 和b o b 事先就要通过某种安全的秘密信道共享一个用于通信过程中加解密信息的密钥k 。 接着a l i c e 适用密钥k 通过对称加密算法对明文m 进行加密，然后得到密文c ， 再将密文c 通过公开信道( 不安全信道) 发送给b o b 。b o b 在收到密文c 以后， 用对称解密算法以及事先已经知道的解密密钥k ，解密c ，还原出明文m 。 图2 2 使用对称密码进行通信 在对称密码体制中，根据加密方式的不同，一般可以将其分为两类，一种是 流密码，一种是分组密码。 目前，分组密码是应用最广的对称密码体制，它可以用于构造数据完整性检 9 电子科技大学硕七学位论文 验、消息认证、实体认证协议等用途，前面所提到的d e s 就是一种分组密码，而 且d e s 也是分组密码中最为著名的实用体制。另外，1 9 8 7 年提出的f e a l 算法， 1 9 9 0 年提出的i d e a 算法，以及1 9 9 3 年美国国家安全局对外宣布的s k i p j a c k 分组 加密算法都是比较有名的分组密码。 由于对称密码体制里面的加密密钥和解密密钥是相同的，或者能够轻易从一 个推出另一个，这就使得对称密码的安全性严重依赖于密钥的保密性。而且对称 密码不能实现数字签名，也无法实现抗抵赖的功能。 为解决以上问题，d i f f i e 和h e l l m a n 在1 9 7 6 年提出了非对称密码体制的思想， 这是奠定了现代密码学最主要的基石。非对称密码体制也称为公开密钥密码体制。 在公钥密码体制中，每一个用户有两个相关的密钥：一个为对外公开的，即 公钥；另一个是由用户自己秘密保存起来，只有用户自己本人知道，即私钥。与 对称密码不同的是，这里的公钥和私钥是互不相同，而且在合理的时间范围内， 无法从一个推算出另一个，因此，相应的，公钥密码中的加解密运算也是互相分 离的。用户使用公钥密码时，都有一个加密密钥以及一个解密密钥，这两个密钥 是相对应的，使用其中一个加密的结果，只能由另一个来解密。 与对称密钥一样，使用公钥密码体制，同样可以实现信息保密通信。例如a l i c e 试图使用公钥密码，将消息m 加密以后发送给b o b ，他们的通信过程如图2 3 所 示。首先为了加密和解密消息，a l i c e 和b o b 两人要分别各产生一对密钥，并将各 自的公钥公布，a l i c e 用b o b 的公钥k 。，来加密明文m ，产生密文c ，接着将密文 c 发送给b o b 。b o b 收到c 后，用他自己才知道的私钥k 。d 来解密c ，从而得到明 文m 。由于b o b 的私钥只有自己知道，因此，即使有恶意的攻击者试图窃取消息， 他也不可能解密出正确的信息。从上面可以看出，在公钥密码中，通信的安全仅 依赖于用户自身的私钥保密即可。很显然，任何用户在任何时刻都可以改变自己 的私钥，当然，只要公布出相应的公钥以替代原来的公钥即可。 除了可以实现保密通信以外，公钥密码比对称密码具有一个更优越的特性， 那就是公钥密钥可以实现认证功能。如果a l i c e 使用自己的私钥加密明文消息m 以后产生密文c ，再将c 发送给b o b ，那么这个时候，b o b 就可以能验证密文c 是a l i c e 产生的而不是其他用户生成的，具体过程如图2 - 4 所示。很显然，因为 a l i c e 是使用的自身的私钥对消息进行加密的，那么也就是说，只有a l i c e 才有可 能加密这个消息，因为只有她知道这个私钥，因此，能验证该加密消息是由a l i c e 所产生的。另外，由于只有拥有a l i c e 的私钥才能产生上述加密后的消息，那么该 消息还可以用来对数据起源以及数据的完整性进行认证。 1 0 第二章密码学基础知识 图2 - 3 使用公钥密码进行通信 图2 _ 4 使用公钥密码进行认证 r s a 算法是目前最著名的一种公钥密码算法，它的安全性主要是依赖于大数 分解的困难性。除此以外，m e r k e h e l l m a n 背包算法、e 1 g a m a l 算法、m c e i i e c e 算法以及椭圆曲线密码算法等也是比较重要的公钥密码。 2 3 数字签名 在计算机网络技术高速发展的今天，网络购物、电子商务、网上银行等业务 日益兴起，随之而来的越来越多的电子合同、电子文档等在网络上广泛传输，众 所周知，这些合同之类的文件，肯定是需要当事人的签名确认才能生效的。大家 知道，在传统的处理这类事务中，需要当事者手写签名，但是这些网上的合同、 文档是在电脑和网络中是以电子化形式存储的，因此传统的手写签名肯定是行不 通了，这时，新型的数字签名技术便应运而生。 电子科技大学硕士学位论文 数字签名和手写签名都是签名，或者也可以把它看成是手写签名的电子对应 物。数字签名是一组数据信息，是通过密码学的相关算法，对要签名的数据文件 产生的一组代表签名者身份和数据完整性的数据信息。数字签名的作用非常重要， 它可以用来保证在信息传输的过程中信息的完整，提供发送信息者的身份证明， 提供不可抵赖性，从而来解决多种问题，例如伪造、冒充、抵赖等。随着通信和 密码技术的不断发展，数字签名技术正逐步替代传统的手写签名，并开始应用于 多种领域。 签名和验证是数字签名机制的两个组成部分，一般来说，消息的发送方会首 先为要放发送的消息生成一个数字签名，然后将签名和消息一起发送给接收方； 而接收方收到以后，先计算消息摘要，然后用发送方的公钥对签名进行验证。 数字签名在身份认证的实现过程中发挥着桥梁的作用，著名的数字签名包括 r s a 签名体n t 3 2 3 以及e l g a m a l 签名体制【3 4 】。 2 4 哈希函数 单向函数是公钥密码系统中的一个非常重要的概念，简单的说，单向函数就 是一个求值相对容易，但求逆却非常困难的函数。也就是说，如果已知x 的值，那 么计算f ( x ) 是非常容易的，但如果反过来，是已知f ( x ) 的值，想要求出x 的值却 是非常困难的。例如，在生活中大家常遇到的打碎盘子的问题，众所周知，要把 一个盘子打碎是非常容易的事情，只需使劲摔下去就行，但如果在摔碎了以后， 还想把这些碎片重新拼接成一个完整的盘子，这却几乎是一件不可能完成的事情。 这个比喻很简单，却也很生动形象的讲单向函数的概念描绘了出来。 散列函数是一种把可变输入长度的串，转换成一个固定长度的输出串的这样 种函数。散列函数是一种多对一的映射，输入多种长度对应输出一种长度，因 此散列函数不能用来判断两个串是否相同，但却可以用来得到准确性的合理保证。 哈希( h a s h ) 函数，是一种单向散列函数。哈希函数的输入是一个长度不固定 的消息，经各种压缩转换运算以后，输出一个固定长度的值，这个最后的输出， 就作为整个消息的散列值。换句话说，就是输入一个长度不固定的字符串，返回 一个固定长度的字符串，这个值又被称为哈希值。虽然目前还没有得到严格的证 明，不过学者普遍都认为，只要能确保压缩函数的安全行，那么以上述形式散列 任意长度的消息也将是安全的。作为密码学中的一个重要元素，哈希函数是一种 将任意长度的消息压缩到某一固定长度的消息摘要的函数。 1 2 第二章密码学基础知识 下面举出哈希函数的一些重要用途： ( 1 ) 在前面提到的数字签名中，用来产生“消息摘要”是哈希函数最普遍 的用途，这种方法是可以给要签字的消息增加一个可以验证的冗余信息，从 而使其包含可以被识别的信息。 ( 2 ) 有些公钥密码系统是需要能实用安全的，那么这时哈希函数被普遍地用 来验证密文的正确性。这种用法可以为公钥加密提供可证安全性。 ( 3 ) 密码应用里常常需要实用随机数，哈希函数被普遍的用作实用的伪随机 函数，这些应用包括密钥协商、知识证明协议等。 2 0 0 4 年，中国的王小云教授经过仔细分析研究，终于找出了哈希密码m d 5 和s h a - 1 的缺陷【3 5 】，她的研究结果使得在哈希算法中找到碰撞成为可能。哈希函 数常被用来可检测数据的完整性，它的这一特性，保障了是很多密码协议的安全 性，因此，哈希函数有着广泛的应用领域。 2 5 数学难解问题及假设 几乎所有的密码协议都是建立在严密的数学理论的基础之上的。一些数学上 的难解问题，是确保密码协议安全性的重要基础。下面列出几种密码学中常见的 数学难解问题。【3 6 3 7 、3 8 4 5 、4 6 2 5 1 大整数因数分解问题 给定两个大素数p ，g 的值， 给定整数以，求，z 的因数p ， 2 5 2 离散对数问题 计算他们的乘积p 木q = 很容易； q 使得力= p * q 非常困难。 已知有限循环群g g = g 。fk = o ，1 ，2 ， 及其生成元g 和阶n 爿gf 。 给定整数a ，计算元素9 4 = h 很容易； 给定元素h ，计算整数x ，0 x 甩，使得g 。= h 非常困难。 2 5 3 椭圆曲线离散对数问题 椭圆曲线密码学( e c c ) 是基于椭圆曲线数学的一种公钥密码的方法。是在1 9 8 5 年，由n k o b l i t z 3 6 】和vm i l l e r 【3 7 】分别独立提出了椭圆曲线密码体制，这种体制的 电子科技大学硕士学位论文 依据就是定义在椭圆曲线点群上的解决离散对数问题的困难性。 已知有限域凡上的椭圆曲线群 e ( b ) = ( x ，y ) i 耳b ，y 2 = x 3 + a x + b ，a ，b 乃) u o 及点p = ( 五y ) 的阶为一个大素数。 给定整数a ，计算点a p = ( x 。，y 。) = q 很容易； 给定点q ，计算整数x ，使得x p = q 非常困难。 2 5 4d i 伍e h e l l m a n 问题 2 5 4 1c d h1 段设 c d h 问题( 计算性d i f f i e h e l l m a n 问题) ：设p 是素数，g 是z ；的生成元。已 知g 。，g y z ；( 其中，x ，y 1 ，p l 】是未知的) ，计算g 叫。 c d h 假设( 计算性d i f f i e h e l l m a n 假设) ：存在多项式时间算法k ，以1 为输 入，输出kb i t 长的大素数p ，g ，g 。，9 7 其中g 是z ；的生成元，g 。，g y z ； 对任何多项式时间算法a ，对任何充分大的参数k ，其成功解决c d h 的概率 是可忽略的。即p r o b g 掣卜a ( l g ( 1 。) ) 是可以忽略的。 2 5 4 2d d h 假设 d d h 问题( 判定性d i f f i e h e l l m a n 问题) ：设p 是素数，g 是z ；的生成元。已 知g 。z ；，g y z ；，g 。z ；( 其中x ，y ，z 【1 ，p - 1 是未知的) ，判定g 夥和9 2 是 否相等。 d d h 假设( 判定性d i f f i e h e l l m a n 假设) ：存在多项式时间算法k ，以1 为输 入，输出kb i t 长的大