（计算机软件与理论专业论文）认证密钥协商协议及其安全研究.pdf

摘要 基于d i m e h e l l m a i l 的a k 和a k c 协议得到了很大的发展，但许多协议仍有 一定的安全缺陷。本文重点以l a w 等人给a k 和a k c 协议定义的安全性质来分析 协议，找出协议的安全缺陷，然后提出新的认证密钥协商协议，并分别对它们建 立合适的形式化模型，最后证明它们是安全的协议。具体工作如下： 首先，分析了s a k a 协议，由于协议参与者双方的认证码完全依赖于长期共 享密钥，因此它不具有密钥泄漏的安全性。基于此，提出一种基于e c c 的可证明 安全的认证密钥协商协议一一s e a k 协议。在新协议中，协议起始方的认证码依赖 于长期共享密钥，但协议的应答方的认证码依赖于会话密钥，且会话密钥是由长 期共享密钥、长期私钥与临时公钥的积和临时私钥与长期公钥的积三部分串起来 的哈希值，这就保证它具有密钥泄漏的安全性。同时还对s e a k 协议做了启发式 安全分析和性能分析，并给其建立了形式化模型，在e c c d h 和随机预言模型下， 证明了它是安全的。 其次，对u a p 协议进行安全分析，由于其确认密钥完全依赖于服务器的长期 私钥，因此它不具有前向保密性和密钥泄漏的安全性。基于此，提出一种基于e c c 的可证明安全的a k c 协议s a k c 协议。在新协议中，加入了密钥确认其确 认密钥由长期私钥与临时公钥的积和l 临时私钥与长期公钥的积串起来的哈希值， 这确保它具有前向保密性和密钥泄漏的安全性。同时还对s a k c 协议做了启发式 安全分析和性能分析，并给其建立了形式化模型，在e c c d h 和随机预占模型下， 证明了它是安全的。 最后，针对 个群成员的e a g k a 协议，总共需要n ( ”一1 1 次密钥协商和签名 验证的缺点，提出了一种基于s c h n o r r 的高效的认证群密钥协商协议一s e a g k a 协议。在新协议中，签名为强签名方案，保证了群密钥的完全认证。另外，不管 群成员 为多少，每一个成员m 只需一次签名和一次验证，即签名和验证签名的 次数独立于群中成员个数。还对s e a g k a 协议进行了安全分析，在g d d h 和随 机预言模型下，证明了它是安全的协议。 关键词：密钥协商协议：认证密钥协商协议；群密钥协商协议：可证明安全；密钥 确认；随机预言模型 认证密销协商协议及其安争研究 a b s t r a c t n u m e r o u sd i f n e h e l l a m nb a s e da ka n da k cp r o t o c o lh a v e b e e np m p o s e d ， h o w e v e r ，m a n yh a v es u b s e q u e n t l yb e e nf o u n dt oh a v es o m es e c u r i t yn a w s b yt h e s e c u r i t ya t t r j b u t e so fa ka n da k cp r o t o c o l sd e n n e db yl a we t a 1 ，t h j sp a p e r e m p h a s i z e so na n a l y z i n gs o m ep r o t o c o l s f i r s n y ，f i n ds o m es e c u r i t yn a w s ，a n dn e w a u t h e n t i c a t e dk e ya g r e e m e n tp r o t o c 0 1 sa r ep r o p o s e d s e c o n d ly ，f o r m a lm o d e l so ft h e s e p r o r o c o l sa r ep r o v i d e d ，a n dt h e nt h e s ep r o t o c o l sp r o p o s e da r ep r o v e ns e c u r ew i t h i nt h i s f 锄e w o d 【i nm er a n d o mo r a c l em o d e i l i s ta sf 0 i i o w s ： f i r s t l y ，t h es a k ap r o t o c o li sa n a l y s e d ，b e c a u s et h ea u t h e n t i c a t i o nc o d e so ft h e t w op r o t o c 0 1p a r t i c i p a n t sc o m p l e t e l y1 i eo nt h el o n g - t e r ms h a r e dk e y ，s oi td o e sn o t r e s i s tk e y c o m p r o m j s ei m p e r s o n a t i o n i nt h i sp 印e r ，a ne l l i p t i cc u r v ec r y p t o g r a p h y b a s e d p r o v a b l y - s e c u r ea u t h e n t i c a t e dk e ya g r e e m e n t i s p r o p o s e d ， n a m e l y ，s e a k p r o t o c 0 1 i nt h i sn e wp r o t o c o l ，t h ea u t h e n t i c a t i o nc o d eo ft h ei t si n i t i a t o fd e p e n do nt h e s h a r e dl o n gt e mk e y ，b u tt h ea m h e n t i c a t i o nc o d eo ft h ei t sr e s p o n d e rr e l i e so ns e s s i o n k e y ，a n dt h es e s s i o nk e yi sah a s h e dv a l u eo f c o n c a t e n a t i o no f t l l e1 0 n g t e r ms h a r e dk e y ， t h es c a l a rm u l t i p l i c a t i o no ft h el o n g - t e r mp r i v a t ek e ya n de p h e m e r a lp u b l i ck e y ，a n d t h es c a l a rm u l t i p l i c a t i o no ft h ep r i v a t ek e ya n dl o n g t e r mp u b l i ck e y ，w h i c he n s u r et h a t t h ep r o t o c o lr e s i s t sk e y c o m p r o m i s ei m p e r s o n a t i o n a l s o ，h e u r i s t i ca n a l y s i so fs e c u r i t y a n dp e r f o r m a n c ea n a l y s i sa r em a d eo nt h es e a kp r o t o c o i ，a n da i la p p r o p r i a t ef o r m a l m o d e li sp r o v i d e d ，t h ep r o t o c o li sp r o v e ns e c u r ei ne c c d ha n dt h er a n d o mo r a c l e m o d e l s e c o n d l y ，t h eu a pp r o t o c 0 1i sa n a l y s e d ，b e c a u s et h ek e yc o n f i r m a t i o nc o m p l e t e l y l i e so nt h el o n g t e r mp r i v a t ek e y ，s oi td o e sn o ta c h i e v ef b n v a r ds e c r e c y ，a n dr e s i s t s k e y - c o m p r o m i s ei m p e r s o n a t i o n i nt h i sp a p e r ，a ne c cb a s e dp m v a b l y - s e c u r ea k c i s p r o p o s e d ，n a m e l y ，s a k cp r o t o c 0 1 i nt h i sn e wp r o t o c o l ，t h ek e yc o f i r m a t i o ni s i n c o r p o r a t e di n t ot h ea u t h e n t i c a t e dk e ya g r e e m 髓吐，a n di t sk e yc o n f i r m a t i o ni sah a s h e d v a l u eo fc o n c a t e n a t i o no ft h es c a l a rm u l t i p “c a t i o no ft h el o n g t e mp r i v a t ek e ya n d e p h e m e r a lp u b l i ck e y ，a n dt h es c a l a rm u l t i p l i c a t i o no fm ep r i v a t ek e ya n d1 0 n g t e r n l p u b “ck e y ，w h i c he n s u r e t h a tt h ep r o t o c o la c h i e v e sf b r 、v a r ds e c r e c y ，a n dr e s i s t s k e y c o m p r o m i s ei m p e r s o n a t i o n a i s o ，ah e u r i s t i ca n a i y s i so fs e c u r i t ya n dp e r f o r m a n c e a n a l y s i si sm a d eo nt h es a k cp r o t o c 0 1 ，a n da na p p r o p r i a t ef - o m a lm o d e li sp r o v i d e d ， t h ep r o t o c o li sp r o v e ns e c u r ei ne c c d ha n dt h er a n d o mo r a c l em o d e l l a s t l y ，i nt h ee a g k ap r o t o c o lt h a th 0 1 d s门 g r o u pm e m b e r s ，a n dt o t a lk e y a g r e e m e n t sa r e疗( 盯一1 ) ，s ot h ee m c i e n c yo ft h ep r o t o c 0 1i sv e r yl o w ，w h e nhi s i i l a r g e b a s eo ns c h n o r rs i g n a t u r es c h e m e ，ah i g he f 拜c i e n ta u t h e n t i c a t e dg r o u pk e y a g r e e m e n ti sp r o p o s e dn a m ly ，s e a g k ap r o t o c o 】i nt h i sn e wp r o t o c o l ，t h es i g n a f u r ei s s t r o n gs c h e m e ，s o i t p r o v i d e sw i t hg r o u pk e yp e r f e c ta u t h e n t i c a t i o n t h ep r o t o c o l r e q u i r e so n l yo n es i g n a t u r ea n do n es i g n a t u r ev e r i f i c a t i o n ，r e g a r d l e s so ft h eg r o u ps i z e ， n 枷e l y ，s i g n a t u r ea n dv e r i f i c a t i o ni si n d e p e n d e n to ft h en u m b e ro fg r o u pm e m b e r s a l s ot h ea n a l y s i so fs e c u r i t yi sm a d eo nt h ep r o t o c o l ，a n dt h ep r o t o c o li sp r o v e ns e c u r e i ng d d ha n dt h er a n d o mo r a c l em o d e l k e yw o r d s ：k e ya g r e e m e n tp r o t o c d 】；a u t h e n t j c a t e dk e ya g f e e l i l e n tp r o t o c o l ；g r o u pk e y a g r e e m e n tp r o t o c o l ；p r o v a b l y s e c u r e ；k e yc o n f i r m a t i o n ；r a n d o mo r a c l em o d e l i i l 认证密钥协商协议及其安牟研究 插图索引 图2 1s e a k 协议的认证与密钥协商1 3 图2 2s e a k 协议的模拟2 3 图3 1a s k w a p 协议用户初始化2 6 图3 2a s k w a p 协议服务器初始化+ 2 6 图3 3a s k w a p 协议的相互认证及密钥协商2 7 图3 4s a k c 协议双方认证及密钥协商3 0 图4 1群成员数不同时总的密钥协商次数变化图4 7 图4 2 群成员数不同时总的签名验证次数变化图4 7 附表索引 表2 1m q v 和s a k a 及s e a k 的性能比较- 表3 1a s k w a p 和u a p 及s a k c 的性能比较 2 4 3 7 湖南大学 学位论文原创性声明 本人郑重声明：所呈交的论文是本人在导师的指导下独立进行研究所 取得的研究成果。除了文中特别加以标注引用的内容外，本论文不包含任 何其他个人或集体已经发表或撰写的成果作品。对本文的研究做出重要贡 献的个人和集体，均已在文中以明确方式标明。本人完全意识到本声明的 法律后果由本人承担。 作者签名：匡绰；看日期：2 一。6 年午月2 日 学位论文版权使用授权书 本学位沦文作者完全了解学校有关保留、使用学位沧文的规定，同意 学校保留并向国家有关部门或机构送交论文的复印件和电子版，允许论文 被查阅和借阅。本人授权湖南大学可以将本学位论文的全部或部分内容编 入有关数据库进行检索，可以采用影印、缩印或扫描等复制手段保存和汇 编本学位论文。 本学位论文属于 l 、保密口，在年解密后适用本授权书。 2 、不保密吼 ( 请在以上相应方框内打“”) 作者签名：匡华；音日期：伊口舌年牛月2 日 新虢译香。司教拆铀沁 硕士学位论文 第1 章绪论 1 1 认证密钥协商协议面临的问瘟 密钥建立协议( k e ye s t a b l i s h m e mp m t o c 0 1 ) 是两方或多方之间生成一个共享会 话密钥的过程，而生成的这个会话密钥以保护后继通信的秘密性和完整性等用途。 广义来说，有两类密钥建立协议：一类是密钥传输协议( k e yt r a l l s p o np r o t o c 0 1 ) ，这 类协议的密钥由其中的一方生成并安全地传输给其他参与方；另一类为密钥协商 协议( k e ya g r e e m e n tp r o t o c 0 1 ) 是两方或多方的信息份额共同生成一个会话密钥，且 任何一方均不能预先确定最终会话密钥l i j 。 1 9 7 6 年，d i 伍e h e l l m 蚰密钥协商协议首先由d i m e 和h e i l m 蛆1 2 j 提出。该协 议可以使通信双方在一个不需要预先麸享密钥的公共信道里建立一个会话密钥， 它的安全性是基于在有限域上计算离散对数的困难性。这个协议的执行过程如下； 假设a l i c e 要和b o b 建立一个会话密钥，a l i c e 预先和b o b 协商一个大的素数p 和 一个模p 的本原元g 。首先他们分别选择随机数算和y ，a l i c e 计算z = 9 3 ( r n o d p ) ， b o b 计算y = g ，( m o d p ) ；然后把x 和】，发送给对方；最后，a l i c e 计算七= p ( m o d p ) = g “( m o d p ) ，b o b 计算七= z ( 啪d p ) = 9 9 ( l o d p ) ，七就是双方协商的会话密钥。虽 然d i f f i 口h c l l m n 协议可以抵抗被动攻击，但是它却不能抵抗中间人攻击 ( m 姐i m t h e m i d d l ea t t a c k ) 。假如攻击者监视a l i c e 和b o b 之间的通信，当a l i c e 把x 传给b o b 时候，攻击者把这个消息截取下来，并传x 给b o b ，其中 x = 9 7 ( m o d p ) 。当b o b 把】，传给a l i c e 时，攻击者把这个消息截取下来，并传p 给 b o b ，其中p = g 。因此攻击者可以分别与a l i c e 和b o b 共享g 和g 。7 。 正因为d i m e h e l l m 蚰协议不能抵抗中间人攻击，d i 伍e 、v 粕o o r s c h o t 和 w i e n e r f 3 】提出了一个端一端协议( s t s ) ，该协议是认证密钥协商协议。在s t s 协 议中，协议参与者a l i c e 和协议参与者b o b 分别对消息签名，这样在密钥协商过 程中可以得到了认证，从而可以防止中间人攻击。s t s 协议描述如下：假定a l i c e 有b o b 的公开证书，同时b o b 有a l i c e 的公开证书，这些证书由处于协议之外的 一些值得信赖的机关签名。a l i c e 和b o b 的协商过程如下：a l i c e 生成随机数x ， 并把x 发送给b o b ；b o b 生成随机数y ，根据d i m e h e l l m 趾协议，计算出他们之 间基于x 和y 的共享密钥七以及他对x 和y 签名，并用l j 加密签名，然后把y 和 b ( s b ( x ，) ) ) 一起发送给a l i c e ；a l i c e 也计算，并用女解密b o b 发送来的消息，验 证b o b 的签名，并把用共享密钥七加密x 与y 签名的消息e ( s 。( x ，y ) ) 发送给b o b ： 最后，b o b 解密并验证消息。虽然s t 8 协议可以防止中间人攻击，但s t s 协议需 要存储证书，同时还需要签名的验证以及协议参与者双方之间的消息交换次数多 等缺点，因此s t s 协议并不是很完善的协议。 至今，认证密钥协商协议取得了很大的发展，但是大部分协议都有一定的缺 认证密钥协商协议及其安全研究 陷，尤其是安全方面的缺陷。因为在设计协议的时候，有些安全问题是很难考虑 到，其中安全问题的考虑有：安全获知入侵者的能力是极端困难的，或者说是不 可能的；密钥协商协议存在一个复杂且充满敌手的环境中，不仅有被动攻击者， 即攻击者通过诚实的实体运行协议那样企图阻止协议，而且还有主动攻击者，即 攻击者可以通过注入、截取、重放和修改等任何可能的方式来破坏通信。对协议 的攻击种类很多，常见的攻击有以下几种”j 。 1 中间人攻击 这种类型的攻击者将自己伪装于用户a 1 i c e 和b o b 之间进行通信。出现这种 攻击主要是协议中没有任何形式的认证，所以通过在密钥协商的过程中加入认证 可以防止这种攻击。 2 反射攻击 反射攻击就是将消息反射回一个用户。有时这种手段可以达到欺骗通信发起 者的目的，使得发起者发出的消息是对自己的请求消息正确的响应。一个简单的 比喻，对于某个安全岗哨的提问消息为：“您的口令是什么”，回答消息为“您的 口令是什么? ”，这类攻击主要被用来破坏某些实际的非敌即友( f r i e n d - o 卜f o e ) 类型 的协议。这类攻击依赖于通信双方地位的对称性。如果打破这种对称性，就可以 防止这类攻击。 - 3 o r a c l e 、 欺骗一个诚实的用户在不经意中泄漏一些信息。在这种攻击中，诚实的用户 将以某种方式诱导执行某个协议的一些步骤，从而帮助攻击者得到一些他原本无 法得到的数据。 4 重放 这种攻击是攻击者监视协议的运行( 可能是部分运行) ，在以后的某个时刻重 放其中一条或多条消息。可以用n o n c e ( 新鲜的、随机的值) 、运行标识和时戳来阻 止这类攻击。 5 穿插 攻击者试图使协议在两个或多个连接中同时执行以造成各个步骤之间的重 叠。如m o v 协议就有这类攻击。 6 前向保密失败 假如长期密钥丢失，会导致旧的会话密钥泄漏。 7 代数攻击 代数攻击的方法很多，这里只介绍常见的三种。 ( 1 ) 利用小指数攻击。比如x 或y 取1 。 ( 2 ) 利用p o h l i g - h e l l m 蛆算法【5 】。p o h l i g - h e l l m a n 算法允许任何人计算g 。的 离散对数，如果g 的阶的素因子是比较小的素数。 ( 3 ) 合数阶子群攻击。假设p = 2 9 + 1 ，其中口是奇数，且生成元g 的阶是 p 一1 = 2 窜。那么当攻击者截获g 和g 以后，他把这两个数都用g 做一次乘方，于 硕士学位论文 是最后的会话密钥是g w 。这时，攻击者可以把g 。看成生成元，而要获得会话密 钥，他只需要试两个素数就足够了。 面对如此多的攻击，如何设计一个安全的认证密钥协商协议? 一般的方法是 当提出协议后就把它们公开，然后让密码分析者或黑客去破解它，如果在很长一 段时间没有发现漏洞，那么协议就是安全的，但是这种方法并没有理论依据。直 到1 9 9 3 年，b e l l a r e 和p o i n t c h e v a l 等【6 】第一个提出了在对称环境下基于两方的认证 和密钥交换协议的形式化模型。认证密钥协商协议的可证明安全性才作为一个热 点被广泛地研究，它可以证明认证密钥协商协议设计的有效性。后来，b e l l a f e 和 p o i n t c h e v a l 的模型在【7 1 2 】中得到了一系列的扩展。另一种是由b e l l a r e 、c a n e t t i 和鼬a w c z y k 提出的基于多方模仿技术( m u l t i p a r t ys i m u l a t i o n ) 的安全模型川。这种 安全模型意图是：先定义密钥交换的一个理想模型，并证明协议在这个模型下是 安全的；然后通过证明现实中的任何攻击者都可以模仿理想模型中的攻击者的所 有操作，从而可以证明协议在现实中也是安全的。后来这种安全模型在【1 4 1 6 】中 得到了扩展。本文的研究工作主要致力于研究认证密钥协商协议，并对它们分别 建立合适的形式化模型，在随机预言模型和密码学难题的假设下，分别对提出的 协议给出安全证明。 1 2 认证密钥协商协议研究现状 认证密钥协商协议( a u m e m i c a t e dk e ya g r e e m e n t ) a k 协议。非形式地说， 指向所有协议参与者提供了隐含密钥认证( i m p l i c i tk e ya u t h e n t i c a t i o n ) 的密钥协商 协议，即协议参与者一认证协议参与者曰，如果协议参与者和除了一个指定可 鉴别的协议参与者b 外没有其它实体能获得共享的密钥值。向所有协议参与者提 供了隐含认证的密钥协商协议称认证密钥协商协【1 7 ，29 。a k 协议虽然能够确认对 方身份，却不能确信对方确实计算出会话密钥。如果协议参与者4 能确信协议参 与者占确实已经计算出会话密钥称这个密钥协商协议提供了密钥确认( k e v c o n f i m a t i o n ) 。如果协议同时提供了隐含认证和密钥确认，则称它提供了显式认证。 向所有协议参与者提供了显式认证的认证密钥协商协议称有密钥确认的认证密钥 协商协议( a u t h e n t i c a t e dk e ya g r e e m e n tw i t hk e yc o n f i n n a t i o n ) 一一a k c 协议1 7 ，2 叭。 因此，显示密钥确认比隐含密钥认证提供的保证更强，在实际实现中，有时候二 者往往一样的。一般情况下，协议只要做到隐含密钥认证就够了。如果需要密钥 确认一般是在隐含密钥认证协议的基础上加上一轮或多轮c h a l l e n g e r e s p o n d 交互 来实现。下面先介绍a k 和a k c 协议的国内外研究现状，然后介绍a k 和a k c 协议的目标研究状况，最后介绍可证明安全密码学在认证密钥协商协议中的研究 状况。 认证密钥协商协议及肛安全研究 1 2 1a k 和a k c 协议的研究 l a w 、s o l i n a s 和v a n s t o n e 【1 7 l 提出了一种有隐含认证的两轮m q v 协议。后来， k a l i s k i m j 指出m q v 协议不能抵抗密钥分享未知性攻击( u n k n o w n k e ys h a r e a t t a c k ) ，同时还指出了抵抗密钥分享未知性攻击的方法。这些方法中最主要的是 在认证密钥协商协协议中加入一个密钥确认，但需要在原协议的基础上加入一轮 或多轮c h a l l e n g e r e s p o n d 交互来实现：另外一种方法就是利用临时密钥委托 ( e p h e m e r “k e yc o m m i t m e n t ) 来抵抗密钥分享未知性攻击，这种方法是密钥协商之 前交换临时公钥的哈希值；此外还可以通过延时检查、公钥证书期限和基于身份 的密钥导出函数等方法。 j o u x 【19 j 利用椭圆曲线的w e i l 对提出了种只需要一轮交换的协议。因为该协 议的消息交换只需要一轮，因此j o u x 协议的效率较高。但是s h i m 【2 0 j 指出j o u x 协 议不能抵抗中间人攻击。 s m a n 【2 l 】提出了一种基于身份的w j i l 对认证密钥协商协议。该协议需要一个 可信的密钥生成中心，它最大的刨新是密钥生成中心可以从消息流和秘密密钥恢 复出会话密钥。但是s h i m 指出该协议不具有前向保密性【2 ”。 a 1 r i y a m i 和p a t e r s o n 【”l 提出了一类三方认证密钥协商协议。该协议属于m q v 一类的协议，这类协议的思想是以c a 中心颁发的证书把协议参与者的身份和静 态长期密钥绑定。静态长期密钥的认证就能确保只有拥有静态密钥的参与者才能 计算会话密钥。最终会话密钥由静态密钥和临时密钥混合而成。但改进后的协议 仍有一定的安全缺陷，s h i m 【2 4 l 指出此类协议不能抵抗中间人攻击、密钥泄漏的伪 造攻击和已知会话密钥的攻击。 a y d o s 等1 2 副提出了一种基于椭圆曲线密码体制用于无线通信的认证及密钥交 换协议一一a s k w a p 协议。s u nh u n g m i n 等f 2 6 】指出a s k w a p 协议的安全缺陷 有：没有前向保密性、没有已知会话密钥的安全性和不能抵抗伪造攻击。同年， m a n g i p u d i 等f2 7 j 也指出了a s k w a p 协议的安全缺陷，并提出了一种只需要用户认 证的协议，即u a p ( t h eu s e ra u m e n t i c a t i o np r o t o c 0 1 ) 协议，它弥补了a s k w a p 协 议的许多不足之处，很好的防止了中间人攻击和扮演攻击。但通过我们的安全分 析表明，它不具有前向保密性和密钥泄漏的安全性。 p o p e s c u 【28 j 提出了一种安全的认证密钥协商协议，该协议有较高的安全性和有 较好的执行效率。通过我们的分析发现，由于协议参与者双方的的认证码完全依赖 于长期共享密钥，这导致了p o p e s c u 协议并不具有密钥泄漏的安全性。 此外还有如m t i a o 和m t i c o 协议i ”j 。m t l a o 和m t i ，c 0 协议混合了临时 密钥和长期密钥，似乎是安全的，但是它不能抵抗小子群攻击( s m a l ls u b g r o u p a t t c a k ) 【29 l 。 上述的协议都有一定的安全缺陷。因为协议的设计者并不知道设计一个认证 密钥协商协议需要达到哪些安全目标，也没有对协议给出证明。因此，在设计协 议之前必须知道认证密钥协商协议的目标，然后证明协议满足这些目标。 硕士学位论文 1 2 2a k 和a k c 协议的目标研究 上述协议安全缺陷存在的主要原因是：协议的攻击模型缺乏合适的形式化定 义，且对a k 和a k c 协议的安全目的缺少合适的形式化定义f 2 计。近来，尽管在很 多文献如【7 ，8 ，1 3 ，1 4 ，3 0 】中提出了形式化定义，但这些“正确的”安全性定义还 不精确，在密码学界有一定的争论。因此还需对协议的安全性给出精确的定义。 b l a k e w i l s o n 、j o h n s o n 和m e n e z e s 【8 】为在非对称、分布式计算环境下的a k 和a k c 协议提供了一个形式化模型，并给a k 和a k c 协议的安全性提出了精确的形式化 定义。后来，l a w 等人在这些基础上，加以改进，给a k 和a k c 协议定义了安全 性质 2 9 】。目前，被人们广泛接受的是由l a w 等2 9 1 定义的a k 和a k c 协议的安全 性质： 最基本的是能抵抗被动攻击和主动攻击。此外a k 和a k c 协议还应具有以下 安全特性： 1 。已知会话密钥的安全性( k n o w n k e ys e c r u i l y ) 在协议参与者爿和b 之间每执行一次密钥协商协议，会生成一个唯一的会话 密钥，如果会话密钥的泄漏不会导致被动攻击者得到其它的会话密钥或主动攻击 者假冒协议参与者，则称协议具有会话密钥的安全性。 2 前向保密性( f o r w a r ds e c r e c v ) 如果一个或多个协议参与者的长期私钥( 1 0 n g t e r mp r i v a t ek e y ) 泄漏了，不会导 致旧的会话密钥泄漏，则称该协议提供了部分前向保密( p a r t i a lf o f w a r ds e c r e c y ) ： 如果所有协议者的长期私钥泄漏，不会导致旧的会话密钥泄漏，则称该游议有完 善前向保密性( p e r f e c tf o r w a r ds e c r e c y ) 。 3 密钥泄漏的安全性( k e y c o m p r o m i s ei m p e r s o n a t i o n ) 假设协议参与者爿的长期私钥( 1 0 n g t e mp r i v a t e k e y ) 泄漏，攻击者知道这个 长期私钥只具有冒充彳的能力，而不能在一面前伪造其他协议参与者与4 生成会 话密钥，称协议提供了密钥泄漏的安全性。 4 密钥分享的知晓性( u n k n o w nk e y s h a r e ) 在协议参与者彳不知晓的情况下，彳是不能被迫与协议参与者口分享一个会 话密钥，具有该性质的协议称协议提供了密钥分享的知晓性。 5 会话密钥的不可控性( k e vc o n t r 0 1 ) 任何协议参与者都不能使得会话密钥是他预先选取值的能力，则称该协议具 有会话密钥的不可控性。 此外还有a k 和a k c 协议在性能方面应具有的性质： ( 1 ) 最少的回合数即协议的信息交换次数最少。 ( 2 ) 最少的通信量，即传输的总位数目。 ( 3 ) 降低计算消耗，即需要的算术操作数。 认证窬钥协商协议及其安全研究 ( 4 ) 在一些环境里还有一些其它的理想性质，其中包括：增加预计算的可能， 即减少在线计算的数量；角色对称( r o l e s y m m e t r y ) ，即在实体问传输的消息有相 同的结构；非交互性( n o n i n t e r a c t i v c n e s s ) ，即在实体间传输的消息是相互独立的； 加密的非依赖性( n o n r e l i a n c eo ne n c r y p t i o n ) 等。 有了上述认证密钥协商协议的目标，就可以根据这些目标对认证密钥协商协 议做启发式安全分析，并尽量使设计的协议达到这些目标。当然启发式安全分析 只是一种说明式的证明，并不能对认证密钥协商协议从理论上给出证明。因此还 需要以可证明安全密码学作为工具来证明认证密钥协商协议的安全性。可证明安 全密码学在认证密钥协商协议中的研究情况如下。 1 2 3 可诞明安全在a k 协议中的研究 在2 0 0 4 年信息安全国际会议上，曹珍富教授做了“密码理论中的若干问题”的 主题报告，介绍了密码学的最新进展。他提到了“可证安全性密码学”是当前密码 学的发展方向之一 3 。当前，在现有公钥密码学中，有两种被广泛接受的安全性的 定义，即语义安全性和非延展安全性。语义安全性，也称作不可区分安全性i n d ( i n d i s t i n g u i s h a b i l i t y ) ，首先由g o l d w a s s e r 和m i c a l i 吲提出，指从给定的密文中，攻击者 不能得到关于明文的任何信息。非延展安全性n m ( n o n _ m a l l e a b i l i t y ) 由d o l e v 、d w o 卜 k 和n a o r i ”】提出，指攻击者不能从给定的密文中，建立和密文所对应的与明文意义 相关的明文的密文。在大多数令人感兴趣的研究问题上，不可区分安全性和非延展 安全性是等价的i ”】。 对于公钥加密和数字签名等方案，可以建立相应的安全模型，在相应的安全 模型下，定义各种所需的安全特性。对于模型的安全性，目前可用的最好的证明 方法是随机预言模型r o m ( r a n d o mo r a c l em o d e l ) 【3 ”。在最近几年里，可证明安全 性作为一个热点被广泛地研究，它可以证明密码算法设计的有效性。现在，所有 出现的标准算法，如果它们能被一些可证明安全性的参数形式所支持，就被人们 广泛地接受。正如我们所知道的，一个安全的密码算法最终要依赖于n p 问题，真 正的安全性证明还远远不能达到。然而，各种安全模型和假设能够让我们来解释 所提出的新方案的安全性，按照相关的数学结果，确认基本的设计是没有错误的。 随机预言模型由b e l l a r e 和r o g a w a y 【3 4 】从f i a t 和s h a m i r l 3 5 】的建议中提出的， 它是一种非标准化的计算模型。在这个模型中，任何具体的对象例如哈希函数， 都被当作随机对象。它允许人们规约参数到相应的计算，哈希函数被作为一个预 言返回值，对每一个新的查询。将得到一个随机的应答。规约使用一个对手作为 一个程序的子例程。但是，这个子例程又和数学假设相矛盾，例如r s a 是单向算 法的假设】。因此要证明安全性，需要把概率理论和技术广泛使用在随机预言模 型中。然而，随机预言模型证明的有效性是有争议的。因为哈希函数是确定的， 不能总是返回随机的应答。尽管如此，随机预言模型对于分析加密、数字签名方 案以及认证密钥协商协议还是很有用的。在一定程度上，它能够保证一个方案是 倾士学位论文 没有缺陷的。但是，如果没有随机预言模型，可证明安全就存在质疑。 随机预言模型能够很好地模拟攻击者的各种行为。在该模型旱，假设所有通 信安全处于攻击者的控制之下，攻击者能够读取、删除、修改和伪造协议参与者 发送的报文，甚至能够任意发起或接受会话。形式上，协议用一组无限多的预言 机( 0 r a c l e ) 来表示，这些预言机只能和攻击者对话，而不能和其他预言机对话，它 们之间的对话由攻击者来转发。 把随机预言模型用在认证密钥协商协议中，能够很好地模拟攻击者的各种为。 认证密钥协商协议的形式化模型首先由b e l l a r e 和p o i n t c h e v a l 等提出旧j 。b e l l a r e 和p o i n t c h e v a l 等给在对称环境下基于两方的认证密钥协商协议建立了形式化模 型，即b r l 。在b r l 模型中，假设所有通信都完全在攻击者的控制之下，攻击者 能够读取、删除和修改协议参与者发送的报文，伪造自己的报文，甚至能使任意 方发起或接受会话。此外，他们为了对实体认证( 双向认证) 给出形式化定义， 还提出了匹配会话( m a t c h i n gc o n v s r s a t i o n ) 的思想，并定义了安全的认证密钥协商 协议。最后，对协议给出了安全证明。针对匹配会话定义的不足，b e l l a f e 和 r o g a w a y 【7 】又提出了配对函数( t h ep a n n e ff i m c t i o n ) 的思想，并指出不是每个预言 都有一个配对者。例如，一个没有生成会话密钥的预言是永远也不能有配对者的。 实际上，即使一个生成会话密钥的预言实例也不一定有配对者。因此配对函数比 b e i l a 心和r o g a w a y 给出的匹配会话更严密，因为在匹配会话中，只能通过观察在 预言实例之问的传输的比特流来决定是否匹配，这样的概念对在密钥分配和认证 独立这样的不直观的场合是不恰当的。后来，b e l l a r e 、p o i n t c h e v a l 和r o g a w a y 用 会话密钥标识( s e s s i o ni d ) 来定义成配对( p a r t n e r i n g ) 而不是匹配会话j 。 随后，b e l l a r e 和r o g a w a y 【7 l 把b r l 扩展到基于三方的对称环境下，即b r 2 。 受b e l l a r e 和r o g a w a y 的启发，b l a k e w i l s o n 、j o h n s o n 和m e n e z e s l 8 】把b r l 改成 适用于基于非对称( 公钥) 环境下的形式化模型。 后来，b e l l a r e 、c a n e t t i 和k r a ，c z y k l j 3 1 提出了将认证环境下a k e 转为非认证 环境下的a k e 的方法，提出了k e 的另一种模型。这种安全模型是基于多方模仿 技术( m u l t i p a n ys i m u l a t i o n ) 的安全模型，他们的意图是，先定义密钥协商协议的一 个理想模型，并证明协议在这个模型下是安全的。然后，通过证明现实中的任何 攻击者都可以模仿理想模型中的攻击者的所有操作，来证明协议在现实中也是安 全的。此外，b e l l a r e 、c 觚e t t i 和k f a w c z y k 还给出了一种在随机预言模型下证明是 安全的数字签名体制。后来，s h o u p f l 4 】扩展了这种方法，给三方环境下的认证密钥 协商协议提出了形式化的安全模型。 l u c k s l 9 j 是第一个把形式化模型扩展到处理字典攻击的形式化定义上来。此外， h a l e v i 和k r a w c z y k 给用户拥有服务器一个公钥的模型的基于口令的单方认证 ( u n i l a t e r a la u t h e n t i c a t i o n ) 的密钥协商协议提供了形式化定义t ”j 。但是b o v 盯s k v 指出了h a j e v i 和k r a w c z y k 形式化模型的不足，并给单方的基于口令认证密钥协 商协议提出了基于模仿( s i m u l a t i o n - b a s e d ) 的概念【3 6 】。在这些基础之上，b e l l a r e 、 认证甯钥协商协议发其安全研究 p o i n t c h e v a l 和r o g a w a y 结合了相互认证( m u t u a la u t h e n t i c a t i o n ) 和认证密钥交换 协议( a u t h e n t i c a t e dk e ye x c h